Merhabalar, Biz de araştırmalarımızda son dönemde Office dosyaları kullanan zararlı yazılımların arttığını gözlemledik. VB (Visual Basic) makroları içeren MS Office OLE2 Word dosyalarını kullanan ve dosyanın çalıştırıldığı sisteme Pony ve Vawtrak gibi bilgi çalan zararlıları indiren Hancitor downloader zararlısı bunlara örnek olarak verebiliriz.
Ben bir de WSF (Windows Script File) formatındaki dosyaları kullanan zararlı yazılımların artışına dikkat çekmek istiyorum. WSF dosyalarına VBScript ve JS (JavaScript) kodları gömülebiliyor ve bu dosya formatını kullanarak bazı güvenlik cihazlarını atlatmak daha kolay. Bu yüzden, daha önce .js formatındaki e-posta eklentileriyle yayılan ve Locky fidye zararlısının yeni bir türevi olan Zepto zararlısı ve hedef sisteme farklı trojanlar indiren Nemucod zararlısı artık .wsf dosyalarının içine gömülmüş JavaScript kodları kullanıyor. Bu zararlılar ile ilgili ek bilgi: Hancitor downloader: http://researchcenter.paloaltonetworks.com/2016/08/unit42-vb-dropper-and-shellcode-for-hancitor-reveal-new-techniques-behind-uptick/ Zepto ransomware: http://www.bleepingcomputer.com/news/security/zepto-ransomware-locky-variant-being-distributed-via-wsf-attachments/ Nemucod downloader: https://blogs.technet.microsoft.com/mmpc/2016/07/23/nemucod/ Iyi calismalar, Suleyman Ozarslan (Picus Security) *Suleyman Ozarslan* 2nd Floor, 625 Market Street, San Francisco, CA 94105, USA Universiteler Mah. ihsan Dogramaci Bul. Sebit-1 Binası No:13 ODTÜ Teknokent, Çankaya, ANKARA, TR Phone: +90 (312) 235 3579 Mobile: +90 (505) 502 3955 Email: [email protected] Web: www.picussecurity.com 2016-10-05 10:34 GMT+03:00 Nasuh AKAY <[email protected]>: > Windows Script Host Disable > > > > Regedit > > HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings ‘ e > girip > > Edit ve ya 2 Click > > Enable 1 yazan değer 0 yaparsanız devre dışı kalır. > > > > İyi Çalışmalar. > > N. > > > > *From:* Liste [mailto:[email protected]] *On Behalf Of *Mehmet > YALÇIN > *Sent:* Wednesday, October 5, 2016 10:18 AM > *To:* [email protected] > *Subject:* Re: [NetsecTR] Ynt: Office Dosyalarının Taşıdığı Fidye > Zararlısı Riskleri > > > > Merhaba, > > windows script host nasıl disable edililyor Mehmet bey. > > > > Teşekkürler. > > > > 05-10-2016 10:00 tarihinde Mehmet YAYLA yazdı: > > Bu tip saldırılarından korunmak için ilgili bilgisayarlardan *Windows > Script Host'un *disable edilmesi yerinde olur. > İhtiyaç durumunda kontrollü olarak anahtarın değiştirilmesi daha mantıklı. > > > > ------------------------------ > > *Gönderen:* Ozan UÇAR (BGA) <[email protected]> <[email protected]> > adına Liste <[email protected]> <[email protected]> > *Gönderildi:* 4 Ekim 2016 Salı 16:37 > *Kime:* [email protected] > *Konu:* Re: [NetsecTR] Office Dosyalarının Taşıdığı Fidye Zararlısı > Riskleri > > > > Merhabalar, > > Bu sorunuzun cevabından büyük oradan emin olsamda küçük bir araştırma > yaptım. Şöyle ki, Google drive VBA Macro'ları desteklemiyor, bunun yerine > Google Apps Script öneriyor. Microsoft OneDrive ise Macro içeren dosyaları > düzenlemenize olanak sağlıyor ama Macro çalıştırmayı desteklemiyor. > > > > Bu iki servis için bizim paylaştığımız örnekteki VBA Macro zararlıları > çalışmayacaktır yani güvendesiniz (şimdilik) > > > > Başka hangi cloud tabanlı SaaS olarak hizmet veren kaynaklar var > paylaşırsanız birlikte inceleme fırsatımız olur. > > > > Teşekkürler. > > > > 2016-10-04 13:18 GMT+03:00 hasan akgöz <[email protected]>: > > Merhaba Ozan bey, > Merak ettiğim bir konu benzer tehditlerin cloud ortamı içinde barındırıp > barındırdığı eğer kurum office ihtiyaçlarını SaaS olarak gideriyorsa benzer > tehditlerden etkilenir mi? > > iyi çalışmalar dilerim. > > On Oct 4, 2016 13:10, "Ozan UÇAR (BGA)" <[email protected]> wrote: > > Ransomeware zararlıları tüm dünyayı hedef almaya devam ederken, > gelenekselci yaklaşımını biraz değiştirip ofis dosyalarının taşıdığı > zararlı Makrolar ile yeni kurbanlarını hedef alıyor. > > > > Biz uzmanlar için Macro içeren zararlılarla yapılan bu saldırı vektörü > yeni kabul edilmesede, internet kullanıcılarının pek alışık olmadığı, ofis > dosyalarının ne tür riskler taşıdığını pek bilmedikleri bir durum. İş ve > sosyal yaşantımızda ofis dosyalarının ne kadar etkin kullanıldığını > düşünürsek bu durum korkunç zararlara yol açabiliyor. > > > > Bu anlamda internet kullanıcılarının bilinçlendirmek, ofis dosyalarının > kendileri için ne tür riskler taşıdığına dikkat çekmek istiyoruz. Aynı > zamanda siber güvenlik uzmanı pozisyonunda olmasada önlem almak durumunda > olan diğer IT çalışanları içinde teknik detay içeren bu yazıyı sizlerle > paylaşıyoruz. > > > > Yazıda bireysel ve kurumsal genel geçer önlemler var fakat detaylandırmak, > hangi çözüm ve ürünlerle bu gibi zararlılara karşı önlem alınacağını bu > başlık altına tartışmak isteriz. > > > > Yazıya şu adreslerden ulaşabilirsiniz, > > - Slideshare adresi, http://www.slideshare.net/SinaraLabs/office- > dosyalarnn-tad-makro-riskleri > - Blog post, https://www.sinaralabs.com/office-dosyalarinin- > tasidigi-fidye-zararlisi-riskleri/ > > <https://www.sinaralabs.com/office-dosyalarinin-tasidigi-fidye-zararlisi-riskleri/> > > Zararlıyı içeren email ve ekini incelemek isterseniz; > > - Zararlının orjinal eposta içeriği için https://www.dropbox.com/ > s/5vuai003c68zeog/excel_macro_zararlisi.zip?dl=0 > <https://www.dropbox.com/s/5vuai003c68zeog/excel_macro_zararlisi.zip?dl=0> > - Zararlı Macro dosyasını içeren excel, https://www.dropbox. > com/s/4fgq6nrmtv903ts/2016-10016-15-20.zip?dl=0 > <https://www.dropbox.com/s/4fgq6nrmtv903ts/2016-10016-15-20.zip?dl=0> > > Her iki dosyanında* Zip Parolası: Sinara * > > > > Görüşmek üzere. > > -- > > *Ozan UÇAR* > > Managing Partner / BGA Bilgi Güvenliği A.Ş > > My brand profile <http://ozanucar.brandyourself.com/> > > *Istanbul**:*Kozyatağı Mah. İnönü Cad. Çetinkaya İş Merkezi No: 92 Kat:4 > Kadıköy, İstanbul > > Tel: +90 216 4740038 | Fax: +90 216 4749386 | Mobile: +90 551 4119596 > > *Ankara:*Ceyhun Atuf Kansu Caddesi Gözde Plaza İş Merkezi Kat:5 No:72 > BALGAT ÇANKAYA/ANKARA > > [email protected]|| BGASecurity.com <https://www.bgasecurity.com/> | > @BGASecurity <https://twitter.com/bgasecurity> | #BGASecurity > <https://www.linkedin.com/company/bilgi-guvenligi-akademisi/> | > www.ozanucar.com > > > > > > *YASAL UYARI*: Bu e-posta'nin icerdigi bilgiler (ekleri de dahil olmak > uzere) gizlidir. Sahibinin onayi olmaksizin icerigi kopyalanamaz, ucuncu > kisilere aciklanamaz veya iletilemez . Bu mesajin gonderilmek istendigi > kisi degilseniz (ya da bu e-posta'yi yanlislikla aldiysaniz), lutfen > yollayan kisiyi haberdar ediniz ve mesaji sisteminizden derhal siliniz. > BGA, bu mesajin icerdigi bilgilerin dogrulugu veya eksiksiz oldugu > konusunda bir garanti vermemektedir. Bu nedenle, bilgilerin ne sekilde > olursa olsun iceriginden, iletilmesinden, alinmasindan, saklanmasindan BGA > sorumlu degildir. Bu mesajin icerigi yazarina ait olup, BGA'nın > goruslerini icermeyebilir. Bu e-posta bizce bilinen tum bilgisayar > viruslerine karsi taranmistir. > > > *DISCLAIMER:* This e-mail (including any attachments) may contain > confidential and/or privileged information. Copying, disclosure or > distribution of the material in this e-mail without owner authority is > strictly forbidden. If you are not the intended recipient (or have received > this e-mail in error), please notify the sender and delete it from your > system immediately. BGA makes no warranty as to the accuracy or > completeness of any information contained in this message and hereby > excludes any liability of any kind for the information contained therein or > for the information transmission, reception, storage or use of such in any > way whatsoever. Any opinions expressed in this message are those of the > author and may not necessarily reflect the opinions of BGA. This e-mail has > been scanned for all computer viruses known to us. > > > > > > -- > > *Ozan UÇAR* > > Managing Partner / BGA Bilgi Güvenliği A.Ş > > My brand profile <http://ozanucar.brandyourself.com/> > > *Istanbul**:*Kozyatağı Mah. İnönü Cad. Çetinkaya İş Merkezi No: 92 Kat:4 > Kadıköy, İstanbul > > Tel: +90 216 4740038 | Fax: +90 216 4749386 | Mobile: +90 551 4119596 > > *Ankara:*Ceyhun Atuf Kansu Caddesi Gözde Plaza İş Merkezi Kat:5 No:72 > BALGAT ÇANKAYA/ANKARA > > [email protected]|| BGASecurity.com <https://www.bgasecurity.com/> | > @BGASecurity <https://twitter.com/bgasecurity> | #BGASecurity > <https://www.linkedin.com/company/bilgi-guvenligi-akademisi/> | > www.ozanucar.com > > > > > > *YASAL UYARI*: Bu e-posta'nin icerdigi bilgiler (ekleri de dahil olmak > uzere) gizlidir. Sahibinin onayi olmaksizin icerigi kopyalanamaz, ucuncu > kisilere aciklanamaz veya iletilemez . Bu mesajin gonderilmek istendigi > kisi degilseniz (ya da bu e-posta'yi yanlislikla aldiysaniz), lutfen > yollayan kisiyi haberdar ediniz ve mesaji sisteminizden derhal siliniz. > BGA, bu mesajin icerdigi bilgilerin dogrulugu veya eksiksiz oldugu > konusunda bir garanti vermemektedir. Bu nedenle, bilgilerin ne sekilde > olursa olsun iceriginden, iletilmesinden, alinmasindan, saklanmasindan BGA > sorumlu degildir. Bu mesajin icerigi yazarina ait olup, BGA'nın > goruslerini icermeyebilir. Bu e-posta bizce bilinen tum bilgisayar > viruslerine karsi taranmistir. > > > *DISCLAIMER:* This e-mail (including any attachments) may contain > confidential and/or privileged information. Copying, disclosure or > distribution of the material in this e-mail without owner authority is > strictly forbidden. If you are not the intended recipient (or have received > this e-mail in error), please notify the sender and delete it from your > system immediately. BGA makes no warranty as to the accuracy or > completeness of any information contained in this message and hereby > excludes any liability of any kind for the information contained therein or > for the information transmission, reception, storage or use of such in any > way whatsoever. Any opinions expressed in this message are those of the > author and may not necessarily reflect the opinions of BGA. This e-mail has > been scanned for all computer viruses known to us. > > > --
