HomeGenelGÜVENLİKKilim Zararlı Yazılımı

Kilim Zararlı Yazılımı

1 Aralık 2013

Sosyal medya kullanımının artmasıyla e-posta kutularını dolduran spam maillerin benzerleri artık sosyal medya hesaplarında da yaygınlaşmaya başladı. Ayrıca sosyal medya zararlı yazılımların yayılması  için sıklıkla kullanılan bir alan olmaya doğru kayıyor. Son günlerde çeşitli versiyonlarını gördüğümüz Kilim zararlı yazılımı da yayılmak için sosyal medyayı kullanan zararlı yazılımlardan biri olarak karşımıza çıkmaktadır. Kilim zararlı yazılımının dikkat çeken bir özelliği ise içerdiği JavaScript kodlarının Türkçe değişken ve fonksiyon isimlerine sahip olmasıdır. Aynı zamanda 70milyon.net ve begenihavuzu.com gibi siteler ile iletişim kurması, zararlı yazılımın Türkler tarafından yazıldığını ve özellikle Türkleri hedef aldığını göstermektedir.

Kilim zararlı yazılımı, sosyal medya üzerinden, chrome ve türevi olan yandex tarayıcılarını kullanarak yayılmaktadır. Bu tarayıcılara oluşturduğu player.crx dosyası ile kendi eklentisi kurmaktadır ve daha sonra kurbanın sosyal medya hesapları üzerinde çeşitli değişiklikler yapmaktadır. Kurbanın aktif oturumunu kullanarak yayılmakta olan kilim zararlı yazılımı, kurbanın çeşitli sayfaları beğenmesine ve çeşitli yayınlar yapmasına neden olmaktadır. Daha detaylı incelediğimizde yazılımın paketlenmemiş olduğu ve ileri analiz engelleme yöntemleri gibi karmaşık yapılar içermediği görülmektedir.

1.png

Şekil 1 Kilim Zararlı Yazılımı PEiD çıktısı

Tespit

Zararlı yazılımın özet değerleri ve özellikleri şöyledir:

MD5 : 75a272915b4bbe0f3d7c9bb988f53de8
SHA1: 51b4d5f9d5a3ea78ca0b889e4475be8d4c557173
Dosya boyutu: 238.2 KB ( 243885 bytes )

Şekil 2‘de görüleceği gibi Virus Total taramasında 48 anti virüs programının 19’u tarafından tanınıyor.

2.png

Şekil 2 Virüs Total Taraması Sonuçları

Özellikleri

Nasıl yayılır: Zararlı yazılım chrome ve yandex tarayıcılarını kullanan kurbanların sosyal medya oturumlarını kullanarak hazırladığı iletilerle yayılmaktadır. Zararlı yazılım, oluşturduğu tarayıcı eklentisi sayesinde kurbanın sosyal medya arkadaşlarını çeken httptalepleri hazırlamaktadır. Kurbanın sosyal medya arkadaşlarını elde eden zararlı yazılım, bu isimlerin geçtiği bir ileti hazırlamaktadır. Kurban böylece arkadaşlarının etiketlendiği zararlı yazılımı yayan iletiler paylaşmaktadır. Şekil 3‘te facebook üzerinde paylaşılmış zararlı yazılımın kendini yaymak için hazırladığı örnek bir ekran görüntüsü görülmektedir.

3.png

Şekil 3 Kilim Tarafından Oluşturulan İleti Örneği

Zararlı yazılımın oluşturduğu dosya sisteminde ve kayıt defteri anahtarlarında yaptığı değişiklikler ise şu şekildedir:
Zararlı yazılım çalıştırıldığında C:\ProgramData\VideoPlayer altında Şekil 4‘te görülen dosyaları oluşturmaktadır.

4.png

Şekil 4 Kilim Tarafından Oluşturulan Dosyalar

Zararlı yazılımın eklediği anahtarlar ve değerleri aşağıdaki gibidir:

HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist\1: “hkfmnabobennlihmnmkiplpinbdkppdp;C:\ProgramData\VideoPlayer\update.xml”

HKLM\SOFTWARE\Policies\YandexBrowser\ExtensionInstallForcelist\1: “hkfmnabobennlihmnmkiplpinbdkppdp;C:\ProgramData\VideoPlayer\update.xml”

 

Zararlı yazılım, dosya sisteminde oluşturduğu update.xml dosyasına göre Chrome ve Yandex tarayıcıların güncellenmesine dair bir kayıt defteri girdisi oluşturmaktadır.

Update.xml dosyasının içeriği ise aşağıda verilmiştir. Dosya içeriğinden eklenen anahtar değerleri ile tarayıcının zararlı yazılımın oluşturduğu player.crx eklenti dosyası ile güncellenmek istendiği anlaşılmaktadır

<?xml version=”1.0″ encoding=”UTF-8″ ?>

– <gupdate xmlns=”http://www.google.com/update2/response” protocol=”2.0″>

– <app appid=”hkfmnabobennlihmnmkiplpinbdkppdp“>

<updatecheck codebase=”C:\ProgramData\VideoPlayer\player.crx” version=”1.0″ />

</app>

</gupdate>

 

Zararlı yazılım, saldırganla iletişime geçmek için 70milyon.com ve begenihavuzu.com sitelerini kullanmaktadır. Zararlı yazılım, kurbanın sosyal medya oturumu için kullanılan token bilgisini hazırladığı http talebi ile kendi sistemine aktarmaktadır. Ayrıca kurbanın, bu sitelerden çektiği (http talepleri ile) facebook sayfa isimlerini beğenmesine neden olmaktadır. Ayrıca bu sitelerden video, fotoğraf gibi bilgiler çekerek, bu bilgilerle kurbanın bilgilerini harmanlayarak kurbanın hesabında yayılmak için iletiler yayınlamaktadır.

Sitelerin alan adı kayıtları aşağıdaki gibidir. Alan adı kayıtlarının “privacyprotect.org” üzerinde yapıldığı görülmektedir. Daha detaylı bilgi için “privacyprotect.org“a talepte bulunulması gerekmektedir.

5.png

Şekil 5 Zararlı Yazılımın İletişim Kurduğu Sitelerin Alan Adı Kayıtları

Davranış ve Kod analizi bulguları

Zararlı yazılım çalıştırıldığında oluşan proses ağacı Şekil 6‘da görülmektedir. Komut satırı istemcisi çalışarak açık olan tarayıcıyı kapatmaktadır. Daha sonra çalışan “verclsid” prosesleri ise kayıt defteri girdilerini oluşturmakta ve dosya sistemine gerekli dosyaları atmaktadır.

6.png

Şekil 6 Kilim Proses Ağacı

Zararlı yazılım iki aşamadan oluşmaktadır.

Exe uzantılı dosyanın amacı

  • Açık olan chrome, yandex tarayıcının kapatılması
  • Bu tarayıcıların güncellenmesi için için gerekli anahtar değerlerinin ayarlanması
  • Bu tarayıcıların güncellenmesi için gerekli eklenti dosyalarının oluşturulması

Eklenti dosyası .crx uzantılıdr. Eklenti dosyası açılarak incelendiğinde asıl zararlı aktiviteleri gerçekleştiren JavaScript kodlarına erişilmektedir. Exe uzantılı dosyada kullanılan string ifadelerin ve yazılan JS kodlarında kullanılan değişken isimlerinin ve fonksiyonların Türkçe olduğu dikkat çekmektedir. Tarayıcılara eklentiler ekleyen bir video player programının şablon olarak alınıp üzerinde yapılan güncellemelerle zararlı yazılımın oluşturulduğu düşünülmektedir.

JavaScript kodları incelendiğinde elde edilen önemli bulgular şu şekildedir:

  • Çalıştırılabilir dosya çalıştıktan sonra chrome’u kapatmakta ve ilk açılışta “player.crx” eklentisi ile güncellenmektedir. Eklenti içerisindeki kodun ise sadece ilk çalışmada tüm chrome eklentileri kaldırdığı görülmüştür. Bu kod parçası Şekil 7′de görülmektedir.
7.png

Şekil 7 Tarayıcı Eklentilerini Kaldıran Kod Parçası

 

Ekte zararlı yazılımın yeteneklerini anlatan fonksiyon listesi verilmektedir. Bununla birlikte en önemli fonksiyonlar ve amaçları şu şekildedir:

  • function tokenGonder(token,user) : Bu fonksiyon, “http://www.70milyon.net/kaydet.php” üzerinden kişinin“token” bilgisini kaydeder. Yani zararlı yazılım bu fonksiyon sayesinde bulaştığı kullanıcıları kayıt altına almaktadır.
  • function videogonder(hakkinda,isim,resim,token,id)function fotogonder(token) ve function postgonder(token,kisi)  fonksiyonları zararlı yazılımın kendini yaymak için oluşturduğu iletileri hazırlar ve yayınlar.
  • function begenigetir(token,kisi) fonksiyonu ile kurbanın çeşitli sayfaları beğenmesi için http talepleri hazırlar.

Tavsiyeler

Sisteme bulaşıp bulaşmadığını anlamak için en basit yöntem “C:\ProgramData\VideoPlayer” klasörünün ve altında bulunan dosyalarının var olup olmadığına bakmaktır.

Sistemden temizlemek için:

  • Chrome ve yandex tarayıcıları kaldırılmalı,
  • “C:\ProgramData\VideoPlayer “klasörü sistemden silinmeli,
  • Şu anahtar değerleri kaldırılmalıdır:

HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist\1: “hkfmnabobennlihmnmkiplpinbdkppdp;C:\ProgramData\VideoPlayer\update.xml”

HKLM\SOFTWARE\Policies\YandexBrowser\ExtensionInstallForcelist\1: “hkfmnabobennlihmnmkiplpinbdkppdp;C:\ProgramData\VideoPlayer\update.xml”

  • Bu işlemlerden sonra chrome ve yandex tarayıcılar yeniden kurulabilir.

Bu zararlı yazılım sadece kurbanın sosyal medya hesapları üzerinde etkili olmaktadır. Kurbanın hesabı üzerinden çeşitli iletiler yayınlamakta, çeşitli sayfalar beğenmekte ve en önemlisi kurbanın hesabı üzerinden yayılmaktadır.

Kilim zararlı yazılımı, yayılmak için sosyal medyayı kullanmakta ve motivasyon unsuru olarak reklam gelirini hedeflemektedir. Sosyal medya, zararlı yazılımların yayılmak için kullandığı ve gün geçtikçe de daha çok kullanacakları bir mecradır.  Etkileri henüz sosyal medya ile sınırlı olsa da zamanla kazanacakları farklı yetenekler ile daha fazla zarar vermeleri beklenmektedir. İlerleyen günlerde yayılmak için sosyal medya hesaplarını kullanan fakat zararlı aktivitelerini çeşitlendiren yazılımlarla karşılaşılması beklenmektedir. Kilim yazılımının yayılmak için sosyal medyayı kullanma yeteneğine, zararlı aktivite olarak kurbanın aktif internet bankacılık oturumunu kullanması yeteneğini eklediğini düşünmek ürkütücü olmaktadır. Son kullanıcıların mail veya sosyal medya ayrımı olmadan güvenmedikleri linklere tıklamamaları, güvenmedikleri programları çalıştırmamaları önem arz etmektedir.

EK- Zararlı JS fonksiyonları ve işlevleri

function videogonder(hakkinda,isim,resim,token,id): “token” ve “id” değerleri vasıtası ile facebook’ta kullanıcının hesabı üzerinden video bilgilerini yayın yapar.

function videogetir(token,tokenSonuc): “70milyon.net/video.php” sitesinden video bilgilerini indirir.  Bu işlemden sonra videogonder fonkisyonunu çağırır.

function postgetir(token,tokenSonuc): “70milyon.net/post.php” sitesinden post bilgilerini indirir.  Bu işlemden sonra postgonder fonkisyonunu çağırır.

function fotogetir(token): “70milyon.net/photo.php” sitesinden foto bilgilerini indirir.  Bu işlemden sonra fotogonder fonkisyonunu çağırır.

function fotogonder(token): “token” değeri vasıtası ile facebook’ta kullanıcının hesabı üzerinden foto bilgilerini yayın yapar.

function convertToASCII(metin): Türkçe karakter uyumsuzluklarını düzeltmek için

function arkadaslar(token): Facebook’tan “token” bilgisini kullanarak kişinin arkadaşlarını çeker.

function arkadaspost(token): İçi boş fonksiyon. Kodu yazan kişi tarafından yazılması planlanıp yazılmadığı düşünülmektedir.

function postgonder(token,kisi): “token” bilgisi kullanılarak facebook’ta verilen kişi için hazırlanan post yayınlanır.

function begenigetir(token,kisi): “70milyon.net/likes.php” sitesinden getirdiği beğeni listesi için kişinin token’ı ile birlikte limitKontrol fonkisyonunu çağırır.

function limitKontrol(token,sayfa): Kişinin token’ını kullanarak facebook üzerinden ilgili sayfanın like sayısını kontrol eder. İstediği limite ulaşmamış ise begeniKontrol fonksiyonunu çağırır.

function begeniKontrol(token,sayfa) : İstediği like limitine ulaşmamış olan sayfaya erişilip erişilmediğini konrol eder ve sayfaBegen fonksiyonunu çağırır.

function sayfaBegen(token,sayfa): Kişinin token’ı kullanılarak ilgili sayfanın beğenilmesi için bir GET talebi hazırlanır ve kişinin ilgili facebook sayfası beğenilmesi sağlanır.

function tokenGonder(token,user): Bu fonksiyon, “http://www.70milyon.net/kaydet.php” üzerinden kişinin “token” bilgisini kaydeder.

function tokenKontrol(token): İlgili kişinin token’ı üzerinden kontrollerle tüm videoGetir,fotoGetir ve postGetir gibi fonksiyonları çağırmaktadır.

function rastgele(uzunluk): Verilen uzunlukta rastgele bir string üretir.

 

Kaynak

Tags:,

Related Posts

About The Author

admin