Carberp Truva Atı

İnsanların sadece araştırma yapmak için değil, sosyal medya üzerinden resim, düşünce gibi paylaşımlarda bulunma, banka hesaplarının yönetimi, faturaların ödenmesi gibi işlemler için kullanılan ve popülerliğinin hızla artmakta olduğu internet, kötü amaçlı kişiler tarafından bilgilerin çalınması amacı ile kullanılan bir numaralı kaynak haline gelmektedir. Bu yüzden her gün yeni ve farklı varyasyonlarda zararlı yazılımlar ortaya çıkmaktadır.

Günümüzde internetin sağladığı avantajlar sayesinde zararlı yazılım barındıran botnet’lere ulaşmak oldukça kolaydır. Dışarıdaki herhangi bir saldırgan tarafından ücretli veya ücretsiz birçok zararlı yazılım internet ortamında kolaylıkla bulunabilmektedir.

Carberp Truva Atı , kullanıcıların interaktif banka, Paypal, kredi kartı gibi ticari önem taşıyan bilgilerinin yanı sıra internet ortamında yapılan araştırmalar, log kayıtları ve sosyal ağ kimlik bilgilerinin çalınması için geliştirilen zararlı bir yazılımdır. Carberp zararlı yazılımının son yıllarda etkili olması ile birlikte ücretinin giderek azalması yaygınlaşmasına hız kazandırmaktadır.

Carberp Truva Atını kullanan kötü amaçlı saldırganların daha çok kurumsal kimlik bilgileri ve hizmet verdiği alanlarda sahip olduğu müşteri bilgileri nedeniyle hedef olarak kendilerine bankaları tercih etselerde birçok kurum ve kişi tehdit altındadır.

Tehdit Tanımı

Truva atı (Trojan) zararlı yazılım barındıran veya yükleyen programlara denilmektedir. Truva atlarının bir yöntemi, masum kullanıcıya kullanışlı veya dikkat çekici programlar gibi görünebilir; ancak çalıştırıldıklarında içerisine yerleştirilen zararlı kodlardan dolayı zararlıdırlar.

Carberp truva atının da dâhil olduğu diğer yöntem ise kendi başına işlem yapmayan ve başka bileşenlere ihtiyaç duyan zararlı yazılımlardır. Bu yöntemde truva atlarının zararlılığı kullanıcının davranışlarına bağlıdır. İçeriye yerleştirilen bir zararlı yazılımın etkisini gösterebilmesi için dışarıdan gerekli bileşenlerini yüklemesi gerekmektedir. Bilgisayarın sistem veya üzerinde yüklü olan programlarının bir kopyası gibi çalışarak, truva atları ihtiyaç duydukları bileşenleri indirebilmekte ve zararlı yazılım etkisini de bu şekilde gösterebilmektedir. Carberp tehdit ettiği platformlarda bu şekilde bir yöntem izlemekte ve farklı boyutlarda olan bileşenlerini yüklemektedir. Carberp’in kaynak kodu 1.8 GB gibi yüksek boyutta yer kaplamaktadır.

Carberp Truva Atı ilk olarak 13 Ekim 2010 yılında keşfedilmiştir. C++ dili kullanılarak geliştirilmiş Carberp Truva Atı’nın etkilediği Sistemler:

Windows 7,
Windows Server 2008,
Windows Vista,
Windows Server 2003,
Windows XP,
Windows 2000,
Windows 95,
Windows 98,
Windows Me,
WindowsNT

Tehdit Yöntemi

Bulaşma Yöntemi

Casberp Truva Atı içerisinde zararlı yazılım bulunan bir çalıştırılabilir dosyanın sahte web sayfaları aracılığı( sosyal mühendislik yöntemleri) ile masum kullanıcının bilgisayarına yüklenmektedir. Sürekli değişen dosya adı ile hedef sistemde aşağıdaki dizine yerleşmektedir.

%USERPROFILE%Start MenuProgramsStartup<Dosya Adı> (Örnek: “igfxtray.exe”)

Carberp zararlı yazılımı sisteme yerleştikten sonra anti virüslerin kendisini tespit etmesi ya da kaldırması durumunu engellemek için sistemde çalışan “explorer.exe” içerisine yerleşir ve bir sonraki yeniden başlatma işleminde Carberp Truva Atı bileşenlerini yüklemeye başlar.

Çalışması

Carberp zararlı yazılımı “exploerer. exe” vasıtasıyla bileşenlerini yükledikten sonra gene sistem işlemi olan “svchost.exe”’nin bir kopyası olarak çalışmasını sürdürmektedir. Bu süreçten sonra Carberp Truva Atının bilinen ve temel olarak işlevleri:

Sisteme bulaşan zararlı yazılımın silinmesi
Yüklenen Carberp Truva Atı bileşenlerinin gizlenmesi
Kurban bilgisayar içerisinde arka kapı açılması ve saldırgan sunucusu ile bağlantısının kurulması
Zararlı yazılım eklentilerinin uzak sunucudan aktarılması ve yüklenmesi
Kullanıcı bilgilerinin çalınması için ağ analizinin yapılması
Sistem hakkında bilgi toplanması
Kullanıcının klavye girdilerinin izlenmesi
Toplanan bilgilerin saldırgan sunucusuna gönderilmesi

Carberp Truva Atının ilk olarak yüklediği eklentiler ve etkilenen uygulamaların listesi:

stopav.plug : Sistemin korunmasını sağlayan bazı anti virüs yazılımlarının güncellenmesini durdurur.
- ArcaVir
- Avast
- AVG
- Avira
- BitDefender
- DrWeb
- ESET NOD32
- ESET Smart Security
- McAfee
- Microsoft Security Essentials
- Microsoft Security Client
- Sophos
passw.plug : Sistemde yüklü olan bazı uygulamalar üzerinde kullanılan kullanıcı adları, mail adresleri ve parola bilgilerini toplar.
- Windows Commander
- Total Commander
- FileZilla
- BProof FTP
- FTP Commander
- CuteFTP
- FlashFXP
- SmartFTP
- FFFTP
- CoffeeCup
- CoreFTP
- Frigate3
- SecureFX
- UltraFXP
- FTPRush
- BitKinex
- ExpanDrive
- Classic FTP
- WinSCP
- Free FTP
- LeapFTP
- WS FTP
- Cryper Web Site Publisher
- Far Manager FTP
Carberp Truva Atı sistemde yüklü olan bazı uygulamaların log kayıtları bilgilerini toplar.
- Windows Live Messenger
- Google talk
- Paltalk
- QIP Online
- JAJC
- Miranda ICQ
- Yahoo Messenger
- Outlook
- Jabber
- AOL Instant Messenger
- Camfrog
- POP Peeper
- PocoMail
- Vypress Auvis
- Group Mail
- Incredi Mail
- Mail.Ru
- Eudora
- The Bat!
- Becky! Internet Mail
- Windows Mail
- MRA
- Internet Explorer
- Safari
- Firefox
- Chrome
- Opera

Carberp Truva Atının sahip olduğu eklentiler zaman ilerledikçe ortaya çıkmakta ve işlevleri halen daha Symantec, Eset, Kaspersky, Norton, Microsoft gibi birçok antivirus firmaları tarafından araştırılmaktadır. Avast firmasının yaptığı teknik analiz sonucunda Carberp Truva Atının zaman ilerledikçe sahip olduğu eklentiler hakkında bilgi sunan zaman-eklenti grafiği aşağıdaki gibidir.

Önerilen Önlemler

Genellikle sosyal mühendislik yöntemleri kullanılarak sistemlere bulaşan Carberp Truva Atından korunmak için kişilerin yada kurumların bünyesinde çalışanlarının internet ortamında bu tarz saldırılara karşı daha dikkatli olmaları gerekmektedir. Ayrıca, kullanılan sistemlerde aşağıdaki önlemlerin alınması tavsiye edilmektedir:

Bilgisayarların güvenlik duvarlarının aktif olması
İşletim sistemi ve sistem üzerinde yüklü olan uygulamaların son sürümlerine geçirilmesi ve güncellenmesi
Kullanılan anti virüs sistemin güncel olduğunun kontrol edilmesi
Kurum içerisinde kullanılan bilgisayarlarda sınırlı sayıda kullanıcının erişim hakkının olması
Güvenilmeyen sitelerin açılmaması
Korsan yazılımların kullanılmaması
Sosyal mühendislik saldırılarına karşı dikkat edilmesi
Sistem üzerinde kullanılmayan servislerin kapatılması
Sistemde bulunan herhangi bir servisin paylaşıma kapalı olmasına dikkat edilmesi
Kullanılan parola politikalarının güçlendirilmesi
Bilgisayar programları ve kullanıcıların bir görevi tamamlamak için gerekli ayrıcalıkların en düşük seviyede kullandığından emin olunması

Sonuç

Carberp Truva Atı küçük veya büyük firmaların sistemlerine bulaşmış ve müşteri bilgilerinin çalınması sonucu sadece firmaları değil müşterilerinizi de ciddi zararlara uğratmıştır. Carberp, günümüzde erişilmesinin kolay olması ve sahip olduğu zararlı yazılımlar bakımında kişiler ve kurumlar için büyük tehditler oluşturmaktadır. Bu nedenle, Carberp Truva Atı ve türevlerine karşı bilincin arttırılması ve önlemler alınması gerekmektedir.

Mehmet KILIÇ

Kaynaklar:

o http://blog.avast.com/2013/04/08/carberp_epitaph/
o http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Win32%2fCarberp
o http://www.securelist.com/en/descriptions/Trojan.Win32.Jorik.Carberp.ar
o http://www.lavasoft.com/mylavasoft/malware-descriptions/blog/trojanwin32carberp-trojanwin32genericpakcobra
o http://www.symantec.com/security_response/writeup.jsp?docid=2010-101313-5632-99&tabid=2
o http://go.eset.com/us/resources/white-papers/carberp.pdf