Güvenlik uzmanlarının son yıllarda en çok dikkat çektiği konu, sadece güvenilir olduğu bilinen sitelerden yazılım indirmeniz gerektiğidir. Bilgisayar güvenliği açısından bu öneriye uymak kolay görünüyor.
Ancak bu kadar çok uyarıya rağmen, bilinmeyen sitelerden dosya indirmeye devam eden kişiler var ve gizli bilgilerinin ifşa olması tehlikesini göze alıyorlar. Uzun zamandır Neowin okuyucusuyum ve forumlarına üyeyim. Ancak çevrimiçi olduğum tek yer bu değil: üç yıldan fazla bir süredir, Reddit’in hem genel bilgi işlem desteği hem de kötü amaçlı yazılımları kaldırma konusunda daha spesifik tavsiyeler veren birkaç forumunu (subredditler) yönetmek için gönüllü olarak çalışıyorum. Bu subredditlerde, güvenliği ihlal edilmiş bilgisayarların etkisinden kurtulmaya çalışan kişilere defalarca yardım ettim. Günümüzde saldırılar çoğunlukla finansal amaçla yapılsa da beklenmeyen bazı sonuçlarla da karşılaşabiliyoruz. Bunun yalnızca Reddit kullanıcılarına özgü olmadığını belirtmeliyim. Yine gönüllü olarak görev yaptığım farklı Discord sunucularındaki çevrimiçi konuşmalarda da bu tür sorular soruluyor.
Hem Discord hem de Reddit’in, Twitter ve Facebook gibi sosyal medya sitelerine göre daha genç bir kitleye hitap ettiğini belirtebilirim. Bu gençler, büyürken dijital okur-yazarlık becerileri elde etti ve ilkokul yıllarından itibaren güvenli bilgisayar kullanımı konusunda öneri ve görüşlerden haberdardı.
İletişimde kesinti
Bilgisayarlar ve onları güvende tutma ile ilgili bilgilerle büyümenin avantajına sahip olmalarına rağmen, bu insanlar nasıl oluyor da belirli saldırı kalıplarının kurbanı oluyorlar? Ve bir bilgi güvenliği uzmanı olarak merak ettiğim soru şu; onlara yapmalarını söylediğimiz şeyle (ya da bu durumda yapmamalarını) yaptıkları şey (ya da yapmadıkları) arasındaki kopukluk tam olarak nerede gerçekleşiyor?
Bazen insanlar, yazılımın kaynağının güvenilir olmama ihtimalini bildikleri halde “aptalca bir şey” yaptıklarını kabul eder. Ancak bazen kaynak güvenilir görünür ama öyle değildir. Bazen de bu kişiler, başından beri güvenilmez olsa bile, kötü amaçlı yazılımın kaynağının güvenilir olduğundan çok emindirler. Bu kişilerin bilgisayarlarının güvenlik ihlali yaşamasına neden olan en yaygın örneklere göz atalım:
- Çevrimiçi bir arkadaşından, Discord üzerinden özel bir mesaj alır. Yazdığı oyun hakkında geri bildirim vermesini istemektedir. Çevrimiçi arkadaşın yazdığı “oyun” şifreli bir ZIP dosyadadır ve mesajı alanın bu dosyayı indirmesi ve kullanmadan önce parolayı girerek klasörden çıkarması gerekmektedir. Ancak gönderen arkadaşının hesabı, geçmişte güvenlik ihlaline uğramıştı ve artık kötü amaçlı yazılımı yaymak için kullanılıyordu.
- İhtiyaç duydukları bir yazılımın ücretsiz veya crackli sürümünü aramak için Google’ı kullanan bu kişiler, arama sonuçlarında çıkan listedeki bir web sitesinden yazılımı indirdiler. Son zamanlarda, sadece ticari yazılımlar değil, ücretsiz ya da açık kaynaklı programlar da Google Reklamlarını kullanarak kötü niyetli reklam (malvertising) kampanyalarının hedefi haline geldi.
- Bu kişiler, benzer şekilde ticari bir yazılım paketinin ücretsiz veya crackli bir sürümünü nasıl indirebilecekleri hakkında YouTube’da video aradılar, videoda belirtilen ya da yorumlarda yer alan internet sitesine giderek istedikleri yazılımı indirdiler.
- Yazılımı, korsan yazılım konusunda uzmanlığı bilinen bir siteden indirdiler.
- Yazılımı korsan bir izleyiciden, Telegram kanalından ya da bir yılı aşkın süredir aktif oldukları Discord sunucusundan torrentlediler.
İnsanların kötü amaçlı yazılım kullanmaları için kandırılmalarının tek yolunun bunlar olmadığını belirtmek isterim. Blog yazılarımızda son zamanlarda kullanıcıyı aldatma konusunda dikkate değer birkaç vaka rapor ettik.
- Vakaların birinde, Çek ve Slovak kullanıcıları hedef alan ve kripto paraya odaklanan kötü amaçlı yazılım KryptoCibule, onu korsan oyun ya da indirilebilir içerik (DLC) olarak maskeleyen popüler bir yerel dosya paylaşma hizmeti üzerinden yayılmıştı.
- Bir başka vakada ise, Güneydoğu ve Doğu Asya’da Çince konuşan kullanıcılar, Firefox internet tarayıcısı ve Telegram ve WhatsApp gibi popüler mesajlaşma uygulamaları için tehlikeli Google arama sonuçları kullanılarak hedef alınmış ve bu uygulamaların FatalRAT uzaktan erişimli truva atı virüsü içeren truva atlı versiyonlarını indirmeleri sağlanmıştır.
Bu örneklerden biri diğerine herhangi bir şekilde benziyor mu? Bir dosyayı indirmenin tüm yöntemlerinin (arama ya da sorma, bir arama motoru, video sitesi veya korsanlık sitesi kullanma vb.) ortak bir noktası vardır: güveninizi kötüye kullanırlar.
(Daha) Güvenli yazılım indirme
Güvenlik uzmanları olarak, sadece güvenilir olduğu bilinen internet sitelerinden dosya indirmenizi isteyerek, bu siteler konusunda öğrenmeniz gerekenlerin bir kısmını göstermiş oluyoruz. İnsanlara bir siteden dosya indirmek için öncelikle neyin güvenli olduğunu açıklamadan ne tür sitelere (tabii ki bilinen sitelere) gideceklerini söyleme konusunda çok iyi yol aldık. İşte sözü daha fazla uzatmadan bir siteyi yazılım indirmek için güvenilir yapan şeyi açıklamak istiyorum:
- Yazılımı yalnızca doğrudan yazarın veya yayıncının sitesinden veya onlar tarafından açıkça yetkilendirilmiş bir siteden indirmelisiniz.
Ve… İşte bu kadar! Günümüzün yazılım dünyasında, yayıncının sitesi geçmişte olduğundan biraz daha esnek olabilir. Evet, yayıncının sitesiyle aynı alan adına sahip bir site olabilir, ancak aynı zamanda dosyalar GitHub’da, SourceForge’da, üçüncü taraflarca işletilen bir içerik dağıtım ağında (CDN) vb. barındırılıyor da olabilir. Açıkça yayıncı tarafından yüklendiği için bu halen onların sitesidir. Bazen yayıncılar başka indirme sitelerine link verir. Bu, barındırma maliyetlerini karşılamak, farklı bölgelerde daha hızlı indirme olanağı sağlamak, yazılımı dünyanın her yerinde tanıtmak ve benzeri çeşitli nedenlerle yapılır. Bunlar da yazar ya da yayıncı tarafından özellikle yetkilendirildiği için resmi indirme siteleridir.
Aynı zamanda yazılım veri havuzu işlevi gören siteler ve hizmetler vardır. SourceForge ve GitHub, açık kaynaklı projeleri barındıran popüler sitelerdir. Ticari yazılımların paylaşılan yazılım ve deneme sürümleri için indirilecek en son sürümlerinin listelenmesi konusunda uzman çok sayıda site vardır. Bu indirme siteleri, yazılımı tek bir yerde bulmak için küratör işlevi görür, bu da yeni yazılım aramayı ve keşfetmeyi kolaylaştırır. Ancak bazen bunların da riskli tarafları vardır: Bu sitelerden bazıları, buradan indirilen dosyaların etrafına, aradığınız programın yanı sıra ek yazılım yüklemenizi isteyen yazılım wrapper (sarmalayıcı) yerleştirebilir. Bu program paketleri, birlikte geldikleri yazılımdan tamamen bağımsız şeyler yapabilir ve hatta bilgisayarınıza potansiyel olarak istenmeyen uygulamalar (PUA) yüklemenize neden olabilir.
Dikkat edilmesi gereken diğer site türleri, Box, Dropbox ve WeTransfer gibi dosya kilitleme hizmetleridir. Bunların hepsi çok meşru dosya paylaşım hizmetleri olsa da bir tehdit unsuru tarafından suistimal edilebilir: insanlar, hizmet güvenilir olduğu için bunlardan indirilen programların güvenli olduğunu varsayabilir. Hatta verilerin dışarı sızıp sızmadığını kontrol eden BT departmanları, meşru olduklarını bildiği için kişisel bilgiler ve kimlik bilgileri içeren dosyaların karşıya yüklenmesini göz ardı edebilir.
Arama motorlarında ise, bilgisiz veya sabırsız insanlar için sonuçları değerlendirmek zor olabilir. Bing, DuckDuckGo, Google, Yahoo vb. arama motorlarının temel amacı en iyi ve en doğru arama sonuçlarını vermek olsa da genellikle iş hedefleri reklamlardır. Bu, arama motorlarında sayfanın üst kısmında yer alan sonuçların çoğu zaman en iyi ve en doğru sonuçlar değil, ücretli reklamlar olduğu anlamına gelir. Birçok kişi, reklam ve arama motoru sonuçları arasındaki farkı bilmez. Suçlular, kimlik avı, yetkisiz işlemler ve kötü amaçlı yazılım için kullanılan İnternet sitelerine insanları yönlendirmek amacıyla satın aldıkları kötü amaçlı reklam kampanyalarından yararlanır. Bazı durumlarda suçlular, internet sitesi adreslerinin hemen anlaşılmasını önlemek için bilerek yazım hatası yapar veya yazılımın yayıncısının İnternet adresine benzeyecek bir karakter kullanabilir, örneğin example.com ve examp1e.com (“l” harfi ikinci alan adında “1” olarak değiştirilmiştir).
Yayıncının kendi indirmelerine doğrudan bağlandığı için yazılımın ücretsiz ve deneme sürümlerini indirebileceğiniz pek çok yasal ve güvenli yer olduğuna dikkat çekmek istiyorum. Bunlardan bir tanesi, bu makalesinin orijinal versiyonunun da konusu olan Neowin,’dir. Neowin’in Yazılım indirme bölümünde herhangi bir sahtekarlıkla karşılaşmazsınız. Tüm indirme bağlantıları ya doğrudan yayıncının kendi dosyalarına ya da internet sayfalarına gider, bu da Neowin’i yeni yazılım bulmak için güvenilir bir kaynak yapar. Doğrudan yazılım yayıncılarının indirmelerine bağlanan bir diğer güvenilir site, yirmi yıldan fazla süredir bu siteleri neredeyse her gün listeleyen MajorGeeks’tir.
Doğrudan indirme, onu yazan şirketten (veya kişiden) yazılım almanızı sağlar ancak, yazılımın kötü amaçlı yazılım içermediği anlamına gelmez: Bir yazılım paketine istemeden veya başka bir şekilde kötü amaçlı yazılımların eklendiği durumlar olmuştur. Aynı şekilde, bir yazılım yayıncısı yazılımıyla birlikte potansiyel olarak istenmeyen uygulamaları veya reklam yazılımlarını paketlerse, bunu yine de kendi sitelerinden doğrudan indirme yoluyla almış olursunuz.
Apple App Store, Google Play mağazası, Microsoft’un Windows App mağazaları ve benzer işletim sistemi satıcıları tarafından yürütülen çeşitli uygulama yazılımı mağazalarına özellikle dikkat edilmelidir. Bu sitelerin güvenilir indirme siteleri olduğu varsayılabilir ve çoğunlukla öyledir, ancak %100 garanti söz konusu değildir: Etik davranmayan bazı yazılım yazarları, casus yazılımlarla insanların mahremiyetine giren, reklam yazılımları aracılığıyla kötü reklamlar gösteren ve diğer istenmeyen işlemler yapan yazılımları yaymak için uygulama mağazalarının inceleme süreçlerini atlattı. Bu uygulama mağazaları, bu tür yazılımları mağazalarından kaldırma ve etkilenen cihazlardan uzaktan kaldırma yeteneğine sahiptir, bu da bazı çözümler sunar; ancak bu çözüm, yazılımın kullanıma sunulmasından günler veya haftalar (veya daha fazla) sonra uygulamaya konulabilir. Uygulamaları resmi mağazadan indiriyor olsanız bile, cihazınızda bir güvenlik yazılımı bulundurmanız gerekmektedir.
Cihaz üreticileri, perakendeciler ve servis sağlayıcılar, cihazlara kendi uygulama mağazalarını ekleyebilir. Ancak, bunların uygulamaları uzaktan kaldırma özelliği olmayabilir.
Kötü niyetli yazılımlar hakkında
Bu açıklamalardan sonra, kötü amaçlı yazılımların bilgisayarlarda tam olarak ne yaptığını merak ediyor olabilirsiniz. Her biri kendine özgü işlev ve yöntemler taşıyan kötü amaçlı birçok yazılım ailesi olsa da temelde göze çarpan iki tanedir. Çünkü bunlar, sürekli zarar veren ve yardım talebine yol açan suçlulardır.
- ESET tarafından Win32/Filecoder.STOP olarak tespit edilen STOP/DJVU, yoğun bir şekilde öğrencileri hedef alıyor gibi görünen bir fidye yazılımı ailesidir. Etkilenenlerin tümü aynı şekilde hedef alınmasa da birkaç öğrenci fidye yazılımının üniversitedeyken okula veya kişisel projelere yönelik ticari VST eklentilerini korsan olarak kullandıktan sonra ortaya çıktığını bildirmiştir. Bu durum, eklentilerin uzun süreli kullanıcılar tarafından paylaşılan “yüksek itibarlı” torrentlerden indirilmiş olmasına ve belirli bir mıknatıs bağlantısı için düzinelerce, hatta bazen yüzlerce dağıtıcıya sahip olmasına rağmen meydana gelmiştir.
- Korsanlık faaliyeti gerçekleştikten kısa süre sonra öğrenciler cihazlarında oldukça standart fidye yazılım notları buldu. Fidye notlarıyla ilgili olağan dışı olan şey, suçluların on binler veya yüz binlerce dolar ödenmesini istemek yerine çok daha düşük meblağlar, yaklaşık 1.000-1.200 ABD doları (kripto para istemesiydi. Ancak hepsi bu da değil: bildirimin üzerinden geçen ilk 24-72 saatte ödeme yapan kurbanlar %50 indirime hak kazanmıştı. Zorla alınan bu miktarlar, işletmeleri hedef alan suçluların talep ettiği miktarla karşılaştırıldığında çok düşük görünse de daha düşük miktar talep etmek, özellikle bu tür yüksek baskı taktikleriyle karşı karşıya kalındığında, kurbanın ödeme olasılığının daha fazla olacağı anlamına gelebilir.
STOP/DJVU’nun fidye yazılımı hizmeti (RaaS) olarak pazarlanması mümkündür; bu, geliştiricilerinin onu ödeme ve kar payı karşılığında diğer suçlulara kiralaması anlamına gelir. Diğer suçlular da bunu kullanıyor olabilir, ancak görünen o ki en az bir grup, öğrencileri hedef alarak en etkili yöntemi bulmuş gibi görünüyor.
Ve merak ediyorsanız: STOP/DJVU suçlularına fidye ödedikten sonra dosyalarının şifresini başarıyla çözen birini duymadım. Bu durumda yapabileceğiniz en iyi şey, bir şifre çözücünün piyasaya sürüleceğini umarak bunları yedeklemektir.
- Redline Stealer, adından da anlaşıldığı üzere, ESET tarafından MSIL/Spy.RedLine ve MSIL/Spy.Agent olarak tespit edilen, kişiselleştirilebilir bir bilgi çalma truva atıdır. STOP/DJVU fidye yazılımı gibi, Hizmet olarak Suç yazılımı araç ailesinin bir parçası olarak kiralanmış gibi görünüyor. Bir hizmet sunumu olarak “satıldığı” için Discord aracılığıyla yayıldığına dair birden fazla rapor görmeme rağmen, muhtemelen onu çeşitli amaçlar için farklı şekillerde dağıtan birçok suç çetesi vardır. Bu durumlarda kurbanlar, arkadaşlarının güvenliği ihlal edilmiş hesaplarından kendilerine parola korumalı bir .ZIP dosyasında teslim edilen yazılımı çalıştırmalarını isteyen doğrudan mesajlar almıştır. Hatta suçlular kurbanlara, antivirüs yazılımları herhangi bir şey tespit ederse bunun yanlış bir pozitif alarm olduğunu ve görmezden gelmelerini bile söylemişlerdir.
Redline Stealer, bilgi hırsızlığı yapan kötü amaçlı yazılımlar için PC’nin Windows sürümü, kullanıcı adı ve saat dilimi hakkında bilgi toplamak gibi oldukça yaygın bazı işlemler gerçekleştirir. Ayrıca, çalıştığı ortam hakkında ekran boyutu, işlemci, RAM, video kartı ve bilgisayardaki programların ve işlemlerin listesi gibi bazı bilgileri de toplar. Bu, bir emülatörün, sanal makinede veya bir sanal alanda çalışıp çalışmadığını belirlemeye yardımcı olabilir. Bu durum izlendiği veya tersine mühendislik yapıldığına dair kötü amaçlı yazılım için bir uyarı işareti olabilir. Benzeri diğer programlar gibi, PC’deki dosyaları arayabilir ve bunları uzak bir sunucuya yükleyebilir (özel anahtarları ve kripto para cüzdanlarını çalmak için kullanışlıdır), ayrıca dosyaları indirebilir ve çalıştırabilir.
Ancak bir bilgi hırsızının öncelikli amacının bilgi çalmak olduğunu düşünürsek, Redline Stealer tam olarak neyin peşinde olabilir? Discord, FileZilla, Steam, Telegram, OpenVPN ve ProtonVPN gibi çeşitli VPN istemcileri birçok programdan kimlik bilgilerinin yanı sıra Google Chrome, Mozilla Firefox ve türevleri İnternet tarayıcılarından çerezler ve kimlik bilgileri çalıyor. Modern İnternet tarayıcıları sadece hesapları ve şifreleri değil, aynı zamanda kredi kartı bilgilerini de sakladığından, bu durum kullanıcılara önemli bir tehdit oluşturabilir.
Bu kötü amaçlı yazılım farklı suç çeteleri tarafından kullanıldığı için her bir çete farklı bir şeye odaklanabilir. Yine de bu durumlarda hedeflenen genelde Discord, Google ve Steam hesaplarıydı. Güvenliği ihlal edilen Discord hesapları, kötü amaçlı yazılımları kullanıcıların arkadaşlarına dağıtmak için kullanıldı. Google hesapları, YouTube’a erişmek, belirli videoların görüntülenmesini artırmak ve ayrıca çeşitli dolandırıcılık yöntemlerinin reklamını yapan videoları yüklemek için kullanıldı ve tüm bunlar da hesabın yasaklanmasına neden oldu. Steam hesapları, saldırgan tarafından çalınabilecek, kullanılabilecek veya yeniden satılabilecek oyun içi para birimlerine veya öğelere sahip oyunlar için kontrol edildi. Güvenliği ihlal edilmiş hesaplarla yapılabilecek şeyler düşünüldüğünde, bunlar tuhaf seçimler gibi görünebilir, ancak gençler için bunlar sahip oldukları en değerli online varlıklar olabilir.
Redline Stealer’ın yapabilecekleri hakkında daha fazla bilgi için, Alexandre Côté Cyr’ın Life on a Crooked RedLine: Analyzing the Infamous InfoStealer’s Backend adlı sunumunu izlemenizi tavsiye ederim.
Özetle, diğer suçluların kullanması için hizmet olarak satılan iki farklı kötü amaçlı yazılım vardır. Bu örneklerdeki suçlular, ergenlik çağındaki ve yirmili yaşlarının başındaki kurbanları hedef almıştı. Bir vakada, mağdurların sahip oldukları varlıklarla orantılı bir miktar istenerek şantaj yapılmıştı; diğer vakada ise Discord, YouTube (Google) ve çevrimiçi oyunlar (Steam) hedeflenmişti. Verilen zararları düşünerek, bu suç çetelerinin benzer yaş aralıklarındaki insanlardan oluşup oluşmadığını merak ediyoruz ve bu doğruysa akranlarına karşı son derece etkili olacağını bildikleri belirli hedefleme ve ayartma yöntemlerini seçtiklerini belirtmek gerekir.
Sırada ne var?
Güvenlik uzmanları, kullanıcılara bilgisayarlarının işletim sistemlerini ve uygulamaları güncel tutmalarını, yalnızca en son sürümlerini kullanmalarını ve bilinen satıcıların yayınladığı güvenlik yazılımlarını kullanmalarını önermektedir. Ve çoğunlukla insanlar bunu yaparak birçok tehlikeden korunmuş olur.
Ancak dosya indirmek için şüpheli kaynak arayışına girdiğinizde, işler kolayca sarpa sarabilir. Güvenlik yazılımları insan davranışını hesaba katmaya çalışır, ancak itibar ve güven gibi kavramları istismar eden suçlular da aynısını yapar. Discord’daki yakın bir arkadaşınız sizden bir programa bakmanızı istediğinde ve antivirüs yazılımınızın onu yanlışlıkla bir tehdit olarak algılayabileceği konusunda uyardığında, kime inanacaksınız, güvenlik yazılımınıza mı yoksa arkadaşınıza mı? Genellikle, sosyal mühendislik uygulanarak yapılan, güvene yönelik saldırılara yanıt vermek ve bunlara karşı kendini savunmak zor olabilir. Burada açıklanan örnek türlerinde, nihai savunma bilgisayar kodu değil, kullanıcının eğitilmesi olabilir, ancak bu da yalnızca güvenlik uzmanlarının doğru mesajı iletmesi durumunda mümkündür.
Yazar, bu makalenin yazımında emeği geçen meslektaşları Bruce P. Burrell, Alexandre Côté Cyr, Nick FitzGerald, Tomáš Foltýn, Lukáš Štefanko ve Righard Zwienenberg’e ve makalenin orijinal versiyonunu yayınlayan Neowin’e teşekkür eder.
Aryeh Goretsky
Kıdemli Araştırmacı, ESET
Bu makalenin bir önceki versiyonu, teknoloji haberleri sitesi Neowin’de yayımlanmıştır.
