Eylül 14, 2017

Bilgisayarınızda gizli madencilik yazılımı var mı? O kadar emin olmayın…

Tehditler

Kripto para madenciliği BT endüstrisinde sıkça kullanılan bir kelime ve hızla büyüyen bir fenomendir. Bu geniş kapsamlı akımın bir parçası olarak gitgide daha çok insan “madenciliğe” veya blok zincirine blok ekleyip bunun karşılığında kripto para kazanmaya başladı. Bu madenciler özel coin’leri kazanmak için her geçen gün daha yaratıcı yöntemler geliştiriyor. Tabii ki bunların hepsi yasal değil. Hatta bu “madencilerden” daha girişken olanları hiç çekinmeden işin masraflarını sizin üzerinize yükler.

Madenciler sizin bilgisayarınıza neden ihtiyaç duyar?

Daha önce botnet’ler hakkında ve hacker’ların bilgisayarınızı nasıl zombie’ye dönüştürüp botnet’in parçası haline getirdiğiyle ilgili makaleler yazmıştık. Bu tür zombie bilgisayarlardan oluşan bir ağ yalnızca kripto para madenciliği için değil aynı zamanda birçok farklı amaç için kullanılabilir.

Basitçe anlatmak gerekirse, bilgisayarınız dağıtılmış ağın bir parçası haline gelir ve işlem gücü kripto para madenciliği için kullanılır. Bu kripto para da botnet sahibinin cebine gider. Botnet’deki binlerce bilgisayar, tek bir bilgisayara kıyasla çok daha etkili bir şekilde kripto para çıkarabilir. Botnet madenciliğinde saldırıya maruz kalanlar elektrik faturalarını da üstlenmiş olur. Bu nedenle hiçbir şeyden haberi olmayan kullanıcıların bilgisayarlarına madencilik uygulamaları yüklemek hacker’lar için son derece karlıdır.

Bu arada sıradan insanlar da kendi başlarına kripto para kazanmak için kasıtlı olarak madencilik uygulaması yükleyebilir. Yasal madenciliği yasa dışı faaliyetten ayırmak oldukça zordur. Bu iki madencilik uygulaması türü de birbirinin aynısıdır. Tek fark birinin gizlice yüklenmiş olması ve yasa dışı faaliyetler gerçekleştiren uygulamaları çalıştırmasıdır.

Gizli madencilik yazılımı bilgisayarınıza nasıl kurulur?

Genellikle madencilik yazılımları, asıl amacı gizlice başka bir uygulamayı yüklemek olan dropper (dosya yükleyici) adında özel olarak üretilmiş, kötü amaçlı uygulama aracılığıyla bilgisayarınıza yüklenir. Dropper’lar (dosya yükleyiciler) lisanslı ürünlerin korsan sürümleri veya bu sürümler için aktivasyon anahtarı üreticisi gibi dosyaların içinde saklanır. Kullanıcılar bu tür yazılımları eşler arası ağlardan kasıtlı olarak indirir.

İndirilen dosya başlatıldığında mağdurun bilgisayarında bir yükleyici etkinleştirilir. Daha sonra bu yükleyici madencilik uygulamasını ve bu uygulamayı gizleyen özel bir aracı indirir. Ayrıca uygulama otomatik çalıştırmayı ve ayarları yapılandırmayı sağlayan hizmetlerle birlikte tam olarak indirilebilir.

Örneğin kullanıcı bazı popüler bilgisayar oyunlarını oynamaya başladığında bu tür hizmetler madencilik uygulamasını askıya alır. (Madencilik uygulaması grafik kartının işlem gücünü kullanır. Dolayısıyla oyunu yavaşlatarak kullanıcıda şüphe uyandırabilir.)

Aynı zamanda bu tür hizmetler antivirüs ürünlerini devre dışı bırakmaya, sistem izleme aracı çalışırken madencilik uygulamasını bekletmeye ve kullanıcının silmesi durumunda uygulamayı geri yüklemeye çalışabilir.

Sorunun büyüklüğü

Hacker’lar bu tür uygulamaları hizmet olarak dağıtır. Çevrimiçi iş olanakları için açılan Telegram kanallarını kullanırlar. Mesela gizli bir madencilik uygulamasını dağıtmak için bu tür dropper’ların (dosya yükleyici) deneme sürümlerini sunan reklamlarla karşılaşabilirsiniz.

Bu olayın büyüklüğünü anlamak için şu örneğe bakabiliriz: Uzmanlarımız yakın zamanda Minergate madencilik yazılımının gizlice kurulduğu binlerce bilgisayardan oluşan bir botnet tespit etti. Bu botnet çok popüler bitcoinleri değil daha çok para transferlerini ve cüzdan sahipliğini gizleyen Monero (XMR) ve Zcash (ZEC) gibi kripto para birimlerini çıkarır. En ihtiyatlı tahminlerde bile tek bir madencilik botnet’inin aylık 30.000 USD’den daha fazla kazandırdığı varsayılır. Uzmanlarımız botnet tarafından kullanılan cüzdandan 200.000 USD’den daha fazla bir miktarın aktarıldığını tespit etti.

Bu cüzdan suçlular tarafından kullanılan ve yukarıda bahsedilen Monero cüzdanıdır. Monero’nun cari döviz kuru 120 USD civarındadır.

 

Bu tehdide karşı nasıl korunabilirsiniz?

Kaspersky Internet Security varsayılan ayar olarak sizi kötü amaçlı dropper’lara (dosya yükleyici) karşı korur. Yalnızca antivirüs uygulamanızın her zaman açık olmasını sağlamanız yeterlidir. Bu kötü amaçlı yazılımın bilgisayarınıza sızma şansı ortadan kalkar. Herhangi bir nedenle Antivirüs yazılımınızı devre dışı bırakırsanız şüphelendiğinizde manuel tarama başlatın. Kaspersky Internet Security hemen bu tam donanımlı Truva Atı‘nı tespit eder ve bundan kurtulmanızı sağlar.

Daha önce bahsettiğimiz gibi madencilik uygulamaları dropper’ların (dosya yükleyici) aksine kötü amaçlı uygulamalar değildir. Bu nedenle riskli yazılım kategorimizde sınıflandırılırlar. Riskli yazılım normalde yasal olan ancak kötü amaçlar için kullanılabilen yazılımlardır (buraya tıklayarak riskli yazılım kategorisine dahil olan yazılımlar hakkında daha çok bilgi edinebilirsiniz). Kaspersky Internet Security varsayılan ayar olarak bu tür uygulamaları engellemez veya silmez. Çünkü kullanıcı bunları kendi isteğiyle kurmuş olabilir.

Tedbiri elden bırakmak istemiyorsanız ve madencilik ya da başka riskli yazılımları kullanmayacağınızdan eminseniz her zaman Kaspersky Internet Security’nin ayarlarını açarak Threats and Exclusions (Tehditler ve İstisnalar) bölümüne gidebilir ve Detect other software (Başka yazılımları tespit et) seçeneğini işaretleyebilirsiniz. Son olarak sisteminizi düzenli aralıklara tarayın. Güvenlik çözümünüz her türlü istenmeyen uygulamayı yüklemekten ve çalıştırmaktan kaçınmanıza yardımcı olur.