Gizli madencilik şirketinizi nasıl tehdit ediyor

2017 yılını göz önünde bulundurarak önümüzdeki yıl için sihirli küremize bakınca, kripto para madencisi görünümündeki daha yeni ve gelişmiş siber tehditlerin 2017 yılında ortalığı sallayan fidye yazılımlarını tahtından edeceğini şimdiden görebiliyoruz. Yaptığımız son araştırmanın sonuçlarına göre madenciler beklentileri karşılamakla kalmayıp bunların üzerine bile çıkmış.

Siber suçlular, geçtiğimiz altı ayda kripto madenler üzerinden 7 milyon dolardan daha yüksek miktarda kazanç sağlamış. Bu yazımızda madencilerin kullanıcıların bilgisayarı üzerinde nasıl çalıştığını, neden (özellikle şirketler için) bu denli büyük bir tehdit haline geldiklerini ve altyapınızı suçlulara karşı korumanın yollarını açıklayacağız.

Madencilerin yükselişi

2017 yılında Bitcoin ve altcoin (alternatif kripto paralar) döviz kurları stratosfere kadar yükselince, elinde gerçek paraya da dönüştürülebilen bu kripto paralardan bulundurmanın ne derece kazançlı bir iş olduğunu herkes görmüş oldu. Kripto para ekonomisinin en cazip yanlarından biri de, gerçek paranın aksine, isteyen herkesin matematiksel hesaplamalar ile blok zincir üzerine eklemeler yaparak karşılığında ödüller kazanabilme şansının bulunması. (Buradan blok zincirlerin nasıl çalıştığını daha detaylı şekilde öğrenebilirsiniz.)

Maden havuzlarının (madencileri birleştiren kurumlar) genel kuralı, herkese yaptığı hesaplamalar kadar kripto para kazanma fırsatı verilmesi. Ancak sorun şu ki; ne kadar fazla hesaplama gerçekleştirmek isterseniz o kadar yüksek bir bilgisayar gücüne ihtiyaç duyuyorsunuz ve bu oran yükseldikçe daha fazla elektrik tüketiyorsunuz.

Durum böyle olunca, siber suçlular yakın zamanda kripto para madenciliği için diğer kullanıcıların bilgisayarlarından yararlanma fikrini buldu; sonuçta İnternet teknolojilerinin açıklarını bularak para kazanmak artık bu insanların genlerine işlemiş. Tabii ki ideal olan, bilgisayarlar sahiplerinin ya da yöneticilerinin haberi olmadan hesaplamaları kurbanların bilgisayarları üzerinden yapmaktı. Bariz sebeplerden ötürü, siber suçlular özellikle yüzlerce makineyi içeren geniş şirket ağlarını gözlerine kestirdiler.

Ve bu kurnaz planlarını hayata geçirmede git gide ustalaşıyorlar. Bahsettiğimiz gibi, dünya çapında 2.7 milyondan fazla kullanıcı, “kötü niyetli madenciler” tarafından saldırıya uğradı. Böylece kurbanların sayısı 2016 yılına göre 1.5 kat arttı ve yükselmeye de devam ediyor. Şimdi biraz saldırganların kullandığı teknolojilerden bahsedelim.

Gizli tehdit

İlk yöntem, gelişmiş kalıcı tehditler (APT) için kullanılan teknolojilerin bütün karakteristik özelliklerini taşıyor. Bu tehditleri yakın zamanda gerçekleşen büyük çaplı fidye yazılım saldırılarından hatırlayabilirsiniz. Tıpkı meşhur EternalBlue güvenlik açığı olayındaki gibi, burada da aynı yöntemler kullanılarak gizli madencilerin dağılımı sağlanıyor.

Kurbanın bilgisayarına bir gizli madenci yerleştirmenin bir diğer yolu ise, kullanıcıyı sonunda bilgisayara madenciyi yükleyen bir dropper (dosya yükleyici) yüklemeye ikna etmek. Siber suçlular genelde dropper’ları reklam veya ücretsiz ürün sürümü görünümünde gizleyerek kullanıcılara cazip hale getiriyor ya da çeşitli kimlik avı teknikleri kullanıyorlar.

Dropper, yüklemenin ardından bilgisayarda çalışmaya başlıyor ve esas madenci ile bu madenciyi sistemde gizlemeye yarayan özel aracı yüklüyor. Paket içinde otomatik başlatma ve otomatik yapılandırma araçları da bulunabiliyor. Bu araçlar, örneğin çalışmakta olan diğer programlara göre madencinin kullanabileceği işlem gücü miktarını yapılandırarak sistemin yavaşlamasını ya da kullanıcının durumdan şüphelenmesini engelleyebiliyor.

Bu araçlar ayrıca kullanıcının madenciyi engellemesinin de önüne geçiyor. Kullanıcı madenciyi fark ederse ve engellemeye çalışırsa bilgisayar hemen yeniden başlatılıyor; böylece madenci, işine kaldığı yerden devam edebiliyor. İlginç bir şekilde, gizli madencilerin çoğu, yasal kopyalarının kodlarını yeniden kullanıyor; bu şekilde tespit edilmeleri daha da güç hale geliyor.

İllegal kripto para madenciliğinin bir yolu daha var: web madenciliği, ya da diğer adıyla, tarayıcı madenciliği. Bu işlem, site yöneticisinin kurbanlar siteyi ziyaret ettiği zaman tarayıcıda çalışmaya başlayan bir madencilik komut dosyasını siteye gizlemesiyle gerçekleşiyor. Aynı işlemi site yönetimine erişim sağlayan saldırganlar da uygulayabiliyor. Kullanıcı sitedeyken, bilgisayar zincirler kurmaya başlıyor ve komut dosyasını yerleştiren suçlular, bu zincirler üzerinden para kazanıyor.

Şirketler cihazlarını madencilerden nasıl koruyabilir?

Günümüzün gelişmiş saldırı teknolojileri ve bunların oldukça zor tespit ediliyor olması, siber suçluların kurbanların bilgisayarları üzerinden eksiksiz botnet‘ler yaratarak bunları gizli madencilik için kullanmasına olanak tanıyor. Beklendiği üzere, büyük işlem kapasitesine sahip şirket altyapıları, siber suçlular için bulunmaz nimet. Sizin şirketinizin cihazları da tehdit altında olabilir. Bu yüzden, şirketinizi korumak için aşağıdaki önlemleri almanızı öneriyoruz:

• Altyapınızı saldırılara karşı tamamen korumalı hale getirmek için, bütün bilgisayar ve sunuculara güvenlik çözümleri yükleyin;
• Anormallikleri saptamak için şirket ağınız üzerinde düzenli olarak güvenlik denetimleri gerçekleştirin;
• Saldırganlar Görev Yöneticisini kötü amaçlı işlemler için kullanabilir. Görev Yöneticisini düzenli olarak kontrol edin;
• Kuyruk yönetim sistemleri, POS terminalleri ve hatta otomatlar gibi pek olası görünmeyen hedefleri de es geçmeyin. EternalBlue güvenlik açığından faydalanan madenci örneğinde de görüldüğü gibi, bu gibi aletler de kripto para madenciliği için kullanılabiliyor;
• Özel cihazları Baştan Yasaklı modunda kullanın, böylece bu cihazları madencilerin yanında daha pek çok farklı tehdide karşı da koruyabilirsiniz. Örneğin; Baştan Yasaklı modunu, Kaspersky Endpoint Security for Business ile yapılandırabilirsiniz.