{"id":11300,"date":"2023-03-03T13:39:30","date_gmt":"2023-03-03T10:39:30","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=11300"},"modified":"2023-03-03T13:39:30","modified_gmt":"2023-03-03T10:39:30","slug":"bluenoroff-mark-of-the-web","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/bluenoroff-mark-of-the-web\/11300\/","title":{"rendered":"Mark-of-the-Web atlatma"},"content":{"rendered":"

Genellikle bir kullan\u0131c\u0131, e-posta ile g\u00f6nderilen veya bir web sitesinden indirilen bir ofis belgesini okumaya \u00e7al\u0131\u015ft\u0131\u011f\u0131 zaman, Microsoft Office o belgeyi korumal\u0131 modda a\u00e7ar. Bunu da Windows\u2019un varsay\u0131lan koruma mekanizmalar\u0131ndan birisi olan Mark-of-the-Web (MOTW) ile yapar. \u0130nternetten bilgisayar\u0131n\u0131za gelen dosyalar\u0131 i\u015faretler, b\u00f6ylece uygulamalar bu dosyalar\u0131n kayna\u011f\u0131n\u0131 bilir ve kullan\u0131c\u0131n\u0131n dikkatini potansiyel tehlikeye \u00e7ekebilir. Ancak, bu t\u00fcr bir uyar\u0131 mekanizmas\u0131n\u0131n etkilili\u011fine g\u00f6z\u00fc kapal\u0131 g\u00fcvenmek muhtemelen k\u00f6t\u00fc bir fikirdir zira son zamanlarda bir\u00e7ok sald\u0131rgan, MOTW\u2019yu atlatma y\u00f6ntemleri kullanmaya ba\u015flam\u0131\u015ft\u0131r. \u00d6rne\u011fin k\u0131sa s\u00fcre \u00f6nce BlueNoroff grubunun (Lazarus grubun bir par\u00e7as\u0131 oldu\u011fu d\u00fc\u015f\u00fcn\u00fclmektedir) ara\u00e7lar\u0131 \u00fczerinde \u00e7al\u0131\u015fma yapan uzmanlar\u0131m\u0131z, s\u00f6z konusu grubun, i\u015fletim sistemini kand\u0131rmak i\u00e7in yeni hileler kulland\u0131\u011f\u0131n\u0131 fark etti.<\/p>\n

BlueNoroff grubu MOTW mekanizmas\u0131n\u0131 nas\u0131l atlat\u0131yor?<\/h2>\n

Mark-of-the-Web mekanizmas\u0131 \u015f\u00f6yle \u00e7al\u0131\u015f\u0131yor: Kullan\u0131c\u0131 (veya program) internetten bir dosya indirdi\u011fi anda NTFS dosya sistemi, o dosyaya \u201cinternetten indirilmi\u015ftir\u201d \u00f6zelli\u011fi ekliyor. Ancak bu \u00f6zellik her zaman al\u0131nm\u0131yor. Bir ar\u015fiv indirdi\u011finizde ar\u015fivin i\u00e7indeki t\u00fcm dosyalar bu \u00f6zelli\u011fi al\u0131yor. Fakat ar\u015fivler, dolayl\u0131 yoldan dosya aktarman\u0131n tek yolu de\u011fil.<\/p>\n

BlueNoroff grubunun arkas\u0131ndaki sald\u0131rganlar, k\u00f6t\u00fc ama\u00e7l\u0131 belgeleri yaymak i\u00e7in yeni dosya t\u00fcrleri kullanmay\u0131 denemeye ba\u015flad\u0131. Baz\u0131 durumlarda bu sald\u0131rganlar, genellikle optik disk g\u00f6r\u00fcnt\u00fcleri depolamak i\u00e7in yayg\u0131n olarak kullan\u0131lan.iso bi\u00e7imini kullan\u0131yor. Di\u011fer se\u00e7enek ise genellikle sanal bir sabit disk i\u00e7eren.vhd dosyas\u0131. Yani bu sald\u0131rganlar ger\u00e7ek sald\u0131r\u0131 unsurunu (hileli bir belge ve k\u00f6t\u00fc ama\u00e7l\u0131 bir dizin), bir g\u00f6rselin ya da sanal s\u00fcr\u00fcc\u00fcn\u00fcn i\u00e7ine sakl\u0131yorlar.<\/p>\n

G\u00fcncel BlueNoroff ara\u00e7 ve y\u00f6ntemlerine dair daha detayl\u0131 bir teknik a\u00e7\u0131klaman\u0131n yan\u0131 s\u0131ra risk g\u00f6stergelerine dair bilgi almak i\u00e7in uzmanlar\u0131m\u0131z\u0131n Securelist blogunda yer alan g\u00f6nderisine<\/a> bakabilirsiniz.<\/p>\n

BlueNoroff kim ve ne istiyor?<\/h2>\n

Bu y\u0131l\u0131n ba\u015f\u0131nda, kripto para \u00e7almaya y\u00f6nelik SnatchCrypto kampanyas\u0131<\/a> hakk\u0131nda bir yaz\u0131 payla\u015fm\u0131\u015ft\u0131k. Birtak\u0131m belirtilerden yola \u00e7\u0131kan ara\u015ft\u0131rmac\u0131lar\u0131m\u0131z, bunun arkas\u0131nda yer alan\u0131n da BlueNoroff grubu oldu\u011funu d\u00fc\u015f\u00fcn\u00fcyor. Bug\u00fcn g\u00f6zlemlenen faaliyet de temelde mali kazan\u00e7 elde etmeye odakl\u0131. Asl\u0131nda sald\u0131r\u0131n\u0131n son a\u015famas\u0131 yine ayn\u0131: Su\u00e7lular, etkilenen bilgisayara izinsiz eri\u015fim ge\u00e7idi kuruyor.<\/p>\n

BlueNoroff grubu bug\u00fcne kadar, risk sermayesi ve yat\u0131r\u0131m \u015firketlerinin yan\u0131 s\u0131ra b\u00fcy\u00fck bankalar\u0131 taklit eden bir\u00e7ok etki alan\u0131 kaydetti. Bankalar\u0131n isimlerinden ve sald\u0131rganlar\u0131n kulland\u0131\u011f\u0131 hileli belgelerden yola \u00e7\u0131karak s\u00f6yleyebiliriz ki bu gruptaki ki\u015filerin \u015fu andaki birincil hedefi Japonca konu\u015fan ki\u015filer. Ancak, gruptaki en az bir kurban BAE\u2019de bulundu. G\u00f6r\u00fcld\u00fc\u011f\u00fc \u00fczere BlueNoroff aslen, kripto para ile ili\u015fkili i\u015fletmelerin yan\u0131 s\u0131ra finans \u015firketleriyle ilgileniyor.<\/p>\n

Nas\u0131l g\u00fcvende kalaca\u011f\u0131z?<\/h2>\n

\u00d6ncelikle, i\u015fletim sisteminde entegre haldeki varsay\u0131lan koruma mekanizmalar\u0131n\u0131n \u015firketinizi g\u00fcvende tutmak i\u00e7in yeterli oldu\u011fu varsay\u0131m\u0131ndan kurtulman\u0131z gerekir. Mark-of-the-Web mekanizmas\u0131, bir \u00e7al\u0131\u015fan\u0131n internetten ald\u0131\u011f\u0131 dosyay\u0131 a\u00e7mas\u0131n\u0131 ve zararl\u0131 bir dizin \u00e7al\u0131\u015ft\u0131rmas\u0131n\u0131 \u00f6nleyemez. \u015eirketinizin BlueNoroff ve benzeri APT gruplar\u0131n\u0131n tuza\u011f\u0131na d\u00fc\u015fmemesi i\u00e7in uzmanlar\u0131m\u0131z\u0131n \u00f6nerileri \u015fu \u015fekildedir:<\/p>\n