Giriş
Operasyon Endgame, siber suç örgütleri ve fidye yazılımı çetelerinin altyapısını hedef alan küresel bir operasyon olarak 2024 yılında başlatılmıştır. Bu operasyon kapsamında, Amadey ve StealC malware'lerinin yayılma ve veri çalma faaliyetlerine destek veren sunucular ile komuta-kontrol (C2) yapıları tespit edilerek devre dışı bırakılmıştır. Microsoft, Europol ve uluslararası kolluk kuvvetlerinin iş birliğiyle gerçekleştirilen bu operasyon, siber suçluların operasyonel kapasitesini önemli ölçüde zayıflatmayı hedeflemektedir.
Bu makalede, Operasyon Endgame'in teknik detayları, Amadey ve StealC malware'lerinin çalışma prensipleri ve bu operasyonun nasıl gerçekleştirildiği adım adım açıklanmaktadır. Ayrıca, benzer tehditlere karşı savunma stratejileri ve izlenecek adımlar hakkında da bilgiler sunulmaktadır.
Problem Tanımı
Amadey Malware'inin Tehdit Profili
Amadey, ilk olarak 2018 yılında tespit edilen ve özellikle Windows sistemlerini hedef alan bir botnet malware'idir. Bu malware, aşağıdaki yeteneklere sahiptir:
- Veri çalma: Tarayıcı kayıtları, kimlik bilgileri, sistem bilgileri ve özel dosyaları toplar.
- Komuta-kontrol (C2) iletişimi: Enfekte sistemlerden veri aktarımı için gizli kanallar kullanır.
- Dağıtım aracı: Diğer malware'lerin (örneğin StealC) sistemlere bulaşmasını kolaylaştırır.
- Kalıcılık mekanizması: Kendisini sistemde gizlice saklayarak kalıcı hale gelir.
StealC Malware'inin Tehdit Profili
StealC, 2023 yılında ortaya çıkan ve özellikle veri hırsızlığına odaklanan bir malware'dir. Temel özellikleri şunlardır:
- Tarayıcı verileri çalma: Chrome, Firefox, Edge gibi tarayıcıların yerel verilerini hedefler.
- Kimlik bilgileri toplama: Kayıtlı şifreler, çerezler ve oturum bilgilerini çalabilir.
- Kriptografik saldırılar: Kripto cüzdanları ve ilgili verileri hedef alabilir.
- Modüler yapı: Diğer malware'lerle entegre çalışarak yeteneklerini genişletebilir.
Operasyon Endgame'in Hedefleri
Operasyon Endgame'in temel amacı, aşağıdaki unsurları hedef almaktır:
- Komuta-kontrol (C2) sunucuları: Malware'lerin yönetildiği ve verilerin toplandığı sunucuların devre dışı bırakılması.
- Dağıtım altyapısı: Malware'lerin yayılmasını sağlayan sunucuların ve ağların kapatılması.
- Veri kurtarma: Enfekte sistemlerden çalınan verilerin kurtarılması ve siber suçluların kullanımına kapatılması.
- Suçluların tespiti: Operasyonun arkasındaki kişilerin ve grupların kimliklerinin ortaya çıkarılması.
Çözüm Adımları
1. Operasyon Hazırlığı ve Bilgi Toplama
Operasyon Endgame'in başarısı, detaylı bir istihbarat ve hazırlık sürecine dayanmaktadır. Bu aşamada aşağıdaki adımlar izlenmiştir:
- Tehdit istihbaratı: Amadey ve StealC malware'lerinin çalışma prensipleri, C2 sunucularının konumları ve dağıtım yöntemleri hakkında bilgi toplanmıştır.
# Tehdit istihbaratı araçlarından örnek komutlar curl -X GET "https://api.threatintel.com/malware/Amadey?format=json" curl -X GET "https://api.threatintel.com/malware/StealC?format=json" - Uluslararası iş birliği: Europol, Interpol ve diğer kolluk kuvvetleriyle koordinasyon sağlanmıştır. Bu sayede, farklı ülkelerdeki C2 sunucularına aynı anda müdahale edilebilmiştir.
# Kolluk kuvvetleri arasında veri paylaşımı için kullanılan standart format (örnek) { "operation_name": "Endgame", "targets": ["C2_Server_IP1", "C2_Server_IP2"], "action": "seizure", "timestamp": "2024-05-15T00:00:00Z" } - Hukuki hazırlık: C2 sunucularının kapatılması ve verilerin kurtarılması için gerekli hukuki izinler alınmıştır. Bu, operasyonun yasal olarak yürütülmesini sağlamıştır.
İpucu: Operasyon sırasında kullanılan istihbarat verilerinin doğruluğu ve güncelliği, operasyonun başarısını doğrudan etkiler. Bu nedenle, güvenilir tehdit istihbaratı kaynaklarının kullanılması kritik önem taşır.
2. C2 Sunucularının Tespiti ve İzolasyonu
Amadey ve StealC malware'lerinin C2 sunucularını tespit etmek ve izole etmek için aşağıdaki teknikler kullanılmıştır:
- DNS ve IP analizi: Malware'lerin C2 sunucularına bağlanırken kullandıkları IP adresleri ve domain'ler analiz edilmiştir.
# DNS sorguları ve IP izleme için kullanılan komutlar dig C2_domain.example.com nslookup C2_domain.example.com traceroute C2_domain.example.com - Ağ trafiği izleme: Güvenlik duvarları ve ağ izleme araçları kullanılarak, malware'lerin C2 sunucularına yaptığı bağlantıların izlenmesi.
# Ağ trafiğini izlemek için kullanılan komutlar (Linux) sudo tcpdump -i eth0 -n 'port 80 and host C2_IP' sudo ss -tulnp | grep C2_IP - Sandbox analizleri: Şüpheli dosyaların izole edilmiş ortamlarda çalıştırılarak, C2 sunucularıyla olan iletişimin kaydedilmesi.
# Sandbox analiz aracı olan Cuckoo Sandbox kullanımı cuckoo submit malware_sample.exe cuckoo report malware_sample.exe
Uyarı: C2 sunucularının tespiti sırasında, saldırganların sizi yanıltmak için sahte IP adresleri veya domain'ler kullanabileceğini unutmayın. Bu nedenle, çoklu doğrulama yöntemleri kullanılması önemlidir.
3. C2 Sunucularının Devre Dışı Bırakılması
C2 sunucularının tespit edilmesinin ardından, bu sunucuların devre dışı bırakılması için aşağıdaki adımlar izlenmiştir:
- Sunucu sahiplerine uyarı: C2 sunucularını barındıran hosting sağlayıcılarına ve veri merkezlerine resmi uyarılar gönderilmiştir. Bu sayede, sunucuların kapatılması için gerekli işlemler başlatılmıştır.
# Hosting sağlayıcılarına gönderilen resmi uyarı örneği Subject: Urgent: Malware Command and Control Server Hosting To: abuse@hostingprovider.com We have identified a server hosted by your company that is being used as a Command and Control (C2) server for the Amadey malware. This server is actively involved in cybercriminal activities. We kindly request that you take immediate action to suspend this server. - Hukuki müdahale: C2 sunucularının bulunduğu ülkelerin kolluk kuvvetleriyle koordinasyon sağlanarak, yasal süreçler başlatılmıştır. Bu sayede, sunucuların fiziksel olarak kapatılması ve verilerin kurtarılması sağlanmıştır.
- DNS ve IP bloklama: Tüm ISP'ler ve güvenlik çözümleri için C2 sunucularının IP adresleri ve domain'leri blok listesine eklenmiştir.
# DNS ve IP bloklama için kullanılan kurallar (örnek) # DNS bloklama (Windows) Add-DnsServerClientSubnet -Name "Malware_C2" -IPv4Subnet "C2_IP/32" Add-DnsServerQueryResolutionPolicy -Name "Block_Malware_C2" -Action DENY -ClientSubnet "eq,Malware_C2" # Güvenlik duvarı bloklama (Linux) sudo iptables -A INPUT -s C2_IP -j DROP sudo ufw deny from C2_IP
İpucu: C2 sunucularının bloklanması sırasında, sadece IP adreslerini değil, aynı zamanda domain'leri ve DNS kayıtlarını da bloklamaya dahil etmeyi unutmayın. Bu sayede, saldırganların alternatif yöntemlere başvurması engellenir.
4. Verilerin Kurtarılması ve Sistemlerin Temizlenmesi
C2 sunucularının devre dışı bırakılmasının ardından, enfekte sistemlerden çalınan verilerin kurtarılması ve sistemlerin temizlenmesi için aşağıdaki adımlar izlenmiştir:
- Veri kurtarma: Kolluk kuvvetleri ve siber güvenlik ekipleri, C2 sunucularından kurtarılan verileri analiz ederek, kurbanlara ait verilerin geri alınmasını sağlamıştır.
# Veri kurtarma sırasında kullanılan araçlar (örnek) # Autopsy (dijital adli analiz) autopsy -q /dev/sdX # FTK Imager (veri kurtarma) ftk imager -i /dev/sdX -o recovered_data - Sistem temizleme: Enfekte sistemlerin temizlenmesi için aşağıdaki adımlar izlenmiştir:
- Sistemdeki tüm malware'lerin tespit edilmesi ve kaldırılması.
- Kalıcı zararların giderilmesi ve sistemin güvenli hale getirilmesi.
- Güvenlik açıklarının kapatılması ve sistemlerin güncellenmesi.
# Sistem temizleme için kullanılan komutlar (Windows) # Malware tespiti ve kaldırma Get-WmiObject -Class Win32_Product | Where-Object {$_.Name -like "*Amadey*"} | ForEach-Object { $_.Uninstall() } # Sistem güncellemeleri dism /online /cleanup-image /restorehealth sfc /scannow - Kurbanlara destek: Kurbanlara ait verilerin kurtarılması ve sistemlerin temizlenmesi konusunda rehberlik sağlanmıştır. Bu sayede, kurbanların mağduriyetleri en aza indirilmiştir.
Uyarı: Sistem temizliği sırasında, kritik sistem dosyalarının yanlışlıkla silinmemesi için dikkatli olunmalıdır. Bu nedenle, temizlik işlemleri öncesinde sistem yedeklerinin alınması ve gerekli kontrollerin yapılması önemlidir.
Sonuç ve Önleyici Tedbirler
Operasyonun Başarısı
Operasyon Endgame kapsamında, Amadey ve StealC malware operasyonlarının altyapısının büyük ölçüde durdurulması sağlanmıştır. Bu operasyonun başarısı, aşağıdaki faktörlere dayanmaktadır:
- Uluslararası iş birliği: Farklı ülkelerdeki kolluk kuvvetlerinin koordineli çalışması.
- Detaylı istihbarat: Tehditlerin çalışma prensiplerinin ve altyapısının derinlemesine analizi.
- Hukuki ve teknik müdahale: C2 sunucularının yasal ve teknik yollarla devre dışı bırakılması.
- Kurbanlara destek: Enfekte sistemlerin temizlenmesi ve verilerin kurtarılması konusunda sağlanan rehberlik.
Önleyici Tedbirler
Aşağıdaki adımlar, Amadey ve StealC malware'lerine karşı korunmak için izlenebilir:
- Güvenlik yazılımlarının güncellenmesi: Antivirüs, anti-malware ve güvenlik duvarı yazılımlarının sürekli olarak güncellenmesi.
# Güvenlik yazılımlarının güncellenmesi (Windows) winget upgrade --all # Güvenlik duvarı güncellemeleri (Linux) sudo apt update && sudo apt upgrade -y - Kullanıcı farkındalığının artırılması: Kullanıcıların phishing saldırıları ve şüpheli e-postalar konusunda eğitilmesi.
- Yedekleme stratejilerinin uygulanması:
- Önemli verilerin düzenli olarak yedeklenmesi.
- Yedeklerin çevrimdışı ortamlarda saklanması.
# Yedekleme için kullanılan komutlar (Linux) rsync -avz /home/user/important_data /mnt/backup_drive/ - Ağ izleme ve log analizi: Ağ trafiğinin sürekli olarak izlenmesi ve şüpheli aktivitelerin tespit edilmesi.
# Ağ izleme ve log analizi için kullanılan araçlar # Wireshark (ağ trafiği analizi) wireshark # ELK Stack (log analizi) elasticsearch logstash kibana
İpucu: Güvenlik duvarı kurallarını ve ağ izleme politikalarını düzenli olarak gözden geçirerek, yeni tehditlere karşı hazırlıklı olun. Ayrıca, kullanıcıların güvenlik farkındalığını artırmak için periyodik eğitimler düzenleyin.
