Genel Bakış
8 Nisan itibarıyla, popüler sanal sürücü yazılımı DAEMON Tools'un resmi web sitesinden indirilen kurulum dosyalarının, saldırganlar tarafından manipüle edildiği (trojanized) tespit edilmiştir. Bu tedarik zinciri saldırısı, meşru yazılımın içine gizlenmiş bir arka kapı (backdoor) mekanizması ile binlerce sisteme sızılmasına neden olmuştur. Bu rehber, sisteminizde bu zararlı yazılımın olup olmadığını nasıl kontrol edeceğinizi ve enfekte olmuş sistemleri nasıl temizleyeceğinizi açıklamaktadır.
Risk Analizi
Saldırganlar, yazılımın kurulum paketini değiştirerek, kurulum sırasında arka planda kötü niyetli bir betiğin çalıştırılmasını sağlamaktadır. Bu durum, sistemin uzaktan kontrol edilmesine, hassas verilerin çalınmasına ve ağ içindeki diğer cihazlara yayılma riskine yol açar.
Adım Adım Müdahale ve Temizleme
- Sistem İzolasyonu: Şüpheli bir DAEMON Tools kurulumu yaptıysanız, cihazı derhal ağ bağlantısından (Wi-Fi/Ethernet) kesin.
- Zararlı Süreçleri Sonlandırın: Görev Yöneticisi veya PowerShell üzerinden şüpheli işlemleri kontrol edin.
- Kalıntıları Temizleyin: Kurulum dizinlerini ve kayıt defteri (registry) anahtarlarını inceleyin.
Teknik İnceleme ve Komutlar
Sisteminizde şüpheli ağ bağlantılarını kontrol etmek için aşağıdaki komutu kullanabilirsiniz:
netstat -ano | findstr "ESTABLISHED"Ayrıca, başlangıç öğelerinde şüpheli bir dosya olup olmadığını kontrol etmek için:
Get-CimInstance Win32_StartupCommand | Select-Object Name, Command, LocationUyarı: Eğer sisteminizde DAEMON Tools'un 8 Nisan sonrası sürümlerini kurduysanız, sadece yazılımı kaldırmak yeterli olmayabilir. Temiz bir kurulum veya sistem imajına geri dönülmesi şiddetle önerilir.
Önleyici Tedbirler
Kurumsal ağlarda bu tür saldırıları engellemek için uç nokta koruma (EDR) çözümlerini güncel tutun ve uygulama beyaz listeleme (application whitelisting) politikalarını devreye alın. Yazılım güncellemelerini her zaman resmi kaynaklardan ve dijital imzaları doğrulanmış şekilde indirmeye özen gösterin.
