ACR Stealer Nedir ve Nasıl Çalışır?
ACR Stealer, özellikle tarayıcı depolanan verileri hedef alan bir bilgi hırsızlığı (infostealer) kötü amaçlı yazılımdır. Microsoft'un son uyarısına göre, bu malware özellikle Microsoft 365 Enterprise müşterilerini ve kurumsal ağları hedef almaktadır. ACR Stealer'ın temel işlevleri şunlardır:
- Tarayıcı verilerinin çalınması: Chrome, Edge, Firefox gibi popüler tarayıcılarda saklanan parolalar, çerezler, oturum token'ları ve form verileri.
- Kimlik doğrulama token'larının ele geçirilmesi: Microsoft 365, Google Workspace gibi hizmetlere giriş için kullanılan OAuth token'ları ve API anahtarları.
- Hassas belgelerin dışa aktarılması: Masaüstü, Belgeler klasörü ve indirilen dosyalar gibi yerlerde bulunan PDF, Word, Excel ve diğer ofis dosyaları.
- Ekran görüntülerinin yakalanması: Kullanıcının masaüstü görüntülerinin kaydedilmesi yoluyla gizli verilerin görsel olarak çıkarılması.
ACR Stealer, genellikle phishing e-postaları, sahte yazılım güncellemeleri veya kötü amaçlı reklamlar (malvertising) yoluyla yayılmaktadır. Kurbanın sistemine yerleştikten sonra, çalınan verileri C2 (Command & Control) sunucularına göndermeye başlar.
Saldırının Etkileri
ACR Stealer saldırılarının kurumsal ortamlarda neden olduğu başlıca riskler şunlardır:
- Kimlik hırsızlığı: Çalınan parolalar ve token'lar ile kurumsal hesapların ele geçirilmesi, saldırganlara şirket içi sistemlere erişim sağlar.
- Veri sızıntısı: Hassas belgelerin çalınması, mali kayıplara, yasal yaptırımlara ve itibari zararlara yol açabilir.
- Yanal hareket (lateral movement): Saldırganlar, çalınan kimlik bilgileriyle ağ içindeki diğer sistemlere sıçrayabilir, böylece saldırının kapsamı genişler.
- Ransomware saldırıları için hazırlık: Çalınan veriler, gelecekteki şifreleme saldırıları (ransomware) için kullanılabilir.
ACR Stealer Saldırılarından Korunma Adımları
Aşağıda, ACR Stealer gibi bilgi hırsızlığı saldırılarından korunmak için uygulayabileceğiniz adım adım yöntemler yer almaktadır. Bu yöntemler, kurumsal ve bireysel kullanıcılar için geçerlidir.
1. Güvenlik Yazılımlarının Güncellenmesi ve Kurulumu
-
Güncel bir antivirüs (AV) ve anti-malware yazılımı kullanın: Microsoft Defender, Kaspersky, Bitdefender gibi gerçek zamanlı koruma sağlayan çözümleri tercih edin. Eğer kurumsal bir ortamdaysanız, EDR (Endpoint Detection and Response) çözümleri (örneğin, Microsoft Defender for Endpoint, CrowdStrike) kullanın.
# Microsoft Defender'ı güncelleme (Windows PowerShell) Update-MpSignature -
Güvenlik duvarı (Firewall) ve ağ izleme araçlarını etkinleştirin: Gelen ve giden trafiği izleyerek şüpheli bağlantıları engelleyin. Özellikle C2 sunucularına yapılan bağlantıları tespit etmek için ağ trafiği analiz araçları kullanın.
# Windows Güvenlik Duvarı kurallarını görüntüleme (Windows PowerShell) Get-NetFirewallRule | Where-Object {$_.Enabled -eq $true} | Select-Object Name, Direction, Action
2. Kullanıcı Eğitimi ve Farkındalık
-
Phishing saldırılarına karşı eğitim verin: Çalışanlarınıza, sahte e-postalar, bağlantı ve ekler hakkında farkındalık kazandırın. Microsoft'un Attack Simulator aracını kullanarak simüle edilmiş saldırılar gerçekleştirebilirsiniz.
-
Güçlü parola politikaları uygulayın: Parolaların en az 12 karakterden oluşması, karmaşık karakterler içermesi ve iki faktörlü kimlik doğrulama (2FA) kullanılması zorunlu hale getirin. Parolaların periyodik olarak değiştirilmesi de önemlidir.
# Windows'ta parola ilkesi ayarlama (Windows PowerShell) net accounts /minpwlen:12 net accounts /maxpwage:90
3. Tarayıcı Güvenlik Ayarlarının Optimize Edilmesi
-
Tarayıcı parolalarını ve verilerini koruma: Tarayıcılarda parola kaydetme özelliğini devre dışı bırakın veya güvenilir bir parola yöneticisi (örneğin, Bitwarden, 1Password) kullanın. Chrome, Edge ve Firefox gibi tarayıcılarda parola senkronizasyonunu kapatın.
# Google Chrome'da parola kaydetmeyi devre dışı bırakma (Windows) reg add "HKCU\Software\Policies\Google\Chrome" /v PasswordManagerEnabled /t REG_DWORD /d 0 /f -
Tarayıcı uzantılarını sınırlandırın: Gereksiz veya güvenilmeyen uzantıları kaldırın. Uzantıların minimum izinlere sahip olmasını sağlayın. Örneğin, Chrome'da uzantı izinlerini kontrol etmek için:
chrome://extensions/
4. Ağ ve Erişim Kontrollerinin Güçlendirilmesi
-
Sıfır Güven (Zero Trust) modelini uygulayın: Kullanıcıların her erişim talebi için yeniden kimlik doğrulaması yapmasını zorunlu kılın. Microsoft Entra ID (eski adıyla Azure AD) gibi kimlik yönetimi çözümlerini kullanın.
-
Uç nokta izolasyonu (Endpoint Isolation) uygulayın: Kritik sistemleri diğer ağlardan izole edin ve sadece gerekli erişimlere izin verin. Örneğin, Microsoft Defender for Endpoint kullanarak uç noktaları izole edebilirsiniz.
5. Olay Müdahale Planının Hazırlanması
-
Saldırı tespitinde kullanılan göstergeler (IOC'ler) hakkında bilgi edinin: ACR Stealer'ın C2 sunucularına yaptığı bağlantıları ve kullandığı dosya adlarını (örneğin,
acr.exe,stealer.dll) tanıyın. Bu bilgiler, SIEM (Security Information and Event Management) sistemlerinde kullanılarak saldırılar tespit edilebilir.# Microsoft Sentinel'de IOC sorgusu örneği (KQL) SecurityEvent | where EventID == 4688 and ProcessName contains "acr.exe" | project TimeGenerated, Account, ProcessName, CommandLine -
Olay müdahale planını test edin: Kuruluşunuzun olay müdahale sürecini (örneğin, Microsoft'un Incident Response Playbook) düzenli olarak test edin. Kritik sistemlerin yedeklerini alın ve geri yükleme prosedürlerini belirleyin.
ACR Stealer Tespiti ve Temizleme
Aşağıda, sisteminizde ACR Stealer'ın varlığını tespit etmek ve temizlemek için izleyebileceğiniz adımlar yer almaktadır.
1. ACR Stealer'ın Tespiti
-
Görev Yöneticisi'nde şüpheli süreçleri inceleyin: Aşağıdaki komutları kullanarak çalışan süreçleri listeleyin ve bilinmeyen veya şüpheli olanları araştırın.
# Windows'ta çalışan süreçleri listeleme (PowerShell) Get-Process | Select-Object Name, Id, Path | Sort-Object Name -
Güvenlik olaylarını inceleyin: Windows Olay Görüntüleyicisi'nde (
eventvwr.msc) Güvenlik ve Sistem kayıtlarını kontrol edin. Özellikle 4688 (Yeni süreç oluşturuldu) ve 4625 (Başarısız giriş denemesi) olaylarını inceleyin. -
Ağ trafiğini izleyin: Wireshark veya Microsoft Network Monitor kullanarak giden bağlantıları (özellikle C2 sunucularına yapılan bağlantılar) tespit edin. ACR Stealer genellikle TCP port 443 (HTTPS) üzerinden iletişim kurar.
2. ACR Stealer'ın Temizlenmesi
-
Sistemi güvenli modda başlatın: Bilgisayarı güvenli modda başlatarak sürecin devam etmesini engelleyin.
-
Güvenilir bir antivirüs ile tam sistem taraması yapın: Microsoft Defender, Malwarebytes veya Kaspersky gibi araçlarla tam sistem taraması gerçekleştirin. Örneğin:
# Microsoft Defender ile tam sistem taraması (PowerShell) Start-MpScan -ScanType FullScan -
Şüpheli dosyaları ve kayıt defteri girişlerini temizleyin: Aşağıdaki komutları kullanarak kayıt defteri temizliği yapabilirsiniz. Dikkatli olun, kayıt defteri değişiklikleri sisteminize zarar verebilir.
# Kayıt defteri temizliği (Windows PowerShell) reg delete "HKCU\Software\ACR" /f reg delete "HKLM\Software\ACR" /f -
Tarayıcı verilerini ve parolaları sıfırlayın: Tarayıcılarda saklanan tüm verileri silin ve parolaları yeniden oluşturun. Örneğin, Chrome'da:
# Chrome'da tarayıcı verilerini temizleme (Windows) # Tarayıcıyı kapatın ve aşağıdaki dizini silin: C:\Users\\AppData\Local\Google\Chrome\User Data\Default
İpuçları ve Uyarılar
⚠️ Uyarı: ACR Stealer gibi bilgi hırsızlığı malware'leri, genellikle güncel olmayan sistemlerde daha etkili olur. Bu nedenle, işletim sistemi ve tüm yazılımların (tarayıcılar, ofis uygulamaları, vb.) düzenli olarak güncellenmesi hayati önem taşır.
💡 İpucu: Kurumsal ortamlarda, Microsoft Defender for Endpoint gibi gelişmiş koruma çözümleri kullanarak saldırıları otomatik olarak tespit edebilir ve engelleyebilirsiniz. Ayrıca, Microsoft 365 Defender portalını kullanarak güvenlik olaylarını merkezi olarak izleyebilirsiniz.
🔒 En İyi Uygulama: Parolalarınızı güvenilir bir parola yöneticisi ile saklayın ve iki faktörlü kimlik doğrulama (2FA) kullanın. Böylece, parolalarınız çalınsa bile ek bir güvenlik katmanı sağlanmış olur.
Sonuç
ACR Stealer gibi bilgi hırsızlığı malware'leri, kurumsal ve bireysel kullanıcılar için ciddi bir tehdit oluşturmaktadır. Microsoft'un son uyarısı, bu saldırıların artarak devam ettiğini göstermektedir. Bu nedenle, güvenlik yazılımlarının güncellenmesi, kullanıcı farkındalığının artırılması, ağ kontrollerinin güçlendirilmesi ve olay müdahale planlarının hazırlanması hayati önem taşımaktadır.
ACR Stealer'ın hedef aldığı veriler (parolalar, token'lar, belgeler) kurumsal itibar ve finansal kayıplara yol açabilir. Bu nedenle, proaktif güvenlik önlemleri almak ve saldırı tespit sistemlerini kullanmak zorunludur. Unutmayın, güvenlik bir süreçtir ve sürekli olarak güncellenmeli ve iyileştirilmelidir.



