Yazılım & İşletim SistemiOrta

WhatsApp Kullanıcılarına Yönelik VBScript Tabanlı Phishing Saldırıları: Tehdit Analizi ve Korunma Yöntemleri

WhatsApp kullanıcılarını hedef alan yeni bir malware kampanyası, sahte iş belgeleriyle gönderilen VBScript dosyaları aracılığıyla sistemlere uzaktan erişim sağlamaktadır. Bu makalede saldırının teknik detayları ve korunma adımları ele alınmaktadır.

B
Bleeping Computer Tutorials
2 görüntülenme
WhatsApp Kullanıcılarına Yönelik VBScript Tabanlı Phishing Saldırıları: Tehdit Analizi ve Korunma Yöntemleri

Giriş

Son dönemde siber suçlular, WhatsApp platformunu kullanarak VBScript tabanlı phishing saldırıları gerçekleştirmektedir. Bu saldırılar, kullanıcıları sahte iş belgeleri (örneğin fatura, sözleşme) içeren mesajlarla kandırarak, sistemlerine zararlı VBScript dosyaları indirmelerini sağlamaktadır. Remote Access Trojan (RAT) olarak çalışan bu scriptler, saldırganlara hedef sistemlere tam erişim yetkisi tanımaktadır.

Saldırının Teknik Detayları

1. Saldırı Vektörü ve Yayılma Yöntemi

Saldırganlar, aşağıdaki adımlarla hedef sistemlere ulaşmaktadır:

  1. Mesaj İçeriği Oluşturma: Kullanıcıların dikkatini çekecek şekilde tasarlanmış sahte iş belgeleri (örneğin "Ödeme Faturası.pdf.vbs").
  2. Sosyal Mühendislik: Kullanıcıya "İşle ilgili önemli belge" veya "Acil ödeme talebi" gibi yanıltıcı konu başlıklarıyla gönderilmesi.
  3. Dosya Türü Gizleme: Gerçek uzantıyı gizlemek için çift uzantı kullanımı (örneğin .pdf.vbs).
  4. Otomatik Yürütme: Kullanıcı dosyayı açtığında, VBScript otomatik olarak çalışmakta ve sistemde yetki yükseltme (privilege escalation) gerçekleştirmektedir.

2. Zararlı Yazılımın Çalışma Prensibi

VBScript dosyası çalıştırıldığında aşağıdaki işlemler gerçekleşmektedir:

  • Bağlantı Kurulumu: Saldırganın komuta-kontrol (C2) sunucusuna gizli bir bağlantı kurulması.
  • Yetki Yükseltme: Sistemdeki yerel yönetici haklarına erişim sağlanması (örneğin UAC bypass teknikleri kullanılarak).
  • Veri Toplama: Kullanıcı adı, IP adresi, dosya sistemi bilgileri gibi verilerin saldırgana gönderilmesi.
  • Uzaktan Kontrol: Saldırganın hedef sisteme tam erişim sağlaması (dosya indirme/yükleme, komut çalıştırma, ekran görüntüsü alma vb.).

3. Kullanılan Tehditler ve Araçlar

Bu saldırılarda genellikle aşağıdaki araçlar ve teknikler kullanılmaktadır:

  • VBScript: Temel komut dosyası olarak kullanılan, Windows sistemlerinde yerleşik olarak bulunan bir betik dili.
  • PowerShell: Yüksek yetkili komutların çalıştırılması için kullanılan araç.
  • PsExec: Saldırganın yerel ağ üzerindeki diğer sistemlere yayılmasını sağlayan Microsoft aracı.
  • Cobalt Strike / Metasploit: Saldırganların hedef sistemlere uzaktan erişim sağlamak için kullandıkları popüler penetration testing araçları.

Etkileri ve Riskler

Bu saldırıların potansiyel etkileri şunlardır:

  • Veri Sızıntısı: Kişisel ve kurumsal verilerin çalınması (örneğin müşteri bilgileri, finansal veriler).
  • Finansal Kayıplar: Banka hesaplarına erişim yoluyla dolandırıcılık faaliyetleri.
  • Sistem Bütünlüğünün Bozulması: Zararlı yazılımların sistemde kalıcı olarak yerleşmesi ve yeniden etkinleşmesi.
  • Yasal ve Reputasyonel Riskler: Kurumların veri ihlali nedeniyle yasal yaptırımlara maruz kalması ve itibar kaybı yaşaması.

Korunma ve Müdahale Adımları

1. Önleyici Güvenlik Tedbirleri

  1. Kullanıcı Farkındalığı:
    • Bilinmeyen göndericilerden gelen dosyaları açmamak.
    • Dosya uzantılarını kontrol etmek (örneğin .pdf.vbs gibi şüpheli uzantılardan kaçınmak).
    • "Güvenilir kaynaklardan gelen dosyalar" konusunda dikkatli olmak.
  2. Sistem Güvenlik Ayarları:
    • Windows Defender ve üçüncü parti antivirüs yazılımlarını güncel tutmak.
    • Windows Script Host (WSH) ve PowerShell'in kısıtlanması (Grup İlkesi kullanılarak).
    • Uygulama beyaz listesi (Application Whitelisting) kullanarak sadece onaylı uygulamaların çalıştırılmasını sağlamak.
  3. Ağ Trafiği İzleme:
    • Giden ağ trafiğini izlemek ve şüpheli bağlantıları engellemek.
    • Güvenlik duvarı (Firewall) kurallarını sıkılaştırmak ve sadece gerekli portların açık olmasını sağlamak.

2. Saldırı Tespiti ve Müdahale

  1. Saldırı Belirtilerinin Tespiti:
    • Bilgisayarda beklenmedik ağ bağlantıları (örneğin C2 sunucusuna bağlantılar).
    • Sistem performansında anormal yavaşlama veya donmalar.
    • Bilinmeyen VBScript veya PowerShell süreçlerinin çalışması.
  2. Sistemden Temizleme: 
    # Windows Defender ile tarama (Yönetici olarak çalıştırın)
C:\Program Files\Windows Defender\MpCmdRun.exe -Scan -ScanType 2

# Güvenli modda sistem temizliği
1. Bilgisayarı güvenli modda başlatın (F8 tuşu ile).
2. Sistem klasörlerinde (C:\Windows\Temp, C:\Users\\AppData\Local\Temp) şüpheli dosyaları silin.
3. Kayıt defterindeki (regedit) şüpheli anahtarları temizleyin (örneğin HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run).

# Ağ bağlantıları kontrolü
netstat -ano | findstr ESTABLISHED
  3. Yetkili Kurumlara Bildirim:
    • Siber saldırıya uğradığınızı BTK (Bilgi Teknolojileri ve İletişim Kurumu) ve Emniyet Müdürlüğü Siber Suçlarla Mücadele Birimine bildirin.
    • Kurumsal ortamlarda SIEM (Security Information and Event Management) sistemleri kullanarak olayları kayıt altına alın.

3. Acil Durum Planı

⚠️ Uyarı: Eğer sisteminizde şüpheli aktiviteler tespit ederseniz, internet bağlantısını derhal kesin ve diğer sistemlerden izole edin. Bu, saldırganın veri aktarımını durduracak ve yayılmasını engelleyecektir.

İleri Düzey Korunma Yöntemleri

1. Uygulama Kontrolü ve İzolasyonu

Windows Group Policy kullanarak aşağıdaki ayarları uygulayın:

# Script çalıştırma engelleme (Grup İlkesi Düzenleyicisi)
1. gpedit.msc çalıştırın.
2. Aşağıdaki yola gidin:
   Computer Configuration → Administrative Templates → Windows Components → Windows Script Host
3. "Windows Script Host'ı devre dışı bırak" seçeneğini Etkinleştir olarak ayarlayın.

# PowerShell kısıtlamaları
1. PowerShell'i yönetici olarak açın.
2. Aşağıdaki komutları çalıştırın:
   Set-ExecutionPolicy Restricted -Force
   Disable-PSRemoting -Force

2. Ağ Trafiği Analizi ve Engelleme

Saldırganların komuta-kontrol sunucularına bağlanmasını engellemek için:

# Güvenlik duvarı kuralı (Windows Defender Güvenlik Duvarı)
New-NetFirewallRule -DisplayName "Block C2 Connections" -Direction Outbound -RemoteAddress  -Action Block

# Ağ trafiği izleme (Wireshark)
1. Wireshark'ı indirin ve kurun.
2. Filtre olarak "tcp.port == 443" kullanarak HTTPS trafiğini analiz edin.
3. Şüpheli IP adreslerini engelleyin.

3. Siber Güvenlik Eğitimi ve Simülasyonlar

Kullanıcıları phishing saldırılarına karşı bilinçlendirmek için:

  • Farkındalık eğitimleri düzenleyin ve sahte phishing e-postaları göndererek testler yapın.
  • Siber güvenlik simülasyonları kullanarak saldırganların taktiklerini öğrenin (örneğin KnowBe4, PhishingBox).
  • Olay yanıt planları oluşturun ve düzenli olarak tatbikatlar yapın.

Sonuç

WhatsApp üzerinden gerçekleştirilen VBScript tabanlı phishing saldırıları, hem bireysel kullanıcıları hem de kurumları ciddi şekilde tehdit etmektedir. Bu saldırılardan korunmak için kullanıcı farkındalığı, sistem güvenlik ayarlarının sıkılaştırılması ve sürekli izleme hayati önem taşımaktadır. Siber güvenlik tehditleri sürekli evrim geçirdiğinden, güvenlik tedbirlerinin de güncel tutulması ve düzenli olarak gözden geçirilmesi gerekmektedir.

Kaynaklar ve Referanslar

İlgili Makaleler