Blog

Cryptojacking Saldırı Tespit ve Analizi

Furkan PEHLİVANOĞLU

Merhabalar,

Bu blog yazımda sizlere Cryptojacking saldırısı hakkında bilgi vermek  istiyorum. İlk olarak Kriptodan bahsedeceğim. Kripto genellikle internet üzerinde kullanılmak üzere tasarlanmış merkezi olmayan dijital para birimidir. Bu para birimi ilk olarak 2008 yılında Bitcoin olarak piyasa çıkarılmıştır. Daha sonrasında birçok farklı kripto birimi türemiştir.

Blockchain(Blok Zinciri) Nedir?

Blockchain, kriptografi kullanarak bağlanan ve güvenli hale getirilen, bloklar adı verilen, sürekli büyüyen bir veritabanı türüdür. Blockchain, iş ağında yer alan işlemlerin kaydedilmesini ve varlıkların takip edilmesi gibi birçok süreci kolaylaştırmayı sağlamaktadır.

Mining (Kripto Madenciliği) Nedir?

 

Mining, blockchain teknolojisi üzerinde bulunan bloklardaki matematiksel doğrulama işlemlerinin farklı tekniklerle çözümlenme sistemine denmektedir.

 

Cryptojacking – Nedir?

Cryptojacking saldırısı kurban makineye enfekte olarak, makinenin özelliklerini kullanarak saldırgan kişinin bilgilerine göre makinenin mining yapmasıdır. Cryptojacking çok sayıda hedefi ele geçirerek kazanç sağlamaktır. Ayriyetten mining kısmındaki güç kullanımını kendi çapında kurtulmayı amaçlamaktadır. Kurban cihazlarında uzun süre kullanmak için tasarlanmıştırlar.

Cryptojacking – Türleri Nelerdir?

İki tür bulunmaktadır. Bunlar web sitesi üzerinde çalışan javascript kodu ve makineye enfekte olmuş dosya şeklinde diyebiliriz. Web sitesi denildiğinde, oluşturulmuş olan bir sitenin içerisine reklamlar vererek, reklam içeriğiyle ilginizi çekerek ya da yanlışlıkla tıklayarak reklam sitesin de gömülü olan  javascript kodunu çalıştırarak mining işleminin yapılmasıdır. Bir diğeriyse genellikle kullanıcı hatasıyla makine üzerine enfekte olunup mining yapmasıdır.

Cryptojacking – Nasıl Çalışır?

Aslında çalışma mantığından türlerini açıklarken bahsetmek istedim. Çalışma şekilleri web sitesi ziyaretinde javascript kodunu çalıştırarak mining etmekdir. Diğer bir  çalışma yöntemiyse makine üzerine kod parçacığı yürütülerek sistem üzerinden mining yapılmasıdır.

Cryptojacking – Makineye Nasıl Bulaşır?

Bahsetmek istediğim konuya aslında şimdi geldim. Bilinçsiz kullanıcı tarafından genellikle olduğunu düşünmekteyim. Tabi ki yüksek güvenlikli yerlerde SOC ekibinin dikkatli bir şekilde kullanıcının indirmiş olduğu dosyaları ve karşıdan gelen bir iletinin kontrolü sağlanarak korunabilir. Hatta gerekli güvenlik önlemleri alınarak engellemeler yapılabilir. Kullanıcı bazlı düşünürsek gelen bir mail içerisine gizlenmiş dosyayı indirip, çalıştırarak makineye enfekte etmesi diyebilirim. Bu aşamada saldırgan düşüncesinde en azından olmamız gerekmektedir. Ya da bir dosya, bir program indirmek için hiç bilmediğimiz bir web sitesi üzerinden indirip, kurarak da makineye aslında cryptojacking zararlısını kurmuş olabiliriz.

Cryptojacking – Nasıl Tespit Edilir?

Tespit etme işleminde 5 faktör bulunmaktadır. Bunlar ;

  • Düşük Performans
  • Aşırı ısınma
  • Web Siteleri
  • İşlemci Kullanımı(CPU)
  • Elektrik Tüketimi

Şimdi bir SOC alt yapısından baktığımızda genellikle web siteleri, işlemci ve  performans hakkında veri toplayarak analiz edilebilir. DNS kayıtları ve proxy kayıtları kontrol edilerek, bir sonuca varabiliriz. Düşük performans sistemin iş yükünün fazla olduğunu düşünebiliriz. Bu sebeple çalışan processleri analiz ederek sistem içerisinde farklı bir process çalışıp çalışmadığı incelenir. İşlemci yükünde ise Cryptojacking zararlısı makinenin ani işlemci kullanım artması-azalması incelenir. Bu sebepten dolayı detaylı inceleme gerçekleştirilerek zararlının olup olmadığı kontrol edilir.

Cryptojacking – Enfekte Makinenin Analizi

Makineye github dan bulduğun powershell ile yönlendirmelere yer verilmiş bir Cryptojacking saldırısından bahsetmek istiyorum. Adres: https://github.com/KillaStryder/cryptojack Ana makinenize kurmanını tavsiye etmiyorum. Github daki dosyaları sanal ortamıma indirdim. ilk olarak Powershell dosyalarını incelemek istedim. powershell komutlarını incelerken web adresinden bir indirme yaptığını ardından indirilen dosyayı test.zip olarak adlandırıldığı görülmektedir.

Diğer gördüğüm kısımsa çalıştırılacak dosyanın windows zamanlayıcısı oluşturulduğu, Adının cryptojack verildiği ve zamanlayının sistemin her yeniden başlatıldığında çalıştırılması istenmiştir.

Son kısımdaysa Mining dosyasının çalıştırılması için kullanıcı bilgisi girilmesi ve XMR,BTC,XMO ve FCN coinleri üzerinde matematiksel doğrulama işlemi yaparak mining yapılmasını hedefliyor.

Artık github üzerindeki dosyaları derlememiz gerekmektedir. Sistem üzerinde nasıl bir etkisi olacak inceleyelim. patch.bat dosyasını çalıştırdığımızda sistem CPU değerleri hakkında bilgi vermektedir.CryptoJack.bat adında olan dosyayı çalıştırdığımızdaki farkı direk anlayacaksınız.

 

En basiti sisteminizde kullanıdığınız CPU değerleridir. Tabiki CPU değerlerini tek başına kontrol etmek yeterli olmayacaktır. Bazı saldırganlar mining yavaş yapsın fakat devamlılığı olsun diye sistem üzerindeki özellikleri az kullanarak elde edebilirler.  Bir diğer husus kod analizi yaptığımızda görev zamanlayıcısı(Scheduled Task) oluşturması gerekmekteydi. Powershell üzerinden makine crytojacking saldırısına maruz kaldığını görmüş oluyoruz.

Cryptojacking – Korunma Yolları

Kullanıcı Tarafından Korunma Yolları;

  • Makine üzerindeki işletim sistemini güncel tutalım.
  • Güvenmediğiniz web adreslerine tıklamayın ve indirme yapmayın.
  • Bilmediğiniz bir mail adresi üzerinden gelen dosya ve uzantılara dikkat ediniz.
  • Makine Fan sesi ya da ısınma artışı gösterdiğinde bilgili kişilerden yardım alın.

Not: Araştırma yaparken github üzerinden tarayıcı eklentisi olduğunu gördüm. Kullanmadığım için tam bir bilgiye sahip değilim. Fakat readme tarafında güzel bir düşünceyle yapıldığını gördüm. Eklenti üzerinde bir blacklist bulunuyor. Bu blacklist sayesinde tarayıcı üzerinden gidilen adresleri engelliyor. Adresi Bırakıyorum. https://github.com/xd4rker/MinerBlock

SOC Hizmeti Veren Ekibin Tedbir Alması Gereken ve İnceleme Yapılması Gereken Kısımlar;

  • DNS üzerinden gidilen adreslere bir blacklist uygulanabilir.
  • Gidilmesine sebep veren proxy verileri incelenebilir.
  • Görev zamanlama(Scheduled Task) kuralları uygulanıp, kontrol edilebilir.
  • Hash bilgileri mevcutsa blackliste eklenebilir.
  • Windows Event ID’ler üzerinde analiz gerçekleştirilebilir.
  • Powershell komutları incelenebilir.
  • Registry üzerinde oluşturulmuş kayıtlar kontrol edilebilir.
  • EDR ürünü varsa gerekli blacklist uygulanıp, kontrol sağlanabilir.
  • Mail gateway üzerinden gelen mailler analiz edilebilir.

Tabiki bütün olayların incelenmesi için olayın nereden geldiği ve  büyüklüğü önem sağlamaktadır. Umarım faydalı bir yazı olmuştur. Ben yazarken eğlendim. Sizde okurken inşallah eğlenebilirsiniz 🙂

, , ,