Malware konusunda son yıllardaki eğilimleri incelediğimizde, kötü amaçlı yazılımların genel olarak ticari ve kriminal amaç için üretilmeye başlandıklarını görürüz. Bu konuda en güzel raporlardan bir tanesini Microsoft, SIR – Security Intelligence Report adı altında yayınlıyor. Bu rapora http://www.microsoft.com/security/portal/sir.aspx adresinden ulaşabilirsiniz. Bu raporda Conficker virüsünden bahsedildiğini göreceksiniz. Bu solucanın halen tam olarak ne amaçla internet üzerinde yayınlandığını anlayabilmiş değiliz. Microsoft ve bir çok sorumlu güvenlik organizasyonu biraraya gelerek Conficker Cabal denilen grubu oluşturdu ve bu grup çalışmaları dahilinde, solucanın internet üzerinden yönetilmesini engellemeye yönelik bir çok önlem alındı; solucanın kullandığı domain isimlerinin engellenmesi ve kayıtlarının kaldırılması gibi.

Conficker solucanından etkilenmemiş networkler olmadı mı? Kesinlikle oldu, bazı networklerin başından beri Conficker’dan etkilenmediklerini, ya da bir şekilde solucanın bulaşmış olduğu bir sistem o networke girmiş olsa bile etkin olamadığını gördük. Burada Conficker gibi network üzerinden saldırı ve bulaşma yöntemlerini kullanarak yayılan solucanlardan korunmak için bir kaç önemli etkili savunma yöntemi var. Bu ve benzerlerine karşı korunmuş olan networklerde aşağıdakilerin olduğunu görüyoruz:

1. Raporlama ve yönetim özellikleri güçlü olan bir antivirüs yazılımı.

2. Microsoft ve diğer yazılım üreticilerine ait yazılımlara ait etkin bir güncelleme altyapısı.

3. Network Access Protection – NAP mekanizması.

29 Aralık 2008 günü Conficker.B variantına ait müşterilerimizden caseler almaya başladık. Bunları takiben bir çok müşterimizde AV programlarının gerekli imzayı üretme konusundaki gecikmeleri, virüsün ciddi şekilde yayılmasına neden oldu. Burada parmakla herhangi bir fimanın gösterilmesi doğru olmaz ve bir çok AV firması da kısa süre içinde ilgili imzalarını yenilediler fakat, Forefront Client Security gerçekten de ilk 6 saat içerisinde virüsün çıkışını takiben imzalarını Microsoft Update üzerinden yayınlamaya başladı ve FCS’in başarılı şekilde solucanı kontrol altına aldığını ve engellediğini biliyoruz.

Güvenlik hiç bir zaman tek bir ürünün kurulu olmasına bırakılacak kadar basit değildir; sadece Antivirüs ya da Firewall yazılımları ile bir network korunamaz ve Defense In Depth olarak da adlandırdığımız model dahilinde incelenmesi ve yönetilmesi gerekir. Bu anlamda ikinci noktayı incelersek, Microsoft’un bildiğiniz gibi her ayın ikinci Salı’sında yayınladığı güvenlik güncellemeleri var. Bu konuda diğer yazılım üreticilerinin de takip etmesi gereken, sistem yöneticilerine belirli bir takvim vermek ve güncelleme sistemine ait standartların oturtulmasıdır.

Her ne kadar ayın ikinci Salı’sına güncellemeler takvimlendirilmiş olsa da MS08-067 gibi Kasım 2008 de çıkan Windows güncellemesi normal akışın dışında bir güncelleme idi. Böyle bir durumda belirli kabuller var ya da aşağıdakileri varsaymak faydalı olabilir: Microsoft normal takviminin dışına çıkıp böyle bir güncelleme yayınlıyor ise,

1. Tanımlanmış olan açığa dair deneysel kod internette açığa vurulmuş olabilir,

2. Açıktan faydalanarak çalışan kötü niyetli yazılımların üretilmesi ve başarılı olma olasılıkları yüksektir.

Conficker virüsünün kullandığı yayılma yöntemlerinden birisi bu açığın kullanılmasıydı. Her ne kadar analiz ettiğimiz virüse ait kodun uzun süredir geliştirildiğine dair ipuçları olsa da, MS08-067’nin kapatılmasını hemen takiben çıkması, solucanın bu güncellemeyi kurmayan sistemleri hedefleyerek yayılmayı hedeflediğini bize gösteriyor. Out-Of-Band güncellemelerin Critical sınıflandırmasının da üzerinde bir şiddeti olduğunu varsaymak doğru olur. Conficker solucanı hakkında daha fazla bilgi ve korunma yöntemleri için http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx adresini incelemenizi tavsiye ederim.

Bunlara ek olarak Windows Server 2008 ürünü ile birlikte çıkardığımız Network Access Protection ve benzeri teknolojiler bu tip durumlarda değerlerini ortaya koyuyorlar. Networkunuze ait güvenlik ilkelerine uymayan,  uzun süredir güncellenmemiş ya da antivirüs yazılımı devre dışı bırakılmış sistemlerin, ayrılmış bir network içinde karantinaya alınmaları, networkunuzun geri kalanını koruyacaktır. NAP sistemine sahip bir networkte, Conficker başarılı olamaz. Conficker ve benzeri tehditler başarılı olamaz. İleriye dönük olarak, sistemlerimi ve yatırım yaptığım teknolojiyi nasıl daha güvenli hale getiririm sorusunu kendinize sık olarak soruyorsanız, NAP teknolojisini değerlendirmeniz içine almanız çok önemli.

Eğer malware reverse engineering konusu ile ilgileniyorsanız, aşağıdaki adresler de ilginizi çekecektir, fakat bu adreslerde ki dokumanlar ileri düzeyde assembler, c ve sistem programlama bilgilerine sahip olmanızı gerektiriyor, şimdiden uyarımızı yapalım :)  Microsoft Malware Protection Center portalı, 3. link, kötü niyetli yazılımlar ile ilgili olarak analizlerin yayınladığı web sitemiz, bu sayfada virüsün davranış şekli ile ilgili olarak daha genel bir değerlendirmeyi de bulabilirsiniz.

Herkese iyi haftalar!

An Analysis of Conficker

Conficker - Wikipedia, the free encyclopedia

Worm:Win32/Conficker.B Microsoft Malware Protection Center

Oğuzhan Filizlibay

Security Escalation Engineer

Microsoft EMEA CSS United Kingdom – Security IR Team