Siber Suçlulardan Yeni Bir Keşif

Siber suçlular, kötü yazılım ile sunucu arasında iletişim kurmak için anti-spam sistemini kullanıyor.

Siber Suçlulardan Yeni Bir Keşif

Siber suçlular, kötü yazılım ile sunucu arasında iletişim kurmak için anti-spam sistemini kullanıyor.

Siber suçlular, oluşturdukları kötü yazılımın komut ve kontrol sunucuları ile iletişime geçtiğinden emin olmak için yeni bir yol keşfetti. Symantec uzmanları siber suçluların zararlı element ile komut ve kontrol sunucuları arasında bir bağlantı sağlamak için Gönderici Politika Çerçevesi (Sender Policy Framework-SPF)’ni kullanmaya başladıklarını buldu.

SPF, yöneticilerin e-postaları bloke etmelerine izin veren ve DNS istekleri ile yanıtlarına dayanan bir e-posta doğrulama sistemidir. E-posta göndermek için kullanılan DNS sunucusu SPF kullanımı için yapılandırılırsa, DNS, her yasal web sitesi için SPF kaydı içeren karşılık veriyor.

Symantec’ten Takashi Katsuki, SPF hakkında şu açıklamaları yaptı: “Kötü amaçlı yazılım oluşturmak için esas nokta, SPF’de alan adlarının ya da IP adreslerinin DNS istemcisinden elde edilebilmesidir ve bu bilgisayar istemcisinin bilgisayardan doğrudan bir talep almaya ihtiyacı yoktur. Genellikle yerel DNS sunucusu, DNS önbellek sunucusu olarak kullanılabilir. DNS ön bellek sunucusu, bilgisayarın yerine talep gönderebilir.”

Bu yüzden Trojan.Spachanel olarak belirlenen bu kötü amaçlı yazılım bilgisayara zarar verdiğinde, oluşturulan .com ya da .net alan adıyla DNS talebi oluşturuyor. Bu talep, saldırganın DNS sunucusuna yönlendirilen yerel DNS sunucusuna gönderiliyor. Bu sunucu, talebi, bir SPF kaydı içeren bir cevaba çeviriyor. Bu kayıt, zararlı yazılımı çalıştırmak için ihtiyaç duyulan zararlı alan adlarını ve IP adreslerini saklar.

Bu işlem bir kez gerçekleştirildiğinde, Trojan kendini web tarayıcısı süreci içine enjekte eder ve Internet trafiğini izler. Sonra da zararlı kodu, kullanıcı tarafından yüklenen web sitelerinin içine aktarır. Bu kod, siber suçluların kar etmesine yardımcı olan reklamları da oluşturabilecek niteliktedir.

İletişim için yasal servisleri kullanan zararlı yazılım parçalarını ilk kez görmüyoruz. Kasım 2012’de Symantec uzmanları, Google Dökümanlar’da görüntüleme fonksiyonunu Proxy olarak kullanan bir zararlı yazılım parçası bulmuşlardı. 

AMD Catalyst 13.1 Ekran Kartı Sürücüleri Yayınlandı