Güvenlik

Emotet nedir?

Sayfa İçerik Tablosu

Emotet nedir?


Emotet nedir, Emotet bir Virüs mü? Hayır. Emotet ilk olarak 2014 yılında bankacılık Truva Atı olarak ortaya çıktı. Saldırı, Alman ve Avusturyalı bankacılık müşterilerinden gelen çevrimiçi erişim verilerine müdahale etmeyi amaçlıyordu. Bununla birlikte, Emotet diğer kötü amaçlı işlevlerle çok sayıda modülü yükleyebilir ve çalıştırabilir özelliklere sahipti. Emotet, çoğunlukla spam e-posta yoluyla saldırıyor ve özel kullanıcıların yanı sıra şirketleri, hastaneleri, devlet kurumlarını ve kritik altyapıları da vuruyordu. Son derece profesyonel, gelişmiş kalıcı tehdit saldırılarının yöntemleri uyarlanır ve otomatikleştirilir halde barındırıyordu. Siber suçlular, virüs bulaşmış sistemde mümkün olduğu kadar uzun süre hareket etme kapasitelerini korumak için çok tercih edilmekteydi. Bu nedenle Emotet’i kaldırmak kolay değildi.

Bir yönü Emotet’i özellikle tehlikeli hale getiriyor: Kötü amaçlı yazılım, 2018’in sonundan bu yana, daha fazla saldırıyı başlatmak için virüslü sistemlerin posta kutularındaki iletişim ilişkilerini ve e-posta içeriğini okumak için Outlook toplama özelliğini kullanabiliyor. Bu, özellikle hızlı yayıldığı anlamına gelir. Yeni alıcılar daha sonra yakın zamanda iletişim kurdukları kişilerden önceki gönderilerine benzer gerçek görünümlü e-postalar alır. Mesajın içerdiği hasarlı dosya ekleri veya URL’ler dikkatsizce açılır.

Bu spam modülüne ek olarak Emotet, şirket ağında yayıldığı bir solucan modülü de yükleyebilir. Bu şekilde, kullanıcıların bir eki tıklatıp etkinleştirmesine gerek kalmadan diğer bilgisayarlara yerleşebilir. Bu bağlamda Emotet, şifreleri kırmak amacıyla kaba kuvvet saldırıları da gerçekleştirmektedir. Bunun ciddi sonuçları olabilir. Bilgisayara virüs bulaştıktan sonra Emotet, hedefe bağlı olarak C&C (Command Control)sunucusu aracılığıyla daha fazla kötü amaçlı yazılım indirir. Veri hırsızlığı, sistemler üzerinde kontrol kaybı, tüm BT altyapısının arızalanması ve kritik iş süreçlerinde kısıtlama riski vardır. Olağanüstü durumlarda, tüm şirket ağlarının bir enfeksiyondan sonra yeniden oluşturulması gerekir. Hasar genellikle milyonlara ulaşır.



Emotet Enfeksiyon Zinciri



Emotet’in kurbanlardan gelen e-postaları çaldığı ve bunları yeni malspam için şablon olarak kullandığı vurgulanmalıdır. Eski e-posta yazışmalarını kötü niyetli bir e-posta ile yanıtladığı sözde e-posta dizisi ele geçirme ile kullanır. Bilinen kişilerden gelen e-postaların mevcut görüşmelerde açılma olasılığı yüksektir. Sonuç olarak, Emotet’in dağıtım ağı çok başarılı olmaktadır. Bu tür bir saldırı, BT güvenlik yöneticilerinin bu tehdide karşı farkındalık yaratmak için güvenlik bilinci eğitimine yatırım yapmasının ana nedenlerinden biridir.

Emotet aynı zamanda çok tehlikelidir, çünkü e-postaları çalmak, bilgisayarları kötüye kullanmak ve bir C2, spam sunucusu olarak hareket etmek için kendi modüllerine ek olarak, TrickBot gibi diğer kötü amaçlı yazılımları da sunar ve bu da sonuçta Ryuk fidye yazılımına bulaşmaya neden olabilir. Emotet bulaşmasını temizlemeye çalışsanız bile, sistemde zaten ek kötü amaçlı yazılım çalışıyor olabilir.

Bir sistem Emotet ile enfekte olduğunda, Emotet botnetinin bir parçası olur.

Emotet nedir
Emotet nedir


Emotet Botnet


Emotet botnet birkaç botnet’e bölünmüştür. Araştırmacılar, farklı zamanlarda yük güncellemeleri aldıkları için onları Era 1 ve 2 olarak adlandırdılar. Her çağın, C2 iletişimi için kullanılan kendi benzersiz RSA anahtarı vardır. 17 Eylül 2019’da, 1. dönem botnetinin bir kısmı 3. dönem botnet’e bölündü.

Her botnet, çağının C2 sunucularına bağlanır. Bir alıcı, 1. çağa ait bir Emotet belgesinden etkilendiğinde, belge Emotet yükleyiciyi epoch 1 altyapısından indirir ve ardından 1. çağın parçası olur.

Emotet botnet’in Katman 1 C2 sunucusunun mevcut yapısı aşağıdaki gibidir:

Değişiklikler ilk olarak E2 botnetinde uygulanır. Bunun, işe yaramayan değişikliklerin yapılması durumunda tüm botnet’in yalnızca bir kısmının kaybolmasını sağlamak için bir test olarak yapılması mümkündür.



Emotet ile savaşmak neden bu kadar zor?


Emotet, geleneksel antivirüs ürünlerini aldattığı için tanımlanması ve engellenmesi kolay değildir: Bir polimorfik virüs olarak, imza tabanlı virüs tarayıcıları tarafından tespit edilmekten kaçınmak için her çağrıldığında kod biraz değişir. Virüs ayrıca sanal bir makinede çalıştığını da algılar. Sandbox ortamı kaydedilir kaydedilmez, program bir tür bekleme moduna geçer ve o anda herhangi bir zararlı eylemde bulunmaz.



Emotet, TrickBot ve Ransomware Ryuk


Daha önce de belirtildiği gibi, Emotet başarılı bir enfeksiyondan sonra başka kötü amaçlı programlar yükler. TrickBot ve Ryuk ile etkileşimde özellikle tehlikeli bir ittifak ortaya çıkar. Bir Word belgesinde gizlenen Emotet, dosyayı yürütürken bir şirket ağına girer ve onu izler. Bir “kapı açıcı” olarak, diğer şeylerin yanı sıra hesap erişim verilerini kopyalayan TrickBot bankacılık Truva Atı’nı yeniden yükler. Bu bilgileri en son indirilen Ryuk fidye yazılımına iletir. Ryuk artık sistemdeki TrickBot ve Emotet’in daha önce hassas veya önemli olarak sınıflandırdığı tüm dosyaları şifreler.


Kendinizi Emotet’ten nasıl koruyabilirsiniz?


Kendinizi Emotet’e karşı etkili bir şekilde korumak için, öncelikle kötü amaçlı programın ana ağ geçidine odaklanmalısınız: e-posta iletişimi. Piyasada bulunan adı duyulmuş birçok güvenlik sistemi Gelişmiş Tehdit Koruması, e-postalarda Emotet ve Ryuk‘u kolayca tespit eder ve her iki kötü amaçlı yazılım programını da karantinaya alır. Emotet Truva Atı, ilk analiz örneğinde tanımlanır. Truva atları Ryuk ve TrickBot, ATP korumalı alanındaki dinamik davranış analizi kullanılarak açığa çıkarılabilir. Hain kötü amaçlı yazılım içeren e-postalar alıcılara teslim edilmez.

Ayrıca, temel, güvenlik bilincine sahip davranışa uyulmalıdır:

Emotet genellikle Microsoft Office dosyalarında gizlendiğinden ve kötü amaçlı programları yükleyebilmek için makrolara ihtiyaç duyduğundan, bunlara izin vermemek mantıklıdır. Özel ve çoğu iş alanında gerekli değildir. Hala makrolar olmadan yapamıyorsanız, yalnızca imzalanmış olanlara izin vermek mümkündür.
Uygulanan tüm güvenlik güncellemelerinin işletim sistemleri, anti-virüs programları, web tarayıcıları, e-posta istemcileri ve Office programları için hemen yüklenmesi gerekir.


Düzenli veri yedeklemeleri önerilir.


Dikkatli olmak en önemli önceliktir: Bilinen göndericilerle bile, e-postalara, özellikle Office belgelerine ve bunların içerdiği bağlantılara dosya ekleri konusunda dikkatli olmalısınız. Şüphe duyduğunuzda, şüpheli bir e-postayı gönderenle doğrudan temas kurmanız ve içeriğin güvenilirliğini kontrol etmeniz önerilir.
Şirketin kendi ağına erişim sürekli izlenmelidir, çünkü bu şekilde bir Emotet enfeksiyonunun meydana gelip gelmediği zamanında tespit edilebilir.

Yazımızı beğendiyseniz diğer yazılarımızı da okumanızı tavsiye ederiz.

Diğer yazılarımız için tıklayın.

İlgini çekebilir. >>> BT Güvenliği nedir?

                        >>> Facebook Mobil Cihazlarda 2FA Güvenlik

                        >>> Ransomware Virüsü Fidye Yazılımı Nedir

BU İÇERİĞE EMOJİYLE TEPKİ VER!
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir


Başa dön tuşu
error: Sayfa yazılarının kopyalanmasına izin verilmiyor. Teşekkürler