Kötü Amaçlı Yazılım TrickBot Nedir? Bilgisayarınızı Nasıl Koruyabilirsiniz?

TrickBot kötü amaçlı yazılımı başlangıçta bankacılık kimlik bilgilerini çalmak için tasarlanmıştı ancak yavaş yavaş ev tabanlı bilgisayarlar ve ağlar için ciddi bir risk oluşturan çok amaçlı bir platforma dönüştü.

Bu kötü amaçlı yazılımın nasıl yayıldığını, oluşturduğu risk türlerini ve bilgisayar kullanıcıları olarak kendimizi korumak için neler yapabileceğimizi öğrenelim.

TrickBot Kötü Amaçlı Yazılımının Arka Planı

TrickLoader olarak da bilinen TrickBot, 2016 yılında finansal hizmetleri ve çevrimiçi bankacılık kullanıcılarını kandırmak için tasarlanmış bir Truva atı virüsü olarak ortaya çıktı. Virüs, bankacılık kimlik bilgilerini çalarak sahte tarama oturumları başlatacak ve doğrudan kurbanın bilgisayarlarından sahte işlemler gerçekleştirecektir.

İLGİLİ İÇERİK
Makro Virüs Nedir?

Modüler yapısı nedeniyle, bu kötü amaçlı yazılım şimdi çeşitli eklenti modülleri, kripto madenciliği yetenekleri ve fidye yazılımı enfeksiyonlarıyla hiç bitmeyen bir ilişki ile eksiksiz bir platforma geçiş yaptı.

Daha da kötüsü, operasyonunun arkasındaki tehdit aktörleri, yazılımı olabildiğince yenilmez hale getirmek için sürekli olarak güncellemektedir.

TrickBot Nasıl Dağıtılır?

Tarihsel olarak, bu kötü amaçlı yazılım, kimlik avı ve MalSpam saldırıları yoluyla yayılır; bunlar yayılmasının en belirgin yolları olmaya devam ediyor.

Bu yöntemler, temel olarak, alıcılara gönderilen kötü amaçlı bağlantılar ve ekler içeren özelleştirilmiş e-postalar kullanan hedefli kimlik avı kampanyalarını içerir. Bu bağlantılar etkinleştirildiğinde, TrickBot kötü amaçlı yazılımı dağıtılır.

Hedefe yönelik kimlik avı kampanyaları, faturalar, sahte gönderi bildirimleri, ödemeler, makbuzlar ve diğer birçok finansal teklif gibi cazibeleri de içerebilir. Bazen bu teklifler güncel olaylardan da ilham alabilir. Ayrıca TrickBot'un ev ofis ağlarını etkileme olasılığı kurumsal ağlara kıyasla üç buçuk kat daha fazladır.

Kurumsal bir ortamda, bir TrickBot aşağıdaki iki yöntemle yayılabilir:

Ağ Güvenlik Açıkları: TrickBot, yaymak için normalde bir kuruluşun Sunucu İleti Bloğu (SMB) Protokolünü kullanır. Bu protokol, Windows bilgisayarlarının aynı ağdaki diğer sistemler arasında bilgi dağıtmasına izin veren protokoldür.

İkincil Yük: TrickBot, ikincil enfeksiyonlar ve Emotet gibi diğer güçlü Truva atı kötü amaçlı yazılımları yoluyla da yayılabilir.

TrickBot Kötü Amaçlı Yazılım Hangi Riskleri Oluşturur?

Başlangıcından bu yana, TrickBot kötü amaçlı yazılımı her tür kullanıcı için ciddi bir endişe kaynağı olmuştur, ancak zamanla modüler kötü amaçlı yazılıma dönüşerek kolayca genişletilebilir hale geldi.

İşte TrickBot tarafından ortaya konan bazı risk faktörleri aşağıdaki gibidir.

Kimlik Hırsızlığı

TrickBot, bir kullanıcının özel verilerini çalmak için tasarlanmıştır. Kullanıcılar çevrimiçi bankacılık oturumları yaparken oturum açma kimlik bilgilerini ve tarayıcı çerezlerini çalarak misyonunu gerçekleştirir.

Arka Kapı Kurulumları

TrickBot ayrıca herhangi bir sisteme bir botnet'in parçası olarak uzaktan erişilmesini sağlayabilir.

Ayrıcalık Yükselmeleri

Bu kötü amaçlı yazılım, hedefleri gözetleyerek ve sistem erişimi ve bilgileri elde ederek, oturum açma kimlik bilgileri, e-posta erişimi ve etki alanı denetleyicilerine erişim gibi denetleyicilerine yüksek ayrıcalıklı erişim sağlayabilir.

Diğer Kötü Amaçlı Yazılım Türlerinin İndirilmesi

TrickBot, diğer kötü amaçlı yazılımların indirilmesini sağlayabilir.

Esasen bir Truva atı olan TrickBot, masum e-posta ekleri veya PDF belgeleri kılığında cihazınıza iner, ancak bir kez bir sisteme girdiğinde, Ryuk fidye yazılımı veya Emotet gibi diğer kötü amaçlı yazılımları indirerek hasara yol açabilir.

Algılamayı Önlemek İçin Kendi Kendini Değiştirme

Modüler yapısı nedeniyle, TrickBot'un her örneği diğerlerinden farklı olabilir. Bu, siber suçlulara bu kötü amaçlı yazılımı daha az algılanabilir ve fark edilebilir hale getirmek için özelleştirme olanağı sağlar.

"nworm" gibi daha yeni varyantları, bir kapatma veya yeniden başlatmanın ardından tamamen kayboldukları için kurbanın cihazında hiçbir iz bırakmayacak şekilde tasarlanmıştır.

Tespit Edildiğinde TrickBot Nasıl Kaldırılır?

En korkutucu kötü amaçlı yazılımların bile gelişimsel kusurları olabilir. Anahtar, bu kusurları bulmak ve kötü amaçlı yazılımı yenmek için bunlardan yararlanmaktır. Aynı şey TrickBot için de geçerlidir.

Bir TrickBot enfeksiyonu, manuel olarak veya bu tür kötü amaçlı yazılımları kaldırmak için tasarlanmış Malware Bytes gibi sağlam bir virüsten koruma yazılımı kullanılarak kaldırılabilir . El ile kaldırma bazen karmaşık olabileceğinden, bir virüsten koruma paketi kullanarak kaldırmak daha iyi bir sonuç sağlar.

Bulaşma vektörü belirlendikten sonra, virüs bulaşan makinenin en kısa sürede ağ bağlantısı kesilmeli ve tüm yönetimsel paylaşımlar devre dışı bırakılmalıdır.

Kötü amaçlı yazılım kaldırıldıktan sonra, gelecekteki enfeksiyonları önlemek için tüm hesap kimlik bilgileri ve şifreler ağ genelinde değiştirilmelidir.

TrickBot Kötü Amaçlı Yazılımına Karşı Koruma İpuçları

Kendinizi herhangi bir kötü amaçlı yazılım bulaşmasından korumak için bunların nasıl çalıştığını anlamak önemlidir. Kendinizi Trickbot'a karşı nasıl koruyacağınız aşağıda açıklanmıştır.

Tüm çalışanlara kimlik avı, siber güvenlik ve sosyal mühendislik eğitimi verin. Bireysel bir ev kullanıcısıysanız, kimlik avı saldırıları konusunda kendinizi eğitmeye çalışın ve şüpheli bağlantılardan uzak durun.

TrickBot gibi kötü amaçlı yazılımları tespit etmek için özel olarak tasarlanmış araçları kullanarak olası IOC'leri (Uzlaşma Göstergeleri) arayın. Bu, ağınızdaki virüslü makineleri tanımlamaya yardımcı olacaktır.

İLGİLİ İÇERİK
Solucan Virüsü Nedir ve Bilgisayarınıza Nasıl Bulaşır?

Daha fazla yayılmayı önlemek için tanımlanan ve virüs bulaşmış makineleri mümkün olan en kısa sürede izole edin.

TrickBot'un yararlandığı güvenlik açıklarının türünü dikkate alan yamaları indirin ve uygulayın.

Tüm yönetimsel paylaşımları devre dışı bırakın ve tüm yerel ve ağ şifrelerini değiştirin.

Çok katmanlı bir siber güvenlik koruma programına, özellikle de bu tür kötü amaçlı yazılımları gerçek zamanlı olarak algılayıp engelleyebilenlere yatırım yapın.

Kullanıcıların görevlerini yerine getirmeleri için gereken minimum erişim düzeyine sahip olmalarını sağlayan en az ayrıcalık (POLP) ilkesini her zaman uygulayın . Yönetici kimlik bilgileri yalnızca yöneticilere atanmalıdır.

Tüm şüpheli e-postaların BT veya güvenlik departmanlarınıza bildirilmesi için şüpheli bir e-posta politikası oluşturmayı düşünün.

Tüm şüpheli IP adreslerini güvenlik duvarı düzeyinde engelleyin ve bilinen MalSpam göstergelerine sahip e-postalar için filtreler uygulayın.
Daha yeni Daha eski