Dikkat! CrossRAT zararlısı Windows, MacOS ve Linux sistemleri tehdit ediyor!

Dikkat! CrossRAT zararlısı Windows, MacOS ve Linux sistemleri tehdit ediyor!
Ocak 26 16:22 2018 Yazıyı Yazdır

Eğer siz de bir Linux ya da MacOS kullanıcısıysanız, en az Windows kullanıcıları kadar dikkatli olsanız iyi olacak, zira CrossRAT isimli zararlı, Windows’tan başka Solaris ile birlikte MacOS ve Linux işletim sistemlerini de etkiliyor. Geçtiğimiz günlerde ortaya çıkan Dark Caracal isimli bir grup, gelişmiş kalıcı tehdit (APT) saldırıları düzenleyerek, mobil casusluk operasyonları düzenlemeye başladı.

Gruba ilişkin raporlarda, bilgisayar sistemlerinden ziyade mobil cihazlar hedef alınmış durumda. Ancak yeni çıkan CrossRAT isimli zararlının masaüstü işletim sistemlerini hedef aldığı ortaya çıktı. Bu zararlıyla birlikte saldırganlar dosya sistemini manipüle edebiliyor, ekran görüntüsü çekebiliyor, uygulama dosyası çalıştırabiliyor ve sistem üzerinde kalıcı erişim sağlayabiliyor

CrossRAT, Java programlama dili ile yazılmış bir uygulama. Bu sebeple de tersine mühendisler ve araştırmcıların decompile etmelerinin daha kolay olduğu düşünülüyor. Diğer taraftan piyasada bulunan 58 popüler antivirüs uygulamasından sadece iki tanesinin CrossRAT‘i tespit edebildiği de VirusTotal’ın yayınladığı raporlar arasında.

CrossRAT 0.1 cross platform casus yazılım

Zararlı çalıştığında, ilk olarak hedefin işletim sistemini tespit ediyor. Daha sonra çekirdek sürümü ve mimari gibi bilgileri öğrenip, çalışmasını bu yapıya göre düzenliyor. Yazılım ayrıca Arch, CentOS, Debian, Kali, Fedora ve Mint gibi popüler birçok dağıtımın ayrımını da gerçekleştirebilme özelliğine sahip. CrossRAT, tüm bu bilgiler ışığında, sistemin çalışma mekanizmasına göre otomatik olarak çalışıyor ve sistem üzerinde ettiği tüm bilgileri doğrudan bağlı olduğu C&C sunucusuna gönderiyor.

CrossRAT pasif tuş dinleyici modülü

Lookout araştırmacılarının raporuna göre CrossRAT, 2223 portu üzerinden flexberry.com adresine bağlanıyor. Bu bilgilere, “crossrat/k.class” dosyasının incelenmesi halinde erişmek mümkün. Zararlı, temel bir takım izleme özelliklerine sahip.

Bu özellikler, C&C sunucusu tarafından tetiklendiği zaman devreye giriyor. CrossRAT ile birlikte kullanılan “jnativehook” isimli açık kaynak Java kütüphanesi sayesinde de yazılım, sızdığı sistemdeki fare ve klavye hareketlerini dinleyebiliyor.

Enfekte olup olmadığınızı nasıl kontrol edebilirsiniz?

CrossRAT, neredeyse tüm işletim sistemlerine bulaşabildiği için, sizin de bu zararlıdan etkilenip etkilenmediğinizi test etmenizde fayda var. Bunun için aşağıdaki adımları takip edebilirsiniz.

Windows
Kayıt defterine girin ve’HKCU\Software\Microsoft\Windows\CurrentVersion\Run\’ anahtarını kontrol edin
“java, -jar and mediamgrs.jar” şeklinde bir girdi olması halinde sisteminiz enfekte durumda demektir.

MacOS
~/Library dizinini içinde mediamgrs.jar isimli dosyanın olup olmadığını kontrol edin.
Ayrıca /Library/LaunchAgents ya da ~/Library/LaunchAgents dizinlerinde mediamgrs.plist isimli bir dosya olup olmadığını kontrol edin.

Linux
/usr/var dizini içinde mediamgrs.jar isimli bir dosya var mı yok mu kontrol edin.
Ayrıca ~/.config/autostart dizini içinde mediamgrs.desktop dosyasını kontrol edin.

CrossRAT truva atından nasıl korunulur?

Mevcut güvenlik uygulamaları içinde şu an için sadece iki tanesi bu zararlıyı tespit edebildiği için, davranış tabanlı güvenlik uygulamaları kullanmanız tavsiye ediliyor.

daha fazla yazı

Yazar Hakkında

Atalay Keleştemur
Atalay Keleştemur

Atalay Keleştemur, siber istihbarat analisti ve PHP güvenlik uzmanı olarak görev yapmaktadır. Linux ve özgür yazılım gönüllüsüdür. Çeşitli kurumlarda sistem yöneticisi ve yazılım geliştiricisi olarak çalışmıştır. Siber İstihbarat isimli kitabın yazarıdır.

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.