Dutchman
Gigapat
Daha fazla
- Cinsiyet
- Erkek
- Meslek
- Network/IT Security & Threat Specialist
Selamlar,
Gün içerisinde mail yoluyla elime bir dosya ulaştı. Yürütülebilir (.exe) bir dosya ve dosyayı açacağım sistemimde de ESET Internet Security bulunuyordu. Veritabanı güncellemelerini sürekli yapar, koruma modunu ise bilinmeyen dosyalara karşı ekstra agresif olarak kullanırım. Dosyayı açmadan önce de farklı farklı taramalar gerçekleştirdim. Gerek dosyayı tekil olarak, gerek tüm dizinini tarattım. Ardından da sezgisel taramaya soktum. Tüm tarama sonuçlarında temiz gösterdi.
Acelem vardı ve ESET'in bu sonucuna güvenip dosyayı açacaktım, fakat içim rahat etmedi zira dosyanın imza bilgilerinde tuhaflık vardı. Dijital imza Microsoft tarafından verilmiş görünüyordu, fakat dosyanın paketlemesinde yanlış hatırlamıyorsam "WZ Team" adında bir isim bulunuyordu. Microsoft dijital imzalı (!) bir dosyanın böyle bir isimde paketlenmesine ihtimal vermedim ve şüphelerim doğrultusunda VirusTotal üzerinden gerekli taramayı gerçekleştirdim ve cidden şok oldum.
Gördüğünüz gibi dosyada ne ararsam var. Öncelikle dosya KMSAuto kullanıyormuş. Bu sebeple HackTool olarak tespit edilmiş birçok yazılım tarafından. Ayrıca dikkatimi çeken nokta ise, sistemimde kullandığım lisanslı ESET'in dosyaya temiz demesine rağmen, yine ESET'in kendi motoru ESET-NOD32 (ki Internet Security de tarama motoru olarak NOD-32 kullanır) dosyayı zararlı olarak tespit etmiş ve VirusTotal'e bildirmiş.
Anlık şoku atlattıktan sonra manuel olarak ESET'in güncellemelerini kontrol ettim. Ufak bir veritabanı güncellemesi gelmiş ve güncelledim. Tekrarladığımda ise yine dosyaya temiz dedi. Göz göre göre zararlı olma potansiyeli olan dosyaya temiz diyor.
İşin kötüsü, bu dosya Crowdsource Sigma kural setlerine göre davranışsal olarak DropboxAES RAT (Remove Access Trojan) ile benzerlik gösteriyor.
Bu deneyimimi sizlere aktarmak istedim zira ben oldukça şaşırdım. Yıllardır ESET kullanırım, şu ana dek sistemimde bir soruna neden olmadı, görevini de layığıyla yerine getiriyor. Düşük kaynak kullanımı ve yüksek korumasına hep güvenmişimdir ancak bugün karşılaştığım bu olay ile birlikte, bu kadar net bir zararlıyı gözden kaçırmasına anlam veremedim. İlgili tarama sonuçlarını firma ile paylaşmak amacıyla rapor düzenleyeceğim.
Bu sebeple, bundan sonra AV yazılımım onay verse dahi, şüphelendiğim dosyaları mutlaka daha detaylı inceleyeceğim. Sizlere bu konuyu açma amacım da bunun hakkında bilinçlenmeniz. Zira birçok arkadaşımız (biri de ben) yalnızca AV yazılımlarının gösterdiği sonuçlara güveniyor. Mutlaka güvenmediğiniz yazılımları açmadan önce VirusTotal gibi araçlar ile kontrol etmekte fayda var.
Dipnot: Amacım KMSAuto kullanmak değildi. Kuruluşumuzun bize sağladığı Office 365 aboneliğinde yalnızca ihtiyacıma yönelik olan Office programlarını (Word, PowerPoint ve Excel) kurmaktı. Bir arkadaşım da bu yazılım ile yaptığını söyleyerek mail yoluyla bana ulaştırdı. Meğersem adam KMSAuto ile kullanıyormuş.
Dipnot 2: Benim gibi belirli Office programlarını kurmak isteyenler için Microsoft'un geliştirdiği bir Configurator sayfası mevcut. Kurulumu özelleştirmenizi sağlıyor. Bununla alakalı bir konu açacağım.
Gün içerisinde mail yoluyla elime bir dosya ulaştı. Yürütülebilir (.exe) bir dosya ve dosyayı açacağım sistemimde de ESET Internet Security bulunuyordu. Veritabanı güncellemelerini sürekli yapar, koruma modunu ise bilinmeyen dosyalara karşı ekstra agresif olarak kullanırım. Dosyayı açmadan önce de farklı farklı taramalar gerçekleştirdim. Gerek dosyayı tekil olarak, gerek tüm dizinini tarattım. Ardından da sezgisel taramaya soktum. Tüm tarama sonuçlarında temiz gösterdi.
Acelem vardı ve ESET'in bu sonucuna güvenip dosyayı açacaktım, fakat içim rahat etmedi zira dosyanın imza bilgilerinde tuhaflık vardı. Dijital imza Microsoft tarafından verilmiş görünüyordu, fakat dosyanın paketlemesinde yanlış hatırlamıyorsam "WZ Team" adında bir isim bulunuyordu. Microsoft dijital imzalı (!) bir dosyanın böyle bir isimde paketlenmesine ihtimal vermedim ve şüphelerim doğrultusunda VirusTotal üzerinden gerekli taramayı gerçekleştirdim ve cidden şok oldum.
Gördüğünüz gibi dosyada ne ararsam var. Öncelikle dosya KMSAuto kullanıyormuş. Bu sebeple HackTool olarak tespit edilmiş birçok yazılım tarafından. Ayrıca dikkatimi çeken nokta ise, sistemimde kullandığım lisanslı ESET'in dosyaya temiz demesine rağmen, yine ESET'in kendi motoru ESET-NOD32 (ki Internet Security de tarama motoru olarak NOD-32 kullanır) dosyayı zararlı olarak tespit etmiş ve VirusTotal'e bildirmiş.
Anlık şoku atlattıktan sonra manuel olarak ESET'in güncellemelerini kontrol ettim. Ufak bir veritabanı güncellemesi gelmiş ve güncelledim. Tekrarladığımda ise yine dosyaya temiz dedi. Göz göre göre zararlı olma potansiyeli olan dosyaya temiz diyor.
İşin kötüsü, bu dosya Crowdsource Sigma kural setlerine göre davranışsal olarak DropboxAES RAT (Remove Access Trojan) ile benzerlik gösteriyor.
Bu deneyimimi sizlere aktarmak istedim zira ben oldukça şaşırdım. Yıllardır ESET kullanırım, şu ana dek sistemimde bir soruna neden olmadı, görevini de layığıyla yerine getiriyor. Düşük kaynak kullanımı ve yüksek korumasına hep güvenmişimdir ancak bugün karşılaştığım bu olay ile birlikte, bu kadar net bir zararlıyı gözden kaçırmasına anlam veremedim. İlgili tarama sonuçlarını firma ile paylaşmak amacıyla rapor düzenleyeceğim.
Bu sebeple, bundan sonra AV yazılımım onay verse dahi, şüphelendiğim dosyaları mutlaka daha detaylı inceleyeceğim. Sizlere bu konuyu açma amacım da bunun hakkında bilinçlenmeniz. Zira birçok arkadaşımız (biri de ben) yalnızca AV yazılımlarının gösterdiği sonuçlara güveniyor. Mutlaka güvenmediğiniz yazılımları açmadan önce VirusTotal gibi araçlar ile kontrol etmekte fayda var.
Dipnot: Amacım KMSAuto kullanmak değildi. Kuruluşumuzun bize sağladığı Office 365 aboneliğinde yalnızca ihtiyacıma yönelik olan Office programlarını (Word, PowerPoint ve Excel) kurmaktı. Bir arkadaşım da bu yazılım ile yaptığını söyleyerek mail yoluyla bana ulaştırdı. Meğersem adam KMSAuto ile kullanıyormuş.
Dipnot 2: Benim gibi belirli Office programlarını kurmak isteyenler için Microsoft'un geliştirdiği bir Configurator sayfası mevcut. Kurulumu özelleştirmenizi sağlıyor. Bununla alakalı bir konu açacağım.
