Upload
trancong
View
237
Download
3
Embed Size (px)
Citation preview
asdas
Equation Group Değerlendirme Raporu
Equation Group Değerlendirme Raporu
BARİKAT BİLİŞİM GÜVENLİĞİ 1/21 1
20 Şubat 2015
Değerli Müşterimiz,
Barikat ArGe olarak; bilişim güvenliği alanında önemli bulduğumuz çalışmaları Türkiye yerel parametreleri
dikkate alarak değerlendiriyor ve yorumluyoruz.
Bu dokümanımızda; “Equation Group” hacker grubunu yorumlamaya çalıştık. Raporun kaynağı olarak
Equation Group adlı siber casusluk örgütünün varlığını tespit eden, Kaspersky Lab tarafından oluşturulmuş
“Equation Group: Questions and Answers” adlı doküman kullanılmıştır.
Yorumlarımızın sizlere yararlı olacağını umar, keyifli bir okuma dileriz.
Saygılarımızla,
Barikat Bilişim Güvenliği ArGe Birimi İletişim Adresi: Mutlukent Mahallesi, 1961. cadde No: 9 / A-1 PK: 06800 Ümitköy, Ankara, Türkiye Telefon : +90 312 235 44 41 Faks : +90 312 235 44 51 Web Sitesi : www.barikat.com.tr Eposta : [email protected]
Equation Group Değerlendirme Raporu
BARİKAT BİLİŞİM GÜVENLİĞİ 2/21 2
-BOŞ BIRAKILMIŞTIR-
Equation Group Değerlendirme Raporu
BARİKAT BİLİŞİM GÜVENLİĞİ 3/21 3
İÇİNDEKİLER
1 Yönetici Özeti .......................................................................................................................................... 4
2 Analiz ...................................................................................................................................................... 5
3 Sonuçlar .................................................................................................................................................. 4
4 Referanslar ............................................................................................................................................. 5
Ek-A İstila Emareleri (IOC) ............................................................................................................................. 0
İLETİŞİM BİLGİLERİ ......................................................................................................................................... 4
Equation Group Değerlendirme Raporu
BARİKAT BİLİŞİM GÜVENLİĞİ 4/21 4
1 Yönetici Özeti
Bu raporumuzda, bir çok kuruluş tarafından tarihin en karmaşık yapısına sahip olduğu düşünülen
“Equation Group” adlı siber casusluk grubunu incelemeye çalıştık. “Düşmanını tanı” prensibinden yola
çıkılarak hazırlanan bu raporda, Equation Group tarafından oluşturulmuş zararlı yazılımlardan, grubun
faaliyetlerinden bahsedilmiş ve yazının sonunda saldırıları tespit etmede kullanılabilecek İstila Emareleri
(IOC) belirtilmiştir.
Barikat Ar-Ge departmanı tarafından 2014 yılında yayınlanan Verizon DBIR-2014 Değerlendirme
Raporunda1 ve 2014 yılı Aralık ayında gerçekleştirilen Barikat 2015 Etkinliğinde2, önemle vurgulanan
konulardan bir tanesi de “Siber Casusluk” faaliyetlerinin yükselişte olduğu idi.
Bir çok kaynağa göre bu grup, kullanmakta oldukları ileri düzey teknik, beceriler ve araçlar dolayısıyla bir
yabancı devlet tarafından desteklenmekte veya direk olarak o ülkenin istihbarat servisi altında çalışmakta.
Eğer kaynakların belirtmiş olduğu varsayımlar doğru ise, bilişim güvenliği alanında şimdiye kadar
karşılaşılan bu en ciddi ve kapsamlı siber casusluk faaliyeti yaklaşık 14 yıldır devam etmektedir.
Türkiye, yayınlanan rapora göre, bu siber casusluk olayından etkilenen ülkelerden bir tanesidir.
Durumun ciddiyetini vurgulamak açısından, fiziksel teslimat aşamasında yer alan ürünlerin dahi içerisine
müdahale ederek zararlı yazılım yükleyebilen bu grup, bilgi toplama, uzaktan erişim ve sistemlerin
kontrolü gibi ileri seviye faaliyetler gerçekleştirebilmektedir.
Yine bu grup, çok bilinen bazı disk üreticilerinin bellenim (firmware) yapılarına müdahale ederek, askeri
yöntemlerle disk sıfırlama işlemlerini bile atlatabilecek uygulamaları ile, veri sızıntısına neden olabilecek
faaliyetler gerçekleştirebildikleri çeşitli raporlarda yer almaktadır.
Kaspersky raporunda belirtilen bu mevzuların, henüz ilgili üretici, kurum ve kuruluşlar tarafından
doğrulanmadığını belirtmekle birlikte, her ihtimale karşı bu raporda bahsi geçen güvenlik durumlarının
bizleri ne kadar etkileyebileceğinin incelenmesi millî menfaatlerimiz açısından faydalı olacaktır.
Bu grubun oluşturmuş olduğu tahmin edilen uygulamalar ile ilgili İstila Emarelerini (IOC) de bu raporun
ekler kısmında bulabilirsiniz. İyi okumalar dileriz.
1 http://docs.barikat.com.tr/file/Barikat_VerizonDBIR14.pdf
2 http://2015.barikat.com.tr/
Equation Group Değerlendirme Raporu
BARİKAT BİLİŞİM GÜVENLİĞİ 5/21 5
2 Analiz
Equation Group
Equation Group (EG); 1996 ila 2001 yılları arasında oluşturulduğu düşünülen, yüksek seviyede araç, teknik
ve süreçlere (TTP) sahip sofistike bir siber casusluk ekibidir. Bu isim ekibe Kaspersky Lab tarafından verilmiş
olup, bu ismin seçilme nedeni olarak ekibin sıklıkla kullanmakta olduğu şifreleme algoritmaları ve şaşırtma
stratejileri gösterilmektedir. Ayrıca Kaspersky, EG’nin şimdiye kadar rastlamış oldukları en sofistike siber
atak grubu olduğunu belirtmektedir.
Araçlar
EG tarafından kullanıldığı tespit edilen bir takım yazılımlardan bahsetmek gerekirse:
EquationDrug
DoubleFantasy
Equestre
TripleFantasy
GrayFish
Fanny
EquationLaser
Şekil-1 Equation Group Zararlı Yazılım Ailesi
Equation Group Değerlendirme Raporu
BARİKAT BİLİŞİM GÜVENLİĞİ 1/21 1
Bu zararlı uygulamalardan en önemlilerinden kısaca bahsetmek gerekirse:
EquationDrug
2013 sonrasında GrayFish ile değiştirilen EquationDrug, EG’nin en karmaşık casusluk platformlarından bir
tanesidir. İlk başta DoubleFantasy (bu yazılımın Mac OS X için geliştirilmiş sürümüne de rastlanmıştır)
bulaştırılan kurban, eğer ilgi çekici özelliklere (kritik verilere vb.) sahip ise EquationDrug yüklenerek işletim
sisteminin tam olarak kontrolü ele geçirilmektedir. Bu noktadan sonra istenilen eklentiler ilgili sisteme
yüklenerek kurban üzerinde her türlü faaliyet gerçekleştirilebilmektedir.
Şekil-2 EquationDrug bulaşma döngüsü
EquationDrug Windows 95/98/ME/XP/2003 işletim sistemlerinde çalışmaktadır. Eğer işletim sistemi
Windows 7 ve sonrası ise saldırganlar TripleFantasy veya GrayFish platformlarını kullanmaktadır. Ayrıca
bu yazılım kendini belli bir süre sonra imha etme (C2 ile irtibat kuramama durumda tespit edilmemek
açısından) özelliğine de sahiptir.
GrayFish
EG’ nin; tüm yeni nesil Windows işletim sistemlerinde çalışan, tespit edilmesi çok zor, gizli bir depolama
alanında yer alan, kod çalıştırmaya imkan veren en modern ve karmaşık siber casusluk uygulamasıdır.
GrayFish; bulaştığı bilgisayarın açılış aşamasında kendini “boot record” alanına enjekte ederek adım adım
tüm aşamaları kontrolü altına alabilmektedir. Bu şekilde işletim sistemi ile ilgili her türlü kontrolü de eline
alabilmektedir. Bootkit ile kullanılarak tüm bilgileri şifreleyip registry’de tutabilen yapısı sayesinde anti-
virüs ürünleri tarafından da yakalanamamaktadır.
Equation Group Değerlendirme Raporu
BARİKAT BİLİŞİM GÜVENLİĞİ 2/21 2
Fanny
EG tarafından oluşturulan ve Ortadoğu ve Asya ülkelerine dağıtılan Fanny “worm”u iki adet sıfır-gün
“exploit” içermektedir. Burada önemli olan nokta; bu iki “exploit”in Stuxnet’te bile kullanılmadan önce
Fanny’de kullanılmasıdır. Bu durumda akla, Stuxnet’i geliştirenler ile bu grubun aynı kişiler olma ihtimali
gelmektedir.
Fanny; hava-boşluklu sistemlerden dahi veri sızdırılmasına yarayan bir uygulamadır. Bir USB belleğe
bulaşan bu uygulama; internet bağlantısı olmayan bir sunucuya bağlandığında durumu algılamakta ve
sistem bilgilerini kendi şifreli ve gizli alanına kopyalamaktadır. Eğer üzerine belirli komutlar girilmiş ise bu
komutları çalıştırmakta ve sonuçlarını yine üzerine yazabilmektedir. Daha sonra bu USB bellek internet
bağlantısı olan bir sisteme bağlandığında, üzerindeki bilgileri C2 sitesine gönderebilmektedir.
Equation Group; kurbanlara erişim için çeşitli kanallar kullanmaktadır. Bunlar:
Worm
Fiziksel medya, CD-ROM
USB bellekler + exploitler
Web tabanlı exploitler
Bu kanallardan en ilginç olanı ise, CD-ROM’ların “exploit” edilmesidir. Gönderi halindeki fiziksel CD-
ROMlar yolda trojanlı sürümleri ile değiştirilmekte ve kurbanlara gönderilmektedir! Bunun tam olarak
nasıl başarıldığı bilinmemekle birlikte EquationLaser içeren bir Oracle yükleme CD’si bile tespit
edilmiştir.
Yine önemli saldırı tekniklerinden bir tanesi de; EG’nin; disk formatlama işlemlerinden korunmasını
sağlayan ve kendine gizli bir alan oluşturan HDD firmware’lerini yeniden programlama eklentisidir. Bu
eklenti son derece nadir olmakla birlikte çok az rastlandığı için sadece çok özel durumlarda kullanıldığı
düşünülmektedir. Bu eklentinin yeni sürümü aşağıdaki sınıfları programlayabilmektedir:
• “WDC WD”, <Western Digital Technologies Inc> additional vendor specific checks used
• “ST”, “Maxtor STM”, “SEAGATE ST”, <Seagate Technology> • “SAMSUNG”, <SAMSUNG ELECTRONICS CO., LTD.> • “WDC WD”, <Western Digital Technologies, Inc.> additional vendor specific checks used • <HGST a Western Digital Company>, “IC”, “IBM”, “Hitachi”, “HTS”, “HTE”, “HDS”, “HDT”, “ExcelStor” • “Max”, “Maxtor STM” • <MICRON TECHNOLOGY, INC.>, “C300”, “M4” • <HGST a Western Digital Company>, <TOSHIBA CORPORATION> • “OCZ”, “OWC”, “Corsair”, “Mushkin” additional vendor specific checks used • <Samsung Electronics Co., Ltd., Storage System Division>, <Seagate Technology>, <SAMSUNG ELECTRONICS CO., LTD.> +additional checks • <TOSHIBA CORPORATION COMPUTER DIVISION>, “TOSHIBA M” +checks • <Seagate Technology>, “ST”
Equation Group Değerlendirme Raporu
BARİKAT BİLİŞİM GÜVENLİĞİ 3/21 3
EG tarafından C2 olarak kullanılan 300’den fazla etki alanı ve 100’den fazla sunucu tespit edilmiştir. Bu
sunucular dağıtık yapıda birden çok ülkede barındırılmaktadır.
Diğer bir vurgulanması gereken önemli konu ise; EG’nin belirli bölgelerden gelen ziyaretçileri etkileyecek
“php” tabanlı sitelere betik yüklemeleridir. Bu betik sayesinde ilgili siteyi ziyaret eden oturum açmış
kullanıcılara zararlı yazılım bulaşarak kontrol elde edilebilecektir. Bu betik ayrıca iPhone’larda da çalışacak
şekilde de tasarlanmıştır.
İlgili yazılımın bulaşması için yazılan betikte, kasıtlı olarak “exploit” edilmeyecek üç ülkenin IP blokları
tespit edilmiştir. Bu ülkeler Ürdün, Türkiye ve Mısır’dır. Yani bu ülkelere “exploit” bulaşmaması için özel
yapılandırma yapılmıştır.
Equation Group kurbanlarının dağılımı aşağıdaki şekilde gösterilmiştir.
Şekil-3 Equation Group kurban haritası
Türkiye bu listede düşük seviyedeymiş gibi görünse de, EG yazılım ve eklentilerinin kendini imha
mekanizmasına sahip olmasından dolayı, tespit edilmemiş olma ihtimali unutulmamalıdır. İlgili grubun
yaklaşık olarak 15 senedir faaliyet yürüttüğünü de göz önünde bulundurursak Türkiye’dekiler de dahil
olmak üzere binlerce faaliyet göstermiş olmaları ihtimali göz ardı edilemez bir gerçektir.
Equation Group Değerlendirme Raporu
BARİKAT BİLİŞİM GÜVENLİĞİ 4/21 4
3 Sonuçlar
Yukarıda anlatmaya çalıştığımız gibi, Equation Group son derece tehlikeli ve karmaşık olmakla beraber
ulusal bir siber casusluk örgütü emareleri göstermektedir. Bu örgüt tarafından gerçekleştirilen faaliyetlere
maruz kalınıp kalınmadığını, halen bu tür faaliyetlerin sistemimizde gerçekleşip gerçekleşmediğini
anlamaya yönelik, Ek-A’da belirtilen istila emareleri ile ilgili çalışmaların bir an önce gerçekleştirilmesi
önemlidir.
Öncelikli olarak hızlı bir kontrol açısından, Ek-A’da tanımlı IP ve etki alanlarına içeriden herhangi bir erişim
olup olmadığını tespit etmeye yönelik sorgular, güvenlik duvarı veya yönlendiriciler üzerinden
gönderilebilir. Yine Ek-A’da belirtilmiş zararlı yazılımların MD5 değerleri, son kullanıcı AV, HIPS vb. ürünleri
üzerinde tanımlanıp, bu uygulamaların varlığı hakkında bilgi edinme ve engelleme işlemleri
gerçekleştirilebilir.
Diğer raporlarımızda da önerdiğimiz gibi; Barikat olarak inancımız, güvenliği bütünsel olarak ele alacak
bir güvenlik metodolojisi oluşturmak gerektiği yönündedir.
Bu metodoloji ile atılması gereken adımlar önceliklendirilmeli ve bu adımların mümkün olduğunca
otomasyonu sağlanmalıdır. Barikat ArGe olarak bu metodolojik yaklaşım ile oluşturduğumuz Barikat
Güvenlik Kontrolleri (BGK) bir çok alt kontrol içermektedir. BGK uygulandığında, ilgili kurumun güvenlik
seviyesinde %90’lara varan bir iyileşme olması öngörülmektedir. BGK hakkında detaylı bilgi almak için
müşteri yöneticiniz ile iletişime geçebilirsiniz.
Equation Group Değerlendirme Raporu
BARİKAT BİLİŞİM GÜVENLİĞİ 5/21 5
4 Referanslar
1. https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/
2. http://arstechnica.com/security/2015/02/how-omnipotent-hackers-tied-to-the-nsa-hid-for-
14-years-and-were-found-at-last/
3. http://www.kaspersky.com/about/news/virus/2015/Equation-Group-The-Crown-Creator-
of-Cyber-Espionage
Ek-A İstila Emareleri(IOC)
İsim EquationLaser
MD5 752af597e6d9fd70396accc0b9013dbe
Tip EquationLaser installer
Derlenme Mon Oct 18 15:24:05 2004
İsim Disk from Houston "autorun.exe" with EoP exploits
MD5 6fe6c03b938580ebf9b82f3b9cd4c4aa
Tip EoP package and malware launcher
Derlenme Wed Dec 23 15:37:33 2009
İsim DoubleFantasy
MD5 2a12630ff976ba0994143ca93fecd17f
Tip DoubleFantasy installer
Derlenme Fri Apr 30 01:03:53 2010
İsim EquationDrug
MD5 4556ce5eb007af1de5bd3b457f0b216d
Tip EquationDrug installer ("LUTEUSOBSTOS")
Derlenme Tue Dec 11 20:47:12 2007
İsim GrayFish
MD5 9b1ca66aab784dc5f1dfe635d8f8a904
Tip GrayFish installer
Derlenme Compiled: Fri Feb 01 22:15:21 2008 (installer)
İsim Fanny
MD5 0a209ac0de4ac033f31d6ba9191a8f7a
Tip Fanny worm
Derlenme Mon Jul 28 11:11:35 2008
İsim TripleFantasy
MD5 9180d5affe1e5df0717d7385e7f54386 loader (17920 bytes .DLL)
Tip ba39212c5b58b97bfc9f5bc431170827 encrypted payload (.DAT)
Derlenme various, possibly fake
İsim _SD_IP_CF.dll - unknown
MD5 03718676311de33dd0b8f4f18cffd488
Tip DoubleFantasy installer + LNK exploit package
Derlenme Fri Feb 13 10:50:23 2009
Equation Group Değerlendirme Raporu
BARİKAT BİLİŞİM GÜVENLİĞİ 1/21 1
İsim nls_933w.dll
MD5 11fb08b9126cdb4668b3f5135cf7a6c5
Tip HDD reprogramming module
Derlenme Tue Jun 15 20:23:37 2010
Name standalonegrok_2.1.1.1 / GROK
MD5 24a6ec8ebf9c0867ed1c097f4a653b8d
Type GROK keylogger
Compiled Tue Aug 09 03:26:22 2011
Komuta Kontrol Sistemleri
DoubleFantasy:
advancing-technology.com
avidnewssource.com
businessdealsblog.com
businessedgeadvance.com
charging-technology.com
computertechanalysis.com
config.getmyip.com
globalnetworkanalys.com
melding-technology.com
myhousetechnews.com
newsterminalvelocity.com
selective-business.com
slayinglance.com
successful-marketing-now.com
taking-technology.com
techasiamusicsvr.com -
technicaldigitalreporting.com
timelywebsitehostesses.com
www.dt1blog.com
www.forboringbusinesses.com
EquationLaser:
lsassoc.com
gar-tech.com
Fanny:
webuysupplystore.mooo.com
Equation Group Değerlendirme Raporu
BARİKAT BİLİŞİM GÜVENLİĞİ 1/21 1
EquationDrug:
newjunk4u.com
easyadvertonline.com
newip427.changeip.net -
ad-servicestats.net
subad-server.com
ad-noise.net
ad-void.com
aynachatsrv.com
damavandkuh.com
fnlpic.com
monster-ads.net
nowruzbakher.com
sherkhundi.com
quik-serv.com
nickleplatedads.com
arabtechmessenger.net
amazinggreentechshop.com
foroushi.net
technicserv.com
goldadpremium.com
honarkhaneh.net
parskabab.com
technicupdate.com
technicads.com
customerscreensavers.com
darakht.com
ghalibaft.com
adservicestats.com
247adbiz.net
webbizwild.com
roshanavar.com
afkarehroshan.com
thesuperdeliciousnews.com
adsbizsimple.com
goodbizez.com
meevehdar.com
xlivehost.com
gar-tech.com
downloadmpplayer.com
honarkhabar.com
techsupportpwr.com
webbizwild.com
zhalehziba.com
serv-load.com
wangluoruanjian.com
islamicmarketing.net
noticiasftpsrv.com
coffeehausblog.com
platads.com
havakhosh.com
toofanshadid.com
bazandegan.com
sherkatkonandeh.com
mashinkhabar.com
quickupdateserv.com
rapidlyserv.com
GrayFish:
ad-noise.net
business-made-fun.com
businessdirectnessource.com
charmedno1.com
cribdare2no.com
dowelsobject.com
following-technology.com
forgotten-deals.com
functional-business.com
housedman.com
industry-deals.com
listennewsnetwork.com
Equation Group Değerlendirme Raporu
BARİKAT BİLİŞİM GÜVENLİĞİ 1/21 1
phoneysoap.com
posed2shade.com
quik-serv.com
rehabretie.com
speedynewsclips.com
teatac4bath.com
unite3tubes.com
unwashedsound.com
TripleFantasy:
arm2pie.com brittlefilet.com cigape.net crisptic01.net fliteilex.com itemagic.net micraamber.net
mimicrice.com rampagegramar.com rubi4edit.com rubiccrum.com rubriccrumb.com team4heat.net tropiccritics.com
Equation Group exploit sunucuları:
standardsandpraiserepurpose.com
suddenplot.com
technicalconsumerreports.com
technology-revealed.com
Zararlı yazılım konfigürasyon bloklarındaki kodlanış IP’ler
149.12.71.2
190.242.96.212
190.60.202.4
195.128.235.227
195.128.235.231
195.128.235.233
195.128.235.235
195.81.34.67
202.95.84.33
203.150.231.49
203.150.231.73
210.81.52.120
212.61.54.239
41.222.35.70
62.216.152.67
64.76.82.52
80.77.4.3
81.31.34.175
81.31.36.174
81.31.38.163
81.31.38.166
84.233.205.99
85.112.1.83
87.255.38.2
89.18.177.3
Equation Group Değerlendirme Raporu
BARİKAT BİLİŞİM GÜVENLİĞİ 1/21 1
Kaspersky ürünleri tespit isimleri:
Backdoor.Win32.Laserv
Backdoor.Win32.Laserv.b
Exploit.Java.CVE-2012-1723.ad
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.Generic
HEUR:Trojan.Java.Generic
HEUR:Trojan.Win32.DoubleFantasy.gen
HEUR:Trojan.Win32.EquationDrug.gen
HEUR:Trojan.Win32.Generic
HEUR:Trojan.Win32.GrayFish.gen
HEUR:Trojan.Win32.TripleFantasy.gen
Rootkit.Boot.Grayfish.a
Trojan-Downloader.Win32.Agent.bjqt
Trojan.Boot.Grayfish.a
Trojan.Win32.Agent.ajkoe
Trojan.Win32.Agent.iedc
Trojan.Win32.Agent2.jmk
Trojan.Win32.Diple.fzbb
Trojan.Win32.DoubleFantasy.a
Trojan.Win32.DoubleFantasy.gen
Trojan.Win32.EquationDrug.b
Trojan.Win32.EquationDrug.c
Trojan.Win32.EquationDrug.d
Trojan.Win32.EquationDrug.e
Trojan.Win32.EquationDrug.f
Trojan.Win32.EquationDrug.g
Trojan.Win32.EquationDrug.h
Trojan.Win32.EquationDrug.i
Trojan.Win32.EquationDrug.j
Trojan.Win32.EquationDrug.k
Trojan.Win32.EquationLaser.a
Trojan.Win32.EquationLaser.c
Trojan.Win32.EquationLaser.d
Trojan.Win32.Genome.agegx
Trojan.Win32.Genome.akyzh
Trojan.Win32.Genome.ammqt
Trojan.Win32.Genome.dyvi
Trojan.Win32.Genome.ihcl
Trojan.Win32.Patched.kc
Trojan.Win64.EquationDrug.a
Trojan.Win64.EquationDrug.b
Trojan.Win64.Rozena.rpcs
Worm.Win32.AutoRun.wzs
Equation Group Değerlendirme Raporu
BARİKAT BİLİŞİM GÜVENLİĞİ 1/21 1
Yara kuralları:
rule apt_equation_exploitlib_mutexes {
meta:
copyright = "Kaspersky Lab"
description = "Rule to detect Equation group's Exploitation library"
version = "1.0"
last_modified = "2015-02-16"
reference = "https://securelist.com/blog/"
strings:
$mz="MZ"
$a1="prkMtx" wide
$a2="cnFormSyncExFBC" wide
$a3="cnFormVoidFBC" wide
$a4="cnFormSyncExFBC"
$a5="cnFormVoidFBC"
condition:
(($mz at 0) and any of ($a*))
}
rule apt_equation_doublefantasy_genericresource {
meta:
copyright = "Kaspersky Lab"
description = "Rule to detect DoubleFantasy encoded config"
version = "1.0"
last_modified = "2015-02-16"
reference = "https://securelist.com/blog/"
Equation Group Değerlendirme Raporu
BARİKAT BİLİŞİM GÜVENLİĞİ 2/21 2
strings:
$mz="MZ"
$a1={06 00 42 00 49 00 4E 00 52 00 45 00 53 00}
$a2="yyyyyyyyyyyyyyyy"
$a3="002"
condition:
(($mz at 0) and all of ($a*)) and filesize < 500000
}
rule apt_equation_equationlaser_runtimeclasses {
meta:
copyright = "Kaspersky Lab"
description = "Rule to detect the EquationLaser malware"
version = "1.0"
last_modified = "2015-02-16"
reference = "https://securelist.com/blog/"
strings:
$a1="?a73957838_2@@YAXXZ"
$a2="?a84884@@YAXXZ"
$a3="?b823838_9839@@YAXXZ"
$a4="?e747383_94@@YAXXZ"
$a5="?e83834@@YAXXZ"
$a6="?e929348_827@@YAXXZ"
condition:
any of them
}
Equation Group Değerlendirme Raporu
BARİKAT BİLİŞİM GÜVENLİĞİ 3/21 3
rule apt_equation_cryptotable {
meta:
copyright = "Kaspersky Lab"
description = "Rule to detect the crypto library used in Equation group malware"
version = "1.0"
last_modified = "2015-02-16"
reference = "https://securelist.com/blog/"
strings:
$a={37 DF E8 B6 C7 9C 0B AE 91 EF F0 3B 90 C6 80 85 5D 19 4B 45 44 12 3C E2 0D 5C 1C 7B C4 FF D6
05 17 14 4F 03 74 1E 41 DA 8F 7D DE 7E 99 F1 35 AC B8 46 93 CE 23 82 07 EB 2B D4 72 71 40 F3 B0 F7 78
D7 4C D1 55 1A 39 83 18 FA E1 9A 56 B1 96 AB A6 30 C5 5F BE 0C 50 C1}
condition:
$a
}
Equation Group Değerlendirme Raporu
BARİKAT BİLİŞİM GÜVENLİĞİ 4/21 4
İLETİŞİM BİLGİLERİ İletişim Adresi: Mutlukent Mahallesi, 1961. cadde No: 9 / A-3 PK: 06800 Ümitköy, Ankara, Türkiye Telefon : +90 312 235 44 41 Faks : +90 312 235 44 51 Web Sitesi : www.barikat.com.tr Eposta : [email protected]
Equation Group Değerlendirme Raporu
BARİKAT BİLİŞİM GÜVENLİĞİ 5/21 5