Anlatmakta zorlandığımız tehlikelere güzel bir örnek:
AskMen.com
Sızma testleri bulguları arasında üst yönetime en zor
açıklananlar, XSS gibi, kurum kaynaklarının başkalarına saldırmak için kullanıldığı
zafiyetlerdir. Kendileri de konuya çok hakim olmadıklarından olsa gerek bazı “hızlı heykır” abilerimiz XSS
zafiyetlerinin göstergesi olarak ekrana “XSS Var!” yazdırmaktan fazlasını sunamazlar. Benzer saldırılardan birisi de sitenin kaynak koduna zararlı bir kod eklenerek site ziyaretçilerine karşı yapılan saldıralardır.
Websense araştırmacıları www.askmen.com
sitesinin kaynak koduna zararlı java kodları eklendiğini tespit etmiş. Aylık 10
milyondan fazla ziyaretçisi olduğu tahmin edilen siteye eklenen kod özünde
zararlı değil. Eklenen kod ziyaretçiyi asıl zararlı kodun bulunduğu siteye
yönlendirerek istismar kodunun buradan yüklenmesini sağlıyor.
Şekil 1: askmen.com Alexa'ya göre dünyanın en popüler 1591. sayfası
Eklenen koda bakıldığında günün tarihini CRC32 algoritması
ile işleyip bir alan adı oluşturduğunu ve ziyaretçiyi bu alan adına
yönlendirdiğini görüyoruz. Bu sayede saldırganlar ziyaretçilerin hangi gün
hangi alan adına yönlendirileceğini biliyor ve buna göre hazırlık
yapabiliyorlar. Bu algoritmaya göre 30 Haziran günü www.askmen.com sitesini ziyaret edenlerin http://a78b8f8c.pw/nbe.html adresine
yönlendirileceğini biliyoruz. Saldırgan olarak yapmamız gereken şey, ileriye
dönük bu alan adlarını hazırlayıp beklemek.
Şekil 2: Sayfanın kaynak koduna eklenen yönlendirme kodu
Şekil 3: Eklenen kodun açık hali
Ziyaretçilerin yönlendirildiği sitede ise bir Java istismar kodu (virüstotal CVE-2013-2465 olarak tespit etmiş) ve bir Adobe PDF okuyucu istismar kodu bulunuyor. Analizi yapanlar, Java’nın kodlanma (obfuscation) yönteminin saldırganların bu iş için Nuclear Pack Exploit Kit’i kullanmış olabileceğini gösterdiğini belirtiyor.
İstismar kodunun başarılı olması halinde CAPHAW olarak
bilinen zararlı yazılım kurbanın bilgisayarına yükleniyor. Hükümet ve altyapı
gibi stratejik hedeflere yönelik kullanıldığı tespit edilen bu zararlının gelişmiş
özellikleri sayesinde saldırganlar bulaştıkları ağ içerisinde tarama yapıp,
yatay olarak yayılma imkânına sahip oluyorlar.
CAPHAW’ın daha çok Rusya ve Ukrayna’da bulunan komuta
sunucularına doğru gözlemlenen trafiğin kaynakları aşağıdaki resimde
verilmiştir. (Her hangi bir harita gördüğümüzde yaptığımız gibi hemen Türkiye'ye bakıyoruz ve... bizden de birileri var)
Şekil 4: Komuta sunucuları (Kırmızı) ve kurbanlar (mavi)
Zararlının kullanıdığı bilinen bazı alanadlarını da aşağıda
paylaşıyorum. Bu alan adlarına doğru
olan kurum trafiğinin engellenmesinde ve geçmişe dönük kayıtlara bakılmasında
fayda var.
service-stat.com
updservice.net
autowinupd.net
autoavupd.net
service-update.net
full-statistic.com
service-statistic.com
stetsen.no-ip.org
autodbupd.net
automsupd.net
titanium.onedumb.com
statuswork.ddns.info
fullstatistic.com
service-statistic.com
autosrvupd.net
full-statistic.com
fullstatistic.com
service-update.net
storestatistic.com
updsvc.net
fullstatistic.com
reservestatistic.net
srvupd.com
automsupd.net
stotsin.ignorelist.com
autosrvupd.net
autosrvupd.net
reserve-statistic.com
autodbupd.net
workstat.hopto.org
service-statistic.com
full-statistic.com
srvupd.com
updsvc.net
automsupd.net
autosrvupd.net
assetsstatistic.com
assetsstatistic.com
assetsstatistic.com
srvupd.com
updsvc.net
reserve-statistic.com
reserve-statistic.com
autodbupd.net
fullstatistic.com
reservestatistic.net
reserve-statistic.com
srvupd.com
updsvc.net
fullstats-srv.net
stats-srv.com
fullstats-srv.com
statssrv.com
reserv-stats.net
reserv-stats.com
pushstatistics.com
stats-upd.net
reservstats.com
push-statistics.net
push-stats.net
push-stats.com
fullstatistic.com
No comments:
Post a Comment