Emre bir gönderide etiketlendi

Facebook saldırganlar tarafından sıkça kullanılan bir saldırı vektörüdür. Dünyanın her yerinde yüz milyonlarca kişinin “paylaşım” yaptığı bir ortam herkes için iştah açıcı olacaktır.

Profesyonel merak da diyebilirsiniz, yersiz risk almak da ama “tamam, tıklamayayım ama tıklarsam ne olur?” diyerek bu tuzaklardan birine atladım.

 Hollywood filmlerinde olduğu gibi saldırganın bakış açısından bir senaryo dahilinde ele alırsak “operasyon” şöyle gerçekleşiyor.

Yazının konusu olmadığı için tuzağın nasıl kurulduğunu ele almayacağım, sadece benim gördüğüm haliyle ekran görüntüsünü paylaşacağım.

Adım 1: Olta 

Arkadaşım Emre bir gönderide etiketlenmiş. Gönderiye konu fotoğrafın “kompozisyonu” erkek Facebook kullanıcılarının dikkatini çekebilecek şekilde hazırlanmış.

Adım 2: Kapan

Emre’nin gömlek düğmelerini iliklemeyi unutmuş bu ablanın olduğu videoda ne gibi bir rolü olabileceğini merak ettiğim için tıklıyorum ve aşağıdaki ekrana geliyorum.

Bu ekranda bir kaç nokta dikkatimizi çekiyor: 

Artık Facebook’ta değilim. Facebook gibi görünen bu site aslında www(.)videotr(.)me (DİKKAT: ziyaret etmeyin) sitesi.

Videotr(.)me sitesinin sahibine ulaşmak için birkaç sorgu yapıyorum ancak alanadı sahibi bilgileri gizli. Bu sitenin nasıl bir ekosistemin parçası olduğunu anlamak için Bing arama motorunun bir özelliğini kullanıyorum. Bing arama motoru üzerinde “ip:” operatörü ile yapılan aramaların sonucunda aynı IP adresinden yayın yapan ve Bing tarafından endekslenen siteleri bulabiliyoruz.

Göreceğiniz üzere bazı “ilginç” alanadları da aynı IP adresini ve büyük ihtimalle aynı hosting şirketini kullanıyor.

Burada dikkatimizi en çok çekenler;

Cotton-panty: erotik site.

Alfasro: Site başlığı Silkroad sunucusu olduğunu söylüyor. Silkroad "derin internet" olarak da bilinen internetin karanlık tarafında uyuşturucu, silah ve çocuk pornosu gibi konularda ticaret yapmak için kullanılan bir ortamdır. Bu sunucu gerçekten bu sistemin bir parçası mı? yoksa "derin internet" konusunda meraklı birkaç kurban bulmak için mi hazırlanmış emin olamadım. 
Düzeltme: Bildirdiği güvenlik zafiyetleri ile Yandex şeref listesine (Yandex Hall of Fame https://yandex.com/bugbounty/hall-of-fame/2014/11/) giren Gökmen Güreşçi'den gelen bilgi üzerine: Silkroad diye bir oyun varmış, onunla ilgili bir sunucu olabilirmiş. Gökmen Güreşçi'ye teşekkür ederim. 

Candyhile: Popüler Candy Crush oyununa hileleri yayınladığını iddia ediyor.

Kurtalankilim: Anadolu kaplanı sitesi gibi duruyor. Bunların arasında ne işi var anlam veremedim. Ucuz hosting bulmanın verdiği mutlulukla acaba komşularını çok sorgulamadan şirket sitesini buraya mı taşımış?

Taşıdıkları risk nedeniyle sitelerin hiç birini ziyaret etmedim, sizin de ziyaret etmenizi önermem.

Adım 3: Saldırı

Yönlendirildiğim sahte Facebook ekranında tamamı düğmesini tıkladığımda, aşağıda görüldüğü gibi bir yazılım bilgisayarıma iniyor.

Tersine mühendislik ve zararlı yazılım analizi konusunda bir iddiam yok, o işi Mert Sarıca ve Emre Tınaztepe uzmanlara bırakıyorum, bu konuya ilginiz varsa her ikisini de takip etmenizi öneririm. Bu nedenle bunun ne olduğunu analiz etmek için internette ücretsiz olarak bu işi yapan siteleri kullanıyorum. 

İlk test olarak indirilen yazılımı VirusTotal sitesine yükledim. Sonuç aşağıdaki gibi oldu;

Virustotal’de çalışan toplam 56 antivirüs yazılımı arasında sadece 17 tanesi bu zararlıyı tespit edebildi. Bilgisayarınızda güncel ve lisanslı bir antivirüs yazılımı olmasının neden önemli olduğuna dair önemli bir göstergedir. Bu zararlıyı tespit edemeyen 39 antivirüsten birini kullanmanız durumda faydası olmayacağını unutmamak lazım. Antivirüs kullanacağız ama sağduyumuzu da elden bırakmayacağız. 

Bu zararlı yazılımın tam olarak ne yaptığı konusunda da kabaca bir fikir sahibi olmak dosyayı bir de Malwr sitesine yükledim.

Aşağıdaki ekranlarda görülüğü üzere zararlı yazılım klavye ve fare hareketlerini kaydediyormuş.

Adım 4: Parayı kazanmak

Kurbanların kullanıcı bilgileri (sitelerde ve uygulamalarda kullandığınız kullanıcı adı ve parola bilgileri) ve kredi kartı bilgileri saldırgana iletiliyor.

Güncelleme: Bu yazıyı yayınladıktan 1-2 saat sonra aynı "gönderide" çok farklı bir arkadaş çevremden birinin daha etiketlendiğini gördüm. Bu zararlı yazılımın hızla yayıldığına bir kanıt oluşturabilir. Bir diğer yandan da son gönderide etiketlenenlerden birinin çalıştığı kurumu görünce, bu zararlı yazılımın şirket veya kurum içerisinde Facebook kullanımına izin veren yerlerde de görülebileceğini ve devlet sırrı / ticari sır kaybına neden olabileceğinden şüphelenmeye başladım (kurum adına dikkatinizi çekerim).

Facebook gibi sosyal medya araçlarının kullanımında “uyanık” olmak gerektiğine dair güzel bir örnek oluşturan bu saldırı konusunda çevremizdekileri ve özellikle çocuklarımızı bilgilendirmek önemlidir. 

APT Nedir?

APT İngilizcesi Advanced Persistent Threat olan ülkemizde ise “gelişmiş sürekli tehdit” veya “hedef odaklı saldırı” olarak iki farklı şekilde duyulabilen özel bir saldırı türüdür.

APT’yi özel bir saldırı türü olarak sınıflandırmamdaki neden oluşturduğu tehdidin diğerlerinden farklı olmasıdır. Bilgi güvenliği konusunda tehdit kelimesinin risk anlamından biraz daha farklı kullanılmasında fayda olacaktır. Bizim için tehdidi oluşturan bileşenler saldırganın motivasyonu (gerekçesi), beceri düzeyi ve olayların tarihçesidir. Elbette, geçmişte bir saldırı olması, tekrar saldırı olacağı veya hiç saldırı olmamış olması bir saldırı olmayacağı anlamına gelmez ancak bizlere tehlikenin boyutu hakkında önemli bilgiler verir.

Saldırganların motivasyonlarını anlamak için çeşitli saldırgan profilleri ve temel motivasyonlarına, yani saldırıyı gerçekleştirmedeki amaçlarına, bakarsak aşağıdaki durumu görürüz.

Siber suçlular: kolay ve çok para kazanma fırsatı

Hacktivist: İdeolojik bir amaca hizmet

Hacker grupları: Ünlü olma, adını duyurma

Egemen devletler: Ulusal güvenlik ve ulusal çıkarlar

Suç örgütleri: Belli şahısların becerilerini veya karşılarına çıkan fırsatları değerlendirip para kazanmak

Saldırganların motivasyon düzeyini değerlendirmek için amacı uğruna ne kadar süreyle çalışmayı göze aldığına bakmak lazım. İlk birkaç denemeden sonra daha kolay ele geçirebilecekleri bir hedef aramaya başlayacak siber suçlular, hacktivistler veya suç örgütlerinin aksine APT olarak adlandırabileceğimiz saldırıları gerçekleştirecek gruplar amaçlarına ulaşana kadar saldırmaya devam ederler.

Sürekli veya devamlı niteliklerinin yanında APTler saldırganların teknik kabiliyetleriyle de diğer suçlardan ayrılır. Cryptolocker gibi fidye talep eden bir yazılıma dayalı bir operasyon yürütmek için çok derin teknik bilgiye ihtiyaç yoktur. Bu yazılımı ve yazılımı kontrol edecek sistemler yasadışı kaynaklardan kiralanıp işletilebilir. 

Tehditleri saldırganların yeteneklerine göre sınıflandıracak olursak karşımıza şu kademeler çıkabilir;

Basit tehdit: “wifi hackleme” ve “facebook patlatma” seviyesinde 1-2 kaynak okumuş “meraklı”, metodoloji bilmeyen, başlangıç seviyesi olarak nitelendirebileceğimiz saldırganlardır.

Sürekli basit tehdit (basit tehdit beceri düzeyi + saldırgan motivasyonu)

Akıllı tehdit

Sürekli akıllı tehdit (Akıllı tehdit beceri düzeyi + saldırgan motivasyonu): Kevin Mitnick bu seviyeye iyi bir örnek oluşturmaktadır. İleri düzey teknik becerisi, hedef aldığı şirket veya kuruma sızmak için yürüttüğü sosyal mühendislik çalışmalarının tamamı Kevin’i “sürekli” bir tehdit haline getirmiştir.

İleri seviye tehdit

Sürekli ileri seviye tehdit (ileri seviye tehdit + saldırgan motivasyonu): Rusya’nın APT28 ve Çin’in APT1 grupları bunlara tipik örneklerdir.

APT olarak adlandırdığımız tehdit türü (sürekli ileri seviye tehdit) en gelişmiş teknik beceri ve en yüksek seviyede motivasyon gerektiren saldırılardır.

Basit tehdit sürekli olsa bile saldırganın teknik beceri düzeyinin düşük olması nedeniyle, gerekli tedbirlerin alınması koşuluyla, çok az durumda başarıya ulaşır. Akıllı tehditler ise teknik bilgi ve becerisi belli bir düzeyinin üzerinde olan saldırganlarca düzenlendiği için, özellikle sürekli olması halinde, ciddi bir tehdit oluşturmaktadır. İleri seviye tehditler, gerekli teknik beceri seviyesi itibariyle “Akıllı” olarak nitelendirdiğimiz tehdit grubundan çok da farklı değildir. 

Bir tehdidi ileri seviye olarak nitelendirmek için temelde 4 unsurun bulunması gerekir;

• Hedef ve saldırı ile ilgili stratejik düşünce
• Saldırılarda sistematik/askeri niteliklerde yaklaşım
• Kimlik gizleme becerisi
• Saldırganların kullanabileceği daha geniş bir saldırı vektörü havuzu 

APT olarak adlandırabileceğimiz saldırılarda kullanılan zararlı yazılımlar Stuxnet, Flame, Duqu veya Wiper ile sınırlı değildir. APTlerde birden fazla saldırı vektörünün (örneğin sosyal mühendislik) ve sıradan bir saldırgandan farklı bir yaklaşım görüyoruz. Aşağıda kısaca özetlediğim Duqu örneğinde görüldüğü gibi saldırganlar ele geçirdikleri sistemden veri çalmaya çalışmak yerine stratejik öneme sahip olabilecek bilgileri toplamaya çalışmışlardır.  

Duqu ilk olarak 2011 yılında tespit edilmiştir ismini oluşturduğu dosyaların ismini DQ ile başlatmasından almakta ve temelde bulaştığı sistem hakkında bilgi toplamayı amaçlamaktadır. Duqu’yu yazanların büyük ölçüde Stuxnet’in kaynak kodundan faydalanmış olabilecekleri düşünülmektedir.

Hedef sisteme eposta ekinde gönderilen bir Word belgesinin içindeki kodla bulaşan Duqu sistem üzerinde bir arka kapı açar. Yerel ağ üzerinde yayılma becerisine de sahip olan Duqu bulaştığı sistemden aşağıdaki bilgileri sızdırır:

• Sistem bilgisi
• Klavye hareketleri
• Sistem üzerinde ve sistemden erişilen sistemlerde kullanılan parolalar
• Ekran görüntüleri
• Yerel ağdaki diğer sistemlerin bilgileri (bu özelliği ile potansiyel Stuxnet hedeflerini belirlemekte kullanılmış olabileceği düşünülebilir).

APT saldırılarının metodolojisi temel bir kaç işlevde hacker metodolojisine benzese de yaklaşım ve “felsefe” bakımından farklılıklar sergilemektedir. Temel olarak APT saldırganlarında gördüğümüz bazı özellikler şunlardır;

• Ciddi hazırlık süreci
• Çok detaylı bilgi toplama aşaması
• Planlama ve uygulamada sabırlı yaklaşım
• Saldırı adımlarının sosyal bileşenleri konusunda bilgi
• Etkili olmaya öncelik vermeleri (bu anlamda basit saldırıları da kullanırlar)
• Yaratıcı düşünme yeteneği
• Asıl saldırı vektörünü gizlemeye yönelik dikkat dağıtma çabası
• Henüz yaygınlaşmamış/duyulmamış istismar kodlarının kullanılması
• Fiziksel sızma eyleminden çekinmemeleri

APT saldırıları özellikle Kamu Kurumları, kritik altyapıları, büyük şirketleri, finans sektörünü ve telekom operatörlerini hedef almaktadır. Hedef olabilecek bir yerde çalışıyorsanız mevcut durumunuzu 7 adımdan oluşan ve incelenen olaylarda kullanıldığını bildiğimiz APT metodolojisine göre değerlendirmenizde fayda vardır. 

Linux sunucularda "Penquin" tehdidi

Daha önce Windows sürümü tespit edilen gelişmiş bir zararlının Linux sürümünün tespit edilmesi bir egemen devlet (ilk bulgular Rusya'yı işaret ediyor) tarafından yürütülen bir operasyonun su yüzüne çıkan kısmı olabilir. Windows sürümü ile 45'ten fazla ülkede yüzlerce Askeri ve Kamu sunucusuna erişen saldırganların bu sürümle saldırı yüzeyini daha da genişlettiklerini görüyoruz.

Sevimsiz bir Penguen: Linux için gelişmiş bir RAT (Remote Access Trojan - Truva Atı) "Penquin"

Sene başından beri bazı bileşenleri yakalanan ve “Turla” olarak adlandırılan gelişmiş bir zararlı yazılımın Linux sürümü gün yüzüne çıktı.

Daha önce 45 farklı ülkede (tabii ki listedeyiz) siber casusluk ve APT (Advanced Persistent Threat - Gelişmiş Sürekli Tehdit) saldırılarında kullanılan zararlı yazılımın şu ana kadar sadece Windows işletim sistemi ajanları yakalanmıştı.

Kaspersky tarafından Windows sürümü için hazırlanan infografik

32 ve 64 bit sürümleri de bulunan bu zararlı yazılımın kullanıldığı saldırılar aşağıdaki saldırı vektörleri kullanılarak gerçekleştirilmişti.

Oltalama saldırıları: “NATO’nun Suriye tutumu.src”, “Nota_N107-41D.pdf” veya “Sınır güvenlik protokolü.rar” gibi isimlerle önceden belirlenmiş kişilere gönderilen epostaların ekinde.
Zararlı yazılımın hedef kişilerin ilgisini çekecek web sayfaların içerisine gizlenmesi.
Daha “genel” sitelerde flash uygulaması güncellemesi olarak gösterilmesi.

Bu operasyon kapsamında şimdiye kadar tespit edilebilen ve saldırganlar tarafından zararlı yazılım dağıtmak için hazırlanan 100’e yakın site arasında 2 tanesi Türkçe’dir.

Şimdiye kadar yakalanan zararlı yazılım numuneleri CVE-2013-5065 (Windows XP ve 2003) ve CVE-2013-3346 (Adobe Reader) zafiyetlerini istismar ederek Windows işletim sistemini kullanan bilgisayarlarda arka kapı açıyordu. Arka kapıyı diğerlerinden ayıran en büyük özelliklerden birisi, aynı anda 2 farklı arka kapının açılması ve herhangi birinin kapanması halinde diğerinin onu tekrar açmasıdır.

Saldırın sonraki aşamaları ise genel olarak gördüğümüz “ölüm zinciri” döngüsüne uygun olarak yürüyor ve önemli kurumların (Kamu, Sağlık, Askeri ve Eğitim) verileri dışarıya sızdırılıyor.

Yeni yakalanan Linux sürümünün var olabileceği bir süredir tahmin ediliyordu ancak ilk defa geçtiğimiz günlerde gerçek bir numune ele geçirilebildi. Yapılan inceleme sonucunda yapı itibariyle Windows sistemleri hedef alan sürümüyle aynı bağlantı modelini kullandığı görülmüştür. Kaynak kod içerisinde gömülü olan “news-bbc.podzone(nokta)org” (Söylememe gerek yok ama ziyaret etmeyin) komuta sunucusu adresi ve “80.248.65.xx” ile başlayan DNS sunucusu bilgileri de Windows sürümlerindekilerle uyumludur.

Saldırganlar zararlıyı özel olarak hazırlanmış TCP ve UDP paketlerini kullanarak yönetiyor. Bulaştığı sunucuya gelen trafiği dinleyen zararlı yazılım TCP paketlerinde ACK bayrağı veya UDP paketlerin gövdesi içinde gönderilen talimatları bekliyor.

“Penquin” çoğu kurumda Linux işletim sistemi kullanan sunucuların internete bakması (web, mail, vb.) ve süregelen “Linux’larda virüs olmaz” yanılgısı nedeniyle, genelde savunmasız kaldığımız bir noktayı hedef almaktadır.

Zaralıyla ilgili lazım olabilecek bazı önemli bilgileri aşağıda paylaşıyorum, ağınızı ve özellikle internete bağlı Linux sunucularınızı kontrol etmenizde fayda var.

Yakalanan zararlı örneklerinin MD5 hashleri:
0994d9deb50352e76b0322f48ee576c6
14ecd5e6fc8e501037b54ca263896a11

zararlının bağlandığı kütüphaneler
glibc2.3.2
openssl v0.9.6
libpcap

Zararlının Windows sürümlerinde “Zagruzchik” adında bir DLL dosyası olduğu görülmüştür. Bu zararlının kaç sürümünün (unix? Solaris? Vb.) olduğunu bilmediğimiz için bu kelimeyi de sistem dosyaları içerisinde aramakta fayda olabilir.

Bu zararlı için kullanılan "Snake/Uroburos" platformunu dünyanın önde gelen antivirüs firmaları tarafından aşağıdaki isimlerle tanınmaktadır, tarama sonuçlarında bunlara dikkat etmekte fayda var.
F-secure: "Dropped:Backdoor.Generic.252173"
Kaspersky: "Trojan.Win32.Genome.hitb"
Symantec: "Backdoor.Pfinet"

Linux sunucularının temel güvenlik standartlarına uygun hale getirilmesinin ne kadar kritik olduğunu bu olayla bir kez daha görmüş olduk.

Akıllı Telefon Güvenliği

Bu “işlere” ilk başladığım zamanlarda ele geçirdiğim bir bilgisayarla ilgili en büyük endişelerimden birisi kullanıcının bilgisayarı kapatıp yatmaya gitmesiydi. Akıllı telefonlar hayatımıza bu kadar girdiğinden beri ise bu endişem ortadan kalktı. Akıllı telefonların da kapsama dahil olduğu sızma testlerinde ise dertlerim daha çok hedefin telefonu şarja takmayı unutmaması veya kullanıcıyı "uygunsuz" bir durumda yakalamakla ilgili. 

Resim 1: Hacklenmiş akıllı telefon (temsili)

Aslında birer bilgisayar olan ve nedense “Akıllı Telefon” diye aşağıladığımız bu cihazlar saldırganların ufkunu genişleten, daha önce hayal bile edemediğimiz şekilde hedefe yaklaşmamızı sağlayan birer saldırı vektörüdür. Bilgisayarınızı taşımadığınız/götürmediğiniz ama telefonunuzun yanınızda olduğu durumları düşünün. Şimdi de günün her anında sizi izleyen veya dinleyen, her konuşmanıza şahit olan, her SMS ve Whatsapp mesajınızı okuyan ve çektiğiniz her fotoğrafı gören biri olduğunu düşünün. Ürkütücü değil mi? Her gün binlerce akıllı telefonun saldırganlar tarafından ele geçirildiğini gösteren araştırma sonuçlarını da göz önünde bulundurursak, bu cihazların güvenliğine ne kadar önem vermemiz gerektiğini anlarız.

Akıllı telefonlarımızın güvenliği sağlamak alabileceğimiz bazı basit tedbirleri hatırlamakta fayda var.

PIN kodu ve ekran güvenlik kodu

Telefonunuzun ana ekranındaki kullanıcı kodu ilk savunma hattınızı oluşturur. Birilerinin telefonunuzdaki verilere, arama kayıtlarınıza veya fotoğraflarınıza izinsiz erişebilmesini engellemek için mutlaka kilit kullanın. Kilidi, telefon belirli bir süre kullanılmadığında, otomatik olarak devreye girecek şekilde ayarlayın.

Telefonunuzun güvenlik ayarlarını bozmayın

Fabrika ayarlarını değiştirmek önemli güvenlik kontrollerinin devreden çıkmasına neden olur. Android cihazınızı rootlamak ve iPhone üzerinde yapılan jailbreak işlemi cihazın üreticisi tarafından yerleştirilen çok önemli güvenlik özelliklerinin devreden çıkmasına ve kullanılamamasına neden olur.

Yedekleyin

Rehber, belge ve fotoğraflar gibi cihazınızın üzerinde bulunan verileri yedekleyin. Yedekleme işlemi için bilgisayarınızı, üreticinin sağladığı yedekleme özelliğini, GSM operatörlerinin sağladığı yedekleme hizmetleri, uluslararası yedekleme hizmetleri veya basit bir hafıza kartı bile kullanılabilir. Böylece telefonunuz çalınır, kaybolur veya bir nedenle bilgilerinize erişemez olursanız kayıp yaşamazsınız.

Sadece güvendiğiniz uygulamaları yükleyin

Her hangi bir uygulamayı indirmeden önce mutlaka araştırın. Uygulamaları sadece güvendiğiniz kaynaklardan indirmek, yayıncının adına dikkat etmek ve uygulamayı arama motorlarında sorgulamakta fayda var. Örneğin bir dönem çok popüler olan “Flappy Bird” oyunu Google Playstore’dan kaldırıldıktan sonra forumlarda ve internet sitelerinde yayınlanan sürümlerinin neredeyse tamamı kullanıcı bilgilerini çalmaya yönelik zararlı yazılım barındırıyordu.

Uygulamaların izinlerine dikkat edin

İndirdiğiniz uygulamanın amacına ve istediği izinlere dikkat edin. Telefonunuzdan özel servis numaralarına (bkz. 900’lü hatlar ve uluslararası özel servis numaraları) yapılacak aramalar size para kaybettirir. Bunun dışında kötü niyetli kişiler tarafından yayınlanan uygulamaların kişisel bilgileri çalmaya yönelik özellikler barındırdığını da unutmamak gerekir.

Güvenlik uygulamalarını yükleyin

Hırsızlığa karşı tedbirinizi alın ve telefonunuzun yerini belirten ve verilerinizi uzaktan silmenize imkan veren bir güvenlik uygulamasını mutlaka yükleyin. Buna ek olarak bir antivirüs uygulamasının da mutlaka yüklü olması gerekir.

İşletim sistemini güncelleyin

Ne kadar söylesem az, akıllı telefon aslında bir bilgisayar. Tıpkı bilgisayarınızda olduğu gibi güvenliğiniz için işletim sistemini güncellemeniz ve üretici tarafından yayınlanan yamaları yüklemeniz gerekiyor.

Kablosuz ağlarda dikkatli davranın

Kablosuz ağlara herkesin bağlanabileceğini unutmayın. Özellikle kalabalık veya popüler mekanların kablosuz ağlarının saldırganlar için çok iştah açıcı hedefler olduğunu belirtmekte fayda var. Kablosuz ağlar üzerinden hassas bilgilerinize veya kişisel bilgilerinizin bulunduğu, alışveriş siteleri, sosyal medya siteleri, iş yerinde kullandığınız uygulamaları ve e-postalarınız gibi yerlere erişirken çok dikkatli olun. Mümkünse bunlara GSM şebekesi üzerinden erişim sağlayın ve halka açık kablosuz ağlardaki kullanımınızı en az seviyede tutun.

Diğer önemli noktalar

Kullanıcı adı ve şifre kullanarak girdiğiniz sitelerden mutlaka “çıkış” linkini kullanarak çıkın

SMS, Whatsapp mesajı veya eposta ile gelen internet bağlantılarına dikkat edin

Kullanmadığınız zaman Bluetooth bağlantınızı kapatın

Satmadan önce mutlaka bilgilerinizi silin (silindiğinden emin olun)

Telefonunuz çalınırsa mutlaka Polis’e haber verin

Zararlı yazılım tespit etmek

Aşağıdaki Kaspersky tarafından yayınlann bir çalışmanın özet haritasıdır. Görüldüğü gibi, 2013 yılında finansal alanda faaliyet gösteren zararlı yazılımların en çok görüldüğü ülkelerin başında geliyoruz.

Resim 1: Ülkemizdeki kullanıcıların %12'den fazlası zararlı yazılım kurbanı. 

Dilimizin döndüğünce sunucular da dahil olmak üzere ağ üzerinde anti virüs yazılımı olmayan makina olmaması gerektiğini ve Android telefonlara bile anti virüs yüklenmesi gerektiğini anlatmaya çalışıyoruz. Ne yazık ki önerilerimiz ancak doktorların "düzenli aralıklarla check-up yaptırın" veya "sigarayı bırakın" demesi kadar etkili olabiliyor. Bu nedenle de destek verdiğim aşağı yukarı bütün ağlarda birkaç tane zararlı yazılım bulaşmış sistem buluyorum.

Engellemek için tedbir alamıyorsak, hiç değilse tespit edebilelim diyerek bir ağ veya sistemde zararlı yazılım olup olmadığını anlamak için kullandığım bazı basit yöntemleri toparlamak istedim.

Temel Göstergeler

• Sistemlerde ve ağda zararlı yazılım varlığı aşağıdaki temel göstergelerden biri veya birkaçı ile belli olabilir. 
• Bilgisayarın yavaşlaması: Zararlı yazılım sistem kaynaklarını kullanacağı için sisteminiz yavaşlayabilir.
• Artan disk kullanımı: Bilgisayarda bir işlem yapmıyorken bile disk ışığının yanıp-sönmesi ve disk kullanımı.
• Açılırken garip uyarıların belirmesi ve kaybolması: Özellikle dşsk kullanımı ve erişim yetkileri ile uyarıların çıkıp sonra kaybolması. 
• Sosyal medya hesaplarınızda sizin yazmadığınız mesajların ortaya çıkması
• Ağ üzerinde kaynağı belli olmayan trafik: Mesai saatleri dışında veya normalde kullanımın az olduğu zamanlarda yüksek trafiğin olması. Bilmediğiniz/kullanmadığınız protokoller üzerinden dışarıyla iletişim kurulması.  
• Kullanıcıların "internet yavaşladı" şikayetleri: bir şeylerin ters gittiğini en kolay anlayabilecek kişilerdir. Onlardan gelebilecek "bilgisayarım yavaşladı" veya "internet yavaşladı" geri bildirimleri çok önemlidir. 
• IP adreslerinizin kara listeye düşmesi.

Kullanılabilecek basit bir yöntem
Ağ genelinde birşeylerin ters gittiğini anlamak için yukarıdaki ipuçlarını değerlendirebilirsiniz. Belirli bir sistemin başında olduğunuzda ise, o sistemde zararlı yazılım olup olmadığını anlamak için, aşağıdaki yöntemi kullanabilirsiniz.

Netstat (NETwork STATistics) sistemin gelen ve giden bağlantılarını görüntülememizi sağlayan bir uygulamadır. Netstat ile birlikte kullanabileceğimiz parametreler arasında bizim için faydalı olabilecekler şunlardır:
netstat -a: Tüm bağlantıları ve dinleyen portları gösterir
netstat -b: bağlantıları ve portları onları kullanan uygulama adı ile birlikte görüntüler
netstat -n: port numaralarını gösterir
netstat -o: Bağlantıları ilgili PID (Process Identifier) ile birlikte gösterir

Bir windows sistemde netstat -a konutunu vermeniz siz o anda sistem üzerindeki açık veya dinlemede olan bağlantıların listesini verir. Bu çalışmanın bir miktar sabır gerektiğini söylemekte fayda var ama basit bir yaklaşımla yapılacaklar şunlar:

Öncelikle mevcut bağlantıları ortaya çıkartmamız gerekiyor

Resim 2: netstat -a komutu

netstat -ano ile bağlantıyı kullanan process belirlenebilir. Processler hkkında daha fazla bilgi Windows Task Manager üzerinden elde edilebilir. Bu işlemleri yapmaktaki amacımızının bilgimiz dışında dış dünya ile iletişim kuran yazılımları tespit olmak olduğunu hatırlayarak bu bakış açımızı korumamız gerekiyor.

Resim 3: netstat -ano ile PID'lerin belirlenmesi

Son olarak da bağlantıların hangi uygulamalar tarafından kullanıldığını ortaya çıkartabiliriz.

Resim 4: Bağlantıları kullanan uygulamaların netstat -anb ile belirlenmesi

Resim 4'te gördüğünüz "LISTENING" sistemin bağlantı beklediğini göstermektedir. Buna ek olarak aşağıdaki bağlantı durumları da görülebilir.

• CLOSED: Bağlantının kapalı olduğunu gösterir
• ESTABLISHED: Bağlantı kurulmuş
• TIME_WAIT: Bağlantı açık ancak kullanılmıyor

Bundan sonra yapılacak şey dikkatli bir şekilde "olmaması gerekeni" bulmaktır.

Kullanımda görünen portları ve bu bağlantıları kullanan uygulamaları Google'da aratarak bilinen bir zararlı yazılım olup olmadığını bulmak çoğunlukla mümkün olmaktadır.

Boşa giden 250 milyon dolar

250 Milyon Dolar… Fikir vermesi için bu rakam JP Morgan Chase bankasının sadece 2014 yılında bilgi güvenliğine yaptığı yatırımdır. 
Bu ölçekte güvenlik yatırımları yapan bir bankanın hacklenmesi tek başına kötü bir haber iken, FBI’ın bu olayın 5 diğer küresel bankayı da hedef alan daha geniş kapsamlı ve planlı bir saldırının parçası olup olmadığını araştırıyor.

JP Morgan’da ne oldu?
Aklımıza ilk gelen soru sadece güvenliğe 250 milyon dolar harcayan bir yerin nasıl hacklenmiş olabileceğidir. 
Herşeyden önce bilmemiz gereken şey saldırının bir anda olmadığıdır. Filmlerden alışkın olduğumuz şekilde gecenin karanlığında klavyesinde birşeyler yazan siyah giyimli ve önünde terminal ekranı olan bir kişinin saldırısı değil. Yayınlanan raporlardan gördüğüm kadarıyla saldırganlar JP Morgan Chase sistemlerinde 2 aydan fazla süre tespit edilmeden dolaşmışlar. 

Saldırının başlangıcı ve hackerların banka sistemlerine ilk sızdıkları noktanın bankanın internet sayfası olduğu düşünülüyor. Web sayfasında bulunan bir zafiyet istismar edilerek web sayfasının bulunduğu sunuculara erişim sağlayan saldırganlar veri merkezinde bulunan diğer sunuculara sızmışlardır
.
Saldırının 5 önemli adıma bakarak aşağıdaki saldırı sürecini çıkartabiliriz.

Adım 1: Saldırganlar bankaya ait internet sitesinde bir güvenlik açığı tespit ediyor

Adım 2: Bu güvenlik açığından faydalanan saldırganlar web sitesinin barındırıldığı sunucuyu ele geçiriyor

Adım 3: Bankanın sunucu havuzu içerisinde yatay hareket

Adım 4: Bankacılık işlemlerinin tutulduğu sunuculara sızıyorlar

Adım 5: Ele geçirdikleri hassas verileri aralarında Brezilya ve Rusya’nın da olduğu çeşitli ülkelerde bulunan sunuculara gönderiyorlar. 

Saldırıların her aşamasında “0-day” güvenlik açıklarından ve istismar kodlarından faydalanılmış olması saldırganların bilgi ve beceri seviyesinin oldukça yüksek olduğunun bir kanıtıdır. “0-day” (sıfırıncı gün) açıkları bulunmuş ancak henüz üretici veya kamuoyu tarafından bilinmeyen güvenlik açıklarıdır. Bu güvenlik açıkları uluslararası ticarete konu olmaktadır ve önemli açıklar milyonlarca dolara varan fiyatlarla satılmaktadır. Bu olaydaki saldırganlar ya teknik kaynakları olduğu için açıkları kendileri tespit etmiş, veya finansal güçlerini kullanarak bu açıkları piyasadan satınalmışlardır.

Saldırının başarıya ulaşmış olması ise bize saldırganların bu işe zaman ve kaynak ayırdıklarını gösteriyor. Öncelikle bankanın gelişmiş sızma tespit ve önleme sistemleri özel olarak geliştirilmiş zararlı yazılımlar ve istismar kodları kullanılarak atlatılmıştır. Bu ukodları yazmak ve bankanın kullandığı güvenlik sistemleri hakkında bilgi toplamak teknik bilgi, zaman ve birden fazla alanda beceri gerektiren bir süreçtir. İkinci aşamada ise 1 aydan fazla sürede banka sistemlerinden dışarıya gönderilen gigabaytlarca verinin aktarımının bankanın veri sızdırma (Data Loss Prevention – DLP) sistemlerini atlatacak şekilde yapılması yine saldırganların sıradan kişiler olmadığını kanıtlamaktadır. 

Yıllık bütçe raporunda “2014 yılının sonuna kadar bilgi güvenliğine 250 milyon dolar yatırım yapacağız ve bilgi güvenliği kadromuzu 1000 kişiye çıkartacağız” diyen bir bankanın bile hacklenmesi bu kadar kolayken daha küçük ölçekli finans kuruluşları ve özel şirketler kendilerini nasıl korur? Öncelikle bu saldırıdan gerekli dersleri çıkarttığımızdan emin olmalıyız.

JP Morgan Chase olayından çıkartılacak dersler

İlk ders, her zamanki gibi, güvende olmadığınız gerçeğini kabul etmektir. Yeni aldığınız firewall veya laptoplarınızdaki antivirüsler size güvenlik sağlamaz. Güvende olmak için cihazların ve yazılımların ötesine geçerek genel güvenlik seviyesi ele alınmalıdır. Mesela firewall’un sadece port engelleme yaptığını ve insanların web sayfanıza ulaşabilmeleri için 80.portu açık tutmanız gerektiğini ve büyük ihtimalle IPS/IDS’in (sızma tespit ve engelleme sistemi) iyi yazılmış bir SQL injection kodunu yakalayamayacağını kabul etmeniz gerekir. 
Ders 1: 250 milyon Amerikan Doları bile harcasanız hacklenebilirsiniz

Saldırının nispeten önemsiz gibi görünebilecek bir yerden başladığına dikkat etmek lazım. Öyle ya, banka bile olsa internet sayfalarında müşteri hesap bilgilerini tutmayacaktır. İnternete açık her sistemin, güvenlik kameraları, POS cihazları, cep telefonları, sıra matikler dahil olmak üzere, saldırıya uğrayabileceğini bilmek gerekir. İnternete açık bir şey için şu cümlerlerden birini kullanıyorsanız yakın zamanda başınıza kötü bir şey gelebilir; “kimse bununla uğraşmaz”, “IP var sadece, bunu bulamazlar” veya “şifreyi bilmeyen giremez”…
Ders 2: Bir şey internete açıksa birileri bulur ve saldırır. 

JP Morgan Chase saldırısının 5 temel adımdan oluştuğunu gördük. Daha küçük hedeflere yönelik saldırılar da aynı şekilde birden fazla adımdan oluşan bir zincir ile gerçekleştirilmektedir. Yukarıdaki senaryoda saldırganların web sayfasının bulunduğu sunucuları ele geçirdikten sonra diğer sunuculara erişemediğini varsayalım. Bu durumda Bankanın başına gelebilecek en kötü şey web sayfalarına “h4ck3d by l33tsec” türü yazı eklenmesi olacaktı. Benzer şekilde saldırganlar sistem sunucularından müşteri işlemlerinin tutulduğu sunuculara geçemeseydi müşteri verilerine ulaşamayacaklardı. Son olarak da ulaştıkları verileri dışarı gönderemeselerdi yine sorun büyük ölçüde azalacaktı. Zafiyetleri ve potansiyel saldırı vektörlerinin ortaya çıkartılmasının yanında, risk analizleri sırasında önem verdiğim noktalardan birisi de bu tür “kâbus zincirlerini” ortaya çıkartmaktır. Bulduğum her zinciri birden fazla yerinden kopartarak benzer senaryoların yaşanmasını önlemeye çalışıyorum. Böylece saldırgan sisteme sızsa bile sistemden bilgi sızdıramayacak veya sızdığı sistemden bir diğerine atlayamayacaktır. 
Ders 3: Başınıza gelebilecek en kötü şey için bir araya gelmesi gerekenleri bulun ve bir araya gelmediklerinden emin olun. 

Yapılan saldırıların ürettiği logları düşünürsek daha küçük ölçekli bir bankada veya herhangi bir Türk bankasında dikkat çekecek kadar garipler. Özellikle dışarı bilgi gönderildiği aşamada Brezilya ve Rusya’da bulunan sunuculara yapılan veri transferi basit bir scriptle bile kolayca ortaya çıkartılabilecektir. Sadece sızdırılan bilgiler değil, zararlı yazılımların komuta sunucuları ile olan iletişimi de bu şekilde yakalanabilir.
Ders 4: Ağınızdan çıkan trafiği izlemeniz çok önemli.

Diğer öneriler
Bu olaydan almamız gereken derslerin devamı olarak bazı basit önerilerim olacak;

Web sayfanızı dışarıda tutun: Hayır, DMZ’de değil, tamamen dışarıda. Bir hosting hizmeti alacak şekilde dışarıda.

Güvenlik analizleri yaptırın: Sızma testlerinin dışında da bu tür saldırı senaryolarının ortaya çıkartılacağı çalışmalar yaptırın

Sistemlerinizin kendi aralarında ne konuştuklarını takip edin: Örneğin web sunucunuz ile dosya sunucunuzun iletişim kurmasını gerektirecek bir neden olup olmadığını araştırın. 

Hata loglarını takip edin: Ne kadar iyi olursa olsun hacker hata loglarına neden olacaktır. Bunları tespit etmek, saldırıyı ve saldırganı tespit etmek için hayati önem taşır.

XSS var!

Anlatmakta zorlandığımız tehlikelere güzel bir örnek: AskMen.com

Sızma testleri bulguları arasında üst yönetime en zor açıklananlar, XSS gibi, kurum kaynaklarının başkalarına saldırmak için kullanıldığı zafiyetlerdir. Kendileri de konuya çok hakim olmadıklarından olsa gerek bazı “hızlı heykır” abilerimiz XSS zafiyetlerinin göstergesi olarak ekrana “XSS Var!” yazdırmaktan fazlasını sunamazlar. Benzer saldırılardan birisi de sitenin kaynak koduna zararlı bir kod eklenerek site ziyaretçilerine karşı yapılan saldıralardır. 

Websense araştırmacıları www.askmen.com sitesinin kaynak koduna zararlı java kodları eklendiğini tespit etmiş. Aylık 10 milyondan fazla ziyaretçisi olduğu tahmin edilen siteye eklenen kod özünde zararlı değil. Eklenen kod ziyaretçiyi asıl zararlı kodun bulunduğu siteye yönlendirerek istismar kodunun buradan yüklenmesini sağlıyor.

Şekil 1: askmen.com Alexa'ya göre dünyanın en popüler 1591. sayfası

Eklenen koda bakıldığında günün tarihini CRC32 algoritması ile işleyip bir alan adı oluşturduğunu ve ziyaretçiyi bu alan adına yönlendirdiğini görüyoruz. Bu sayede saldırganlar ziyaretçilerin hangi gün hangi alan adına yönlendirileceğini biliyor ve buna göre hazırlık yapabiliyorlar. Bu algoritmaya göre 30 Haziran günü www.askmen.com sitesini ziyaret edenlerin http://a78b8f8c.pw/nbe.html adresine yönlendirileceğini biliyoruz. Saldırgan olarak yapmamız gereken şey, ileriye dönük bu alan adlarını hazırlayıp beklemek.

Şekil 2: Sayfanın kaynak koduna eklenen yönlendirme kodu

Şekil 3: Eklenen kodun açık hali

Ziyaretçilerin yönlendirildiği sitede ise bir Java istismar kodu (virüstotal CVE-2013-2465 olarak tespit etmiş) ve bir Adobe PDF okuyucu istismar kodu bulunuyor. Analizi yapanlar, Java’nın kodlanma (obfuscation) yönteminin saldırganların bu iş için Nuclear Pack Exploit Kit’i kullanmış olabileceğini gösterdiğini belirtiyor.

İstismar kodunun başarılı olması halinde CAPHAW olarak bilinen zararlı yazılım kurbanın bilgisayarına yükleniyor. Hükümet ve altyapı gibi stratejik hedeflere yönelik kullanıldığı tespit edilen bu zararlının gelişmiş özellikleri sayesinde saldırganlar bulaştıkları ağ içerisinde tarama yapıp, yatay olarak yayılma imkânına sahip oluyorlar.

CAPHAW’ın daha çok Rusya ve Ukrayna’da bulunan komuta sunucularına doğru gözlemlenen trafiğin kaynakları aşağıdaki resimde verilmiştir. (Her hangi bir harita gördüğümüzde yaptığımız gibi hemen Türkiye'ye bakıyoruz ve... bizden de birileri var)

Şekil 4: Komuta sunucuları (Kırmızı) ve kurbanlar (mavi)

Zararlının kullanıdığı bilinen bazı alanadlarını da aşağıda paylaşıyorum.  Bu alan adlarına doğru olan kurum trafiğinin engellenmesinde ve geçmişe dönük kayıtlara bakılmasında fayda var.

service-stat.com

updservice.net

autowinupd.net

autoavupd.net

service-update.net

full-statistic.com

service-statistic.com

stetsen.no-ip.org

autodbupd.net

automsupd.net

titanium.onedumb.com

statuswork.ddns.info

fullstatistic.com

service-statistic.com

autosrvupd.net

full-statistic.com

fullstatistic.com

service-update.net

storestatistic.com

updsvc.net

fullstatistic.com

reservestatistic.net

srvupd.com

automsupd.net

stotsin.ignorelist.com

autosrvupd.net

autosrvupd.net

reserve-statistic.com

autodbupd.net

workstat.hopto.org

service-statistic.com

full-statistic.com

srvupd.com

updsvc.net

automsupd.net

autosrvupd.net

assetsstatistic.com

assetsstatistic.com

assetsstatistic.com

srvupd.com

updsvc.net

reserve-statistic.com

reserve-statistic.com

autodbupd.net

fullstatistic.com

reservestatistic.net

reserve-statistic.com

srvupd.com

updsvc.net

fullstats-srv.net

stats-srv.com

fullstats-srv.com

statssrv.com

reserv-stats.net

reserv-stats.com

pushstatistics.com

stats-upd.net

reservstats.com

push-statistics.net

push-stats.net

push-stats.com

fullstatistic.com

iPhone Virüsünü takdimimdir

Steve Jobs konusunda insanlar ikiye ayrılır, ondan nefret edenler ve onu tanımayanlar. Bu tür şakalara neden olan ise rahmetlinin alışılmışın biraz dışındaki kişiliği ve iş yapma mantığı olsa gerek. Apple olarak telefon pazarını ele geçirdiklerinde Apple Store tarafından uygulanan sıkı politikalar bir çok kişi tarafından olumsuz bir özellik olarak algılandı. Kısa sürede ise iPhone’ları Apple Store’a bağımlılıktan kurtaran “Jailbreak” (kırma) yöntemleri ortaya çıktı.

Jailbreak işleminden önce iPhone (temsili)

Tasarımı, Apple markasının temsil ettikleri veya sadece “herkeste olduğu için” bu cihazı tercih eden bazı kullanıcılar ise bu kapalı ekosistemden kurtulmayı tercih etti. Gerek arka planı kişiselleştirmek, gerekse bazı cihaz ayarlarını daha kolay yapabilmek veya sadece Cydia mağazasındaki uygulamalara ulaşabilmek için bazı kullanıcılar cihazları üzerinde kilit kırma işlemini gerçekleştirdiler.

Jailbreak işleminden sonra iPhone (temsili)

Bu işlemin cihaz güvenliği üzerindeki olumsuz etkileri konusunda teorik olarak anlatılan o kadar şeye rağmen ne yazık ki her yeni iOS sürümü beraberinde yeni bir “Jailbreak” getirdi. Sonunda iş teoriden çıkıp, “bir musibet, bin nasihatten iyidir” noktasına geldi galiba.

17 Nisan 2014 günü Reddit kullanıcıları arasında konuşulmaya başlayan “Unfold Baby Panda” olarak adlandırılan zararlı yazılımın özellikle kilidi kırılmış iPhone’ları hedef aldığı görülmektedir.

“Jailbreak” olarak adlandırılan ve iPhone’a Apple Store dışındaki kaynaklardan da yazılım yüklemeye izin veren “kilit açma işlemi” gerçekleştirilmiş iPhone’lara bulaşan zararlı yazılım cihaz üzerinden geçen SSL trafiğini dinliyor. Bu yazılımı yapanların amaçlarının kullanıcıların Apple bünyesinde kullandıkları “Apple-ID” bilgilerini çalmak olduğu düşünülmektedir.

Zararlı yazılımın tüm özellikleri henüz bilinmese de kullanıcı bilgilerini çalmak dışında da eylemleri olabileceği tahmin edilmektedir. Zararlının kullandığı dosyaların (şu anda bilinenler Unflod.dylib/framework.dylib dır) silinmesi ve bu işlem sonrası Apple kullanıcı bilgilerinizi değiştirmenin faydalı olabileceği düşünülmektedir. Ancak tam bir temizlik için cihazın “jailbreak” durumundan çıkartılıp eski haline getirilmesi tavsiye edilmektedir.

Fırsat bulmuşken, “rootlanmış” Android cihazların da benzer şekilde tehlike yarattığını hatırlatmak isterim.