Emre bir gönderide etiketlendi

Facebook saldırganlar tarafından sıkça kullanılan bir saldırı vektörüdür. Dünyanın her yerinde yüz milyonlarca kişinin “paylaşım” yaptığı bir ortam herkes için iştah açıcı olacaktır.

Profesyonel merak da diyebilirsiniz, yersiz risk almak da ama “tamam, tıklamayayım ama tıklarsam ne olur?” diyerek bu tuzaklardan birine atladım.

 Hollywood filmlerinde olduğu gibi saldırganın bakış açısından bir senaryo dahilinde ele alırsak “operasyon” şöyle gerçekleşiyor.

Yazının konusu olmadığı için tuzağın nasıl kurulduğunu ele almayacağım, sadece benim gördüğüm haliyle ekran görüntüsünü paylaşacağım.

Adım 1: Olta 

Arkadaşım Emre bir gönderide etiketlenmiş. Gönderiye konu fotoğrafın “kompozisyonu” erkek Facebook kullanıcılarının dikkatini çekebilecek şekilde hazırlanmış.

Adım 2: Kapan

Emre’nin gömlek düğmelerini iliklemeyi unutmuş bu ablanın olduğu videoda ne gibi bir rolü olabileceğini merak ettiğim için tıklıyorum ve aşağıdaki ekrana geliyorum.

Bu ekranda bir kaç nokta dikkatimizi çekiyor: 

Artık Facebook’ta değilim. Facebook gibi görünen bu site aslında www(.)videotr(.)me (DİKKAT: ziyaret etmeyin) sitesi.

Videotr(.)me sitesinin sahibine ulaşmak için birkaç sorgu yapıyorum ancak alanadı sahibi bilgileri gizli. Bu sitenin nasıl bir ekosistemin parçası olduğunu anlamak için Bing arama motorunun bir özelliğini kullanıyorum. Bing arama motoru üzerinde “ip:” operatörü ile yapılan aramaların sonucunda aynı IP adresinden yayın yapan ve Bing tarafından endekslenen siteleri bulabiliyoruz.

Göreceğiniz üzere bazı “ilginç” alanadları da aynı IP adresini ve büyük ihtimalle aynı hosting şirketini kullanıyor.

Burada dikkatimizi en çok çekenler;

Cotton-panty: erotik site.

Alfasro: Site başlığı Silkroad sunucusu olduğunu söylüyor. Silkroad "derin internet" olarak da bilinen internetin karanlık tarafında uyuşturucu, silah ve çocuk pornosu gibi konularda ticaret yapmak için kullanılan bir ortamdır. Bu sunucu gerçekten bu sistemin bir parçası mı? yoksa "derin internet" konusunda meraklı birkaç kurban bulmak için mi hazırlanmış emin olamadım. 
Düzeltme: Bildirdiği güvenlik zafiyetleri ile Yandex şeref listesine (Yandex Hall of Fame https://yandex.com/bugbounty/hall-of-fame/2014/11/) giren Gökmen Güreşçi'den gelen bilgi üzerine: Silkroad diye bir oyun varmış, onunla ilgili bir sunucu olabilirmiş. Gökmen Güreşçi'ye teşekkür ederim. 

Candyhile: Popüler Candy Crush oyununa hileleri yayınladığını iddia ediyor.

Kurtalankilim: Anadolu kaplanı sitesi gibi duruyor. Bunların arasında ne işi var anlam veremedim. Ucuz hosting bulmanın verdiği mutlulukla acaba komşularını çok sorgulamadan şirket sitesini buraya mı taşımış?

Taşıdıkları risk nedeniyle sitelerin hiç birini ziyaret etmedim, sizin de ziyaret etmenizi önermem.

Adım 3: Saldırı

Yönlendirildiğim sahte Facebook ekranında tamamı düğmesini tıkladığımda, aşağıda görüldüğü gibi bir yazılım bilgisayarıma iniyor.

Tersine mühendislik ve zararlı yazılım analizi konusunda bir iddiam yok, o işi Mert Sarıca ve Emre Tınaztepe uzmanlara bırakıyorum, bu konuya ilginiz varsa her ikisini de takip etmenizi öneririm. Bu nedenle bunun ne olduğunu analiz etmek için internette ücretsiz olarak bu işi yapan siteleri kullanıyorum. 

İlk test olarak indirilen yazılımı VirusTotal sitesine yükledim. Sonuç aşağıdaki gibi oldu;

Virustotal’de çalışan toplam 56 antivirüs yazılımı arasında sadece 17 tanesi bu zararlıyı tespit edebildi. Bilgisayarınızda güncel ve lisanslı bir antivirüs yazılımı olmasının neden önemli olduğuna dair önemli bir göstergedir. Bu zararlıyı tespit edemeyen 39 antivirüsten birini kullanmanız durumda faydası olmayacağını unutmamak lazım. Antivirüs kullanacağız ama sağduyumuzu da elden bırakmayacağız. 

Bu zararlı yazılımın tam olarak ne yaptığı konusunda da kabaca bir fikir sahibi olmak dosyayı bir de Malwr sitesine yükledim.

Aşağıdaki ekranlarda görülüğü üzere zararlı yazılım klavye ve fare hareketlerini kaydediyormuş.

Adım 4: Parayı kazanmak

Kurbanların kullanıcı bilgileri (sitelerde ve uygulamalarda kullandığınız kullanıcı adı ve parola bilgileri) ve kredi kartı bilgileri saldırgana iletiliyor.

Güncelleme: Bu yazıyı yayınladıktan 1-2 saat sonra aynı "gönderide" çok farklı bir arkadaş çevremden birinin daha etiketlendiğini gördüm. Bu zararlı yazılımın hızla yayıldığına bir kanıt oluşturabilir. Bir diğer yandan da son gönderide etiketlenenlerden birinin çalıştığı kurumu görünce, bu zararlı yazılımın şirket veya kurum içerisinde Facebook kullanımına izin veren yerlerde de görülebileceğini ve devlet sırrı / ticari sır kaybına neden olabileceğinden şüphelenmeye başladım (kurum adına dikkatinizi çekerim).

Facebook gibi sosyal medya araçlarının kullanımında “uyanık” olmak gerektiğine dair güzel bir örnek oluşturan bu saldırı konusunda çevremizdekileri ve özellikle çocuklarımızı bilgilendirmek önemlidir. 

Zhang Yun ile Tanışın

“Bilgi güvenliği konusunda bir süre çalışınca bir miktar düşman ediniyorsunuz”. İddialı bir cümle oldu ama bu sene bana karşı yapılan “oltalama” (phishing veya bu durumda spear phishing) saldırılarının sayısında bir artış görüyorum. Gördüğüm kadarıyla bu saldırılar sadece beni değil, Türk ve Amerikalı bazı meslektaşlarımı da hedef alıyor.

En son karşılaştığım örneği paylaşıyorum. Bu kişiler sizleri de hedef alabileceğinden dikkatli olmakta ve bazı önemli noktaları göz önünde tutmakta fayda var. 

LinkedIn’den gelen bağlantı davetini gönderen profilin bilgileri aşağıdaki gibidir;

Dr. Zhang Yun

Vice Chairman/President/Exec Dir at Agricultural Bank of China Ltd

Experience: Vice Chairman/President/Exec Dir at Agricultural Bank of China Ltd

January 2009 - Present (6 years)

Languages: English

Skills & Expertise: Administrative Law, Non-profit Volunteering

Education: University of Leeds

Bachelor of Business Administration (B.B.A.), Business/Managerial Economics, 1977 - 1981

 Activities and Societies: Leeds Debate Team

Toparlarsak, Zhang Yun Çin Ziraat Bankasının Yönetim Kurulu Başkanı ve bu görevi 6 yıldır yürütüyor. İngilizce biliyor, Leeds Üniversitesinde okumuş. Görüldüğü gibi, LinkedIn’de 500’den fazla da bağlantısı var.

 Bağlantılarından ikisi Zhang Yun’u da becerileri için onaylamış. 

Becerileri için onaylayan 2 ikişinin de Türk olması ve Zhang Yun ile tek ortak tanıdığımızın Türkiye’nin önde gelen adli bilişim uzmanlarından birisinin olması bu kişinin Türkiye özelinde bir çalışma yürüttüğü fikrine kapılmama neden oldu.

Sizlerin de anlamış olacağı üzere bu, sosyal paylaşım sitelerinde sıkça karşılaştığımız, sahte profillerden biridir.

Kimsenin günahını almamak adına yine de araştırmamı yapıyorum ve görüyorum ki gerçek Dr. Zhang Yun Wuhan Üniversitesinden mezun olmuştur. Profil resmi olarak kullanılan resmin  bir internet sitesinden alındığını da görüyorum.

 LinkedIn’de gerçek olabilecek profili ararken, aynı kişi hazırlanmış sahte bir profil daha buluyorum. Bu profilde de “becerileri onaylayan” bir Türk, bu da bu işin arkasında yerli bir dolandırıcının olduğu konusundaki hislerimi güçlendiriyor.

Aşağıdaki resim de "Yun Zhang" olarak hazırlanmış başka bir sahte profil görebilirsiniz. 

Sahte profilleri anlamınızı sağlayacak ve bu tür tuzaklara düşmemenizi sağlayabilecek bazı noktalar ise şunlardır;

1. Sık karşılaşılabilecek bir isim kullanılmış
2. Profil fotoğrafı net değil, ufak veya Google’da aratılınca çıkıyor
3. Profil üzerindeki bilgilerin sadece gerekli olanları doldurulmuş (bu örnekte olduğu gibi iş ve okul)
4. Çok az bağlantısı veya arkadaşı var.
5. Facebook ve benzeri daha aktif kullanılan sosyal paylaşım sitelerinde ise;
6. Profilin oluşturulma tarihine bakın, tarihin yeni olması tehlike işareti olabilir.
7. Güncelleme sıklıklarına dikkat edin, genelde sahte profillerin güncellemelerinin seyrek olduğunu görüyoruz. 
8. Arkadaşlarının yazdığı yorumlara dikkat edin. Profilin arkadaşlarıyla paylaşımlar azsa veya birlikte çekilmiş fotoğraf yoksa, bunlar sahte bir profile işaret olabilir. 
9. Fotoğrafların az olması profilin sahte olduğuna dair bir işaret olabilir.  

Gerçekte tanımadığınız ve sizinle bağlantı kurmak isteyen biri hakkında bir miktar araştırma yapmak her zaman faydalı olacaktır. 

Linux sunucularda "Penquin" tehdidi

Daha önce Windows sürümü tespit edilen gelişmiş bir zararlının Linux sürümünün tespit edilmesi bir egemen devlet (ilk bulgular Rusya'yı işaret ediyor) tarafından yürütülen bir operasyonun su yüzüne çıkan kısmı olabilir. Windows sürümü ile 45'ten fazla ülkede yüzlerce Askeri ve Kamu sunucusuna erişen saldırganların bu sürümle saldırı yüzeyini daha da genişlettiklerini görüyoruz.

Sevimsiz bir Penguen: Linux için gelişmiş bir RAT (Remote Access Trojan - Truva Atı) "Penquin"

Sene başından beri bazı bileşenleri yakalanan ve “Turla” olarak adlandırılan gelişmiş bir zararlı yazılımın Linux sürümü gün yüzüne çıktı.

Daha önce 45 farklı ülkede (tabii ki listedeyiz) siber casusluk ve APT (Advanced Persistent Threat - Gelişmiş Sürekli Tehdit) saldırılarında kullanılan zararlı yazılımın şu ana kadar sadece Windows işletim sistemi ajanları yakalanmıştı.

Kaspersky tarafından Windows sürümü için hazırlanan infografik

32 ve 64 bit sürümleri de bulunan bu zararlı yazılımın kullanıldığı saldırılar aşağıdaki saldırı vektörleri kullanılarak gerçekleştirilmişti.

Oltalama saldırıları: “NATO’nun Suriye tutumu.src”, “Nota_N107-41D.pdf” veya “Sınır güvenlik protokolü.rar” gibi isimlerle önceden belirlenmiş kişilere gönderilen epostaların ekinde.
Zararlı yazılımın hedef kişilerin ilgisini çekecek web sayfaların içerisine gizlenmesi.
Daha “genel” sitelerde flash uygulaması güncellemesi olarak gösterilmesi.

Bu operasyon kapsamında şimdiye kadar tespit edilebilen ve saldırganlar tarafından zararlı yazılım dağıtmak için hazırlanan 100’e yakın site arasında 2 tanesi Türkçe’dir.

Şimdiye kadar yakalanan zararlı yazılım numuneleri CVE-2013-5065 (Windows XP ve 2003) ve CVE-2013-3346 (Adobe Reader) zafiyetlerini istismar ederek Windows işletim sistemini kullanan bilgisayarlarda arka kapı açıyordu. Arka kapıyı diğerlerinden ayıran en büyük özelliklerden birisi, aynı anda 2 farklı arka kapının açılması ve herhangi birinin kapanması halinde diğerinin onu tekrar açmasıdır.

Saldırın sonraki aşamaları ise genel olarak gördüğümüz “ölüm zinciri” döngüsüne uygun olarak yürüyor ve önemli kurumların (Kamu, Sağlık, Askeri ve Eğitim) verileri dışarıya sızdırılıyor.

Yeni yakalanan Linux sürümünün var olabileceği bir süredir tahmin ediliyordu ancak ilk defa geçtiğimiz günlerde gerçek bir numune ele geçirilebildi. Yapılan inceleme sonucunda yapı itibariyle Windows sistemleri hedef alan sürümüyle aynı bağlantı modelini kullandığı görülmüştür. Kaynak kod içerisinde gömülü olan “news-bbc.podzone(nokta)org” (Söylememe gerek yok ama ziyaret etmeyin) komuta sunucusu adresi ve “80.248.65.xx” ile başlayan DNS sunucusu bilgileri de Windows sürümlerindekilerle uyumludur.

Saldırganlar zararlıyı özel olarak hazırlanmış TCP ve UDP paketlerini kullanarak yönetiyor. Bulaştığı sunucuya gelen trafiği dinleyen zararlı yazılım TCP paketlerinde ACK bayrağı veya UDP paketlerin gövdesi içinde gönderilen talimatları bekliyor.

“Penquin” çoğu kurumda Linux işletim sistemi kullanan sunucuların internete bakması (web, mail, vb.) ve süregelen “Linux’larda virüs olmaz” yanılgısı nedeniyle, genelde savunmasız kaldığımız bir noktayı hedef almaktadır.

Zaralıyla ilgili lazım olabilecek bazı önemli bilgileri aşağıda paylaşıyorum, ağınızı ve özellikle internete bağlı Linux sunucularınızı kontrol etmenizde fayda var.

Yakalanan zararlı örneklerinin MD5 hashleri:
0994d9deb50352e76b0322f48ee576c6
14ecd5e6fc8e501037b54ca263896a11

zararlının bağlandığı kütüphaneler
glibc2.3.2
openssl v0.9.6
libpcap

Zararlının Windows sürümlerinde “Zagruzchik” adında bir DLL dosyası olduğu görülmüştür. Bu zararlının kaç sürümünün (unix? Solaris? Vb.) olduğunu bilmediğimiz için bu kelimeyi de sistem dosyaları içerisinde aramakta fayda olabilir.

Bu zararlı için kullanılan "Snake/Uroburos" platformunu dünyanın önde gelen antivirüs firmaları tarafından aşağıdaki isimlerle tanınmaktadır, tarama sonuçlarında bunlara dikkat etmekte fayda var.
F-secure: "Dropped:Backdoor.Generic.252173"
Kaspersky: "Trojan.Win32.Genome.hitb"
Symantec: "Backdoor.Pfinet"

Linux sunucularının temel güvenlik standartlarına uygun hale getirilmesinin ne kadar kritik olduğunu bu olayla bir kez daha görmüş olduk.

İran'ın Stuxnet'e cevabı

Önemli güncelleme: Bazı logoları kaldırdım. Logoları kullanmaktaki amacım firmaların ticari itibarına zarar vermek değildi. Logoları olayların görsel olarak daha net algılanmasını sağladığını düşündüğüm bir şemada yer aldığı için yazıma eklemiştim.
Yazının ana konusu olmamasına ve bütün içerisinde "ayrıntı" olarak görülebilecek bu güvenlik ihlali ile ilgili bağımsız bir kuruluş olan Uluslararası Bilgi Sistemleri Güvenliği Sertifikaları Konsorsiyumu (the International Information Systems Security Certification Consortium - ISC2) tarafından olayla ilgili yayınlanan yazı http://blog.isc2.org/isc2_blog/2012/04/test.html adresinde okunabilir. 


İran 2009 yılından beri gelişmiş yöntemleri ve zararlı yazılımları kullanıldığı siber operasyonların hedefi oluyor. Bunlardan en meşhur olanı hiç şüphesiz Stuxnet’tir. İran özelinde siber savaşın kısa tarihinin; İran’nın bazı sertifika üreticilerinin hacklemesi ile başlayan ve günümüze “satır” operasyonu ile uzanan diğer yüzü ise pek bilinmez.

Resim 1: Cylance firması tarafından "satır operasyonu" için çizilen logo

İran’a karşı siber saldırılar 2010 yılında Stuxnet zararlısının tespiti ile ortaya çıkıyor.

İran buna karşılık olarak 2011 yılında bazı sertifika firmalarını hackliyor. Firmalar zararın gerçek boyutuna ilişkin kapsamlı raporlar yayınlamamak ve olayı örtbas etmeye çabasıyla bilgi saklamakla suçlandı.

2011 yılında “Batı Cephesi” olarak adlandırabileceğimiz, kaynağı belli olmasa da A.B.D., İsrail, İngiltere veya Almanya gibi bir ülkenin elinden çıkmış olabilecek kadar gelişmiş bir zararlı olan Duqu ortaya çıkıyor.

2012 yılında “Batı Cephesi” Flame ve Gauss  zararlı yazılımları ile İran’ı hedef almış, İran ise bunlara “Shamon” ve “Operation Ababil” (Ebabil Operasyonu) ile karşılık vermiştir.

2013 yılında İran A.B.D. Deniz Kuvvetlerinin iç ağını hedef alan bir saldırı gerçekleştirdi.

2014 yılında ise ucu İran’a bağlanabilecek “Saffron Rose”, “Newscaster” ve yeni ortaya çıkan “Satır” Operasyonları görülmüştür.

Resim 2: İran'ın Siber Savaşı. Solda İran'a karşı yapılan saldırılar, Sağda İran'nın başarıya sonuçlandırdığı operasyonlar

Satır Operasyonu

Türkiye’de bazı kurumları da hedef alan “Satır Operasyonu” İran’ın siber savaş gücünün yeni bir boyuta ulaştığına dair önemli kanıtlar sunmaktadır. Operasyona adınız veren “satır” (İngilizce “Cleaver”) kullanılan zararlı yazılımın kaynak kodu içerisinde bir kaç yerde geçmektedir. Örneğin zararlı yazılımın keylogger (basılan tuşları kaydeden bileşen) dizini e:\Projects\Cleaver’dir.

“Satır” operasyonun sadece küçük bir bölümünün gün yüzüne çıkmış olabileceği düşünülmektedir. Bu tür gelişmiş zararlı yazılımların tam olarak nerelere ve kimlere bulaştığının tespit edilmesi ve işlevlerinin tümümün kısa sürede ortaya çıkartılması mümkün olmadığı için bu saldırıdan etkilenen sistemlerin sayısının tespit edilenin çok üstünde olduğunu varsaymak yanlış olmaz.

İran’ı gösteren bulgular

Salman Ghazikhani, Bahman Mohebbi, Kaj, Parviz, Alireza gibi Farsça hacker isimleri.

Operasyona destek için kaydedilen alanadlarının İran’da olması

Saldırılarda kullanılan altyapının bir İran şirketine kayıtlı olması

IP adreslerinin İran’a yönlendirilmesi

Altyapının İsfahan’da bir hosting şirketinde tutulması

Altyapı maliyetinin tek kişinin veya ufak bir grubun yapabileceği yatırımın çok üzerinde olması nedeniyle operasyonu İran devletinin desteklediği düşünülmektedir.

Saldırı Kanada, Çin, İngiltere, Fransa, Almanya, Hindistan, İsrail, Kuveyt, Meksika, Pakistan, Katar, Suudi Arabistan, Güney Kore, Türkiye, Birleşik Arap Emirlikleri ve A.B.D.’de stratejik ve kritik altyapıları hedef almıştır.

Şu ana kadar Türkiye’de ortaya çıkan bulgular ilk hedefin enerji altyapısı olduğunu göstermektedir. Kişisel görüşüm tehlikenin Kamu Kurumlarında ve önemli şirketlerin bünyesinde de yayılmış olabileceği yönündedir. Askeri birimlerin bünyesinde bu operasyonun izlerinin aranmasında fayda olacaktır.

Operasyonun belkemiğini oluşturan zararlı yazılımların içerisinde gelişmiş sıfır gün (0-day) açıklarını istismar eden bir bileşene rastlanmamış, ancak Cisco Switch’lerden IIS sunuculara, Cisco VPN’lerden Linux sunuculara kadar geniş bir hedef yelpazesini istismar edebildiği görülmüştür.

Yapılan incelemede SCADA benzeri sanayi otomasyon sistemlerine sızabilme ve ele geçirme becerisine dair bir bulguya rastlanmamıştır. Kişisel tecrübem bu tür gelişmiş zararlı yazılımların birden fazla sürümünün olabildiğini göstermiştir. Bu nedenle henüz tespit edilememiş SCADA veya PLC sistemlerine özel bir sürümünün de var olabileceğini düşünmekte fayda vardır. Operasyonun havalimanları ve uçuş sistemlerinin yoğun olduğu birimleri hedef alması bu yöndeki görüşümü güçlendirmektedir.

Bazı teknik notlar

Saldırılarda ilk kullanılan vektörler SQL injection ile zafiyetin bulunduğu sunucunun ele geçirilmesi ve oltalama (phishing) saldırıları ile kullanıcı bilgilerinin çalınması gibi görünüyor. Sisteme sızdıktan sonra sistem içerisinde ve ağ üzerinde yayılmak için saldırganların yaygın olarak görülen Windows zafiyetlerini ve sızma testlerinde de sıklıkta kullandığımız Mimikatz yazılımının türevlerini kullandıklarını görüyoruz. Mimikatz ile kullanıcı bilgilerini ele geçirdikten sonra sisteme erişmek için PSExec araçlarının kullanıldığı anlaşılmıştır. 

Saldırı içerisinde artık kronikleşmiş, sızma testlerinde de sıkça karşımıza çıkan MS08-067 zafiyetinin istismar edilmesi anlamlıdır. Bu operasyon başarısını çok özel bir sıfırıncı gün açığından değil, dikkatlice yapılmış bir sızma testinde ortaya çıkartılabilecek ve kapatılabilecek basit zafiyetlere borçludur.

Ağ üzerinde ele geçirdikleri önemli verileri dışarı sızdırmak için saldırganlar yine basit yöntemler kullanmıştır. Saldırganlar anonim bağlantı kabul eden FTP sunucularını ve Netcat yazılımını sızdıkları ağ ve sistemlerden bilgi çalmak için  kullanmışlardır.

Sızdıkları sistemde kalıcı olabilmek için saldırganlar TinyZBot adlı arka kapıyı kullanmış. TinyZBot aşağıda bir kısmını listelediğim gelişmiş bazı özelliklere sahiptir;

SMTP üzerinden veri sızdırabilme

Keylogger özelliği

SOAP üzerinden komut alabilme

Otomatik güncelleme

Ekran görüntüsü alma

İnternet Explorer üzerinde kayıtlı parolaları çalma

FTP üzerinden veri sızdırma

Avira antivirüsü devre dışı bırakma

Kurumunuzun hedef alındığını nasıl anlarsınız?

Aşağıda, bu saldırının kurbanı olduğunuzu gösteren bazı önemli noktaları paylaştım, kullanılan IP adreslerinin, alanadlarının ve zararlı yazılım numune hashlerinin tamamı için benimle iletişime geçebilirsiniz.

İçlerinden birinin bile varlığını tespit ederseniz konuşmamızda fayda var.

Saldırı için kullanılan alanadlarının birkaçı aşağıdadır.

easyresumecreatorpro(dot)com

googleproductupdate(dot)com

googleproductupdate(dot)net

kundenpflege.menrad(dot)de

microsoftactiveservices(dot)com

microsoftmiddleast(dot)com

microsoftonlineupdates(dot)com

Veri sızdırmak için kullanılan email adresleri:

testmail_00001(at)yahoo.com

TerafficAnalyzer(at)yahoo.com

dyanachear(at)beyondsys.com

Operasyonda kullanılan bazı IP adresleri

50.23.164.161

64.120.128.154

64.120.208.74

64.120.208.75

64.120.208.76

64.120.208.78

64.120.208.154

66.96.252.198

78.109.194.114

80.243.182.149

Tespit edilen zararlı numunelerin bazılarının MD-5 Hashleri

01606d42c64e4d15ea07d4e1fbd0c40d

0405adfc8739025ba88c746c8edebfb8

04fdf5b757764af8bc7ef88e0f8fe8c1

0512c5a8807e4fdeb662e61d81cd1645

0593352cadb2789c19c2660e02b2648b

08eabb6164b1b12307931e4f2d95f7c6

0900c3319e4c46ff9478e3e1fa9528a1

0acd8945bd162e5e7aa982cddbd8ecaa

0ad6a01a916f14fc24fa43e46813b3bb

0b2cbfa07fa9a090b35a3dfdb0ebad9d

0b80a8d2c56789b4bda9a56a53e7e2b1

0f4b526d8edf1d3d32c81a692c325733

10d019932fc43e9b39be709f8281203d

1223e93dd4a5ad0536c8232936cb35fe

144064951cceaf1bb81e8f215de76101

14a80287490f3a68d99c0f518b246fd2

17d1f25185b31044eb89a99d50d36a26

18942a44d2b5f2bbf54e2c18ac293915

Tespit edilen zararlı numunelerin bazılarının SHA-256 Hashleri

c30a2fe22050dcac30616a3d27d5c92ea2815d060b365747984913758a209aaa

c74df42cfc7c7221f7f28c67bd726a1caad8453fc35daddfb094aaeede2e8e1e

c9010e060de6a83c3802ed4e6b7f544e6eb2b5420ee2be5c71646e6a27182bea

c901d84878f50a93ab76f2ea31763bebb0acf0c0f9ad86b3abf98e5cde499332

c99fa90038cec60d9aa21a49e537ad9ea55672ed78cf5b429cb4c75ebc5ccd69

c9fc8133e755c14cb02872ba05a2332baefe5e94797479aded46c3db83a7cc14

ca7138bfe08b480386653072482e58f6c48b05a1e7fb8a82cc042806eae9acc2

caa769a21bf97987de4cc92874eaa03e7b0538082c502606aa8ca97823e2e2aa

cd75664edea18e3aa303763e6f6c639b3e90ead4b51c2b3e41c808e3d968c848

cffba2a145d91bdecfa8cb32af6964576889faa04591b503a58507cf89ab7cae

d045ea925cf461da5c58cc2af8a0f96ec7c961ea62ffcf1de0b04abf9b0fa8ac

d11b504b18bc8615e98f3c37d98c6fe11216a0f070a056414ca4407fc298fbd6

Operasyonun kurbanı olduğunuzu anlamanızı sağlayacak diğer ipuçları ve IPS/IDS (Sızma tespit ve engelleme sistemi) imzaları için bana ulaşabilirsiniz.

---------------------------------

---------------------------------

---------------------------------

“Safran Gülü”... “Ebabil”... İran operasyon isimlerine doğu ezgilerini soktu ve aklıma Vedat Özdemir’in “iki resim arasındaki 7 fark” yazısı geldi. Doğu ve Batı arasındaki 7 farkı şöyle söylemiş (ağır siber savaş yazısına renk katması ümidiyle paylaşıyorum):

Doğu incecidir, halıyı uçurur…

Batı birebircidir, adamı uçurur…

Doğu’ya sömürgeciler gitmiştir…

Batı’ya kaşifler gitmiştir…

Doğu temennicidir, “yüreğine sağlık” der…

Batı, nesneldir, “by pass”a girer…

Doğu’nun Batı’ya saldırıları ‘barbarlık’tır…

Batı’nın Doğu’ya saldırıları ‘sefer’dir…

Doğu’da “aşk” olunur…

Batı’da yapılır…

Doğu’nun Ali Baba’sı haramilerle uğraşır…

Batı’nın Godfather’ı da haramilerle uğraşır ama kendisi de bizzat haramidir…

Doğulu cemaatçidir, yoldaş için can cerir…

Batılı bireycidir, kendi kendine intihar eder…

Zafiyet, Tehdit ve Saldırı

Bilgi güvenliği konusu açıldığında karşımıza çıkan 3 temel terim zafiyet, tehdit ve Saldırıdır.

Terimleri anlamanın güvenlik konusunda atılacak adımların daha doğru planlanmasına faydalı olacağına inandığım için kısaca toparlamak istedim.

Zafiyet: Ağ veya ağa bağlı cihaz üzerinde bulunan bir güvenlik zafiyeti. Sunucular, ağ geçitleri ve hatta güvenlik cihazlarında bile zafiyet bulunabilir.

Tehdit: Mevcut zafiyetin istismar edilmesi (saldırgan tarafından kullanılması) halinde gerçekleşebilecek risktir. İlk akla gelenler sistemin hizmet veremez hale gelmesi veya izinsiz kişilerin sistem üzerindeki verilere ulaşmasıdır.

Saldırı: Ağ veya ağa bağlı sistemlere zarar vermek amacıyla yapılan eylemdir.

Zafiyetler

Herhangi bir ağ üzerinde güvenlik politikası, teknoloji veya kurulum/konfigürasyon eksikliklerinden kaynaklanan 3 temel zafiyet türü bulunabilir.

Güvenlik Politikası Zafiyetleri

Kağıt üzerinde görmeye alışık olduğumuz “güvenlik politikası” bizim için gerçekte nasıl bir zafiyet olabileceği ilk bakışta net olmayabilir. Güvenlik politikasının olmaması ağa bağlı sistemlere izinsiz yazılım yüklenmesi gibi pek çok önemli güvenlik açığına neden olabilir. Benzer şekilde felaket kurtarma veya olağanüstü durum planlarının belli olmaması güvenlik ihlali veya felaket durumunda yanlış veya eksik davranışlara neden olarak durumun daha da kötüleşmesine neden olabilir.

Teknoloji Zafiyetleri

Ağ üzerinde teknolojik zafiyet bulunabilecek sistemleri 3 ana gruba ayırabiliriz bunlar protokol, işletim sistemi ve cihazlardır.

HTTP, FTP veya DNS gibi iletişim protokolleri ve ağ üzerinden hizmet veren yapılar kendi içlerinde zafiyetler barındırmaktadır. Saldırganlar bunları hedef alarak ağ üzerindeki iletişimi aksatabilir, veri alışverişini dinleyebilir/değiştirebilir veya kurumsal ağ kaynaklarını başka hedeflere saldırmak için kullanabilir.

Windows, MAC ve Linux/UNIX gibi işletim sistemlerinin bilinen pek çok zafiyetleri vardır. Saldırganlar bu zafiyetleri sistemleri hizmet dışı bırakmak veya tamamen ele geçirmek için kullanabilmektedir.

Cihazların arayüzlerinin istismar edilebilir zafiyetler barındırması veya ağ üzerinde aktif olarak çalışan cihazların fabrika çıkışı kullanıcı adı/parola bilgilerinin değiştirilmemesi bunları saldırganlar için önemli hedefler haline getirmektedir.

Kurulum/konfigürasyon Zafiyetleri

Ağ ve sistem yöneticilerine en çok görevin düştüğü zafiyetler bu başlık altında toplanabilir. Kullanıcı hesaplarının güvenliğinin sağlanması çok önemlidir. Güçlü parola kullanımı için kurallar belirlenmeli ve kullanıcıların bu kurallara uyduğundan emin olunmalıdır. Ağ ve ağa bağlı sistemler üzerinde çalışmasına izin verilen uygulamaların belirlenmesi çok önemlidir. Bu konu açılmışken; bu sene Mart ayında bulaştığı ağ üzerinden topladığı önemli bilgileri kendi açtığı bir Twitter üzerinden paylaşan bir zararlı yazılım tespit edildi. Günde 100.000 adetten fazla Tweet atan zararlı yazılım, bulaştığı bir perakende zinciri ağı üzerinde bulduğu kredi kartı bilgilerini bu sayede dışarıya göndermişti. Geçtiğimiz ay ise bir grup saldırgan sızdıkları ağdan topladıkları verileri Youtube’a video yükler gibi .mp4 uzantılı dosyalar içerisine saklayıp kurumun güvenlik önlemlerini atlatmayı başardı.

Tehditler

Saldırgan profiline biraz daha detaylı ele aldığım bir yazıma http://www.alperbasaran.com/2014/11/siber-saldrgan-tanmak.html adresinden ulaşabilirsiniz. Burada basitçe iç ve dış tehdit profillerine değineceğim.

İç Tehdit

Kurumsal ağa ve sistemlere erişim yetkisi olan kişi veya sistemlerin yaptığı saldırılardır. Bu tehdit grubu sadece personelle sınırlı değildir. Sosyal mühendislik saldırısı sonucunda ele geçirilen bir çalışan laptopu saldırganların bir uzantısı olarak, personelin kötü niyeti sonucunda olmasa bile, iç tehdit olarak karşımıza çıkacaktır.

Dış Tehdit

Saldırganların dışarıdan kurumsal ağa ve bağlı sistemlere izinsiz erişim sağlamalarıdır.

Saldırılar

Saldırı konusu, değil blog, başlı başına kitap olabilecek bir konudur, o nedenle sadece yaygın olarak görülen bazı saldırıları ele alabileceğim.

DoS Saldırıları

“Denial of Service” (Hizmet Dışı Bırakma) saldırıları hala yaygın olarak görülmektedir. Çeşitli güvenlik firmaları tarafından geçtiğimiz ay yayınlanan raporların ortak noktalarından birisi de hizmet dışı bırakma saldırılarının sayısında ve etkisinde görülen artıştır. Özellikle 10 Gbps ve üzerinde görülen DDoS (Dağıtık Hizmet Dışı Bırakma) saldırı sayısı, bir önceki 3 aylık döneme göre, %38 oranında artmıştır. Saldırıların önemli bir bölümü ise basit bant genişliği sömürüsünün ötesinde SYN Flood gibi daha “akıllı” saldırılardan oluşmaktadır.

Bant genişliğini tüketmenin dışında kullanıcıların hedef alınan sisteme erişmesini engellemek  için saldırganların kullandığı DoS saldırılarının temel adımları ise aşağıdakilerdir:

Hedef sistem üzerinde çalışan hizmetleri ve uygulamaları tanımak

Bu uygulamaların kaynaklarını sömürmeye yönelik bir zafiyetten faydalanan bir aracın bulunması

Uygulamaya karşı saldırının başlatılması

Sızmalar

Saldırganların ağa ve ağa bağlı sistemlere sızarak veri çalmaları veya değiştirmelerini kapsayan bu saldırılar aşağıdaki ana hatlar üzerinden gerçekleştirilmektedir

DNS veya web sunucusu gibi internet üzerinden erişilebilen bir sistemin bulunması

Çeşitli yöntemler kullanılarak sistem üzerinde oturum açmak veya başka bir uygulama çalıştırmak

Ele geçirilen sistemin iç ağa ve iç ağa bağlı sistemlere erişmek için kullanılması

Arka Kapı

Saldırganlar tarafından hedef sisteme tam veya kısmı erişim kazanmanın ve bu sistemlerin yönetimini ele geçirmek için kullanılabilecek en basit yöntem arka kapı açılmasıdır. Yaygın olarak görülen 3 arka kapı türü Truva atları, arka kapı yazılımları (PHP Shell, vb.) ve duruma özel yazılmış kodlardır.

Kırmalar

Saldırganlar sisteme erişim yetkisi kazanmak veya hedef sistem üzerinde istedikleri kodu çalıştırmak için kaba kuvvet saldırıları düzenlerler. Bu saldırıların en basit örneği kullanıcı adı/parola tahmini için peşpeşe çok sayıda olasılığın denenmesidir.

Phishing

Hedef kurum personelini kandırmaya yönelik hazırlanmış eposta mesajlarının gönderilmesidir. İyi hazırlanmış bir oltalama (phishing) epostasını engelleyebilecek güvenlik önlemi sayısı çok azdır, bunun ötesinde kullanıcının bu maillerde kurulan senaryoya kanmasını engellemek ise neredeyse tamamen imkansızdır.