Mîrê Navtorê /
İnter net
ve bilgisayar güvenliği bütün kullanıcılar için önemli bir yer tutuyor.
Ama kürd internet kullanıcılarını buna ek özel bir tehlike bekliyor:
kürdlere özel yazılmış bir virus, daha dogrusu trojan. Trojan ile virus
arasındaki en büyük fark virusun calişir calışmaz vereceği zararı
vermesi ama trojanın bir casus gibi uzun süre görünmez kalıp bütün
önemli bilgileri başkalarına aktarmasıdır. Dolayısıyla trojanlar klasik
viruslerden çok daha tehlikelidir.
2010 yılı ortalarında, 1998'de cezaevinde bedenini ateşe veren bir kürd tutsağı(Sema Yüce) anmak amacıyla slideshow görünümünde bir ekran koruyucu bir çok kürde E-mail yoluyla gönderildi. Gönderilen emaildeki eklenti caliştirildiği zaman gerçekten ortaya bir ekran koruyucu çıkıyor ve söz konusu kişinin resimleriyle beraber anma textleri geliyor. Arkaplanda kürdçe müzik eşliğinde calişan bu sunumdan normal bir kullanıcının şüphelenmesi zaten beklenmez.
Aslında bu ekran koruyucu cok tehlikeli bir trojanı beraberinde getiriyor. Ancak bu seferki internette rastgele dolaşan viruslerden ve trojanlardan farklı olarak sadece kürdlere özel yapilmiş bir trojan. Şifreleri çalıyor, ekranda görünen herşeyin kopyasını alıyor, gizlice mikrofon ve webcam çalıştırmak suretiyle kurbanın evini sürekli gözetleyebilecek tehlikeli bir düzeye ulaşabiliyor.
Bu virus dikkatli bir kürd güvenlik uzmanı tarafından şüpheli bulunup incelendikten sonra ortaya çıkarıldı. Bazı antivirus firmaları tarafından da farkedilmesi sağlandı. Teknik detaylarını aşagıda okuyacağınız bu virus ve benzerlerinin zararlarından sakınmak için:
- Şüpheci olun, email sevdiklerinizden de gelse virus içerebilecegini unutmayın
- Herşeye tıklamayın çünkü zararlı virus ve trojanlar bir tıklama uzağınızdadırlar
- Anti-Virus programları gereklidirler ama sadece antivirus birşey göstermediği için %100 güvende değilsiniz
- Internetle, özellikle de güvenlikle ilgili teknik haberleri takip edin
- Windows dahil bütün programlarınızı güncelleyin
- Kolay kırılamayan uzun şifreler tercih edin
- Aynı şifreyi her yerde kullanmayın
- Content Management System kullanıyorsanız mutlaka zamanında güncelleyin
- Kendiniz kod yaziyorsaniz kodlarınızın Exploit, SQL Injection, Cross Site Scripting, File Inclusion Attack gibi yöntemlere karşı dayanıklı olmasına dikkat edin
- Websitenizin güvenliğini belli aralıklarla test edin
- Webmaster olarak site güvenliginden de sorumlu oldugunuz için bu alanda kendinizi yetiştirmelisiniz
Bu viruse maruz kalan kullanıcılar kürd güvenlik uzmanına burdan ulaşabilirler: mirenavtore@gmail.com
18.06.2010 tarihinde içinde trojan(casus virus/truva atı) olan email bir çok kürde gönderildi. Ancak trojan kendisini faydalı bir screensaver olarak gösteriyordu ve "Şehid Sema Yüce için screensaver" adını taşıyordu. Bu ekrankoruyucu özellikle kürdlere zarar vermek için yazılmıştı ve antivirus programlarının %80i tarafından farkedilemiyordu bile. Bu yüzden saldırganlar rahatlıkla kurbanların şifrelerini ve önemli bilgilerini çalabiliyor hatta internet üzerinden web kameralarını ve mikrofonlarını çalıstırarak onları gizlice gözetleyebiliyorlardı. Dikkat cekmemek için hackledikleri bir kürd sitesini kullanarak virusu yayıyorlardı.
Analize baslayalim; kürdlere gönderilen o e-mail şöyle görünüyordu:
E-mail görünüşe göre jinen.azad1@gmail.com tarafından Sema Yüce'yi anmak için gönderilmiş. Sema Yüce (Serhildan) 1992 yılında yakalanan ve 21.03.1998 tarihinde Newroz'da bedenini Çanakkale cezaevinde ateşe veren bir kürd gerillası. Emaili bu içerikle okuyan bir çok kişi fazla düşünmeden ekran koruyucuyu çalıstırmıslardır. Elbette aslında arkaplanda bir trojan çalıstırdıklarını bilmeyeceklerdi. Detaylarına sonra dönecegiz. Bu tür saldırılara "Social Engineering" deniyor. Dünyaca ünlü hacker Kevin Mitnick de bu yöntemleri kullanmıştı.
2010 yılı ortalarında, 1998'de cezaevinde bedenini ateşe veren bir kürd tutsağı(Sema Yüce) anmak amacıyla slideshow görünümünde bir ekran koruyucu bir çok kürde E-mail yoluyla gönderildi. Gönderilen emaildeki eklenti caliştirildiği zaman gerçekten ortaya bir ekran koruyucu çıkıyor ve söz konusu kişinin resimleriyle beraber anma textleri geliyor. Arkaplanda kürdçe müzik eşliğinde calişan bu sunumdan normal bir kullanıcının şüphelenmesi zaten beklenmez.
Aslında bu ekran koruyucu cok tehlikeli bir trojanı beraberinde getiriyor. Ancak bu seferki internette rastgele dolaşan viruslerden ve trojanlardan farklı olarak sadece kürdlere özel yapilmiş bir trojan. Şifreleri çalıyor, ekranda görünen herşeyin kopyasını alıyor, gizlice mikrofon ve webcam çalıştırmak suretiyle kurbanın evini sürekli gözetleyebilecek tehlikeli bir düzeye ulaşabiliyor.
Bu virus dikkatli bir kürd güvenlik uzmanı tarafından şüpheli bulunup incelendikten sonra ortaya çıkarıldı. Bazı antivirus firmaları tarafından da farkedilmesi sağlandı. Teknik detaylarını aşagıda okuyacağınız bu virus ve benzerlerinin zararlarından sakınmak için:
- Şüpheci olun, email sevdiklerinizden de gelse virus içerebilecegini unutmayın
- Herşeye tıklamayın çünkü zararlı virus ve trojanlar bir tıklama uzağınızdadırlar
- Anti-Virus programları gereklidirler ama sadece antivirus birşey göstermediği için %100 güvende değilsiniz
- Internetle, özellikle de güvenlikle ilgili teknik haberleri takip edin
- Windows dahil bütün programlarınızı güncelleyin
- Kolay kırılamayan uzun şifreler tercih edin
- Aynı şifreyi her yerde kullanmayın
- Content Management System kullanıyorsanız mutlaka zamanında güncelleyin
- Kendiniz kod yaziyorsaniz kodlarınızın Exploit, SQL Injection, Cross Site Scripting, File Inclusion Attack gibi yöntemlere karşı dayanıklı olmasına dikkat edin
- Websitenizin güvenliğini belli aralıklarla test edin
- Webmaster olarak site güvenliginden de sorumlu oldugunuz için bu alanda kendinizi yetiştirmelisiniz
Bu viruse maruz kalan kullanıcılar kürd güvenlik uzmanına burdan ulaşabilirler: mirenavtore@gmail.com
Bir anti-kürd trojanın teknik analizi
Geçmişte kürd kişi ve kurumlarına ait bir çok websitesi, email hesabı ve çeşitli üyelikler hacklendi. Bu yazıda saldırılardan birini detaylı bir şekilde analiz ederek kulislerin ardına bir göz atacağız. Saldırganlar nasıl bir yol izlediler?18.06.2010 tarihinde içinde trojan(casus virus/truva atı) olan email bir çok kürde gönderildi. Ancak trojan kendisini faydalı bir screensaver olarak gösteriyordu ve "Şehid Sema Yüce için screensaver" adını taşıyordu. Bu ekrankoruyucu özellikle kürdlere zarar vermek için yazılmıştı ve antivirus programlarının %80i tarafından farkedilemiyordu bile. Bu yüzden saldırganlar rahatlıkla kurbanların şifrelerini ve önemli bilgilerini çalabiliyor hatta internet üzerinden web kameralarını ve mikrofonlarını çalıstırarak onları gizlice gözetleyebiliyorlardı. Dikkat cekmemek için hackledikleri bir kürd sitesini kullanarak virusu yayıyorlardı.
Analize baslayalim; kürdlere gönderilen o e-mail şöyle görünüyordu:
E-mail görünüşe göre jinen.azad1@gmail.com tarafından Sema Yüce'yi anmak için gönderilmiş. Sema Yüce (Serhildan) 1992 yılında yakalanan ve 21.03.1998 tarihinde Newroz'da bedenini Çanakkale cezaevinde ateşe veren bir kürd gerillası. Emaili bu içerikle okuyan bir çok kişi fazla düşünmeden ekran koruyucuyu çalıstırmıslardır. Elbette aslında arkaplanda bir trojan çalıstırdıklarını bilmeyeceklerdi. Detaylarına sonra dönecegiz. Bu tür saldırılara "Social Engineering" deniyor. Dünyaca ünlü hacker Kevin Mitnick de bu yöntemleri kullanmıştı.
E-Mail Header analizi
E-Mail Header kısmına bakıldıgı zaman saldırgan ile ilgili çok bilgi görünmüyor. Sadece görünüşe göre jinen.azad1@gmail.com tarafından gönderilmiş. Daha fazla bilgiye ulaşmak için detaylara bakıyoruz. Alıcının email adresini burda AAAAAAAAAAAAA ile değiştirdik ki kendisi için risk oluşmasın. Önemli bilgiler bold olarak vurgulanmiş durumdadır. Base64 ile kodlanmış mail eklentisi de yer tutmaması için kısaltıldı.
Delivered-To: AAAAAAAAAAAAA
Received: by 10.223.104.5 with SMTP id m5cs85135fao;
Fri, 18 Jun 2010 02:21:53 -0700 (PDT)
Received: by 10.223.20.216 with SMTP id g24mr589835fab.63.1276852909391;
Fri, 18 Jun 2010 02:21:49 -0700 (PDT)
Return-Path:
Received: from srv35.tophost.ch (srv35.tophost.ch [194.150.248.130])
by mx.google.com with ESMTP id a24si11279218fak.45.2010.06.18.02.21.47;
Fri, 18 Jun 2010 02:21:49 -0700 (PDT)
Received-SPF: fail (google.com: domain of webmaster@yourdomain.com does not designate 194.150.248.130 as permitted sender) client-ip=194.150.248.130;
Authentication-Results: mx.google.com; spf=hardfail (google.com: domain of webmaster@yourdomain.com does not designate 194.150.248.130 as permitted sender) smtp.mail=webmaster@yourdomain.com
Received: from aduran by srv35.tophost.ch with local (Exim 4.69)
(envelope-from)
id 1OPXlh-00022B-Gu
for AAAAAAAAAAAAA; Fri, 18 Jun 2010 11:21:46 +0200
To: AAAAAAAAAAAAA
Subject: Şehid Sema Yüce
From: Jinen Azad
Reply-To: Jinen Azad
Message-ID: <491e2ff688a5c7f82ab051e693e2224a@adil-duran.com>
X-Priority: 3
X-Mailer: Attachment Mailer [version 1.2]
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="b3bc309e98b292b14d857e2cf103aa4c"
Date: Fri, 18 Jun 2010 11:21:45 +0200
This is a multi-part message in MIME format.
--b3bc309e98b292b14d857e2cf103aa4c
Content-Type: multipart/alternative;
boundary="af26690d91bea8e3df70ce85b2aa4773"
--af26690d91bea8e3df70ce85b2aa4773
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
--af26690d91bea8e3df70ce85b2aa4773
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: 8bit
SEHID SEMA YÜCE'YI SAYGIYLA ANIYORUZ
98’in Martinda gerçeklestirdigi büyük eylemiyle, kendini özgürlük atesiyle yakarak küllerinden yeniden yaratmak istemistir. 8 Marttan Newroza uzanan bir köprü olmak istemistir. Kendisinden önce bu sevda ugruna kendini küllerinden yeniden yaratan yoldaslarini uzun bir süre boyunca incelemis, onlarin izinden giderken böylesi eylemliliklerin kendini asma siniri oldugunu kendide yasayarak ögrenmisti. Eylem yaptiginda sehit düsmemis, çok derin acilara yol açacak yaniklarina ragmen, sehit düstügü 17 Haziran tarihine kadar da, moralini ve iradesini çok yüksek tutarak, normal düsünen, siradan yaklasan insanlarin anlayamayacagi bir durus içerisinde olmustur.
O’nu bu eyleme götüren derin yasam anlayisini ve büyük askini anlatan mektuplariyla, tarihe adini asinmayacak bir biçimde yazdirdi, bu mektuplardan ve Sema yoldasin resimlerinden olusan ekran korucuyu sizlere de gönderiyoruz. Sema Yüce yoldasimizi anmak için sizde bu ekran korucuyu bilgisayarlariniza yükleyin.
Not: Ekran Koruyucu Ektedir.
--af26690d91bea8e3df70ce85b2aa4773--
--b3bc309e98b292b14d857e2cf103aa4c
Content-Type: application/octet-stream;
name="SemaYuce.rar"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="SemaYuce.rar"
UmFyIRoHAM+QcwAADQAAAAAAAACoyXTAgCwA7lA1ADrgNQACgZxbeXx40TwdMwwAI AAAAFNlbWFZdWNlLmV4ZSQd1VUMi
NnYGlo5ngmTJJhMwDIEEiEEis GCCshkFkAySKkHIRMwECRarLHFbRhzkRtkDJeSQzJwwV/dNaFrWtvVt6b1W2l6qiNWjIR
uSClAQKsaPgFpVzHCrCsoYLAzv9m8hJni1rfOZC...
...ARaFlBcXBeC9k92bP/96+QL7dHrT/E7enTr8j0H+X/4gxD17AEAHAA==
--b3bc309e98b292b14d857e2cf103aa4c--
Received: by 10.223.104.5 with SMTP id m5cs85135fao;
Fri, 18 Jun 2010 02:21:53 -0700 (PDT)
Received: by 10.223.20.216 with SMTP id g24mr589835fab.63.1276852909391;
Fri, 18 Jun 2010 02:21:49 -0700 (PDT)
Return-Path:
Received: from srv35.tophost.ch (srv35.tophost.ch [194.150.248.130])
by mx.google.com with ESMTP id a24si11279218fak.45.2010.06.18.02.21.47;
Fri, 18 Jun 2010 02:21:49 -0700 (PDT)
Received-SPF: fail (google.com: domain of webmaster@yourdomain.com does not designate 194.150.248.130 as permitted sender) client-ip=194.150.248.130;
Authentication-Results: mx.google.com; spf=hardfail (google.com: domain of webmaster@yourdomain.com does not designate 194.150.248.130 as permitted sender) smtp.mail=webmaster@yourdomain.com
Received: from aduran by srv35.tophost.ch with local (Exim 4.69)
(envelope-from
id 1OPXlh-00022B-Gu
for AAAAAAAAAAAAA; Fri, 18 Jun 2010 11:21:46 +0200
To: AAAAAAAAAAAAA
Subject: Şehid Sema Yüce
From: Jinen Azad
Reply-To: Jinen Azad
Message-ID: <491e2ff688a5c7f82ab051e693e2224a@adil-duran.com>
X-Priority: 3
X-Mailer: Attachment Mailer [version 1.2]
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="b3bc309e98b292b14d857e2cf103aa4c"
Date: Fri, 18 Jun 2010 11:21:45 +0200
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - srv35.tophost.ch
X-AntiAbuse: Original Domain - googlemail.com
X-AntiAbuse: Originator/Caller UID/GID - [32220 32002] / [47 12]
X-AntiAbuse: Sender Address; Domain - yourdomain.com
X-Source: /usr/bin/php
X-Source-Args: /usr/bin/php /home/aduran/public_html/images/mail2/attach_mailer_example.php
X-Source-Dir: adil-duran.com:/public_html/images/mail2
X-AntiAbuse: Primary Hostname - srv35.tophost.ch
X-AntiAbuse: Original Domain - googlemail.com
X-AntiAbuse: Originator/Caller UID/GID - [32220 32002] / [47 12]
X-AntiAbuse: Sender Address; Domain - yourdomain.com
X-Source: /usr/bin/php
X-Source-Args: /usr/bin/php /home/aduran/public_html/images/mail2/attach_mailer_example.php
X-Source-Dir: adil-duran.com:/public_html/images/mail2
This is a multi-part message in MIME format.
--b3bc309e98b292b14d857e2cf103aa4c
Content-Type: multipart/alternative;
boundary="af26690d91bea8e3df70ce85b2aa4773"
--af26690d91bea8e3df70ce85b2aa4773
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
--af26690d91bea8e3df70ce85b2aa4773
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: 8bit
SEHID SEMA YÜCE'YI SAYGIYLA ANIYORUZ
98’in Martinda gerçeklestirdigi büyük eylemiyle, kendini özgürlük atesiyle yakarak küllerinden yeniden yaratmak istemistir. 8 Marttan Newroza uzanan bir köprü olmak istemistir. Kendisinden önce bu sevda ugruna kendini küllerinden yeniden yaratan yoldaslarini uzun bir süre boyunca incelemis, onlarin izinden giderken böylesi eylemliliklerin kendini asma siniri oldugunu kendide yasayarak ögrenmisti. Eylem yaptiginda sehit düsmemis, çok derin acilara yol açacak yaniklarina ragmen, sehit düstügü 17 Haziran tarihine kadar da, moralini ve iradesini çok yüksek tutarak, normal düsünen, siradan yaklasan insanlarin anlayamayacagi bir durus içerisinde olmustur.
O’nu bu eyleme götüren derin yasam anlayisini ve büyük askini anlatan mektuplariyla, tarihe adini asinmayacak bir biçimde yazdirdi, bu mektuplardan ve Sema yoldasin resimlerinden olusan ekran korucuyu sizlere de gönderiyoruz. Sema Yüce yoldasimizi anmak için sizde bu ekran korucuyu bilgisayarlariniza yükleyin.
Not: Ekran Koruyucu Ektedir.
--af26690d91bea8e3df70ce85b2aa4773--
--b3bc309e98b292b14d857e2cf103aa4c
Content-Type: application/octet-stream;
name="SemaYuce.rar"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="SemaYuce.rar"
UmFyIRoHAM+QcwAADQAAAAAAAACoyXTAgCwA7lA1ADrgNQACgZxbeXx40TwdMwwAI AAAAFNlbWFZdWNlLmV4ZSQd1VUMi
NnYGlo5ngmTJJhMwDIEEiEEis GCCshkFkAySKkHIRMwECRarLHFbRhzkRtkDJeSQzJwwV/dNaFrWtvVt6b1W2l6qiNWjIR
uSClAQKsaPgFpVzHCrCsoYLAzv9m8hJni1rfOZC...
...ARaFlBcXBeC9k92bP/96+QL7dHrT/E7enTr8j0H+X/4gxD17AEAHAA==
--b3bc309e98b292b14d857e2cf103aa4c--
Asağıdaki satıra baktığımız zaman emailin aslında Gmail tarafından degil src35.tophost.ch tarafından gönderildiğini görüyoruz:
Received: from srv35.tophost.ch (srv35.tophost.ch [194.150.248.130])
Spama maruz kalan bazı websiteleri tedbir amacıyla header kısmına extra bilgi ekliyorlar:
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - srv35.tophost.ch
X-AntiAbuse: Original Domain - googlemail.com
X-AntiAbuse: Originator/Caller UID/GID - [32220 32002] / [47 12]
X-AntiAbuse: Sender Address; Domain - yourdomain.com
X-Source: /usr/bin/php
X-Source-Args: /usr/bin/php /home/aduran/public_html/images/mail2/attach_mailer_example.php
X-Source-Dir: adil-duran.com:/public_html/images/mail2
X-AntiAbuse: Primary Hostname - srv35.tophost.ch
X-AntiAbuse: Original Domain - googlemail.com
X-AntiAbuse: Originator/Caller UID/GID - [32220 32002] / [47 12]
X-AntiAbuse: Sender Address; Domain - yourdomain.com
X-Source: /usr/bin/php
X-Source-Args: /usr/bin/php /home/aduran/public_html/images/mail2/attach_mailer_example.php
X-Source-Dir: adil-duran.com:/public_html/images/mail2
Yukardaki bilgileri incelediğimiz zaman mailin aslında su script tarafından gönderildiğini öğreniyoruz: "/home/aduran/public_html/images/mail2/attach_mailer_example.php". Bu lokal adresin internetteki konumu da sudur:
"http://www.adil-duran.com/images/mail2/attach_mailer_example.php"
Test edelim çalisiyormu?
Görüldüğü gibi trojan bu script ile gönderilmiş. Script kodlarında dikkat ceken şeylerden biride yarı ingilizce yarı türkçe olmasıdır. Kodlara bakalım:
Attachment Mailer example
This is a simple example of how to use this class. This example sends a text type e-mail with multiple attachements.
Root Klasoru : /home/aduran/public_html
CALISMAYA HAZIRLIK.
Burdan scripti kimlerin yazdığını tahmin edebilirmiyiz? Kodlarda belli şeyleri çıkarıp araştirmamız gerekiyor. Şu cümle olabilir:
This is a simple example of how to use this class. oder "attach_mailer_example.php"
Daha basitleştirirsek şuraya çıkıyoruz "http://www.adil-duran.com/images/mail2/". Burda sadece "attach_mailer_example.php" adres çubugundan cıkarıldı:
Her iki durumda da şu sonuca çıkıyoruz; script "http://www.finalwebsites.com/forums/class/attach_mailer adresinden" indirilmiş. Bu bize şu fikri veriyor: yazan kişi aslında iyi bir programcı değil baskalarının yazdığı hazır şeyleri kullanıyor.
www.adil-duran.com'un analizi
Yakaladığımız izler bizi bu siteye çikariyor. Herne kadar sitenin dili türkçe olsada içerikten bir kürd sitesi oldugu belli.
Bu nasıl olabilir, bir kürd kişi sitesiyle kürdlere zarar vermeyemi çalısıyor? Hayir, muhtemelen site sahibinin sitesinin bu amaçlarla kullanıldığından hiç haberi bile yoktur. Peki nasıl olurda trojan bu site üzerinden gönderiliyor? Sitenin footer kismina bir göz atalim:
Diese Webseite wurde mit PHPKIT Version 1.6.1 erstellt
PHPKIT ist eine eingetragene Marke der Gersöne & Schott GbR - Copyright © 2002-2004
PHPKIT ist eine eingetragene Marke der Gersöne & Schott GbR - Copyright © 2002-2004
Bu site PHPKIT 1.6.1 ile yapılmış ama sonra güncellenmemiş. PHPKIT 1.6.5 olan güncel versiyona geçilmis olması lazımdı.
Biraz araştırmayla PHPKIT 1.6.1 versiyonunda güvenlik açıkları olduğunu öğreniyoruz.
Sitede muhtemelen File Inclusion yada Command Execution gibi güvenlik açıklarından faydalanılarak zararlı dosyalar yüklenmiş. Site asagidaki aciktan dolayi hacklenmis görünüyor:
http://archives.neohapsis.com/archives/bugtraq/2007-11/0393.html
Trojan analizi
Saldırganlar hakkında daha fazla bilgi edinmek için şimdi email eklentisi içinde gelen trojanı inceliyoruz. Virus incelemek mayın ile oynamaya benzediği için %100 ne yaptığından emin olmadan kesinlikle el sürmemek gerekiyor. Virusleri kontrol edilebilen bir test ortamında incelemek gerekiyor. Ilk adım olarak antivirus programlarının trojanı bulup bulamayacaklarını test ediyoruz. Bunun için Virustotal ile farklı programların sonuçlarını görebiliyoruz. 18.06.2010 tarihindeki ilk incelemede 40tan fazla antivirus programından sadece 10 tanesi bunu farkedebiliyor. 03.02.2011 tarihindeki 2. taramada ise bu sayı 23'e çıkıyor. Burda Virustotal'ın sonuçları üretici firmalarla paylaşmasınında büyük etkisi var. Bu da şu anlama geliyor, bu trojan 1 yıldan fazla süredir piyasada olmasına rağmen hala antivirus programlarının yarısından fazlası tarafından farkedilemiyor bile.
SemaYuce.exe isimli dosyanın dinamik analizi
Bu bölümde tecrit edilmis bir ortamda bu dosyayı inceliyoruz. Güvenlik sebeplerinden dolayı labaratuar hakkında daha fazla bilgi vermiyoruz.
SemaYuce.exe isimli ekran koruyucuyu çalıştırdıgımızda ne oluyor? Ilk başta Sema Yüce'nin resimleri geliyor, o sırada akan yazılarla bilgiler veriliyor ve arka planda kürdçe müzik çaliyor.
Bu görünen kısım peki gerçekte arkaplanda ne oluyor?
Program çalışır çalışmaz aşağıdaki dosyalar kopyalanıyor:
C:Dokumente und EinstellungenAll UsersStartmenüProgrammeAutostartServices.lnk
C:ProgrammeSehidSemaYucesema.exe
C:ProgrammeSehidSemaYucesema.scr
C:ProgrammeSehidSemaYuceservices.exe
C:ProgrammeSehidSemaYucesema.exe
C:ProgrammeSehidSemaYucesema.scr
C:ProgrammeSehidSemaYuceservices.exe
Services.exe ve services.lnk gizli olup sadece ileri kullanıcıların bildigi dosya özellikleri değistirildiği zaman görülebiliyor. Aşagıda sol taraftaki şekilde services.exe görülemiyor.
Asagidaki RegEdit komutuyla bilgisayar her açıldığında services.exe otomatikmen çalıştırılıyor:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunMicrosoft Service Manager: "C:Dokumente und einstellungenadminlokale einstellungenanwendungsdatenmicrosoftwincacheservices.exe"
Şimdi bakalım bu dosyalar neler yapıyorlar: sema.exe, sema.scr ve services.exe
sema.exe
Visual Basic ile yapilan bu dosyanın görevi sema.scr ve services.exe dosyalarini calistirmak. Dosyadaki bazı bölümlerden dosyanın türkler tarafından yazıldığı anlaşılıyor: "@*AX:ICLANICLANDAN KALANMALZEMECalistirmaCalistir.vbp".
sema.scr
Bu aslında Flashdemo.net ile yapılmış bir ekran koruyucu. Normal bir ekran koruyucu gibi çalısıyor, resimler geliyor arkaplanda müzik çalıyor ve yazılar akıyor. Gören kişide bunun bir virus olabileceği izlenimi uyanmiyor.
services.exe
Bu dosya kurban ile saldırgan arasindaki baglantıyı kuruyor. Her bir kaç saniyede HTTP istekleri çeşitli serverlere gönderiliyor. Bu isteklerin çoğu google.com ve computer.org ile saldırganın sitesine gönderiliyor. Google.com ile computer.org serverlerine yapılan baglantıların çokluğu saldırganın sitesini gizleme amacı taşıyor. Services.exe sürekli server ile iletişime geçip ne yapacağina dair komut bekliyor. Trojanların cogu antivirus programları tarafından hemen farkediliyor. Yeni nesil trojanlar ise aslında asıl trojani istendigi zaman indirip kurmaya yarıyorlar.
services.exe asıl program olduğu için detaylı incelemeye devam ediyoruz.
Stringlere baktığımız zaman bunun bir HTTP Client gibi çalıştığını görüyoruz. Neler yaptığını görmek için trojanı çalıstırıp internet trafiğini izlemeye alıyoruz. Bu işler için Wireshark yada tcpdump gibi programları kullanabiliriz.
Ilk paketler kaydedildikten ve analiz ediltikten sonra karşımıza aşağıdaki liste çıkıyor. Solda yapılan bağlantı sayısı, ortada IP adresi ve sagda host adresi var. Bu listedeki domainlerden google ve computer.org dışındakilerin ziyaret edilmemesi gerekiyor.
142 209.85.149.104 google.com
45 85.183.195.96 computer.org
42 209.85.149.106 google.com
16 64.62.181.46 messenger32.bravehost.com
15 82.197.131.109 messenger32.atspace.com
15 67.208.91.122 users5.jabry.com
15 64.69.92.97 h1.ripway.com
15 216.52.115.51 messenger32.webs.com
Bold işaretli satırlar services.exe dosyasının sürekli istek gönderdiği serverlerdir. Saldırganın Google.com ve computer.org'a kendi serverlerinden daha çok baglantı kurmasının sebebi kendini zararsız bir program olarak göstermeye calişmasıdır. Kurban ile saldırgan arasındaki bağlantı 5 ayrı websitesi üzerinden yapılıyor. Bunun sebebi de bu sitelerden birkaçının çalışmaması halinde kurbanın hala kontrol altında tutulmasıdır.
Schauen wir uns "http://messenger32.bravehost.com/" an:
Websitesi dikkat cekmiyor, kodlara bakilinca bile ilk basta göze carpan ilginc birsey görünmüyor.
Simdi yine zararsız görünen ve sürekli bağlantı kurulan su dosyaya bakalım: "http://messenger32.bravehost.com/image.htm". Bu sayfada dikkat çekmiyor ve hiç göze batmıyor. Kodlara bakıldığında ise bambaşka birşey çıkıyor karşımıza. Wireshark kayıtlarını inceleyelim:
Burada dikkat çeken çey User-Agent olarak System Event Log Service belirtilmiş olması ve bu sayede saldırganın kurbanın bilgisayarını tanımasıdır. Bir diğer nokta ise HTML dosyasında gizli input alanları sayesinde veri akışının sağlanmasıdır.
Service.exe içinde geçerli olan jack, tgnx, activation gibi alanların burdada karşılığının olduğunu görüyoruz. Bu sayede saldırgan kurbanın bilgisayarından bilgi alabiliyor. Websiteleri kapalı olsa bu iletişim geçersiz olurdu.
Yukarda anılan websiteleri şikayet üzerine kapatıldı. Adil-duran.com sitesinin webmasteri de güvenlik açıklarıyla ilgili bilgilendirildi.
Özetle şunu söyleyebiliz: bu saldırılar rastgele yapılmadı aksine özenle planlandı. Bu amaçla bir ekran koruyucu programlandı ve gönderildi. Izleri yoketmek için ve süphe çekmemek için bir kürd websitesi kullanıldı. Trojan da dikkat çekmemek için kendini bir windows servisi olarak gösterip google gibi genel sitelere anlamsız istekler gönderdi. Aracı sitelerden birinin yada birkaçının kapanmasıda hesaba katılarak alternatifler yayına sokuldu. Saldırganın bütün dikkatine rağmen bu virus yinede dikkatli gözlerden kaçmadi.
Gelecekte bu ve benzeri saldırılara hedef olmamak için:
sıradan internet kullanıcısı olarak:
- Şüpheci olun, email sevdiklerinizden de gelse virus içerebilecegini unutmayın
- Herşeye tıklamayın çünkü zararlı virus ve trojanlar bir tıklama uzağınızdadırlar
- Anti-Virus programları gereklidirler ama sadece antivirus birşey göstermediği için %100 güvende değilsiniz
- Windows dahil bütün programlarınızı güncelleyin
- Kolay kırılamayan uzun şifreler tercih edin
- Aynı sifreyi her yerde kullanmayın
Webmaster olarak:
- Güvenli sifreler kullanın
- Content Management System kullanıyorsanız mutlaka zamanında güncelleyin
- Kendiniz kod yaziyorsaniz kodlarınızın SQL Injection, Cross Site Scripting, File Inclusion Attack gibi yöntemlere karşı dayanıklı olmasına dikkat edin
- Websitenizin güvenliğini belli aralıklarla test edin
- Webmaster olarak site güvenliginden de sorumlu oldugunuz için bu alanda kendinizi yetiştirmelisiniz
Mîrê Navtorê ( mirenavtore@gmail.com )
Hiç yorum yok:
Yorum Gönder