Microsoft’un Redmond’daki kampüsünde Nisan ayında gerçekleştirilen ve FBI, Interpol, Air Force gibi kurumlardan katılımcıların yer aldığı 3 günlük teknoloji eğitiminde tanıttığı ve COFEE (Computer Online Forensic Evidence Extractor) ismini verdiği bir USB drive son günlerde forensic dünyasında çok konuşulmaya başlandı. İçeriğinde yer alan script’ler hakında tam olarak bilgi sahibi olmasak da haberlere yansıdığı kadarıyla yaklaşık 150 komut ye alıyor ve komutların çıktıları USB drive’a yönlendiriliyor. Yine söylentilere USB drive’in içinde yer alan araçların tamamı public erişilebilen araçlar.Her ne kadar halihazırda bu konsepte çalışmalara rastlasakta (örneğin Incident Response Collection Report (IRCR), First Responder Evidence Disk (FRED),Windows Forensics Toolchest (WFT) gibi) ve ben bunlardan birkaçını halihazırda bilgisayar incelemelerinde kullanıyor olsam da, Microsoft tarafından böyle bir çalışmanın gerçekleştirilmesi beni çok sevindirdi.
Gerçi şu an hala beta aşamasında ve sadece kuvvet kolluklarına dağıtılıyor. Konu ile ilgili haberlere buradan ve buradan ulaşabilirsiniz.
Hepimizin çok sık karşılaştığı ve hergün en az 3-5 tanesinin mailbox’larımıza düştüğü phishing maillerde saldırganların yakın zamanda yöntem değiştirdiğini gözlemliyoruz. Kullanılan önceki yöntemde kurban’ın sahte siteye bilgilerini girmesi ve bu şekilde bilgileri toplamak hedeflenirken artık daha başka yöntemler kullanılıyor. Örneğin son zamanlarda sıkça karşılaştığımız SSL sertifikasının yenilenmesi konseptine dayanan bir phishing furyası sözkonusu. Her gün en az 2 tane bu şekilde mail düşüyor bu aralar mailbox’ıma. Buraya tıklayarak gelen mail’deki link’i tıkladığınızda açılacak sitenin neye benzediğini görebilirsiniz. Gerçi resimden de görebileceğiniz gibi henüz üzerinden çok kısa bir süre geçmesine rağmen bu sitenin bir phishing sitesi olduğu Microsoft tarafından bilinmekte ve adres çubuğunda gerekli uyarı yapılmakta. burada kullanıcılara SSL sertifikalarının yenilenmesi için aşağıda yer alan link’e tıklamaları ve bu linkte yer alan programı indirerek bilgisayarlarına kurmaları gerektiği belirtiliyor. Öncesinde sahte sitelere yönlendirerek kurban’ların banaka hesap bilgilerini alan bu kişiler artık trojan&keylogger gibi zararlı kodları kurbanlarının bilgisayarlarına yerleştirip bu şekilde kritik bilgileri almayı hedefliyorlar.
İlgili linkte yer alan dosyayı indirdim ve indirilen dosyanın antivirüsler tarafından tanınıp tanınmadığını test etmek için www.virustotal.com adresine upload ettim. Fakat birileri benden tam 4 gün önce dosyayı virustotal’e upload etmişler. İşin ilginç ve endişe verici tarafı ise birileri tarafından 4 gün önce upload edilen zararlı kod örneğini 32 antivirüs yazılımından sadece 11 tanesi tarafından tesbit edilebilyor olması. Virustotal sonuçları için buraya tıklayabilirsiniz.
Başlığı okuyup şaşırabilirsiniz, fakat artık hatırı sayılır bir iş kolu halini almış olan zararlı kod geliştirmek ve bu kodları satmak gün geçtikçe daha da yaygınlaşıyor. İşin ilginç tarafı ise bu zararlı kodları yazanların aynen normal bir uygulama geliştirici gibi kendi kodu içerisine lisans anlaşmaları yerleştirmeleri. Evet yanlış duymadınız. Zararlı kod geliştirip bu kodları para karşılığı underground’da satan kişiler kendi kodlarının hangi şartlarda kullanılabileceğini belirtmek ve eğer bu şartlar dahilinde kullanılmazsa kodları, neler yapacaklarını bir lisans sözleşmesi üzerinden satın alan kişilere bildiriyorlar. Alın size bir örnek; Symantec tarafından “Infostealer Banker-C” olarak adlandırılan ve Zeus olarak bilinen zararlı kodu geliştiren kişinin yazdığı lisans anlaşmasına göz atmak için buraya tıklayın.
Link’e tıkladığınızda açılan pencerede Rusça hazırlanmış bir help dosyasının içinde lisans anlaşmasını göreceksiniz. Bu metnin ingilizceye çevrilmiş halini ise buradan okuyabilirsiniz. Biraz tehditkar bir yaklaşım sergileyen lisans anlaşmasında özetle söylenen ise şu;
“Yapılan anlaşmanın ihlalinin tesbiti durumunda hiç bir şekilde teknik destek alamayacak hatta kullandığınız kodun ürettiği bot’un çalıştırılabilir binary kopyası anında antivirüs şirketlerine gönderilecektir.”
Defcon 15′te yapılan bir sunum (”Greater than 1: Defeating “strong” Authentication in Web Applications”) internet bankacılığının login ve kimlik doğrulama proseslerine yapılan üçüncü parti güvenlik eklentilerinin zaafiyetlerini ve bu özelliklerin kötü niyetli kişilerce nasıl daha fazla kritik bilgi toplamak için kullanılabileceğini gösteriyor. Ülkemizde de bazı bankaların internet bankacılığı sitelerinin giriş ve kimlik doğrulama işlemlerinde kullanmak için hali hazırda projelendirdiğini bildiğim bu güvenlik eklentilerinin (örneğin bağlandığınız internet bankacılığı sitesinin bir phishing sitesi olmadığını göstermek adına sizin kendi seçtiğiniz bir resmin login ekranında gösterilmesi, yada sizin kişisel bilgileriniz baz alarak oluşturulan ifadelerin de yer aldığı “2002 yılında sahip olduğunuz aracın markası nedir?” şeklinde soruların sorulması gibi.) kötü niyetli kişileri engelleme noktasında ne kadar başarılı olduklarını göstermesi açısından izlenmesi gereken bir sunum diye düşünüyorum. Sunumun pdf halini buradan indirebilirsiniz. Sunumu aşağıdan izleyebilirsiniz.
Üzerinde çalıştığım bir makale için biraz undergroud sunuculara takılmam icap etti. Her ne kadar banka hesapları, kredi kartı bilgileri, e-mail şifreleri gibi kritik bilgilerin yaklaşık fiyatının ne olduğunu Symentec’in Internet Security Threat raporunun 12.sinden öğrensek de, gerçek bir alıcı gibi bu bilgilerin satıldığı ortamlarda dolaşıp makale için daha bize özel bilgiler toplamaya çalışıyorum. Daha bize özel olması için Türkiye’deki mağdurları ve bu işin illegal tarafında duranları ele almak açısından daha detaylı bilgiler içemesine çalışacağım makalenin. Makalede detaylarına değinndiğim konulardan birisi de kredi kartı bilgileri ve bunların underground ekonomi olarak adlandırılan ortamda nasıl el değiştirdiği ve kullanıldığıyla ilgili. Kart bilgilerinin çalınma yöntemlerinden birisi de “Card Skimmer” olarak adlandırılan cihazlar vasıtasıyla kartınızın bir kopyasının çıkartılması yöntemi. Legal olarak bu kopyalayıcıları satan sitelere internet üzerinden kolayca ulaşmak mümkün. Örneğin buradan ulaşabileceğiniz sitede sizin de görebileceğiniz gibi kart kopyalamak, daha doğrusu sizin kartınızın bilgilerini okuyup kaydetmek için kullanılabilecek ve kimsenin farketmeyeceği boyutlarda ortalama 2000 kredi kartı bilgisini tutabilen bir cihazı yaklaşık 300$ gibi bir fiyata edinebiliyorsunuz.
Ele geçirilen bu kredi kartlarının ne hızda el değiştiğini görmek adına aşağıdaki ilk iki videosunu verdiğim ve NBC’den Chris Hansen’in video serisini izlemenizi şiddetle öneririm.
Son zamanlarda zararlı kodlar üzerine oldukça fazla kafa yordum ve biraz daha bu şekliyle sürecek gibi. Bu bağlamda size yaptığım araştırmalar sırasında rastladığım ilginç bir haber’i veremeden edemeyeceğim. Birçoğumuz dijital fotoğraf çerçevelerinin son iki yılda hızlı bir şekilde hayatımıza girdiğine dikkat etmiştir. Biraz sonra okuyacağınız satırlar teknolojinin bu güzel ve şık aksesuarının zararlı kodların yayılması için de kullanılabileceğini gösterecek. Amerikanın hatırı sayılır elektronik ticaret sitelerinden Best Buy, kendi markası olan Insignia’nın NS-DPF10A modelinin Windows işletim sistemi yüklü bilgisayarların USB portlarına takılması halinde o bilgisayarlara virüs bulaştırdığını bildirerek müşterilerinden özür diledi. Bu model dijital fotoğraf çerçevesinden kaç tane satıldığı belirtilmemiş fakat yapılan açıklamada yayılmaya çalışan virüs’ün eski bir virüs olduğu ve halihazırda bir çok antivirüs tarafından tesbit edildiği bilgisi verilmiş.
Not: Bu arada, Microsoft’un Security MVP’lerine yolladığı bir dijital fotoğraf çerçevem var ama henüz içinde zararlı bir kod varmı testini yapmadım :) ) Artık bütün teknolojik aletleri kullanmadan önce bir zararlı kod testinden geçirecez galiba :))
Bir önceki yazımızda zararlı kodların çeşitlerini, bulaşma yöntemlerini ve günümüzde kullanılan antivirüs ve antispyware’lerin neden bu zararlı kodları engelleyemediğine değinmiştik. Bu yazımızda ise bilgisayarlara bulaşan zararlı kodların manuel temizlenme işlemlerini, takip edilmesi gereken adımları ve kullanılan yardımcı araçları ele alacağız.
Manuel Temizlemede İzlenecek Adımlar Öncelikle zararlı kodun bulaştığından şüphe edilen bilgisayarda hangi işlemlerin gerçekleştirilmesi gerektiğine bakalım;
Bilgisayarın ağ bağlantısını kesin. Bu işlem kendi kendine bulaşma yeteneğine sahip bir zararlı kodun ağ üzerinden diğer bilgisayarlara ulaşmasının önüne geçecektir.
Çalışan prosesleri listeleyin ve şüpheli gördüklerinizi tanımlayın.
Şüpheli proses’i sonlandırın.
Makalenin tamamını pdf formatında buradan indirebilirsiniz.
İşte size gerçek bir güvenlik testi show’u. Bir penetrasyon testinde hangi adımlar varsa aklınıza gelebilecek bu show’da birebir gerçekleştiriliyor. Sosyal mühendislikten tutunda, dumpster diving’e kadar bütün adımlar neredeyse var. Bir TV show şeklinde çekilmiş ve oldukça başarılı. Her bölümde farklı bir müşteri ve farklı yöntemler var. İlk bölümde Symbolic Motors isimli bir oto galerisinin sistemine sızmaya çalışıyorlar. Oto galerisi dediğime bakmayın içinde Bentley, Lamborghini, Ferrari, Lotus ve daha bir çok lüks araç var bu galerinin ve çok sıkı bir şekilde korunuyor. (En azından Tiger Team’ın gerçekleştirdiği penetrasyon testine kadar böyle düşünülüyordu :))
İkinci bölümde ise Beverly Hills’deki bir mücevher mağazasının güvenlik sistemini test ediyorlar. Bu bölümdeki kart kopyalama için kullanılan yönteme ve araca hayran kaldığımı belirtmeden edemeyeceğim. Eminimki siz de gördüğünüz de aynı duyguları paylaşacaksınız.
Tiger Team’in başında Chris Nickerson var ve ekibin beyni. Luke McIMIE ise takımın bilgisayar dehası. Ve Ryan Jones fiziksel güvenlik sistemleri konusunda uzman. Show’un iki bölümünü de izledim ve tek kelimeyle muhteşem. Mutlaka izlenmeli ve izletilmeli :))
Uzun zamandır ne zaman çıkacak diye merakla beklediğim bir zararlı kod çeşidinin ortalıkta dolaştığı bilgisini almak fazlasıyla heyecanlandırmıştı beni. MBR’a yerleşen bir rootkit’di bu ve üstelik bütün NT tabanlı işletim sistemlerinin tamamında(Vista’da dahil) etkili olabiliyordu. Evet bahsettiğim zararlı kod MBR rootkit ismiyle bilinen rootkitden başkası değil. Gerçi MBR’ın zararlı kodlarca kullanılmasının örneklerini çok önceleri gördük. MS-DOS zamanındaki Stoned, Michelangelo, Junkie ve Tequila sayabileceğimiz bir kaç MBR’ı kullanan virüs isimlerinden bazıları.
Maalesef Windows NT ailesinin tamamında usermode’da MBR’ı değiştirebilme özelliği mevcut ve bu rootkit’de bu özelliği kullanıyor. 2005 yılında eEye Digital Security firmasından Derek Soeder ve Ryan Permeh’in eEye BootRoot ismini verdikleri projelerini duyurmalarıyla beraber beklemeye geçmişti güvenlik camiası bu zararlı kodu. Ardından NVLabs’dan Nitin ve Vipin Kumar tarafından geliştirilen Vbootkit karşımıza çıktı.(http://www.nvlabs.in/?q=node/11. Vbootkit ile ilgili slayta http://www.blackhat.com/presentations/bh-europe-07/Kumar/Presentation/bh-eu-07-kumar-apr19.pdf adresinden ulaşabilirsiniz.) Zaten mbr rootkit’inin kodları incelendiğinde BootRoot’un kodlarının modifiye edilerek kullanıldığını görüyoruz.
Bu rootkit’in temel özelliklerine bakarsak,
İşletim sistemi daha devreye girmeden çalışıyor.
Bu rootkit’in herhangi bir dosyaya ihtiyacı yok, zararlı kod disk üzerindeki sektör’lerden herhangi bir kaçında olabilir.
Zararlı kod MBR’daki kod tarafından çalıştırıldığı için herhangi bir registry kaydına gerek yok.
MBR Rootkit’in detaylı incelemesini http://www2.gmer.net/mbr/ adresinden okuyabilirsiniz. Ayrıca Symantec’in MBR Rootkit incelemesine buradan ulaşabilirsiniz.
MBR Rootkit’inin bir örneğini http://rapidshare.com/files/86312494/MbrRootkit.zip.html adresine upload ettim. Aranızda benim gibi zararlı kodlarla uğraşmayı seven ve kendileri analiz etmek isteyenler olabilir. Hatırlatmayı yapmadan geçmeyeyim. Dosyada çalışır durumda olan bir zararlı kod vardır. Bu dosyayı bu adresten indirip çalıştırdığınızada karşılaşabileceğiniz problemler konusunda sorumluluk kabul etmediğimi baştan söyleyeyim :). Dosya şifreli bir şekildedir. Şifresi “infected” dir .(Genel kabul görmüş bir malware koruma şifresidir bu arada)
Microsoft yaptı yine yapacağını ve bilinen en iyi rootkit ekibini bünyesine katmayı başardı. Bundan önce Mark Russinovitch gibi Windows Internals ile özdeşleşen sysinternals ekibini de bünyesine katan Microsoft, bu ekibin geliştirdiği Rootkit Unhooker’ın da bütün kaynak kodlarının sahibi oldu. Konuyla alakalı olarak EP_X0FF’in yaptığı açıklamalara http://www.rootkit.com/blog.php?user=EP_X0FF adresinden uaşabilirsiniz.
kurumlardan katılımcıların yer aldığı 3 günlük teknoloji eğitiminde tanıttığı ve COFEE (Computer Online Forensic Evidence Extractor) ismini verdiği bir USB drive son günlerde forensic dünyasında çok konuşulmaya başlandı. İçeriğinde yer alan script’ler hakında tam olarak bilgi sahibi olmasak da haberlere yansıdığı kadarıyla yaklaşık 150 komut ye alıyor ve komutların çıktıları USB drive’a yönlendiriliyor. Yine söylentilere USB drive’in içinde yer alan araçların tamamı public erişilebilen araçlar.Her ne kadar halihazırda bu konsepte çalışmalara rastlasakta (örneğin Incident Response Collection Report (IRCR), First Responder Evidence Disk (FRED),Windows Forensics Toolchest (WFT) gibi) ve ben bunlardan birkaçını halihazırda bilgisayar incelemelerinde kullanıyor olsam da, Microsoft tarafından böyle bir çalışmanın gerçekleştirilmesi beni çok sevindirdi.
Hepimizin çok sık karşılaştığı ve hergün en az 3-5 tanesinin mailbox’larımıza düştüğü phishing maillerde saldırganların yakın zamanda yöntem değiştirdiğini gözlemliyoruz. Kullanılan önceki yöntemde kurban’ın sahte siteye bilgilerini girmesi ve bu şekilde bilgileri toplamak hedeflenirken artık daha başka yöntemler kullanılıyor. Örneğin son zamanlarda sıkça karşılaştığımız SSL sertifikasının yenilenmesi konseptine dayanan bir phishing furyası sözkonusu. Her gün en az 2 tane bu şekilde mail düşüyor bu aralar mailbox’ıma. 
Defcon 15′te yapılan bir sunum (”Greater than 1: Defeating “strong” Authentication in Web Applications”) internet bankacılığının login ve kimlik doğrulama proseslerine yapılan üçüncü parti güvenlik eklentilerinin zaafiyetlerini ve bu özelliklerin kötü niyetli kişilerce nasıl daha fazla kritik bilgi toplamak için kullanılabileceğini gösteriyor. Ülkemizde de bazı bankaların internet bankacılığı sitelerinin giriş ve kimlik doğrulama işlemlerinde kullanmak için hali hazırda projelendirdiğini bildiğim bu güvenlik eklentilerinin (örneğin bağlandığınız internet bankacılığı sitesinin bir phishing sitesi olmadığını göstermek adına sizin kendi seçtiğiniz bir resmin login ekranında gösterilmesi, yada sizin kişisel bilgileriniz baz alarak oluşturulan ifadelerin de yer aldığı “2002 yılında sahip olduğunuz aracın markası nedir?” şeklinde soruların sorulması gibi.) kötü niyetli kişileri engelleme noktasında ne kadar başarılı olduklarını göstermesi açısından izlenmesi gereken bir sunum diye düşünüyorum. Sunumun pdf halini 
Üzerinde çalıştığım bir makale için biraz undergroud sunuculara takılmam icap etti. Her ne kadar banka hesapları, kredi kartı bilgileri, e-mail şifreleri gibi kritik bilgilerin yaklaşık fiyatının ne olduğunu 
Son zamanlarda zararlı kodlar üzerine oldukça fazla kafa yordum ve biraz daha bu şekliyle sürecek gibi. Bu bağlamda size yaptığım araştırmalar sırasında rastladığım ilginç bir haber’i veremeden edemeyeceğim. Birçoğumuz dijital fotoğraf çerçevelerinin son iki yılda hızlı bir şekilde hayatımıza girdiğine dikkat etmiştir. Biraz sonra okuyacağınız satırlar teknolojinin bu güzel ve şık aksesuarının zararlı kodların yayılması için de kullanılabileceğini gösterecek. Amerikanın hatırı sayılır elektronik ticaret sitelerinden 
Bir önceki yazımızda zararlı kodların çeşitlerini, bulaşma yöntemlerini ve günümüzde kullanılan antivirüs ve antispyware’lerin neden bu zararlı kodları engelleyemediğine değinmiştik. Bu yazımızda ise bilgisayarlara bulaşan zararlı kodların manuel temizlenme işlemlerini, takip edilmesi gereken adımları ve kullanılan yardımcı araçları ele alacağız.
İşte size gerçek bir güvenlik testi show’u. Bir penetrasyon testinde hangi adımlar varsa aklınıza gelebilecek bu show’da birebir gerçekleştiriliyor. Sosyal mühendislikten tutunda, dumpster diving’e kadar bütün adımlar neredeyse var. Bir TV show şeklinde çekilmiş ve oldukça başarılı. Her bölümde farklı bir müşteri ve farklı yöntemler var. İlk bölümde Symbolic Motors isimli bir oto galerisinin sistemine sızmaya çalışıyorlar. Oto galerisi dediğime bakmayın içinde Bentley, Lamborghini, Ferrari, Lotus ve daha bir çok lüks araç var bu galerinin ve çok sıkı bir şekilde korunuyor. (En azından Tiger Team’ın gerçekleştirdiği penetrasyon testine kadar böyle düşünülüyordu :))
Uzun zamandır ne zaman çıkacak diye merakla beklediğim bir zararlı kod çeşidinin ortalıkta dolaştığı bilgisini almak fazlasıyla heyecanlandırmıştı beni. MBR’a yerleşen bir rootkit’di bu ve üstelik bütün NT tabanlı işletim sistemlerinin tamamında(Vista’da dahil) etkili olabiliyordu. Evet bahsettiğim zararlı kod MBR rootkit ismiyle bilinen rootkitden başkası değil. Gerçi MBR’ın zararlı kodlarca kullanılmasının örneklerini çok önceleri gördük. MS-DOS zamanındaki Stoned, Michelangelo, Junkie ve Tequila sayabileceğimiz bir kaç MBR’ı kullanan virüs isimlerinden bazıları.
Microsoft yaptı yine yapacağını ve bilinen en iyi rootkit ekibini bünyesine katmayı başardı. Bundan önce Mark Russinovitch gibi Windows Internals ile özdeşleşen sysinternals ekibini de bünyesine katan Microsoft, bu ekibin geliştirdiği Rootkit Unhooker’ın da bütün kaynak kodlarının sahibi oldu. Konuyla alakalı olarak EP_X0FF’in yaptığı açıklamalara