Symantec tarafından hazırlanan “Internet Security Threat Report”’un 14’uncü versiyonu yayınlandı. 2008 yılı içinde toplanan veriler ışığında hazırlanan bu raporda bir önceki versiyon raporlarda olduğu gibi oldukça önemli bilgiler ve istatistiki değerler mevcut. Aşağıda bu rapordaki bilgilere ilişkin genel başlıkları bulabilirsiniz;

 ·         Web tabanlı zararlı aktiviteler 2008 yılı içerisinde gerçekleştirilen zararlı aktiviteler sıralamasında başı çekiyor. Özellikle yüksek hit alan siteler, barındırdıkları zafiyetleri kullanan saldırganlar tarafından zararlı kodları yaymak için kullanılıyor. (Örneğin SQL Injection açığı bulunan bir web sitesine yerleştirilen javascript kodu ile zararlı içeriğin yayılmasını sağlama gibi.  Örnek olaylar için buraya, buraya  ve buraya bakabilirsiniz.)

·         Underground’da en çok talep ve istek gören bilgi, kredi kartı bilgisi. Çalıntı bir kredi kartı bilgisi 6 cent ile 30$ arasında bir fiyata satılıyor. En çok rağbet gören ikinci bilgi ise banka hesabı bilgileri.

·         2008 yılı içerisinde tespit edilen yeni zararlı kod sayısı 1,656,227. Bu rakam bir önceki yıl 624,267 idi. Görüldüğü gibi nerdeyse üç kat bir artış var.

·         2008 yılı içinde ortalama her gün 75,158 adet bot bulaşmış bilgisayar tespit edilmiş. Bir önceki yıla oranla %31’lik bir artış mevcut.

·         2008 yılına ait browser zafiyetlerine ilişkin bilgiler de çarpıcı. Mozilla, 99 adet zafiyetle en fazla açıklık barındıran browser listesinde birinci sırada. Bunu 47 zafiyetle Internet Explorer ve 40 zafiyetle Safari takip ediyor.

·         2008 yılı içinde Symantec tarafından tespit edilen toplam phishing sitesi sayısı 55,389 ve bu rakam bir önceki yıla oranla %61 artmış durumda. Bu phishing sitelerinin %43’ü Amerika’da host ediliyor.

·         EMEA bölgesi için hazırlanmış raporda Türkiye ile ilgili çarpıcı başlıklar mevcut. Bu başlıklardan en dikkat çekici olanı Türkiye’nin bot bulaşmış bilgisayarlar sıralamasındaki yeri. Bir önceki raporda bot bulaşmış bilgisayar sayısına göre 8’inci sırada iken bu raporda 4. Sırada yer alıyor Türkiye.

Raporları http://www.symantec.com/business/theme.jsp?themeid=threatreport adresinden indirebilirsiniz.

Zararlı Kod

 

14 Nisan 2009 tarihinde yaklaşık 150 kişinin katılımıyla Microsoft Türkiye ofisinde gerçekleştirdiğim seminerin sunum dosyalarını buradan indirebilirsiniz.

Kış döneminin son semineri olan “Günümüz Güvenlik Tehditlerine Genel Bakış & Microsoft İstihbarat Raporu (SIR) Volume 6” başlıklı seminer ise 13 Mayıs 2009 tarihinde yine Microsoft Türkiye ofisinde gerçekleştirilecek.

Microsoft’un yayınladığı son istihbarat raporuna buradan ulaşabilirsiniz.
Kaspersky SQL Injection

Kaspersky'de SQL Injection Kurbanı

Hep söylemişimdir, eğer firma olarak güvenlik işiyle uğraşıyorsanız mutlaka ama mutlaka diğer firmalara göre çok daha dikkatli olmalı, yatırımlarınızı ona göre yapmalı, gerekli denetimlerinizi ona göre gerçekleştirmelisiniz diye.  Çünkü güvenlik pazarında at koşturan bir şirketin öncelikle kendi güvenliğinin delinmesi sırasında oluşacak negatif reputasyon’u göz önünde bulundurması gerekiyor.  Şimdi neden bu konuya değindiğime gelince, 7 Şubat’da hackersblog.org adresinde yayınlan bir yazıda Rusya kökenli bir antivirüs firması olan Kaspersky’nin USA domain’inin hacklendiği ve bütün müşteri bilgilerinin dışarı sızdığı iddia edildi. İlgili yazıya buradan ulaşabilirsiniz. Her ne kadar Kaspersky bu olayı yalanlasa da görünen o ki bir SQL injection açığı kullanılarak çok ciddi veriler elde edilmiş durumda.

Metasploit

8 Şubat tarihinden itibaren www.metasploit.com adresi ve bunun yanında bilinen bir kaç güvenlik sitesi daha (benim bildiğim www.milw0rm.com ve www.packetstormsecurity.org gibi) ciddi bir DDoS saldırısı ile karşı karşıya bulunuyor. Bu olay H D Moore’un canını belli ki çok sıkmış.  Saldırının bir botnet saldırısı olduğu ve saniyede 80.000 HTTP bağlantı isteği şeklinde geldiği tespit edilmiş. Saldırıyı bertaraf etmek adına bir çok yolu denemiş anlaşılan (örneğin metasploit’ün www kaydını 127.0.0.1 olarak değiştirerek saldırının gerçekleştirildiği bilgisayarların kendi kendilerine bağlantı isteği yollamayı sağlamak gibi) ama şu saat itibariyle www.metasploit.com henüz ulaşılabilir değil. Bunun yerine www.metasploit.org adresini kullanabilirsiniz.

Eğer SVN ile metasploit’i kullanıyorsanız bu durumda her ne kadar https’li repository’e switch etmek mümkünse de ortalığın biraz yatışmasını beklemenizi tavsiye ederim.

Tem 06

Otomatik Hesap Oluşturucular

Posted by: admin in Botnet, Cryptanalysis, Genel, Malware Comments Off

2008 yılının ilk aylarında ardarda Google’ın Gmail , Microsoft’un Live Mail ve Live Hotmail ile Yahoo’nun Yahoo Mail‘i gibi ücretsiz web mail hizmeti sunan sitelerin CAPTCHA korumalarının kırıldığına şahit olduk. Bunun yanında yine Google’ın Blogger hizmetinin de CAPTCHA korumasının kırıldığını ve blog oluşturma işlemlerinin spamciler tarafından otomatize edilip spam yapılan ürünlerin yada hizmetlerin sunulması için kullanıldığını gördük. Bu sayede spam mailler Gmail yada Hotmail üzerinden gönderilebiliyor, spam siteleri Google’ın sunduğu hizmetler kullanılarak yayımlanabiliyor ve böylece bir çok katmanda kullanılan anti-spam çözümleri devre dışı kalıyordu. Geçenlerde karşılaştığım bir web sitesi bütün bu spam döngüsünü adeta özetler mahiyetteydi. http://allbots.info/ adresi üzerinden yayın yapan bu sitede bir çok popüler web sitesi için hesap oluşturma, açılan hesabı aktif etme vb. gibi işlemleri otomatik olarak gerçekleştiren kodların satışı gerçekleştiriliyordu.

Yaklaşık 6 yıldır botnet dünyasında varlığı bilinen ve hala aktif olan Coreflood’un yeni bir analizi yayınlandı. SecureWorks’dan Joe Stewart’ın analizinde dikkat çeken noktalardan bazıları şunlar;

  • 16 aylık bir periyotta bu zararlı kodu bulaştığı bilgisayar sayısı 378.000′den fazla ve bulaştığı bilgisayarlar arasında hastane ve hükümet bilgisayarları, hatta polis bilgisyarları bile var.
  • Bu botnet DDoS saldırıları gerçekleştirmek yerine artık banka dolandırıcılarına full-anonymity sağlamak için kullanılıyor.
  • Bu zararlı kodun bulaştığı bilgisayar eğer bir Windows domain’i üyesi ise domain’deki bütün bilgisayarlar ciddi bir tehlikeyle karşı karşıya kalıyor. (Aynı organizasyonda bulunan binlerce bilgisayarın bu zararlı kod tarafından ele geçirildiği biliniyor.)

Yukarıdaki istatistikler, ele geçirilen ve saldırganlar tarafından uzun süredir kullanılan bir C&C sunucusundaki yaklaşık 50GB’lık data analiz edilerek ortaya çıkartılmış. Gerçekleştirilen analizin sonuçları içerisinde dikkat çeken başka önemli bir nokta ise bu zararlı kodun, Mark Russinovich’in yazdığı ve PsTools paketi  içinde dağıtılan PsExec  gibi oldukça kullanışlı bir aracı da kullanıyor olması. Bu zararlı kod, eğer bulaştığı bilgisayardaki kullanıcı domain admin yetkisine sahip bir kullanıcı ise PsExec’i kullanarak domain’deki diğer bütün bilgisayarlara bağlanıp başka bir zararlı kodu bu bilgisayarlara yükleyebiliyor.

Daha detaylı analiz bilgileri için buraya tıklayabilirsiniz.