HACKER OO1
HOŞGELDİNİZ HACKEROO1
FORUM : BLOK : SİTEMİZ : =İÇRESİNDE
MÜKEMMEL PAYLAŞIMLAR VARDIR
SİZLERİNDE ARAMIZDA OLMANIZI İSTERİZ,TAMAMEN ÜCRETSİZ OLAN
PAYLAŞIMLAR VE ÜYELİGİMİZ:
KESİNLİKLE SİZLERİN İSTEKLERİNİZ
ÜZERİNE HAZIRLANMIŞ VE TASARLANMIŞTIR
SİTEMİZDE İYİ VAKİT GECİRMENİZ DİLEGİYLE
ADMİN

Modern Web Saldırıları

Önceki başlık Sonraki başlık Aşağa gitmek

Modern Web Saldırıları

Mesaj tarafından Admin Bir Salı Ağus. 17, 2010 5:15 pm

Modern Web Saldırıları

Özet:
Bu doküman kurbanların karşılaşabileceği modern web saldırı tekniklerini içerir Örnek ataklar hackerların kullandıkları teknikleri resmetmek için kullanılmıştır. Saldırıya uğramış ve hasarlı sitelerin görevi birlikte hareket ederek bu saldırı tekniklerini güvenlik amacıyla kullanılabilecek hale getirmektir.


Döküman Arşivi





1.Ön Bilgi
Soracağımız birkaç soru, bir kısım malwarein başarısı hakkında bilgi edinmemizi sağlayabilir: Nasıl ve kim tarafından ortaya çıkarılırlar?, Nasıl çalışırlar?, Nasıl hızlıca yayılırlar? ve Nasıl saklanırlar? Bu sorulardan ilk ikisi –ortaya çıkış ve çalışma prensibi- bu tehtidin başarısında muhtemel en etkili faktörlerdir. Tarihsel olarak inceleme yaptığımızda en şöhretli kötü yazılımlar bu şöhretlerini ortaya çıkış yöntemlerine borçludurlar. Pek çok toplu e-posta gönderme virüsü ve solucanı çok hızlı üreme ve SMTP , altyapısını geniş çapta kullanabilme yetenekleri sayesinde büyük hasarlara yol açtılar. E-posta yollu tehditler halen internet kullanıcılarının başını ağrıtmaya devam ediyor, SMTP muntazaman toplu spam saldırıları için Trojanlar tarafından kullanılıyor. İlk yüksek-profil “dosyasız” Windows solucanı olan CodeRed , Microsoft IIS servisindeki bir açıktan yararlanıp aşırı derecede hızlı bir şekilde yayılarak büyük bir yıkıma neden oldu. SQLSlam hızlı yayılma işlemini yeni bir düzeye çekerek salgının (outbreak ) ilk birkaç dakikasında tahmini olarak 100.000-200.000 makinenin etkilenmesine yol açtı. SQLSlam çoğalması ile oluşan trafiğin etkileri, bir çok internet root nameserverın mahzun kesinti raporlarıyla birlikte geniş ölçüde hissedildi.
E-posta kaynaklı tehlikeler genellikle kötü içerikli eklentiye kurbanı yönlendirmek için sosyal mühendislik tatkiklerini kullanır. E-posta sunucuları peşin hükümle çalıştırılabilir içeriği zararlı olup olmadığına bakmaksızın engellemeye başlayınca zaman içerisinde dosyalar arşivlenerek, hatta bazı durumlarda şifrelenerek gönderilmeye başlandı .
Teslim mekanizması, malware için en çok arzulanan yöntem olmasına karşın, her zaman kod çalıştırılması için kullanıcıya ihtiyaç duymaz. En yaygın yöntem bazı uygulama veya işletim sistemlerinin açıklarını değerlendirerek zararlı kodu çalıştırmaktır. Geçtiğimiz yıllarda bir çok ağ solucan türü çeşitli açıklardan yararlanmak suretiyle ağ üzerindeki makinelere zarar vererek bu yöntemin tipik temsilcileri oldular . Exploitler başta olmak üzere web saldırılarında en çok kullanılan yöntemler bu dokümanda detaylarıyla anlatılıyor. Ziyaretçinin kullandığı tarayıcıda bulunan sömürülebilir açıklar kurban zararlı bir siteyi görüntülediğinde malwarein zararlı kodu çalıştırabilmesine olanak sağlıyor. Bu tip saldırılar genellikle “drive-by downloads” olarak adlandırılır.


2. Güncel Zararlı Yazılımlarda Webin Rolü
Geçtiğimiz iki yılda zararlı yazılımlar webi daha çok kullanmaya başladılar. Web sayfalarının içerisine gömülmüş zararlı scriptlerden (kod dizileri) çok daha geniş etki alanına sahipler, örneğin:
• HTTP’yi kullanarak diğer zararlı dosyaları indiren downloader Trojanlar (internetten dosya indiren truva atı) webi basit bir dosya deposu olarak kullanılıyor.
• Saldırgan sitelerin barındırdığı zararlı scriptler, ziyaret, açığı olan bir tarayıcı tarafından gerçekleştirilince exploit kodunu çalıştırarak kurbanın makinesine zarar veriyorlar.
• Tehlikeli siteler zararlı kodların çok büyük sayılarda kurbana etki etmesine olanak sağlayan mekanizmalar sunuyorlar.
• Spam e-posta ve cezbedici siteler kurbanların zararlı yazılımlara maruz kalması için tuzaklar kuruyorlar.
• Zararlı yazılımlar ziyaretçiyi başka sayfalara yönlendirebiliyor. Günümüzde online reklamcılık milyarlarca dolarla ifade ediliyor - . Ziyaretçilerin yönlendirilmesi veya diğer yollarla bir sitenin trafiğinin arttırılması, organizasyonlar veya bireyler için reklam sektöründe para kazancı sağlayan bir mekanizmaya olanak sağlıyor .
Hedeflenen reklamları görüntülemek için tarayıcılarla birleştirilen uygulama sınıfına genel olarak adware (reklam yazılımı) denir. Günümüzde bu tip yazılımlara sıkça rastlanıyor ve genellikle diğer uygulamalarla birlikte yükleniyorlar (ad-supported software-reklam destekli yazılım). Tipik adware yüklemeleri, affiliate veya pay-per-install (yükleme başına ödeyen) adıyla bilinen, para kazanma mekanizmalarını şart koşuyor. Yazılımla birlikte kayıtlı olarak gelen reklam uygulamaları, diğer adware uygulamalarını indirmek için adware sitelerine bağlantı kuruyor. Bağlantı sırasında sunucuya reklam kimliğiyle giriş yaparak bu bağlantı sonucunda biraz ödeme alıyor. Bu mekanizma zararlı yazılım üreticileri tarafından, kullanıcının bilgisi olmaksızın, etkilenmiş makineler üzerinde adware uygulamaları çalıştırılarak, para kazanma amacıyla kolaylıkla değerlendirilebiliyor. Adware herhalde bu doküman dışında başka hiçbir yerde bu kadar iyi tanımlanmamıştır.
Web, malware üreticilerine için, aşağıda listelenen tekniklerin kullanılmasına olanak sağlayan, mükemmel bir iskelete sahiptir. Günümüzün tehlikesi kurnazca çalışarak, etkili bir biçimde masum kurbanlara zarar veren exploit kodları ve web tuzakları. Şekil 1.’de bazı ana hatlarıyla günümüz malware ataklarının web hileleri gözler önüne seriliyor.


Şekil 1. Günümüz zararlı yazılımlarının web saldırı adımları. Dosya deposundan (Trojan downloaderlar kullanılarak) başlayarak tehlikeli sitelere açığı olan bir tarayıcı tarafından yapılan ziyaret sonucunda kurbanın zararlı yazılımdan etkilenmesini gösteren basit bir döngü.
Bu doküman, ilerleyen sayfalarda kurbanlar üzerinde kullanılmış örnek zararlı yazılım saldırılarını inceleyerek, daha detaylı bilgiler sunuyor.


Dosya Deposu
E-posta akarsuyunun içerisinde zararlı içeriğin var olması tüm e-posta tabanlı saldırılar için genel bir zaaftır. Çünkü bu gelen posta üzerinde tehdidi engellemek amacıyla sert politikaların uygulanmasına neden olur. Bu içeriğin ya direkt olarak bloklanmasını yada derinlemesine taranmasını sağlar. Malware üreticileri genellikle yaydıkları kitle-postalarda bir****l yükü göndermezler (örneğin backdoor, şifre çalıcı veya keylogger), bunun yerine downloader Trojan tercih ederler. Bu yöntemin yegane amacı (tipik http yoluyla) bazı uygulamaları indirip uygulamaktır. İndirme yönteminin kullanılması malware yazarına birkaç avantaj sağlar:
• Bir****l dosya ve e-posta.
Pratikte download için bir çok farklı yöntemle çok küçük binary kodlar yazılabilir. Bu da e-posta ağ geçidi güvenliğinin kolaylıkla geçilmesine olanak sağlar. Üstelik indirme dosyasının mass-spammed downloader üzerinden anında kod çalıştırmasına ihtiyaç duyulmaz. Bir geciktirme kodu eklemek kullanıcının şüphelenmemesi açısından çok daha etkilidir. Ayrıca bu yöntem kullanıcı makinesinde bulunan behavioral technologies (davranış teknolojileri) korumasının atlatılmasına da yardımcı olur.

• Uzak içeriğin güncellenmesi (the primary payload).
Saldırının temeli hedef URL’de barındırılan içeriğin kolaylıkla güncelleştirilmesiyle kolaylıkla değiştirilebilir. Server taraflı otomasyonlar genellikle tehtidin bir çok küçük değişkenini oluşturarak bunu kullanırlar (bir otomasyon yöntemiyle yüzlerce benzersiz değişken oluşturmak için repacking, re-encrypting veya recompiling kullanılır). Sabit URL’ler de barındırılan malwareleri inceyerek hangi sıklıkta içeriğin güncellendiğini tespit edebiliriz. Otomasyon bir çok ****** kullanılarak günde bir kaç kez güncelleniyor. Bilinen bazı malware türleri ise her 1-4 günde bir tekrar inşa ediliyor.


Tablo 1: 30 günlük periyotda zararlı türlerin ortalama güncelleme oranı.

• Downloadın çeşitli aşamaları.
Daha önceden belirttiğimiz gibi downloaderın içeriği anında indirmeye ihtiyacı yoktur. Mekanizma farklı domainlerden içeriği indirerek diğer downloader bileşenlerini tamamlayabilir. Downloader sıklıkla içeriği indirmesi için kodlanmış bir config (ayar) dosyasından ibarettir.
Bu mekanizma çeşidi en çok kullanılandır; malware tarafından talep edildiğinde bir network deposu olarak kullanılan webden indirme işlemini gerçekleştirebilir. Otomasyonun belirli aralıklarla ve çoklu indirme seviyeleriyle zararlı dosyaları indirmesi, çoğunlukla birçok malware ve URL öğesini kapsayan, etkilenmiş sistemlerin oluşmasıyla sonuçlanır. Malware yazarları açısından böyle bir teknoloji yönetilecek çok esnek yapı oluşturuyor.
Son 2 yılda güvenlik şirketleri tarafından tespit edilen downloader Trojanların sayısında keskin bir yükseliş belirlendi. Bunlardan biri bilinen bir çok çeşidi olan ünlü Clagger . Bu tür sürekli olarak güvenlik ürünlerinin tespitinden kurtulmak için deneme amacıyla yazılmıştır. Şubat 2007’den beri neredeyse 80 benzersiz değişken tespit edildi (Mal/Clagger). Clagger downloaderların önemli bir kısmı online bankacılığı hedef alan bir başka zararlı tür olan Cimuz’u indirip kurmayı amaçlar .
Orjinal Boyutunda Açmak İçin ( 840x481 ve 45KB ) Buraya Tıklayın

Şekil 2: Şubat 2007’den beri tespit edilen Cragger örneklerinin zaman dağılımı.
2007’de hiçbir eklenti barındırmayan, sadece bir web bağlantısına sosyal mühendislik yoluyla kurbanın tıklamasını sağlamayı amaçlayan boş e-posta seviyesinde büyük bir artış tespit edildi. Tipik olarak, bu bağlantılar kullanıcı ziyareti gerçekleştirdiğinde tarayıcısı aracılığıyla malware indirip uygulayan web sayfalarına yönlendirilmiştir. Son zamanlarda ortaya çıkan kitle e-posta gönderici eCard bu saldırı mekanizmasının kusursuz bir örneği , , . Kullanıcılar, e-posta mesajında bulunan bağlantıya tıkladıkları takdirde Şekil 3’te örneği sunulmuş olan web sayfasıyla karşılaşırlar.

Orjinal Boyutunda Açmak İçin ( 878x85 ve 14KB ) Buraya Tıklayın


Figure 3: Mal/Dorf spam mesajlarındaki bağlantıya tıklandığında açılan sayfa içerikleri.
Sayfa, çeşitli tarayıcı açıklarını kullanmayı deneyerek, bir malware uygulaması olan Dorf ’un indirilip kurulmasını amaçlayan, zararlı bir ****** içerir (Troj/JSXor-Gen olarak tespit edildi ). Öncelikle kurban kitle e-postalarla anlaşmalı sayfaya yönlendirilir (e-postaların içerisinde anlaşmalı siteye yönlendirilmiş bir bağlantı mevcuttur). Diğer web saldırılarında da çok benzer JSXor-Gen scriptleri kullanılır, anlaşmalı site ziyaret edildiğinde ****** gizlice yüklenir (Bölüm 3.1’e bakın). Bu webin saldırılar için sağladığı esnekliği kanıtlar.
Orjinal Boyutunda Açmak İçin ( 944x547 ve 90KB ) Buraya Tıklayın

Şekil 4: Dorf saldırılarında kullanılar JSXor-Gen scriptinin görüntüsü (üst kısım: çözümlenmiş ******, alt kısım: original ******).


Mükemmel Tuzak
Bir önceki bölümde bahsedildiği gibi, exploitler malwarelerin sessizce kod çalıştırması için mükemmel mekanizmalara olanak sağlarlar. Buna rağmen, sosyal mühendislik, malware yazarlarının en güvendiği silahlardan biridir ve e-posta temelli saldırılarda sıklıkla kullanılır . Günümüzde, iyileştirilmiş bağlantılar ve istemci teknolojilerindeki gelişmeler ile, tarayıcılardan istenen zengin içerik talebi hiç bu kadar yüksek olmamıştı. Kullanıcılar web sayfalarının ses, animasyon veya görüntü içermesini talep ediyor. Malware yazarları için bu durum gittikçe ağ üzerinde sosyal mühendislik saldırılarının daha cazip (ve daha kolay) olmasına neden oluyor.
Zlob adıyla bilinen Windows trojanı pornonun bir tuzak olarak kullanılmasını kusursuz bir şekilde ıspat ediyor. Yükleme mekanizması pornografik içeriğe sahip web sitelerindeki kampanyaları kullanıyor. İçeriğe erişmek için hamle yapıldığında (genellikle cazip bir porno filmi) kullanıcı Şekil 5’te gösterilen hata mesajıyla karşılaşır. Kayıp video codecini indirmek için yapılan tıklama başka bir siteden sahte codec kurulumunun (saldırının amacı doğrultusunda) indirilmesiyle sonuçlanır. Kurulum çalıştırıldığında zararlı Zlob bileşenleri yüklenmiş olur ve kurbanın makinesi zarar görür.

Şekil 5: Kurbanın makinesinde sahte video codec kurulumunun çalıştırılması için hazırlanan Zlob tuzağı
Sonraki Zlob bileşenleri tamamen aynı sosyal mühendislik mekanizmasını kullanır. Ancak arada bir fark vardır; boş hata mesajı yerine bir porno videosundan ses içerir, bu sayede kurbanın zararlı kayıp codeci yüklemesi garanti aldına alınmış olur.

Bir Bilgi Kaynağı
Sorgulama yönüyle (arama motorları vasıtasıyla) insanların iş ve özel hayatlarının ayrılmaz bir parçası olan web çok büyük bir bilgi deposudur. Art niyetli siteler potansiyel hedeflerin taranması için arama motorlarının kullanılarak bilindik açıkları yine web sayesinde bulurlar. Bir çok zararlı yazılım bu yöntemi kullanır. Bunların önde gelenlerinden birisi belirli bir forum uygulamasını kullanan yeni kurbanlarını Google arama motoru sayesinde tespit eden Perl/Santy solucanı dır. Geçmişte hackerlar network üzerinde derinlemesine incelemeler yapmak veya snifferlar oluşturmak zorundaydılar, günümüzde ise uygun hedefler arama motorları kullanılarak tespit edilebiliyor. Örneğin popüler bir günlük uygulamasında bir açık bulunduğunu varsayalım, saldırganlar bu uygulama tarafından oluşturulmuş sayfaları tarayarak potansiyel kurbanların listesini çıkarabilirler.
Kullanıcıların internet arama motorları büyük oranda kullanması malware yazarlarının yeni kurbanlar bulmalarına fırsat tanıyor. Arama motorlarında üst sıralara yerleşme amacıyla inşa edilen siteler saldırı hedefi olma açısından şanslarını maksimize etmiş oluyorlar. Arama motorları sıralamalarını manipüle etmek amacıyla sayfa içeriklerinde yapılan değişiklikler genellikle araştırmalarda zararlı sitelerin ilk sıralarda yer almalarını sağlıyor. Genellikle pornografik veya ilaç kullanımına ait sitelerin blok halindeki linklerini görmekte mümkün (bkz. Şekil 6). Bu tip bloklar sitelerinde aranan metinler style=display:none özelliği kullanılarak görüntülenen sayfada arka planda kalmaları sağlanıyor. Bu fenomen link bombardımanı veya Google Bombing olarakta biliniyor (diğer arama motorlarında da yöntem uygulanıyor). Hedeflenen sitelerin çoklu linklerle desteklenmesi bu sitelerin arama motoru sonuçlarına ihtiyaç duymaksızın sıralamada yükselmesine neden oluyor. Geçtiğimiz yıl, Google bu tekniğin uygulanabilirliğini en aza indirmek için link bombardımanına karşı savaşan bir teknoloji başlattı .


Şekil 6: Link bombardımanında kullanılan “link-bomb” blok ve “iframe”leri.


3.Zararlı Siteler
Bir çok farklı tipte site malware içerir. Heckerlar bedava web sağlayıcı servislerde yeni siteler oluşturarak, bu siteleri kurbana ulaşmak için araç olarak kullanırlar. Zararlı kodlar (öncelikli olarak JavaScript) kullanılarak kurbana zarar veren bir çok yol mevcut. Bu kodlar ziyaretçinin tarayıcısını sayfanın doğru bir şekilde yüklendiğine inandırdıktan sonra tarayıcının açığını ararlar. Daha sonra uygulanabilecek açıklar listelenerek açık bulununcaya dek tarayıcı üzerinde denenir. Basit aldatıcı kod Şekil 7’de gösterilmiştir. Hackerlar yeni açıklar bulunur bulunmaz bunları saldırılarına eklerler (Örnek olarak yeni Yahoo! webcam ActiveX açığı ). Başarılı bir şekilde açıklar için exploit oluşturmakta kullanılabilecek yayınlanmış teknik dokümanların oranı ile çalışan exploit kodları arasında doğru orantı mevcuttur. Ek olarak bir ActiveX açığı üzerinde oluşturulan kod benzer bir ActiveX açığında başarıyla kullanılabilir.



Şekil 7: Modern web saldırısında kullanılan tipik aldatıcı kod.

Faydalanılan Siteler
Kullanıcılar ve kullandıkları web servisleri arasında bir güven ilişkisi vardır. Rutin olarak bu sitelere bağlanıp online haritalar üzerinden haber okur, hava tahminlerini incelerler, dolayısıyla tarayıcılarını bu sitelerin içeriklerine izin vermelerini sağlarlar. Doğrusu kullanıcılar güvenilen site listelerini oluşturmaları için teşvik edilirler, böylece görüntülenen sitenin tarayıcı ayarlarından güvenilen site olarak ayalanması sağlanır. Bu yolla tarayıcılar görüntülenen sitenin ihtiyaç duyabileceği ActiveX, Java gibi kodlamaların çalışmasına olanak sağlar. Uygulanan konsept güvenilir olmayan sitelerin izin verilen içeriği üzerinde daha katı bir kontrol uygulanmasını esas alır. Buna rağmen son zamanlarda tehlikeli sitelerin seviyesinde keskin bir artış saptandı . Neden? Hackerlar bu işi sadece ün için yapmıyorlar , . Bu tip zararlı yazılımların barındırıldığı bir siteler dokümanın başında bahsedilen adımları tamamlayan gizli bir mekanizmayı sağlar: tehtidin yayılması ve uygulama. Üstelik bu siteler geniş ve güvenen bir kullanıcı kitlesine sahipse kurbanların sayısı büyük oranlara ulaşabilir. 2007 Super Bowl ödüllerinden kısa süre önce Miami Dolphins sitesinin hacklenmesi saldırılarda faydalanılabilecek sitelerin önemine dikkat çekti .
HTML extra içerik yüklenmesi için çok rahat yollara sahiptir. En çok kullanılan yöntemlerden biri