Bir Güvenlikçi, Virüs ile Karşılaşırsa

-
5 Mayıs günü Hatay'da ki evime ulaştığımda yurtta hasret kaldığım internet bağlantıma kavuşmuştum. Tam mailimi kontrol ederekten siftahımı yapayım derken pop up şeklinde bir reklam açıldı.
Pop up reklamları (temsili)

Hem yüklediğim programlara dikkat etmem, hemde kullandığım sistemin Linux olması dolayısıyla bu olay beni oldukça şaşırtmıştı. Sonra aklıma Linux'ta Windows uygulamalarını çalıştırmak için kurulu olan Wine adlı uygulama geldi. Acaba bu uygulama vasıtasıyla çalıştırdığım bir dosyadan mı bulaştı diye düşündüm kendime ancak durum bu değildi. Ilk önce "Helal olsun adamlara, üşenmeyip Linux için virüs yazmışlar" dedim (tam olarak bu kelimelerle olmasa bile). Ancak aynı reklam pencerelerine Windows kurulu bilgisayarımda, hatta Android cep telefonumda bile rastlayınca olayın çok farklı olduğunu anladım. Reklam pencereleri "adbirdie.com" ve "youradexchange.com" türevi URL'ler üzerinden kullanıcıyı asıl reklama yönlendiriyordu. Internette biraz araştırmayla bu virüsün bilgisayarda DNS ayarlarını değiştirdiğini buldum. DNS ayarlarını oracıkta geri değiştirip reklamlardan hemen kurtulma şansım vardı, ancak böyle bir olayı inceleme fırsatını geri tepemedim :)
 

Öncelikle virüsün kullandığı DNS sunucusunun IP adresini tespit etmem gerekiyordu. Bunun için Linux'taki nslookup komutu ile rastgele bir domaini sorgulatıp DNS serverın IP adresini buldum.
nslookup www.google.com
Server:     31.3.252.75    ->  Virüsün DNS Sunucusu
Address:    31.3.252.75#53

Name:    www.google.com
Address: 216.58.208.100
Bu IP adresine Whois sorgusu çektiğimde Redstation adlı bir şirketin ismini gördüm. Biraz araştırmayla Redstation'ın, Ingiltere'de dedicated sunucu kiralayan bir hosting firması olduğunu öğrendim. Saldırgan muhtemelen buradaki kiralanmış sunuculardan birine sızıp kendi emellerine alet etmişti. Daha sonradan kullanmak üzere bu bilgiyi bir köşede sakladım.
inetnum:        31.3.252.64 - 31.3.252.95
netname:        RSDEDI-DAKJBMEA
descr:          Dedicated Server Hosting
country:        GB
admin-c:        RA1415-RIPE
tech-c:         RA1415-RIPE
status:         ASSIGNED PA
remarks:        ABUSE REPORTS: abuse@redstation.com
mnt-by:         REDSTATION-MNT
mnt-domains:    REDSTATION-MNT
mnt-routes:     REDSTATION-MNT
created:        2014-06-02T20:24:41Z
last-modified:  2014-06-02T20:24:41Z
source:         RIPE # Filtered
Sırada reklamların ziyaret edilen sitelere nasıl gömüldüğünü bulmak vardı. Bu konuda dikkatimi çeken birkaç detayı sizlerle paylaşmak istiyorum.
  1. Yapılan DNS sorgularında dönen IP bilgisi sorgulanan domainin orijinal IP adresiydi. Yani ortada Man In The Middle gibi bir durum yoktu.
  2. Reklam penceresi sadece ziyaret edilen sayfanın herhangi bir noktasına mouse ile tıklandığında çıkıyordu.
  3. Reklam penceresi her sitede çıkmıyordu.
  4. Reklam çıkan sayfaların kaynak kodlarında iframe benzeri reklam göstermek için kullanılan etiketler kullanılmamıştı. Ayrıca Adblock gibi eklentiler bu reklamlara engel olamıyordu.
Bütün bu bilgiler ışığında reklamların Javascript kullanılarak gösterildiği aşikardı. Bir sonraki aşama bu Javascript kodunu tespit etmekti.

Reklam çıkan sayfalardan birkaçının kaynak kodunu incelediğimde olağan dışı bir şeye rastlamadım. Zararlı görünen bir Javascript kodu bulunmuyordu hiçbirinde. Ancak sonradan kafama dank etti. Az önce reklam penceresinin her sitede çıkmadığını söylemiştim. Yani çıkan sitelerin ortak bir noktası olmalıydı. Kaynak kodunu incelediğim bütün siteler google-analytics.com'dan Javascript dosyaları kullanıyordu!

Kullanıcı google-analytics'ten script dosyası alan bir sayfayı ziyaret ettiğinde web tarayıcısı, bu dosyayı almak için google-analytics'e bir istek göndermek durumundaydı. Haliyle isteği göndermeden evvel DNS sorgusu yapıp sitenin IP adresini öğrenmek zorundaydı. Işte tam bu sırada virüsün kullandığı DNS sunucusu devreye girip, google analytics'in gerçek adresi yerine saldırganın kullandığı Web sunucusunun IP adresini verecekti. O web sunucusu üzerinde de sayfada kullanılanla aynı isimde bir Javascript dosyası, içinde de reklamı gösteren kod bulunmalıydı. Böylece web tarayıcısı asıl çalıştırması gereken kod yerine saldırganın Javascript kodunu çalıştıracaktı ve kurbanımız arsız reklamlarla başbaşa kalacaktı.

Teorimi kanıtlamak adına yine nslookup komutu ile önce www.google-analytics.com domainini sorgulatıp IP adresinin farklı olduğunu doğruladım.
nslookup google-analytics.com
Server:        31.3.252.75
Address:    31.3.252.75#53

Name:    google-analytics.com
Address: 88.150.240.195        ->    Saldırganın Web sunucusu
Bu IP adresine Whois çektiğimde yine Redstation ile karşılaştım. Bütün olay adeta bu şirketin sunucuları üzerinden yürütülüyordu.

inetnum:        88.150.240.0 - 88.150.241.255
netname:        IOMARTHOSTING
descr:          iomart Hosting Limited
country:        GB
admin-c:        RA1415-RIPE
tech-c:         RA1415-RIPE
status:         ASSIGNED PA
remarks:        ABUSE REPORTS: abuse@redstation.com
mnt-by:         REDSTATION-MNT
mnt-domains:    REDSTATION-MNT
mnt-routes:     REDSTATION-MNT
created:        2014-12-21T17:28:48Z
last-modified:  2014-12-21T17:28:48Z
source:         RIPE # Filtered
Bu web sunucusu üzerindeki bir Javascript dosyasını çağırdığımda aşağıdaki gibi şifrelenmiş bir kodla karşılaştım.

Kodun şifrelenmiş olması niyetini belli etmişse bile emin olmak için kodu bilgisayarımdaki bir HTML dosyasının içine kopyalayıp tarayıcıda ziyaret ettim ve beklendiği üzere reklam penceresiyle karşılaştım.
Kodun nasıl çalıştığını anlamak için http://wepawet.iseclab.org/ sitesi aracılığıyla (bu site zararlı Javascript ve Flash programlarının analizinde kullanılmaktadır) kodu deşifre ettim ve tahmin ettiğim şekilde bu kod yeni pencere açıp kullanıcıyı reklam sayfasına yönlendirmede kullanılıyordu.

Redstation firmasına IP adresleriyle beraber durumu açıklayan bir mail gönderdim. Kendi sunucularının bu şekilde istismar edilmesine izin vermeyeceklerini umuyorum.

Burada karşılaştığımız durumun bir virüsten ziyade üstünde iyi düşünülmiş bir saldırı olduğunu düşünmekteyim. Emin olmamakla birlikte saldırı süreci işleyişi tahminimce şu şekilde:

  1. Otomatiğe bağlanmış bir bot yazılımıyla belirli IP blokları taranır.
  2. Bu IP bloğu içerisinde modem cihazlarının IP adresleri tespit edilir.
  3. Tespit edilen modemlerin markası ve modeline bağlı olarak saldırgan tarafından önceden bilinen açıklar istismar edilerek modem arayüzüne erişim sağlanmaya çalışılır.
  4. Eğer erişim sağlanırsa modem arayüzünden varsayılan DNS ayarı değiştirilir. Böylece o modeme bağlı cihazlar saldırganın DNS sunucusuna yönlendirilirler.
Yukarıdaki bütün aşamaların bir bot yazılımı tarafından otomatik olarak gerçekleştirildiği kanaatindeyim. Böylece saldırganın tek yapması gereken arkasına yaslanıp kurduğu düzeneğin çalışmasını seyretmektir (ve tabi reklamlardan gelen paraları toplamak).

Bu saldırının üzerinde iyi düşünülmüş olduğu aşikardır. Saldırgana getirdiği avantajlar ise saymakla bitmez..
  • Saldırı kurbanın bilgisayarını değil de modemleri hedeflediğinden platform farkı ortadan kalkar dolayısıyla hedef kitlesi artar. Tabiri caizse bir taşla 2, 3, 4, 5 kuş birden vurmuş olur.
  • Ortada zararlı yazılım olmadığından antivirüs gibi bir derdi olmaz.
  • Kullanılan protokol DNS olduğundan firewall'lara takılma derdi yoktur.
  • Reklamı göstermekte Javascript kullanıldığından adblock tarzı reklam önleyen eklentilerce engellenemez.
  • Javascript kodunu direkt sayfanın içinde barındırmayıp uzaktan çağırdığından güvenlik eklentilerine takılmaz. Sonuçta sayfanın içinde bulunan kodlar zararsızdır.
  • Scripti Google Analytics gibi güvenilir ve yaygın kullanılan bir sitenin arkasında sakladığından hem kolayca farkedilmez, hem de yaygın kullanımından dolayı hemen hemen her sitede reklam görülür.
Reklamlardan kurtulmak için yapmanız gereken modem arayüzüne girip varsayılan DNS ayarlarını normale döndürmek, ardından bilgisayarınızda DNS önbelleğini ve browser önbelleğini temizlemektir.
Saldırıdan korunmak içinse modeminize güçlü bir şifre koyup, kullandığınız modemin açıklarını kapatmanız gerekmektedir (Bu açıkları modeminizin markası ve modeliyle internette aratıp bulabilirsiniz). Ayrıca modem arayüzüne dışarıdan erişimi engellemekte bir çözüm olabilir.
Bu olaydan öğrenilecek bir şey varsa o da saldırı vektörlerinin gün geçtikçe değiştiği, saldırıların ise şekil değiştirdiğidir.

Selametle..

Yorumlar

  1. Unknown11 Mayıs 2015 11:27

    Başarılarının devamini dilerim kardesim(ilk yorum;burdan kaynanamgillere selamlar)

    YanıtlaSil
  2. robby23 Mayıs 2015 05:21

    Eyvallah kardesim, sagolasın :)

    YanıtlaSil
  3. nepjua5 Haziran 2015 01:16

    Ben de karsilastim ayni malware ile, az once olayi google-analytics.com'a kadar takip ettim ip'sini ogrendim saldirganin. IP'yi bir arastirayim internette belki birileri birseyler yazmistir dedim. Sadece sen bahsetmissin :) yabanci blog'larda cikar ancak diyordum, helal olsun :)

    analytics yerine gelen js kodu da su script'i gomuyor sayfalara:
    http://awsbgjrvszbwaptu2ggnnma7bz5ccmwzjn8vup3vrhxaazudyfbg2f4lcsw7rkl.com/pnp.js

    Domain godaddy'e kayitliymis e-mail attim boyle boyle bu domain hakkinda birseyler yapin diye.

    YanıtlaSil
    Yanıtlar
    1. robby5 Haziran 2015 23:24

      Begendiginize sevindim, tesekkurler :)

      Sil
    2. robby9 Temmuz 2015 08:46

      Görünüşe göre GoDaddy bu konuda RedHosting'ten daha duyarlı, domain kapatılmış ama sunucular hala ayakta.

      Sil
  4. Unknown8 Eylül 2015 08:38

    merhabalar az önce elime bir tplink modem geçti verdiğiniz ip lerle birebir uyuşmaktadır.
    adamlar tezgahı kurmus oturdukları yerden para kazanıyorlar bu şekilde demekki verdiğiniz bu değerli bilgiler için teşekkürler.

    YanıtlaSil
  5. Adsız11 Ağustos 2016 03:25

    Reyiz Allah razı olsun bitek sende var bunun ne olduğu nasıl düzeltildiği

    YanıtlaSil

Yorum Gönder

Bu blogdaki popüler yayınlar

DKHOS - Rev300 Çözümü

-
Resim
Aloha, geçtiğimiz günlerde yapılan Dünyayı Kurtaran Hackerın Oğlunun Sevgilisi (wut) adlı yarışmada yaptığım Rev300, Nam-ı diğer "Kambersiz Düğün Olmaz" sorusunun çözümünü paylaşmak istedim. Les go Elimizde bir exe dosyası var (ya ne olacağıdı demeyin yarışanlar bilir). Dosyayı çalıştırdığımızda bizi linux'tan aşina olduğumuz SegFault'un serseri abisi ACCESS VIOLATION hatası karşılıyor. evet immunity kullanıyorum çok mu komik. burada müslüm denen bir hıyar varmış diyip assembly koduna dalmak gibi bir gaflete düşmüyorum çünkü neden yapayım. onun yerine müslüm abiye bir "merhaba" demek için önce dosyayı temel statik analize tâbi tutup beni yönlendirecek ipucu arıyorum. Ne ucu demeden önce ben söyleyeyim yani dosya packlenmiş mi, anti analiz var mı, beklenmedik bir itlik puştluk var mı onlara bakayım hele bi dur Nothing found dediğine göre yazımızı burada sonlandırıy... Vay anasını sayın seyirciler. Entropi neydi, entropi düzensiz
Devamı

Part 1: Tersinden Tersine Mühendisliğe Giriş

-
Resim
Selamlar. Stajdı, Hacktrick'ti, okuldu falan derken uzun zamandır yazamadım kusura bakmayın. Hoş gerçi okuyucu kitlem falan da yok ama Google spider'larına ayıp olmasın diye arada yazıyorum birşeyler. Tabi birde öğrendiklerimi pekiştirmek maksadıyla yazıyorum Üniversitenizde bilgisayar ile alakalı bir bölümde okumaya başladınız. 1 veya 2. sınıftasınız. Java idi, C# idi veya başka bir dil, hepsinin de cicili bicili yapıları önünüze hazır konmuş sizin kullanmanızı bekliyor. Alem buysa kral benim diye düşünüyor olabilirsiniz. Ama durun, dahası var! İki yazıdan oluşmasını planladığım bu yazı dizisinde sizi, adını duyunca yüzünüzü buruşturduğunuz Assembly (hemide bold) gerçeğiyle yüzleştirmeyi amaçlıyorum İlk yazıda Assembly'den ziyade daha çok giriş konseptinde konuları anlatıp kazığı sivrilteceğim :P İkinci yazımda ise programlamada kullandığımız yapıların Assembly'deki karşılıklarını gösterip açıklamaya çalışacağım. Böylece Assembly'nin aslında ne kadar k
Devamı