Emre bir gönderide etiketlendi

Emre bir gönderide etiketlendi
Şubat 26 09:12 2015 Yazıyı Yazdır

Facebook saldırganlar tarafından sıkça kullanılan bir saldırı vektörüdür. Dünyanın her yerinde yüz milyonlarca kişinin “paylaşım” yaptığı bir ortam herkes için iştah açıcı olacaktır.
Profesyonel merak da diyebilirsiniz, yersiz risk almak da ama “tamam, tıklamayayım ama tıklarsam ne olur?” diyerek bu tuzaklardan birine atladım.

facebook-etiketlenme-1

Hollywood filmlerinde olduğu gibi saldırganın bakış açısından bir senaryo dahilinde ele alırsak “operasyon” şöyle gerçekleşiyor.

Yazının konusu olmadığı için tuzağın nasıl kurulduğunu ele almayacağım, sadece benim gördüğüm haliyle ekran görüntüsünü paylaşacağım.

Adım 1: Olta

Arkadaşım Emre bir gönderide etiketlenmiş. Gönderiye konu fotoğrafın “kompozisyonu” erkek Facebook kullanıcılarının dikkatini çekebilecek şekilde hazırlanmış.

facebook-etiketlenme-2

Adım 2: Kapan

Emre’nin gömlek düğmelerini iliklemeyi unutmuş bu ablanın olduğu videoda ne gibi bir rolü olabileceğini merak ettiğim için tıklıyorum ve aşağıdaki ekrana geliyorum.

facebook-etiketlenme-3

Bu ekranda bir kaç nokta dikkatimizi çekiyor:

Artık Facebook’ta değilim. Facebook gibi görünen bu site aslında www(.)videotr(.)me (DİKKAT: ziyaret etmeyin) sitesi.
Videotr(.)me sitesinin sahibine ulaşmak için birkaç sorgu yapıyorum ancak alanadı sahibi bilgileri gizli. Bu sitenin nasıl bir ekosistemin parçası olduğunu anlamak için Bing arama motorunun bir özelliğini kullanıyorum. Bing arama motoru üzerinde “ip:” operatörü ile yapılan aramaların sonucunda aynı IP adresinden yayın yapan ve Bing tarafından endekslenen siteleri bulabiliyoruz.
Göreceğiniz üzere bazı “ilginç” alanadları da aynı IP adresini ve büyük ihtimalle aynı hosting şirketini kullanıyor.

facebook-etiketlenme-4

Burada dikkatimizi en çok çekenler;

Cotton-panty: erotik site.
Alfasro: Site başlığı Silkroad sunucusu olduğunu söylüyor. Silkroad “derin internet” olarak da bilinen internetin karanlık tarafında uyuşturucu, silah ve çocuk pornosu gibi konularda ticaret yapmak için kullanılan bir ortamdır. Bu sunucu gerçekten bu sistemin bir parçası mı? yoksa “derin internet” konusunda meraklı birkaç kurban bulmak için mi hazırlanmış emin olamadım.
Düzeltme: Bildirdiği güvenlik zafiyetleri ile Yandex şeref listesine (Yandex Hall of Fame https://yandex.com/bugbounty/hall-of-fame/2014/11/) giren Gökmen Güreşçi’den gelen bilgi üzerine: Silkroad diye bir oyun varmış, onunla ilgili bir sunucu olabilirmiş. Gökmen Güreşçi’ye teşekkür ederim.
Candyhile: Popüler Candy Crush oyununa hileleri yayınladığını iddia ediyor.
Kurtalankilim: Anadolu kaplanı sitesi gibi duruyor. Bunların arasında ne işi var anlam veremedim. Ucuz hosting bulmanın verdiği mutlulukla acaba komşularını çok sorgulamadan şirket sitesini buraya mı taşımış?
Taşıdıkları risk nedeniyle sitelerin hiç birini ziyaret etmedim, sizin de ziyaret etmenizi önermem.

Adım 3: Saldırı

Yönlendirildiğim sahte Facebook ekranında tamamı düğmesini tıkladığımda, aşağıda görüldüğü gibi bir yazılım bilgisayarıma iniyor.

facebook-etiketlenme-5

Tersine mühendislik ve zararlı yazılım analizi konusunda bir iddiam yok, o işi Mert Sarıca ve Emre Tınaztepe uzmanlara bırakıyorum, bu konuya ilginiz varsa her ikisini de takip etmenizi öneririm. Bu nedenle bunun ne olduğunu analiz etmek için internette ücretsiz olarak bu işi yapan siteleri kullanıyorum.

İlk test olarak indirilen yazılımı VirusTotal sitesine yükledim. Sonuç aşağıdaki gibi oldu;

facebook-etiketlenme-6

Virustotal’de çalışan toplam 56 antivirüs yazılımı arasında sadece 17 tanesi bu zararlıyı tespit edebildi. Bilgisayarınızda güncel ve lisanslı bir antivirüs yazılımı olmasının neden önemli olduğuna dair önemli bir göstergedir. Bu zararlıyı tespit edemeyen 39 antivirüsten birini kullanmanız durumda faydası olmayacağını unutmamak lazım. Antivirüs kullanacağız ama sağduyumuzu da elden bırakmayacağız.

Bu zararlı yazılımın tam olarak ne yaptığı konusunda da kabaca bir fikir sahibi olmak dosyayı bir de Malwr sitesine yükledim.
Aşağıdaki ekranlarda görülüğü üzere zararlı yazılım klavye ve fare hareketlerini kaydediyormuş.

facebook-etiketlenme-7

facebook-etiketlenme-8

Adım 4: Parayı kazanmak

Kurbanların kullanıcı bilgileri (sitelerde ve uygulamalarda kullandığınız kullanıcı adı ve parola bilgileri) ve kredi kartı bilgileri saldırgana iletiliyor.

Güncelleme: Bu yazıyı yayınladıktan 1-2 saat sonra aynı “gönderide” çok farklı bir arkadaş çevremden birinin daha etiketlendiğini gördüm. Bu zararlı yazılımın hızla yayıldığına bir kanıt oluşturabilir. Bir diğer yandan da son gönderide etiketlenenlerden birinin çalıştığı kurumu görünce, bu zararlı yazılımın şirket veya kurum içerisinde Facebook kullanımına izin veren yerlerde de görülebileceğini ve devlet sırrı / ticari sır kaybına neden olabileceğinden şüphelenmeye başladım (kurum adına dikkatinizi çekerim).

facebook-etiketlenme-9

Facebook gibi sosyal medya araçlarının kullanımında “uyanık” olmak gerektiğine dair güzel bir örnek oluşturan bu saldırı konusunda çevremizdekileri ve özellikle çocuklarımızı bilgilendirmek önemlidir.

 

  Etiketler:
  Kategori:
daha fazla yazı

Yazar Hakkında

Alper Başaran
Alper Başaran

Daha Fazla Yazı
yorum yapın

3 Yorum

  1. uzay
    Şubat 26, 09:35 #1 uzay

    Alfasro: Site başlığı Silkroad sunucusu olduğunu söylüyor. Silkroad “derin internet” olarak da bilinen internetin karanlık tarafında uyuşturucu, silah ve çocuk pornosu gibi konularda ticaret yapmak için kullanılan bir ortamdır.

    cümlesini düzelteyim. SRO demek; SİLKROAD IN kısaltması demek. normalde silkroad online diye bir oyun mevcut yaklaşık 6-7 seneden beridir online olarak hizmet vermekte. (KNIGHT ONLINE TARZI) eski zamanı anlatan bir kervancılık,çinde geçen ipek tüccarlığını ele alan bir oyundur websitesi ise : silkroadonline.net
    ALFASRO ya gelecek olursak bir pravite SILKROADDIR yani çakma SRO DUR derin internet ile hiçbir alakası yoktur.
    halen oynamaya devam ettiğim Silkroad Online oyununun adının bu şekilde anıldığını görünce bunu yazmak istedim muhtemelen daha önce duymadın böyle bir oyun alper kardeşim.
    neyse çok uzattım kusura bakma. teşekkürler

    Reply to this comment
  2. Gürkan
    Temmuz 21, 13:45 #2 Gürkan

    Baktığın IP sitenin gerçek IP adresi değil. O IP, CloudFlare adlı reverse proxy güvenlik hizmetine ait bir IP adresi. Hosting firması falan değil. Bu serviste aynı IP’de yer alan bir çok domain görülebilir. Bu son derece normal ve diğer siteleri etkilemeyen bir durumdur. Yazıda yazdığın bu kötü amaçlı site dahil diğer sitelerin sahipleri akıllıca davranarak sitelerini DDoS ve BotNET ataklarına karşı korumaya almak için arada köprü görevi gören CloudFlare hizmetini kullanmışlar. IP ile ilgili olay bundan ibaret.

    SRO ile ilgili açıklama da daha önce yapılmış zaten.

    Bu arada makale yazmadan önce iyi bir araştırma yapılmasını tavsiye ederim. Zira bu şekilde; detay konularda olsa bile son derece yanlış bilgilendirme ve yönlendirme olmakta. Bilmeden SilkRoad oyununu ve ona ait bir sunucunun sitesini günah keçisi ilan etmişsiniz. Benim de farklı oyunlarda bu şekilde sunucularım var ve siteleri için CloudFLare kullanmaktayım. Tıpkı bu SRO sitesinde yaşandığı gibi sitelerimin bu şekilde anılması ve hedef gösterilmesi hiç hoşumaz gitmezdi.

    Reply to this comment
    • İsmail Saygılı
      Temmuz 21, 13:55 İsmail Saygılı

      Merhaba Gürkan Bey,

      Burada incelenen sitenin IP’si evet CloudFlare’a aittir. Dediğinize ek olarak CloudFlare; Reverse Proxy ile CDN, DoS/DDoS Mitigation, WAF ve Web Optimization alanlarında kullanıcılarına combo hizmet sağlamaktadır.

      Ancak yazıdaki amaç Reverse-IP tekniğinden bahsetmektir(Bing arama moturunu kullanarak).
      CF arkasına alınmış bir sunucunun gerçek IP adresini öğrenmek için ayrıca birçok yöntem (dns records etc.) zaten kullanılmaktadır. Yani sonuç olarak sunucunun sahip olduğu IP adresine Reverse-IP yöntemiyle yaklaşılıp sunucuda barınan diğer siteleri keşfetmek gerekmektedir.
      – Bu yazıdaki amaç kurgulanmış bir takiptir –

      İlginiz için teşekkür ederiz. İyi günler.

      Reply to this comment

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.