Bilgi Güvenliği Haberleri (8 Haziran Haftası)

Bilgi Güvenliği Haberleri (8 Haziran Haftası)
Haziran 15 19:38 2015 Yazıyı Yazdır

Musibet tabanlı güvenlik

Geçtiğimiz hafta A.B.D.’nin OPM (Office of Personel Management) kurumunda yaşanan ve yaklaşık 4 milyon hükümet görevlisinin bilgilerinin çalınmasından sonra A.B.D. olaydan ders çıkartmışa benziyor.

Beyaz Saray tarafından yayınlanan yazıda devlet kurumlarının aşağıdaki konularda 30 gün içerisinde hızlıca önlem alıp ilerleme durumlarını raporlamaları istendi. Alınan tedbirlerin Sivil Kamu Kuruluşları Stratejisi” adlı bir dokümanda toplanıp A.B.D.’nin siber güvenlik seviyesinin arttırılmasının amaçlandığı belirtiliyor.

Bizler için de siber güvenlik konusunda ipuçları oluşturacağından A.B.D.’nin kendi kuruluşlarına gönderdiği ve “siber güvenlik konusunda acilen yapılması gerekenler” olarak özetleyebileceklerimizi paylaşıyorum.

  • Siber saldırı, hacklenme, gelişmiş zararlı yazılım gibi olayların tespit edilmesini sağlayacak uyarı mekanizmalarının “derhal” kurulması
  • Kritik derecede önemli yazılımlardaki güvenlik açıklıklarının zaman kaybetmeden güncellenmesi ve/veya güvenlik yamalarının geçilmesi
  • Teknolojik kontrol sayısının arttırılması ve yetkili kullanıcıların denetlenmesi. Kurumlar kullanıcı yetkilerinin azaltmalı ve bu hesapların oturumları sırasında yaptıklarını denetlenmeli. Çok miktarda verinin çalınmasını önlemek amacıyla bu kullanıcıların sisteme bağlı olarak geçirebilecekleri sürelerin de sınırlandırılması önerilmektedir. Bu hesapların kayıtlarının (log) düzenli olarak incelenmesi gerektiği de belirtilmiş.
  • İki kademeli giriş mekanizmalarının yaygınlaştırılması. İki kademeli giriş sistemleri saldırganların sadece kullanıcı parolasını ele geçirerek sistemlere giriş yapmalarını engellemektedir.

 

DUQU 2.0

APT (Advanced Persistent Threat – Gelişmiş Sürekli Tehdit) sınıfı saldırılarda kullanılan zararlı yazılımlar arasında kayda değer olanlardan birisi de DUQU idi. İlk sürümleri 2011 yılında tespit edilen ancak 2012 yılından sonra karşımıza çıkmayan DUQU’nun arkasındaki grubun dağılmış olabileceği düşünülüyordu ki… aksiyon filmlerini aratmayacak şekilde bir dönüş yaptı.

“Muhteşem geri dönüş” kapsamında, ilk sürümde olduğu gibi İran’da birkaç makineye bulaşmaktan çok daha fazlasını yapan DUQU’nun, düşünülenden çok daha güçlü bir aktör olabileceği ortaya çıkmıştır. İster kaderin cilvesi diyelim, ister “etme bulma dünyası” ama konudaki ironik tarafı tamamen kenara koyarak yazıyorum; DUQU Kaspersky antivirüs firmasının sistemlerinde tespit edildi.

Kaspersky tarafından yayınlanan detaylı raporda (https://securelist.com/files/2015/06/The_Mystery_of_Duqu_2_0_a_sophisticated_cyberespionage_actor_returns.pdf) saldırının adımları aşağıdaki gibi tarif edilmiş.

Saldırının Kaspersky’nin Asya Pasifik bölgesinde bulunan küçük ofislerinden birindeki çalışanları hedef alarak sisteme girmiş olabileceği düşünülmektedir. Bölgedeki bir çalışanın e-posta ve internet tarayıcısı geçmişinin silinmiş olması ilk saldırı vektörünün hedefli bir oltalama (spear phishing) saldırısı olmuş olabileceğini düşündürmüş. Saldırganlar daha sonra Windows işletim sistemi üzerinde yetki yükseltme ve yerel ağda yayılmalarını sağlayacak “pass-the-hash” gibi teknikler kullanarak yatay hareket kabiliyeti kazanmışlar.

Bütün faaliyetleri sırasında disk üzerinde işlem yapmadığı ve diğer zararlı yazılımlar gibi doğrudan komuta sunucusu ile iletişim kurmadığı için DUQU’nun bu yeni sürümün tespit edilmesi zordur. Yakalan DUQU 2.0 üzerinde yapılan incelemelerde görüldüğü üzere saldırganların Cumartesi günü çalışmaması, Pazar günleri ve 1 Ocak günü çalışmaları ve saat dilimlerinin GMT+2 ve GMT+3 arasında olması zararlı yazılım üzerinde İsrail’de çalışılmış olabileceğini düşündürmektedir. Kaspersky dışında Ortadoğu’da da pek çok sistemi etkileyen DUQU 2.0’in sistemlerinizde olup olmadığını anlamak için Kaspersky tarafından yayınlanan IoC’lere https://securelist.com/files/2015/06/7c6ce6b6-fee1-4b7b-b5b5-adaff0d8022f.ioc adresinden ulaşabilirsiniz.

EDITORIAL: “Pass-the-Hash” konusu

DUQU tarafından da kullanılan ve bizim de sızma testleri sırasında sıkça faydalandığımız bir yöntem olan “Pass-the-Hash” saldırısına bir örneği aşağıda kısaca ele almak istiyorum.

Bu senaryoda ele geçirdiğim bir sistem üzerindeki kullanıcı isim ve hash bilgilerini alıyorum ve bunları başka bir sistemi ele geçirmek için kullanıyorum.

Hash parolanın açık halde tutulmaması ve işlenmemesi için kullanılır. Windows işletim sisteminin parolayı açık halde tutmamasına imkan verdiği için güvenlik seviyesini arttırırken, saldırganların parolanın açık halini (bkz. kendisini) bulmak zorunda kalmadan sistemlere giriş yapma imkanı vermektedir.

Kurumsal ağ üzerindeki sistemlerden birine Meterpreter zararlısını yükleyip uzaktan komut gönderebilir hale geliyorum. Aşağıda görüldüğü gibi “hashdump” komutunu çalıştırıp hedef sistem üzerindeki kullanıcı adlarını ve hash bilgilerini alıyorum (aşağıda).

pth1

Port taraması veya benzer bir yöntemle ağ üzerinde SMB hizmeti açık diğer sistemleri listeliyorum (aşağıda).

pth2

SMB portu açık sistemlerde ele geçirdiğim kullanıcı adı ve hashleri deniyorum. Bunun için Metasploit üzerindeki bir modülden faydalanıyorum (aşağıda).

pth3

Modülün SMBUser ve SMBPass parametrelerine daha önce ele geçirdiğim kullanıcı adı ve hashleri yazıyorum (aşağıda).

pth4

Hashlerden bir tanesi işe yarıyor ve ikinci bir sistemi bu şekilde ele geçirmiş oluyorum.

pth5

Almanya 20,000 bilgisayarı değiştirmek zorunda kalabilir

Birkaç hafta önce yaşanan siber saldırı sonucunda ağına sızıldığını teyit eden Almanya Parlamentosu (Bundestag) saldırganların veri sızdırdığını açıkladı. Çalınan verilerin miktarına veya içeriğine dair bir bilgi verilmemesine karşılık verilerin birden fazla yolla dışarıya kaçırıldığı belirtildi.

Saldırı parlamentonun iç ağında bulunan 2 sunucudaki zararlı yazılımların komuta sunucuları ile iletişim kurmaya çalışmaları sonucunda tespit edilmiştir. Saldırının üzerinden geçen süreye karşın hükümet ağındaki bilgisayarlarda hala aktif Truva atlarının bulunması Alman hükümetinin kullandığı 20,000’e yakın bilgisayarın tamamen değiştirilmesini gerektirebilir. Konu hakkında önümüzdeki günlerde tekrar açıklama yapılacağını düşünüyoruz.

 

Dosyasız zararlı yazılım

Keşfedildiği 2014 yılından beri kendini sürekli geliştirdiği görülen Poweliks turva atı (trojan) bugün geldiği noktada pek çok antivirüsü rahatlıkla atlatabilmektedir. Kurbanlarının “tıklamaları” ile saldırganların reklam geliri elde etmesini sağlayan zararlı yazılım sadece Windows registry altında bulunduğu için antivirüslerin gözünden kaçabilmektedir.

Bu özelliği dışında zararlı yazılım “bekçi köpeği” (watchdog) olarak adlandırılan bir teknik kullanarak Truva atının çalışır durumda olduğunu kontrol ediyor ve kapanması halinde müdahale ederek tekrar çalıştırmaktadır.

Her hangi bir dosyasının olmamasının yanında Windows registry’de bulunması sayesinde bilgisayarın açılıp kapanmasından da olumsuz etkilenmemektedir.

 

Eurpol’den Üçgen Operasyonu

İtalya, İspanya, Polonya, İngiltere, Belçike ve Gürcistan’da faaliyet gösteren bir siber suç şebekesi 6 ülkenin Polis teşkilatlarının ortak çalışması sonucunda çökertildi. Operasyon sırasında 49 kişi gözaltına alındı ve 50’nin üzerinde ev ve iş yerinde aramalar gerçekleştirildi. Şebekenin kendine özgü çalışma biçimi aşağıdaki gibi özetlenebilir;

  • Şirket ağlarına sızıp şirketlerin müşterileri ile iletişimlerini izleniyor
  • Müşterilerle ödemelerin nasıl yapıldığı tespit ediliyor
  • Ödeme yapması gereken müşteriye ödemenin yapılacağı banka hesaplarının değiştiği bildiriliyor

Şebekenin bu basit yöntemle 6 milyon Euro’dan fazla para çaldığı ve paraların Kamerun ve Nijerya gibi Afrika ülkelerinde aklandığı belirtiliyor.

daha fazla yazı

Yazar Hakkında

Alper Başaran
Alper Başaran

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.