Halil ÖZTÜRKCİ Microsoft MVP CISSP, CISA, CEH, CHFI, CCNP ADEO Bilişim Danışmanlık Hizmetleri

Transkript

1 Halil ÖZTÜRKCİ Microsoft MVP CISSP, CISA, CEH, CHFI, CCNP ADEO Bilişim Danışmanlık Hizmetleri

2 The Threat Ecosystem Underground Sunucular ve Bu Sunucular Üzerindeki İllegal Aktiviteler Zararlı Kodlar Zararlı Kod Analiz ve Temizleme Yöntemleri Bir Saldırının Anatomisi (Tüm Bileşenleriyle Bir Saldırının Adımları)- Demo

3 Microsoft Security Intelligence Report (July through December 2007) Symantec Report on the Underground Economy (July 07 June 08)

4

5

6

7

8

9 Underground Economy

10 Online dünyadaki illegal aktivitelere ilişkin detaylı bilgiler içerir. Bunlar; Online dünyada ün salmış illegal gruplar İllegal olarak sunulan servisler ve ürünler Bu aktivitelerin hangi sunucular üzerinden nasıl gerçekleştiği gibi bilgilerdir. 1 Temmuz Haziran 2009 arasında toplanan veriler ışığında oluşturulmuştur.

11 Forum siteleri IRC kanallar

12

13

14 CC (Credit Card) : Kredi Kartı Cvv/CVV2: Card Verification Value 2 (CVV2), kredi kartı üzerinde yer alan 3 veya 4 rakamdan oluşan bir sayıdır ve kredi kartının fiziksel olarak ibraz edilmediği alışverişlerde kullanılır (örneğin internet üzerinden alışverişte yada telefonla alışverişte.) Dump: dump veya full stripe olarak adlandırılan bu terim kredi kartı üzerindeki manyetik şerit üzerinde tutulan bilgileri ifade eder. Bu manyetik şerit üzerinde Track1 ve Track2 olmak üzere iki iz yer alır. Kart sahibinin ismi sadece Track1'de yer alır. Track 1, 2 Track 1 de: KARTNOSU^SOYISIM/ISIM^CVV KODU + SON KULLANM.T. + KART IMZASI Track 2 de: KARTNOSU=CVV KODU+SON KULLANM.T.+KART IMZASI)

15 Fresh: Fresh ele geçirilen bilginin yada satılan bilginin yeni olduğunu ve henüz iptal edilmediğini ifade eder. Payment Options :Undergroud da illegal ürün yada servis alımlarında tercih edilen ödeme sistemleri MG (MoneyGram): 180 ülke ve bölgede yer alan yerel aracıdan oluşan bir ağ. Türkiye de MoneyGram hizmetlerini, Yapi Kredi ve Kuveyt Türk Evkaf Bankası sunuyor. LR (Liberty Reserve) : Kostarika da faaliyet gösterine bir offshore şirket. Sunduğu hizmetler arasında Amerika dolarına, Euro ya ve altının onsuna endeksli elektronik para hizmetleri bulunuyor. WU (Western Union):Western Union dünya çapında yaklaşık 200 ülkede ' i aşan acenta ağı para transferi sağlayan Amerikan kökenli bir şirkettir. Bir kerede 1$' dan $ ve karşılığı Euro ya kadar belge ibrazına gerek olmaksızın gönderim yapılabiliyor. E-gold : E-gold Amerika'da hizmet veren Gold & Silver Reserve Inc. firmasının hizmetidir ve bu hizmet sayesinde sistem kullanıcıları arasında dijital altın paralar el değiştirebiliyor. WebMoney (WMZ/WME ) : 4.5 milyon'dan fazla kullanıcısı bir elektronik para ve online ödeme sistemidir. Bu sistemdeki her bir hesabın farklı birimlerde karşılığı vardır, örneğin altın karşılığı olan hesaplar WMG, dolar karşılığ olan hesaplar WMZ, Euro karşılığı olan hesaplar WME olarak bilinirler. Bu sistemde de diğer elektronik para sistemlerinde olduğu gibi bir kere para hesaba transfer edildimi herne sebeple olursa olsun geri ödemesi yapılmaz.

16 Ripper: Ripper undergroud ekonomi sunucularında sahte işlemler yapan (örneğin sattığı illegal ürünleri teslim etmeyen yada geçersiz bilgiler (geçersiz yada sahte kredi kartı bilgisi) satan) kişilere verilen isim. Undergroud ekonomi kendi içinde bu tarz insanları raporlayacak va başka kişilerin bu insanlarla alışveriş yapmamasını öneren bir mekanizmaya sahip. Scam Page : Sahte siteler Skimmed Dump: Kredi kartı kopyalama cihazları ile kopyalanmış kart bilgisi.

17 Cash Out:Cash Out olarak adlandırılan işlem, çalınan banka hesabı bilgileri yada kredi kartı bilgilerinden gerçek para elde etme işlemidir. Underground sunucularda ellerinde çalıntı banka hesabı bulunan kişiler cach out hizmeti veren kişiler ile belirli bir komisyon karşılığında (genelde cash'e dönüştürülen paranın belirli bir yüzdesi oranında) anlaşıp ellerindeki bilgileri gerçek paraya dönüştürürler. Shopadmin : Underground sunucularda online alışveriş sitelerine yönetici erişimlerini ifade etmek için kullanılır. Bu tür online alışveriş sitelerine yönetici erişimi sağlayan açıklıklar da underground ekonomi sunucularda satılıyor. Drop/Dropper: Drop, çalıntı bilgiler ile alınan ürünlerin teslim edileceği ve izlenmesi pek mümkün olmayan yer(örneğin boş bir daire, yada bu ürünleri asıl hedef adresine yollayacak aradaki bir kişinin adresi) yada içi boşaltılan hesaplardaki paraların transfer edileceği başka bir hesap olarak bilinir. Undergroud sunucularda güvenli ve izlenemez bu tarz drop lokasyonları da belirli bir ücret karşılığında satılıyor.

18 18 ay süren bir uluslararası çapta bir operasyon. ShadowCrew, Carderplanet ve Darkprofit forumları kapatıldı ve forum yöneticileri tutuklandı.

19

20 Asıl adı, Çağatay Evyapan 5 yılda 500 milyon dolar vurgun yaptığı iddia ediliyor. Tuzladaki villasına yapılan baskında yakalandı. FBI tarafından da aranıyordu ve bir ABD bankasından 5 milyar dolarlık soygun yapma hazırlığında olduğu iddia ediliyordu.

21 200 milyon dolarlık bir çete First National Bank, Bank Oklahama, American Bank, Old National Bank başta olmak üzere Amerika, Avrupa ve Asyadaki bir çok banka müşterilerine ait yaklaşık hesap ele geçirilmiş FBI ın dünyadaki en iyi ikinci hacker olarak gösterdiği Ercan F. ortaokul mezunu Zanlılardan Ercan F.'nin, ABD bankalarından dolandırdığı paralarla, 500 bin dolarlık yat, Land Rover cip ve Rusya'da 300 bin dolarlık malikâne aldığı bildirildi. Ercan F., 11 Ocak 2008'de ağabeyi Engin F.'ye, "Yeni ev alalım ağabey. Başkasının oturduğu yere girmek istemiyorum" diyor. Ağabeyi de "Tamam bakalım kardeşim. Ama sen de artık beni Umre'ye gönderirsin değil mi?" diye soruyor. Ercan F. de "Yollayacağımı söyledim ya abi zaten" cevabını veriyor. Ercan F., çete üyesi arkadaşı Gökhan B. ile 27 Temmuz 2007'da yaptığı telefon konuşmasında bankaya yatırdığı parayı "manita" olarak adlandırdı. Ercan F., "Yeni manitalarla ilgili mail attım. Bankadan bugün içinde çek" dedi. Gökhan B. ise "Dolar zengini oldun lan. Bugün içinde çekerim manitaları" yanıtını verdi.

22 Credit card information: Kredi kartı numaraları, CVV2 ile birlikte kredi kartları, kredi kartlarına ilişkin dump lar. Financial accounts: Banka hesap bilgileri, kart kopyalama cihazları, online ödeme servisleri, elektronik para hesapları Spam and phishing information: adresleri, hesaplarına ilişkin şifreler, sahte siteler ve mail yollama programları ve servisleri Withdrawal services: Çalıntı hesaplardan yada kartlardan para çıkarmak için kullanılan servisler( örneğin cash out ve drop gibi) Identity theft: Bütün kimlik bilgileri, sosyal güvenlik numaraları, anne kızlık soyadı, adres ve telefon bilgileri Server accounts : Dosya trasnferi yada VPN bağlantısı için kullanılacak sunuculara ilişkin hesaplar. Compromised computers:ele geçirilmiş bilgisayarlar, bot bulaşmış istemciler ve shell yerleştirilmiş sunucular Website accounts :Özel sitelere erişim için kullanılan hesap bilgileri Malicious tools : Zararlı kodlar, Web tabanlı saldırı kitleri Retail accounts : Online alışveriş siteleri için hediye kupon bilgileri

23

24 Türkiye Bankalar Birliği nin Eylül 2008 de yayınladığı istatistiklere göre Türkiyede internet bankacılığı müşteri sayısı 10,951,231. Aktif internet bankacılığı kullanıcı sayısı

25 CVV2 numarası kartın üzerindeki manyetik şerit içinde tutulmaz ve bu bilginin hiç bir şekilde bir veritabanında yada başka bir yerde satıcılar tarafından tutulmasına izin verilmez. Bir çok online alışveriş sitesinde alışveriş yapmak için kredi kartına ilişkin CVV2 bilinmek zorundadır. Undergroud sunucularda kredi kartlarının CVV2'leri ile birlikte satıldığı ve bu bilgileri satan kişinin bu CVV2 bilgilerini bu bilgileri doğrulamak adına özel yazılmış yazılımlar ile elde ettiklerini iddaa ettiklerini görüyoruz. Bu yazılımlar brute-force tekniğini kullanarak kredi kartları üzerinden çok ufak tutarlı işlemler deneyerek doğru CVV2'yi bulmayı sağlıyorlar. Bu hizmet underground'da belirli bir ücret karşılığında satın da alınabiliyor. (her 1000 kredi kartı için CVV2 doğrulama ücreti toplamda 10$ gibi)

26 Saldırı Kitleri Spam ve Phishing Araçları Zararlı Kodlar Exploit ler

27 Saldırı kitleri diğer illegal aktivilere ortam hazırlayan, bu aktivitelrein çok daha kolay ve daha fazla kişiyi etkileyecek şekilde gerçekleştirilmesine imkan tanıyon uygulamalardır. Bu uygulamalar belli bir açığı kullanarak bir network üzerindeki bilgisayarların tamamını bir botnet üyesi yapmaya yarayan yazılımdan, başka sistemlere dağıtık servis dışı bırakma saldırısı yapılmasına imkan tanıyan DDoS araçlarına kadar uzanır. Autorooter: Bu yazılımların temel özellikleri bulundukları networkleri belirli zafiyetler için taramak ve sonrasında o zafiyetleri kullanıp bilgisayarları ele geçirmektir. Otomatik olarak herhangi bir kullanıcı etkileşimine gerke kalmadan işler yürütülür.

28 Underground ekonomi sunucularında bu kalem başlığı altında spam için kullanılan yazılımlar, spam mailleri relay edebilecek sunucular, sahte siteleri host etmek için kullanılacak hosting hizmeti yer alır. Scam sayfalar gerçek sitenin birebir taklitidir. Bu tür sahte sitelerin birçoğu yine gerçek sitedeki ilgili içeriğe link verilerek yapılır ve kullanıcının mümkün mertebe dikkatini çekmeyecek değişiklikler yapılır.

29 Malicious code: Zararlı kodlar, örneğin bankaları hedef alan Truva atları, arka kapılar, şifre çalıcılar Binders: Birleştirici (joiner) olarak da bilinirler ve birden fazla çalıştırılabilir dosyayı birleştirip tek bir çalıştırılabilir dosya yapmak için kullanılırlar. Bu sayede zararlı bir programcık zararsız bir programcık ile birleştirilip dikkat çekmeyecek şekilde dağıtılabilir. Packer: Oluşturulan zararlı kodun kod karıştırma teknikleri kullanılarak encode edilmesine imkan tanıyan yazılımlardır. Zararlı kodun özelliklerini bozmadan dosya boyutunu düşürmeye de imkan tanırlar. Bu sayede bu zararlı kodların network üzerinden transfer işlemi de daha kolay gerçekleşebilir. Kullanılan tekniklere bağlı olarak bir çalıştırılabilir dosyanın bir Packer ile paketlenmesi o dosyanın analiz işlemini de zorlaştırır. Uygun analiz için unpacking işleminin yapılması zorunludur.

30

31

32 Underground sunucu yaşam süreleri Undergroud sunucuların bulunduğu ülkeler

33

34 Virüsler İlk kötü niyetli yazılım türüdür. Var olan çalıştırılabilir kodlara çeşitli teknik yöntemlerle eklenir ve onların çalıştırılması ile hayata geçerler Solucanlar (Worms) Servis açıklıklarını kullanarak yayılma yeteneğine sahiptir. Herhangi bir kullanıcının aktivitesine muhtaç olmadan kendilerini çoğaltabilir ve ulaşılabilen bilgisayarlara yerleşebilirler Kötü Niyetli Mobil Yazılımlar Sunucudan tarayıcıya aktarılan ve tarayıcının açıklıklarını, uygulanan güvenlik kontrollerinin zayıflıklarını veya kullanıcı bilgisinin yetersizliğini kullanılarak zarar veren yazılımlardır Arka Kapılar (Backdoors) Yerleştikleri bilgisayarlarda saldırganlara normal güvenlik kontrollerine takılmadan erişim imkanı sağlarlar

35 Truva Atları (Trojan) Bu tür kötü niyetli yazılımlar işe yarayan ya da zararsız görünümlü bir programın içinde fark edilmeden bilgisayarınızda yerini alır Rootkit ler Temelde uygulamaların veya işletim sistemi çekirdeğinin dosya, proses ve ağ servisi sorgularına verdiği yanıtlarda kötü niyetli yazılımın varlığının ve aktivitelerinin gizlenmesini sağlar Casus Yazılımlar (Spyware) Tam anlamıyla ayrı bir sınıf olmasa da sıkça kullanılan bir terim olan casus yazılımlar bahsedilen yöntemleri kullanarak yerleştikleri bilgisayardaki bilgileri veya kullanıcısının aktivitelerini uzaktaki bir bilgisayara aktarır Çok Özellikli Kötü Niyetli Yazılımlar (Combo Malware) Şimdiye dek sayılan sınıfların 2 veya daha fazlasının özelliklerini taşıyan kötü niyetli yazılımlardır

36 İnternet'den indirilen ve içinde adware yada spyware bulunan uygulamalar vasıtasıyla İstemdışı açılan Pop-up yada banner mesajlarına tıklandığında İstemci tarafındaki zafiyetleri exploit ederek zararlı kodları yükleyen siteleri ziyaret ederek. Güncel olmayan işletim sistemleri ve bunların barındırdıkları açıkları kullanarak Herhangi bir antivirüs&firewall kullanılmıyordur ya da kullanılan yazılım güncel değildir

37

38 İzlenecek Adımlar Bilgisayarın ağ bağlantısını kesin Çalışan prosesleri listeleyin ve şüpheli gördüklerinizi tanımlayın Şüpheli proses'i sonlandırın Zararlı kodun bilgisayarın her açılışında yeniden çalışmasını sağlayacak startup registry değerlerini bulun ve silin. Zararlı dosyaları disk üzerinde bulun ve silin Bilgisayarı yeniden başlatın ve proses'leri gözleyin

39 Zararlı Proseslerin Özellikleri İcon'ları yoktur Açıklama ve şirket ismi kısımlarına herhangi birşey yazılmamıştır Microsoft tarafından sayısal olarak doğrulanmazlar Windows klasörünün yada System32 klasörünün altında yer alırlar Daha az yer tutmak ve reverse engineering işlemini zorlandırmak adına packer kullanırlar. İnternetdeki bazı adreslere bağlantı kurmaya çalışırlar Gerçek Windows dosyalarının isimlerini taklit ederler

40

41

42

43 Process Explorer (Sysinternals) Autoruns (Sysinternals) TcpView (Sysinternals) RootkitRevealer (Sysinternals) İnctrl5 (Ziff Davis Media, Inc.) Regshot

44 Tüm Bileşenleriyle Bir Saldırının Adımları- Demo

45 İLETİŞİM