Ransomware(Fidye) Yazılımları

Ülkemizde ve dünyada yaygın olarak görülen bir siber saldırı ransomware(fidye) saldırısından bahsetmek istiyorum bu yazımda. Bu yazımda içerik olarak aşağıdaki başlıkları işliyor olacağım.

1- Ransomware(Fidye) yazılımları nedir, ne yapar?

2- Ransomware yazılımları nasıl bulaşıyor?

3- Bu yazılımın türevleri?

4- Ransomware yazılımları için çözüm önerileri

5- Ransomware yazılımları neden bu kadar yaygınlaştı?

6- Sonuç

 

1- Ransomware(Fidye) yazılımları nedir, ne yapar?

Ransomware(Fidye) yazılımı olarak adlandırılan yazılımlar çalıştırıldıkları bilgisayarlardaki bazı dosyları şifreleyerek dosya sahibinin dosyaya erişimini engeller. Bu yazılımarın amacı ilgili dosyaları şifreleyerek erişimi engellemek ve kullanıcının dosyaya erişmek istemesi durumda kullanıcı dan para istemek.

İlgili kişi dosyalarını kurtarmak istiyorsa malesef parayı ödemekten başka çaresi yok, çünkü şifreleme methodu olarak kullanılan methodlar çok güçlü ve kırılabilmesi mümkün değil veya diğer bir deyişle yıllar sürüyor.

2- Ransomware yazılımları nasıl bulaşıyor?

Ransomware yazılımları genellikle kullanıcılara gönderilen mailler ile sistemlere bulaşıyor, kimse sisteme erişerek sistemde her hangi bir zararlı yazılım çalıştırmıyor(Yaygın olarak mail kullanılıyor, sisteme erişilerek bu yapılmaz anlamına gelmiyor). En büyük güvenlik riskinin insan hatası olduğunu ve insanın da kolay hata yapan bir canlı türü olması durumunu kullanıyorlar.

Genellikle sizin adınıza düzenlenmiş bir fatura maili geliyor ve fatura değeri oldukça yüksek, siz panik ile ekteki veya link olarak size gönderilmiş faturayı indirmeye çalışıyorsunuz ve zararlı yazılım sizin sisteminizde çalışıyor.

Örnek birkaç mail örneğine ait ekran görüntüsünü aşağıdaki gibi:

ransomware-spam1

Ransomware-spam2

 

 

 

 

 

 

 

 

 

 

 

Bu vb maillar geldiğinide açmamanız gerekir. Düzenli olarak şirket çalışanlarına sosyal mühendislik mühendislik saldırı senaryoları uygulanarak kullanıcıların bu konuda bilinçlenmesi sağlanmalıdır.

3- Bu yazılımın türevleri?

Bu yazılım ilk versiyonlarında sertifika yazılım ile birlikte gelmesi vb. gibi basit hatalar sonucunda dosyalar şifrelenebilse de kurtarmak mümkün oluyordu ancak bunu fark eden zararlı yazılım geliştiricileri zaman içerisinde zararlı yazılımı geliştirerek farklı methodlar kullanmaya başladılar. Başlıca ransomware yazılım isimleri şu şekiilde: Cryptolocker, Cryptowall, TeslaCrypt, AxCrypt, TeslaCrypt ve nicesi.

4- Ransomware yazılımları için çözüm önerileri

Ransomware yazılımları çalıştırıldıkları sistemlerde dosyaları şifreleyebilmesi için bazı yetkilere ihtiyaç duyar, bu yetkiler sistemde mevcut değilse ransomware yazılımları sistemdeki dosyaları şifreleyemez.

Bu konu ile ilgili olarak yapmanız gereken adımları işlem adımlarının anlatıldığı iki konuyu aşağıda sizlerle paylaşıyorum, bu konuları incelemenizi ve sistemlerinizde uygulamadıysanız uygulamanızı tavsiye ederim.

TeslaCrypt – Cryptowall – Cryptolocker Analiz ve Korunma

Software Restriction Policy

Fidye Yazılımlarına Karşı Etkili Savunma Yöntemleri – Cryptolocker

 

5- Ransomware yazılımları neden bu kadar yaygınlaştı?

Ransomware benzeri uygulamalar geliştirmek basit bir scriipt yazmak kadar kolay değil ancak ransomware yazılımları çok yaygın ve bazı adreslere gün içerisinde birden fazla zararlı yazılım içeren mail geliyor. Nasıl oluyorda bu işler bu duruma geliyoru merak ettim ve araştırdım.

Ransomware yazılımlarını dağıtmak artık deep web de ticari bir faaliyet haline gelmiş, iş ortakları aranıyor vs.

Onlarca ransomware kit ilanı gördüm, fiyatı 1000 ile 4000 $ civarında ancak TOX benim çok daha fazla dikkatimi çekti, sebebi ise ücretsiz olarak zararlı yazılımı alabiliyor olmanızdı.

TOX’un web sayasında size özel ransomware yazılımı oluşturulabiliyor, oluşturduğunuz zararllı yazılımı istediğiniz sistemlere bulaştırabiliyorsunuz.  Ransomware yazılımını bulaştırdığınız sistemin sahibi dosyalarını kurtarmak için para ödemeyi kabul ederse TOX’un bitcoin hesabına ödeme yapıyor, TOX’da ödenen paranın %70 ni sizin bitcoin hesabına gönderiyor. Buradan da anlayabileceğini gibi henüz 13-15 yaşında facebook kullanmaktan bir adım öte bilgisayar kullanmayı bilen bir genç bile bu tip atakları yapabilir ve ciddi gelirler elde edebilir. Bu nedenle ransomware uygulamaları hızla yayıllıyor.

 

6- Sonuç

Kullanıcılar sosyal mühendilslik saldırılarına karşı eğitilmeli,

Sistemler de dosya şifreleyeme karşı önlemler alınmalı,

Anti spam gateway sistemleri güzenli olarak güncellenmeli ve sıkılaştırılmalı,

Web gateway cihazları düzenli olarak güncellenmeli ve sıkılaştırıllmalı,

 

Share Button

VoIP Sistemlerde Görülen 10 Güvenik Zafiyeti

Bu içerik sadece konu başlıklarını içermekte olup, konu hakkında bilgi sahibi olmayan kişilerin giriş seviyesinde bilgi edinmmesini sağlamak amacı ile hazırlanmıştır.

1- VoIP trafiğinin direkt olarak internete çıkması
VoIP trafiği dinlenerek telefon görüşmeleri dinlenebilir, bu nedenle VoIP trafiği VPN ile şifrelenerek iletilmelidir.

2- Gateway de VoIP için güvenlik limitlerinin belirlenmesi
Özellikle yeni nesil IPS/IDS ve Firewall cihazları VoIP trafiğini tanıyabilmekte, bu tip bir cihaza sahipseniz bu cihazların VoIP için ihtiyaç duyulan limitlemeleri set edilmelidir.

3- VoIP cihazlarına ait güncellemeler
Telefon, gateway cihazları ve TFTP server gibi birçok bileşenden oluşan VoIP ağında çalışan tüm cihazların güncelleeleri düzenli olarak kontrol edilmelidir.

4- Network güvenliği
VoIP sistemlerin bulunduğu ağ yeterince güvenli olmaması durumunda VoIP sistemleri ne kadar güvenli olursa olsun güvenlik riski yüksektir.

5- VoIP sistemlerin çalıştığı işletim sistemlerinin güncellenmesi
VoIP sistemleri manage eden yazılımlar linux, windows gibi işletim sistemleri üzerinde çalışırlar. Bu sistemmlerde oluşacak bir zafiyet VoIP sistemlerinde etkilenmesi anlamına gelir.
VoIP sistemler ile çalışan işletim sistemleri düzenli ve sık aralıklarla güncellenmelidir.

6- DDos atakları
VoIP sistemler de kullanımayan servislerin kapatılması ve kullanılan servislere erişimin sadece ilgili kişilerin erişimine izin verecek şekilde sınırlanması önerilir.
Aksi taktirde tcp ve udp paketleri ile yapılacak istekler sonucunda sistemin işleyişi bozulabilir.

7- VoIP görüşmelerin dinlenmesi
VOMIT ve SipTap gibi araçlar ile VoIP trafiğini dinleyebilmek mümkün, bu nedenle VoIP datası şifrelenmelidir.

8- Spam over IP Telephony (SPIT)
Gerçek olmayan spam telefon aramları, ses kayıtları olarak adlandırabiliriz. Düzenli güncelleme ve VoIP servisini tanıyan firewall cihazlarında alınacak önlemler ile korunabilinir.

9- Basit şifre kullanımı
Kullanılan basit şifreler sayesinde saldırganlar istedikleri sistem ve servislere erişerek VoIP trafiğini istediği gibi yönetebilmektedir. Güçlü şifre politikaları ile sistem korunabilir.

10- Wireless telefonlar
Teknolojinin gelişmesi ile birlikte VoIP cihazlarıda wireleess ağında çalışabili duruma geldi, wireless ağındaki her hangi bir güvenlik zafiyeti VoIP trafiğinide tehdit etmektedir.
Güvenliğiniz için güçlü parola, düzenli şifre değişliği ve 802.1x gibi güvenlik önlemleri ile korunabilirsiniz.

Share Button

Biri Sizi İzliyor Olabilir (Cansusluk Uygulaması)

Günümüzde birilerini izlemenin, attığı her adımından haberdar olmanın ne kadar basit olduğunu göstermek amacı  ile bu içeriği hazırlıyorum, umarım kullanıcıları bilinçlendirme anlamında faydalı olur.

Bu içerikte kısaca bir cansusluk uygulamasının ne kadar gelişmiş özelliklere sahp olduğundan ve bu özellikleri ne kadar düşük maliyetlere kullanabileceğinizden bahsedeceğim, cansusluk uygulamasının reklamını yapmış olmamak adına uyugulama isminden bahsetmeyeceğim.

Spy-Phone

 

 

 

 

 

 

 

 

Öncelikle fıyatlar,

İstediğiniz her hangi birisinin telefonunda neler olup bittiğini her an izlemek isterseniz bunun maliyeti yıllık 99 $

Bana sadece telefon yetmez üstüne birde bilgisayar derseniz o zaman maliyet yıllık 300 $

 

Peki ben yıllık 99 veya 300 $ ödeyeceğim peki karşılığında ne öğreneceğim derseniz, kısaca onda da göz atabiliriz, kısaca diyorum çünkü listenin sonu yok 🙂

Telefonda daki tüm kayıtlı kişilere ait bilgillere, mesaj içerikleri ve arama geçmişi bilgilerine, Viber, Skype, iMessage, LINE, SnapChat WhatsApp ve instagram içeriklerine, Video ve Resimlere, GPS den alınan lokasyon bilgisine, browser dan ziyaret ettiği tüm internet sitesi içeriklerine, bağlanılan wifi bilgisine(şifresi dahil), keylogger özelliği ile girilen içeriklei tespit edebilir ve erişebilirsiniz.

İsterseniz kullanıcının girmesini istemediğiniz internet sitelerini engelleyebiliyorsunuz.

 

Özet:

Gördüğünüz gibi çok düşük ücretler ile bu tip uygulamalar satın alınabiliyor ve kullanıcının tüm aktiviteleri izlenebiliyor, ufacık hatalar sizlerin de bu tip sorunları yaşamanıza ve çok önemli bilgilerinizin ele geçirilmesine neden olabilir. Bu nedenle telefonunuza indirdiğiniz ve kurduğunuz uygulamalara özen gösterin.

Güvenli günler.

Share Button

TOR Ağını Kullanarak Nmap Taraması Gerçekleştirmek

Bu yazımda sizlere TOR ağını kullaranak nasıl port taraması gerçekleştirilebileceğinden bahsetmek istiyorum.

Bu yazının asıl amacı TOR kullanarak nasıl port taraması gerçekleştirilebiliri öğretmekten çok size gelen her isteğin aslında gerçek hedeften gelmediğini anlatmak ve bir üst boyuttan konuya bakış açısı kazandırmak.

TOR kullanarak port taraması gerçekleştirmek için ihtiyacımız olan uygulamaların isimleri şu şekilde,

  • Tor
  • nmap
  • proxychains

1- Eksik paketlerin kurulumu:

Ben işletim sistemi olarak Kali kullanıyorum bu nedenle Nmap ve Proxychains uygulamaları ön tanımlı olarak kurulu geliyor, sadece Tor kurmam gerekiyor, tor kurulumu için ihtiycımız olan komut aşağıdaki gibidir,

# apt-get install tor

2- Tor servisinin başlatılması:

Tor üzerinden tarama gerçekleştirebilmek için TOR servisinin çalışıyor olması gerekir, aşağıdaki komut ile tor servisi başlatılabilir,

# service tor start

3- Proxychains uygulaması TOR network’ünü kullanacak şekilde yapılandırılır,

# vi /etc/proxychains.conf

Proxychains uygulamasının konfgürasyon dosyasının en alt satırındaki

socks4  127.0.0.1 9050 değeri socks5  127.0.0.1 9050 ile değiştirilir.

# vi /etc/proxychains.conf

4- TOR kullanılarak Nmap taraması,

Tor uygulamasını kurduk ve servisi çalışır konuma getirdik, proxychains deki ayarları da tamamlayarak TOR üzerinden çıkmasını sağladık. Şimdiki adım da  ise proxychain kullanarak isteklerin TOR ağı üzerinden çıkmasını sağlamak.

# proxychains nmap -p 1-65535 -T4 -A -v -Pn 8.8.8.8

Komutun başına getirilen proxychains ile bağlantılar TOR üzerinden çıkartılabilir,

Yukarıdaki işlem adımları ile TOR networkünü kulanarak port taraması gerçekleştireilirsiniz, sistemin sağlıklı olarak çalıştığından emin olmak için size ait farklı bir network deki IP adresini nmap ile proxchain kullanarak ve kullanmayarak tarayın, tarama gerçekleştirdiğiniz sunucuda da tcpdump vb. ile gelen paketleri dinleyin, normal tarama ile proxychain taramamsı sonucunda farklı IP adresleri görüntüleyebiliyorsunuz TOR ile nmap işlemini başarı ile gerçekleştirebilmişsiniz demektir.

Share Button

Nessus Tarama Sonucunu Excel’e Dönüştürme

Bu yazımda sizlere Nessus dan export etmiş olduğumuz .nessus uzantılı tarama sonucunu nasıl excel’e dönüştürebileceğimizden bahsedecim.

Nessus tarama sonucunu excel’e dönüştürme işlem adımlarına geçmeden önce kısaca neden böyle bir işleme ihityaç duyduğumuzdan bahsetmek istiyorum, zaman zaman pentest yaptığımız müşteriler tarama sonuçlarını rapor olarak almanın yanında excel olarakta görmek isteyebiliyor veya pentest esnasında zafiyet listesinden exploit edilebilen ve metasploit de exploiti bulunan zafiyetlerin listesine ihtiyaç duyulabiliyor, bunu nessus üzerinden yapabilmek mümkün değil, bu nedenle nessus çıktısını excel’e dökmek ve excel üzerinden incelemeye ihtiyaç duyuyoruz.

Nessus tarama sonucunu excel’e dönüştürmek için Tenable çalışanlarından “Cody Dumont” tarafından perl ile geliştirilmiş olan “parse_nessus_xml.v21.pl” uygulamasını kullanmayı tercih ediyorum.

Uygulamayı kullanmadan önce kurmamız gereken bazı perl kütüphaneleri mevcut, bu kütüphaneleri aşağıdaki gibi kurabliriz;

# cpan strict
# cpan XML::TreePP
# cpan Data::Dumper
# cpan Math::Round
# cpan Excel::Writer::XLSX
# cpan Data::Table
# cpan Excel::Writer::XLSX::Chart
# cpan Getopt::Std

Yukarıda belirtmiş olduğum kütüphane kurulumları tamalandığında perl scriptini kullanmaya başlayabiliriz, scriptin kullanımı şu şekilde,

# perl parse_nessus_xml.v21.pl -f AllScanResult.nessus

NessusParser1

 

 

 

 

 

 

 

 

 

 

 

Perl scriptini çalıştırdığınızda her hangi bir sorun ile karşılaşmamanız durumunda aşağıdaki gibi bir bilgilendirme ile ilgili excel dosyasının nerede ve hangi isim ile kaydedildiğini görebilirisiniz,

The Data is stored in ./nessus_report_20151018035545.xlsx

Excel dosyasının görüntüsüde aşağıdaki gibidir, excel içerisinde zafiyet seviyeleri, IP adres veya zafiyet bazlı filitrelemeler vb. yapılabilmekte.

NessusParserExcel

 

 

 

 

 

 

 

 

Kaynak:

https://secure.bluehost.com/~melcarac/archives/232

Share Button