Kategori arşivi: Güvenlik Dünyasından Kısa Kısa

‘Apache Katili’ için çözüm bulundu

Bir Cevap Yazın

Eğer güncel olarak sayfamızı takip ediyorsanız, son zamanlarda Anonymous ile gündeme gelen DoS saldırıları konusuna çok da yabancı değilsinizdir. Bu tip bir saldırı belirli sistem ve sunucuları hedefler; kullanıcıların bilgi ve servislere ulaşmalarına engel olmak için bu sunucu ve sistemleri bilgiyle, istekle doldurur.

Trend Micro uzmanları son dönemde standart DoS saldırı metotlarından farklı bir DoS saldırısı gözlemlediler. Daha önce de yazdığımız gibi DoS saldırıları hedeflenen siteyi trafik akınına uğratarak gerçekleşiyor (SYN flooding, UDP flooding, ICMP flooding). Yeni tespit edilen saldırıyı farklılaştıran ise çok yoğun trafik kullanımına ihtiyaç duymaması. Bu saldırıda saldırganların yapması gereken tek şey, siteyi ulaşılamaz hale getiren özel bir HTTP isteği göndermek.

Bu saldırı türüyle ilgili yapılan daha ayrıntılı bir incelemede; Apache HTTP sunucusunun bir versiyonunda, saldırganların küçük HTTP isteği göndererek DoS saldırı gerçekleştirmelerine izin verdiği tespit edildi.

Bu açığı kullanan tipik bir saldırı senaryosunda, çoklu range:bytes header’la Apache yazılım kullanan bir sunucuya HTTP isteği gönderiliyor. Sunucu bu isteği bir kere aldığında, ustalıkla hazırlanmış range:bytes HTTP header parçalarından oluşan kümeler yaratıyor ve kümeler topluluğu oluşturuyor. Böylece yükseltilmiş hafıza tüketimine; dolayısıyla DoS’a neden olunuyor.

Apache ortaya çıkan açıkla ilgili bir yama yayımladı. Trend Micro da Apache sunucu kullanan web yöneticilerine yamayı uygulamalarını öneriyor. BT bölümlerinin güvenlik açığı için yama yönetimi zorlu bir deneyim olabiliyor. Bununla birlikte yeni yama devreye girmese dahi Trend Micro Deep Security, sistemdeki açıkları kovalıyor ve kalkan görevi görüyor. Bir an önce açığı gidermek için harekete geçin.

Morto virüsü sistemlere uzaktan erişilmesini sağlıyor

Bir Cevap Yazın

Trend Micro uzmanları, özellikle Asya-Pasifik bölgesinde sürekli yayılmak için uzaktan masaüstü protokolü (RDP) kullanan kötücül yazılımlarla ilgili virüs raporları aldıklarını açıkladı.

WORM_MORTO.SMA olarak saptanan solucan, Windows dosyasına bir DLL dosyası da dahil olmak üzere sisteme bileşenlerini yerleştiriyor. Clb.dll isimli bu DLL dosyası için bir yükleyici gibi davranıyor ve Windows dosyasına kendi clb.dll dosyasını yerleştirerek Windows’un dosyaları bulması sağlanıyor. Gerçek clb.dll dosyalarıyla Windows, sistemden önce Windows dosyalarını yükler. Kötücül yazılımın .DLL dosyaları ise regedit.exe devreye girdiği zaman yükleniyor.

WORM_MORTO.SM yüklendiğinde, kötücül yazılımın bileşenlerini içeren bir dosyayı açıyor. Etkilenmiş olan sistemle bütünleşen Uzak Masaüstü Sunucuları’nı arıyor ve daha önceden belirlenmiş şifreleri kullanarak bir yönetici (admin) gibi giriş yapmaya kalkışıyor. Bir kere başarılı bir bağlantı kurduğu anda, sistemde geçici bir yerde WORM_MORTO.SM kopyasını bırakıyor.

Şunu unutmamak gerekiyor ki, siber suçlular sisteme RDP aracılığıyla bağlandığı zaman dosya bırakmak yaptıkları tek iş olmuyor. Bu yapı kullanıcının tüm sisteme uzaktan erişimi için tasarlanmış durumda. Böylece siber suçlu sisteme girebiliyor.

Karl Dominguez, bu saldırı sayesinde kötücül yazılım admin hesabını kullandığı için saldırganın etkilenmiş olan sistem ve tüm ağ üzerinde tam kontrol sağladığını belirtiyor. Bu noktada sistemde, bilgi hırsızlığı dahil herhangi bir etkinlik yapılabiliyor. Özellikle kötücül yazılım sunuculara sızmışsa.

Trend Micro kullanıcıları, WORM_MORTO.SMA ve WORM_MORTO.SM olarak saptanan dosyalarda olduğu gibi, bu tehdide karşı da koruma altındalar. Buna ek olarak bu kötücül yazılımın sunuculara erişmek için kullandığı linkler de engellenmiş durumda.

Trend Micro uzmanları bu ve bunun gibi tehditlerden korunmak için kullanıcılara bulunması zor, güçlü şifreler kullanmalarını ve güvenlik duvarlarını (firewall) devreye almalarını öneriyor. Ağ adminlerine ise kullanıcılara Uzaktan Masaüstü Bağlantısı (Remote Deskto Connection) kullanımı için izin vermeden önce güvenli VPN bağlantısını zorunlu tutmaları tavsiye ediliyor.

Sosyal medyada karşımıza çıkan tehditler neler?

Bir Cevap Yazın

Sosyal medyadaki tehditlerden konuşurken son dönemde karşımıza sıkça KOOBFACE geliyor. Kendine sosyal medya dışında dosya paylaşım sitelerinde de yer etmeye başlayan bu kötücül yazılım, en sık kullandığımız mecralarda karşımıza çıkıyor.

 

Sosyal medyadaki tehditler sadece KOOBFACE ile sınırlı değil ne yazık ki. Sosyal medya sitelerindeki her bir özellik yeni bir tehdidin kapısını aralıyor. Arkadaştan gelen bir duvar yazısı, paylaşılan bir video ya da gelen anında mesajlar potansiyel saldırı tehdidi oluşturuyor.

Sosyal medyadaki çeşitli özellik insanların daha etkin ve anlamlı paylaşımlarda bulunmasına yardımcı olurken siber suçlular için de yeni yollar ortaya çıkarıyor. Özellikle dev bir ağa dönüşen Facebook’taki kullanıcı duvarları en riskli alanlar olarak göze çarpıyor. Daha önce de Usame Bin Ladin, Amy Winehouse gibi dünyayı sarsan ölümleri kullanan saldırganlar hiç yoktan Lady Gaga’nın öldüğüne dair haber videolarını saldırı amaçlı kullanıyor.

Trend Micro’nun sizler için hazırladığı infografik göz atmanızı tavsiye ederiz. (Grafiğin daha büyük hali için http://blog.trendmicro.com/the-geography-of-social-media-threats adresini kullanabilirsiniz.) İngilizce olan infografikten satırbaşlarıysa şöyle:

Özel Mesajlar: Suçlular genelde kullanıcıların arkadaşlarını taklit ederek kişiselleştirilmiş mesajlar gönderiyor. Bu mesajlarda yer alan bağlantıların tıklanması isteniyor.

Kullanıcı Duvarı: Genelde ilginç bir fotoğraf, ani gelişen bir haber, daha önce görülmediği iddia edilen bir video, “profilinizi kim ziyaret etmiş?” gibi sahte uygulamalar, güvenlik riskleriyle ilgili sahte bildirimler ve ünlü dedikoduları gibi ilgi çekici konularla kullanıcılar kandırılmaya çalışılıyor.

Kötü Arkadaşlar: KOOBFACE gibi kötücül yazılımlar sahte hesaplar yaratıyor ve otomatik olarak kullanıcının arkadaş listesindeki insanları ekliyor.

Uygulamalar: Bazı uygulamalar gerektiğinden fazla özel bilgilere ulaşmaya çalışıyor.

Kısaltılmış Bağlantılar: Twitter gibi sosyal ağlarda sıkça görülen kısaltılmış bağlantılarda istenmeyen web siteleri gizlenmiş olabiliyor.

Etkinlikler: Saldırganlar seçtikleri kişilere etkinlik daveti gönderiyor. Bu kişiler davete cevap vermese de aynı davet listesindeki tüm kişilere ulaşıyor.

Sohbet: Burada da kısaltılmış bağlantılarla özel mesajlar arkadaştan geliyormuş gibi kullanıcıları buluyor.

 

Sosyal ağlarda en fazla paylaşılan kişisel bilgiler

1)      E-posta adresleri

2)      Yaşanılan yerin adresi

3)      Mezun olunan okul

 

Facebook’ta en fazla karşılaşılan saldırılar

1)      Kullanıcıların herhangi bir şeye tıkladığında o web siteyi beğenmiş gibi duvarlarında zararlı sitenin paylaşılması

2)      Saldırgan uygulamalar

3)      İstenmeyen mesaj kampanyaları

 

Sosyal medyada kullanıcıları en fazla risk altına sokan tehditler

1)      Kötücül yazılım bulaşması

2)      Veri sızıntısı

3)      İstemeden saldırılara iştirak etmek