Yeni Hack Düzeni : Exploit Kitler

Yeni Hack Düzeni : Exploit Kitler

Bugün exploit kitler ciddi bir siber tehdit ürünüdür, dünya çapında gelişen zararlı enfeksiyonların büyük bölümünden sorumlu oldukları tahmin edilmektedir. Kamu veya yeraltı kuruluşları yoluyla şuanda dağıtılan exploit kitler, tecrübeli “siyah şapkalı” hackerlara nazaran deneyimsiz siber korsanlar adına kitlelere geniş bir yelpaze içinde hitap etmektedir. Belki de tanıdığınız ve bildiğiniz birinin varlığının popüler olması exploit kitler tarafından sağlanmıştır, Blackhole gibi ya da gerçekten oldu ama genel olarak exploit kit ile ne yapılacağını bilmiyorlar. Bu konuda okuyucular için geçmişten günümüze kadar olan exploit kitleri ele aldık.

Exploit Kit Nedir? Nasıl Çalışır? Neden Tercih Edilir?

Exploit kitleri, kötü amaçlı yazılımları yaymak amacıyla üretilmiş olan yazılım uygulamalarını bulunduran ve güvenlik açıklarını istismar etmek için kullanılan bir araç setidir. Bu kitler önceden yazılmış kod hataları ve hedef kullanıcıların bilgisayarlarında bulunan güvensiz ya da güncel olmayan uygulamalarla birlikte gelir. Exploit kitler, kullanıldığı kişi tarafından gerçekleşme sürecinde farklılıklar göstereceği gibi genel olarak aşağıdaki gibi işleyiş gösterir:

  • Kurban, siber suçlular tarafından hacklenmiş bir siteyi ziyaret eder.
  • Kurban, çeşitli ara sunucular üzerinden yönlendirilebilir.
  • Kurban, exploit kit ürünlerini barındıran sahte bir sunucuya giriş yapabilir.
  • Exploit kiti kurban hakkındaki açıkları saptar ve ortaya çıkanları belirler.
  • Açık teslim edilir.
  • Eğer exploit kullanımı başarılı olursa, kötü amaçlı bir kod (özel kötü amaçlı yazılım programı) kurbanın bilgisayarına indirilir ve çalıştırılır.

Kodu içeren son adım elle yükleme işlemi olarak kabul gördüğü için kurbanın bilgisi veya onayı olmadan gerçekleştirilemez olarak sınıflandırılıyor. Sürücü yoluyla gerçekleştirilen bu tip saldırılar yıllardır genel olarak bir e-posta içindeki mesajı ya da açılır pencere yoluyla gelen bildiri yoluyla teslim edilen kötü amaçlı yazılımlar için Windows kullanılmıştır—bu saldırıların öngürülebilirlik açısından daha büyük bir anlamı vardır. Meşru siteleri ziyaret ederken bu kitlerle yaratılan açıkların çalıştırılabilir olmasından beri, kullanıcıların bir saldırıyla karşı karşıya olduğunu anlaması daha az olasıdır.

Exploit kitin kullanışlı olmasının bir temel nedeniyse bilişim ya da güvenlik uzmanı olmayan kişiler tarafından da rahatça kullanılabiliyor olmasıdır. Saldırgan kişinin, sistemler üzerinde nasıl manuel(elle) exploit yaratılabileceğini ya da tespit edilebileceğini bilmesi gerekmez. Dahası, bir exploit kit size bir saldırgan olarak web kullanıcı arayüzü sağlar ve izleyeceğiniz yolu seçmeniz de daha kullanışlı olur.

Bazı exploit kitler, sistemi uzaktan denetleyen kod yapısını kullanmak için exploit sisteminden yararlanır, saldırganlara internet üzerinde suça daha çok meyilli olmaları yolunda yardımcı olur ne yazık ki.

Gerçek Yüzü ve Kökeni

Yazılım açıkları yeni bir kavram değildir ve malware(zararlı yazılım) yaymak için yıllardır kullanılmaktadır. Bu eğilim arttıkça, sadece bu konuda başlangıç paketleri satışı bile siber suçlular tarafından yapılıp sunulması için mantıklı görünmektedir.

Kaspersky Laboratuvarları, MPack’in kamuya sunulan ilk kitlere sahip olduğunu belirtmiştir. Rus programcıları tarafından en geç 2006’da piyasaya sürüldü. Bugünki exploit kitleri gibi, bu kit yaygın olarak kullanılan programlarda güvenlik açıkları hedeflenen PHP scriptleri tarafından bir koleksiyon haline geldi. (Apple Quicktime ya da Mozilla Firefox gibi) Kit reklam halinde yayınlandıktan kısa süre sonra 10.000 web sitesi üzerinde tespit edildi.  

Mpack Exploit Kiti

Günümüze kadar hızlı ilerleyen, exploit kitler daha güçlü hale geldiler ve ilerlemeye devam ediyorlar. Bugün üretilen exploit kitler yazılımcı tarafından paketlenmiş halde geliyor ve açıkların nasıl çalıştığını öğrenmenizi şart olarak istemiyor.(yani herhangi bir bilgi sahibi olmanız gerekmez) Ek olarak, en bilindik exploit kitlerde lisanslı kullanıcı girişleri ve kurbanın aktif istatistiklerini görüntülemeye yarayan kullanıcı dostu bir web arayüzü mevcuttur. Bazı durumlarda, exploit kitlerde bile geliştiricinin satın alınan destek süresi dahilinde bugünki ortalama ticari yazılımlar gibi güncelleme desteği bulunmaktadır. Bu tip ek özellikler hack bilgisi düşük olan ya da hiç olmayan kullanıcılara geniş bir imkan sağladığı için satın alma yolunu cazip kılmaktadır.

İstatistik Sayfasına Giriş.

Bugün piyasaya sürülen exploit kitlerin çoğu Rusya ya da Çin gibi siber yeraltı suç dünyası gelişmekte olan ülkelerden gelmektedir. Son zamanlarda Solutionary Güvenlik Mühendislik Araştırma Ekibi (SERT) tarafından yapılan yeni bir araştırmaya göre, Q4 2012 yılında piyasaya sürülen exploit kitlerinin yaklaşık yüzde 70’i Rusya’dan geldiğini ve ikinci olarak Çin, üçüncü olaraksa Brezilya’nın bu sırayı takip ettiğini saptamıştır. %20 ile ilgili hala net bir bilgi mevcut değildir.

2012 Yılındaki SERT Q4 Raporu

Exploit Yazılımı

Çoğu kez, exploit yazılımı yapanlar çoğu zaman kullanıcının işini kolaylaştıran ve doğru sonucu veren bir program oluşturur. Çünkü; çok sayıda güvenlik açığını belleğinde bulunduran bir yazılım oluşturmayı hedeflerken, kısıtlamalar belli başlı programlar tarafından ele alınacak ve bu işlem gerçekleştirilirken bilinen açığı uygulamaya sokarak “ayrıcalık yükseltme” işlemini gerçekleştirmiş olacaktır. Yükseltilmiş (arttırılmış) ayrıcalıklarla kurbanın onay olmadan programları rastgele bilgisayara indirip çalıştırabilirsiniz.

Çalışan tüm kitlerin çoğuyla örtüşen exploitler mevcut, bazıları keşfedilmesine rağmen yıllar sonra bile çalışır halde olabiliyor. Aslında, bugünün exploit kitlerinin %60’ını hedef olarak baz alan güvenlik açıklarının iki yıldan eski olduğu tahmin edilmektedir. Bu açıklar hala birçok kullanıcının güncellemeleri devre dışı bırakarak kullanmıyor olması nedeniyle çalışır vaziyette bulunmaktadır. Kullanıcı ihmaline cevap olarak, birçok yazılım şirketi güncellemelerin engellenmesini iptal etmek için çalışmaktadır.

Bu iş için çalışma alanı da mevcut değil—sebebi bazı yazılımların diğerlerine göre daha çok açık içermesidir. Oracle Java ile birkaç Adobe ürünüyle birlikte sık sık yeni Ortak Güvenlik Açıkları ve İstismarlar (CVE) tanımlayıcılarıyla gündelik olarak kayıt altına almaktadır. Çünkü, bu kötü amaçlı yazılım enfeksiyon olasılığını arttır, kullanılmak için hedeflenen yazılım genellikle kurbanın bilgisayarında bulunuyor olması kuvvetle muhtemeldir. Örneğin, Mozilla Firefox ve Opera gibi internete girmek için sık sık kullanılan web tarayıcıları birçok kişi tarafından kullanıldığı için hedef haline geliyor. Internet Explorer gibi her sistemde kesinlikle bulunan internet tarayıcıları da ana sistemin bir parçası olması nedeniyle hedef haline gelmektedir.

Okuyuculara sadece birkaç yazılım ürünü hakkında bilgi vermek için Oracle bu ay sadece Java yazılımı üzerinde bulunan 50 güvenlik açığını anlatan bir yazılım ele aldı. (http://krebsonsecurity.com/2013/02/critical-java-update-fixes-50-security-holes/)

Sayısız güvenlik açığı nedeniyle,  Java gibi programların çoğu için açıklar mevcuttur ve bunların birçoğu exploit kitler içinde yer almaktadır. Ek olarak, birçok güvenlik açıkları da Adobe ürünlerinde bu yıl içinde şüphesiz yer almıştır.

 

Adobe’un yayınlanan açıklarının listesi.

Bu ürünleri kullanan bir tüketici olarak, bilgisayarınızda sizden habersiz birkaç güvenlik açığı mevcut olabilir:

Bu nedenle, önemli tehditlerin tespitini yakından takip eden ve güncel açıkları araştıran belirli programların kullanımının riske değer olup olmadığı önem taşımaktadır. Bazı durumlardaysa bir alternatif program açık olasılığını azaltmak için bulunmasına rağmen, risk hala çok büyük ve sürekli olabilir, eğer mümkünse kullanılan programları durdurmak açık yolları azaltmak için daha iyi olabilir.

Exploit Kit Anatomisi

Neredeyse her exploit kiti bir popüler sunucu tabanlı script dili olan PHP üzerine kurulmuş arayüzü bulundurmaktadır. Tipik bir kit, açıklar için sözlük görevi görecek, resimler ve belki de başka bir veri yapılandırması için. Başka bir sayfa da istatistik sayfası gibi davranarak, kurban hakkında coğrafi konum, sahip olduğu sistem ve içindeki  yüklü sürücü yazılımlarıyla ve dahası birçok işlemi yerine getirmesine yarayabilir. Bu veriler, savunmasız ve daha fazla kötü amaçlı yazılımı yaymak için kullanılan  ve görmek için en değerli bilgiler olabilir.

Crimepack Exploit Kit’inin İçeriği

Exploit kitinin en önemli kısımlarından biri açılış sayfasıdır. Bir açılış sayfası özel hazırlanmış bir web sayfası olabildiği gibi index.php gibi genel bir adda da olabilir. Açılış sayfası başlangıçta istenen ve açık bulma süreci için başlangıç noktası olarak kabul görüp hizmet vermektedir. Bu sayfa mağdur hakkında veri toplamak ve sunmak için, açık belirlemek için, bu verileri kullanmak için tasarlanmıştır ve aynı zamanda kandırma ve kodlama rutinlerinin, yanı sıra çeşitli diğer hizmetleri sağlamak için exploit kitin diğer sayfalarla etkileşimde olduğunu gösterir.

Exploit kitinin bir başka önemli bileşeni de kontrol panelidir. Bu sayfadan kullanılan açıkları ayarlayabilir ve bundan sonra da yürütülecek özel bir kötü amaçlı yazılım yükleyebilirsiniz. Bazı kitler sadece bir avuç açık kullanmak üzere yapılandırılmış ve biri başarılı oluncaya kadar denenmesi üzerine kurulmuş bir sisteme sahiptir. Aşağıdaki görüntü azılı Crimepack exploit kiti için bir kontrol paneli görüntüler:

Crimepack kitte mevcut açıklar

Ayrıca, exploit kit yazılımcıları serbestçe dağıtılan ürünleri önlemek istediklerinden beri, exploit kitleri kendisini bazen incelemek isteyenlere veya değiştirmeye çalışanlara karşı korumak için kodlanmıştır. Bunun için ve genel olarak tüm PHP sayfaları için ionCube encoder popüler bir araçtır. Aşağıdaki görüntüler normal biri ionCube ile kodlanmış bir PHP sayfası karşılaştırmaktadır; okunabilir olması için ilk yükleyici program tarafından çevirilmelidir.

Soldaki : Çözülmüş hal / Sağdaki : Normal hal

Normal bir yazılım uygulaması gibi, exploit kiti birkaç farklı parçadan oluşur. Daha gelişmiş kitlerde yazılım kütüphanelerin kullanımı, diğer dolambaçlı amaçların işlevselliğini genişletmek için kullanılabilir. Gelecekte exploit kitlerin ilerlemesi ve ek koruyucu özellikleri olarak şunlar bekleniyor, ionCube encoding gibi, tersine mühendislerin analiz yapmasını engelleme.

Bir Kit Edinme

Yasadışı doğası nedeniyle, exploit kitleri edinmek zor bir süreç olabilir. Bu kitlerin çoğu, yazar tarafından doğrudan lisanslı olarak yeraltında “siyah şapkalı” hacker forumlarında kullanılabilir. Bu forumlar genellikle popüler arama motorları olan Google gibi arama motorlarında mevcut değil ve bu yüzden önce biraz araştırma yapmadan bulmak zor olabilir.

Ancak, bu yeraltı topluluklarından birine rastlanmış olsa bile yine de iş bu kadar kolay sona ermiyor. Birçok organize suç gruplarıyla olduğu gibi, siyah şapklı hackerlar kendi özel alanlarına kolay erişim izni vermez. Bu forumlarda birçok sıkı kayıt şartları gerekir ve genellikle site içerisinden bir kişinin size kefil olması gerekmektedir.

Exploit kitlerinin genellikle satın alınıyor olması, kiralık olabileceklerini göstermez, yasal olarak ticari yazılım elde eder gibi, bu exploit kitler yazılımcılar için sürekli gelir kapısı teşkil etmeleri nedeniyle garanti süreleri anlaşmalarla belirlenen lisansları kapsamaktadır.

Bazı exploit kitler kamuoyuna açık kaynak kodlu olarak sızmıştır ve kolayca elde edilebilir. Aslında, bu kitler genellikle birkaç yıllıktır ve eskidir, bu nedenle daha az güvenilirdir. Bunları indirip kullanarak test etmek, size gerçek bir açık kullanımının nasıl gerçekleştiği yolunda bir fikir sahibi olmanız için yardımcı olabilir, ama yine de zararlı yazılım yaymak için bu exploit kitlerini kullanmayınız.

Exploit Kit Kullanımının Coğrafi Sınırları

Exploit kitler, belirli ülkelerde geliştirilen ve bu ülkelerde pazarlanan ürünlerdir. Bu nedenle, daha çok o bölgede yaşayan veya o dil üzerinde hakimiyeti olan saldırganlar tarafından kullanılır. Ancak exploit kitlerdeki “gizli güzellik” şudur; A ülkesinde geliştirilen, B ülkesine satılan ve E ülkesinde barındırılan sistemleri kullanarak D ülkesine saldırmak için C ülkesindeki şahıslar tarafından kullanılabilir. Sonuç olarak, sabit aktörler sadece saldırı sırasında gözlenebilen IP adresleri olarak durumu belirli bir ülkede gelişen zararlı aktivitelere bağlıyor olmasıdır.

Müşteriler ve Kurbanlar Arasındaki Rekabet

Exploit kit karşıdaki kodu çalıştırmak için kullanılan bir platform ve casus yazılım ya da malware tipinde bir arka kapı oluşturacak bot kullanabilir. Bu bağlamda, exploit kit yazılımcıları ve distribütörleri müşterileri için yarış halindedirler.

Exploit kitlerinin kullanım kolaylığı ve uygun fiyatlara sahip olması nedeniyle düşük teknik beceriye sahip insanları  dahi “hacker” olarak nitelendirir, bu durum ister kar, ister siyasal, isterse de başka nedenlerle olabilir. Exploit kitlerin kullanıcı dostu arayüzleri rekabette öne çıkan ve pazar ortamında satın alım tercihi için farklılık teşkil etme konusunda yardımcı bir etken olabilir.

Genel olarak, tüm şekilde ve boyutlarda gelişen nadir savaş ve suçları kontrol etmekten başka bir şey değildir. İnternet dünyası içinde de savaşlar görmek de şaşırtıcı bir konu değil. Saldırganların rakip için potansiyel hedefleri birden çok olmasına rağmen bulaştırmak için saldırganın yeni tehlike yöntemini sistem üzerinde tam kontrolle kullanmak istemesi son derece doğal bir olaydır. Eğer ana bilgisayara zaten bulaşmış ise, yeni saldırgan rakip bir oluşumun varlığını ortadan kaldırmak isteyecektir. Bu durum “Zirvenin Kralı” adında bir çocuk oyunu tarzı yansıtır, ama yine de daha ciddi sonuçlar taşımaktadır.

 

Sonuç ve Korunma

Exploit kitleri, özel kullanıcıların kurumsal ağlarından, tüm bilgisayar kullanıcılarına kadar ciddi bir tehdit oluşturmaktadır. E-posta kutunuzda spam mail olmanın aksine normal bir mailmiş gibi belirir ve genellikle, web sitelerini meşru olarak ziyaret ederken tetiklenir, ancak saldırıda konum olarak exploit kitleri tespit etmek daha zor olabilir.

Ne olursa olsun, aynı genel güvenlik kuralları çoğu için geçerlidir. Güvenli ve yazılımı başarılı bir tarayıcı kullanarak, bu kitler tarafında oluşturulan birçok açığı güncel kalarak önleyebilirsiniz. En son bölümünü tekrar vurgulayalım: yazılımı güncel tutmak. Varlığı eski olan açıkların birçoğu hala çalışıyor. Çünkü; yazılımlarda gerekli yamalar mevcut değil. Bilgisayar programlarındaki herkes için otomatik güncelleme özelliklerini kullanarak ve belli başlı güvenlik bloglarını kontrol etmeye devam ederek en son siber tehditlerden haberdar olur, böylece güvende kalırsınız.

Exploit Kit Saldırılarını Aşmak (Alternatif Yol)

Bazı exploit paketleri 0-day açıklarını hedef alsa da, exploitler için oluşturulmuş olan çok sayıda yama mevcuttur. Son kullanıcılar ve kuruluşlar masaüstü uygulamalar için oluşturulan güvenlik yamalarını çok yakından takip etmelidir. Ev ortamındaki son kullanıcılar, otomatik güncelleştirmelere izin verebilir ya da Secunia PSI gibi özel araçlar kullanabilirler. Şirket ortamındaki savunmasız sistemleri denetlemek için kullanılan otomatik araçlar, ilgili yamaları yüklerken veya yükledikten sonra yüklü olup olmayan yamaları denetlemek gereklidir. Bu işlem sayesinde, bireysel bir sistem etkilendiği zaman saldırı içeriği hızlıca tespit edilir ve böylece çevredeki diğer araçlar zarar görmemiş olur.

Devamı gelecek,bizi izlemeye devam edin ^^

Cyber Warrior Bug Researchers 😉

 

Son Yazılar
Bir cevap bırakın
Malazgirt Meydan Muharebesi kaç yılında yapıldı ?