Modern Web Saldırıları
// Eylül 1st, 2008 // No Comments » // BT-İnternet
Özet:
Bu doküman kurbanların karşılaşabileceği modern web saldırı tekniklerini içerir Örnek ataklar hackerların kullandıkları teknikleri resmetmek için kullanılmıştır. Saldırıya uğramış ve hasarlı sitelerin görevi birlikte hareket ederek bu saldırı tekniklerini güvenlik amacıyla kullanılabilecek hale getirmektir.
1.Ön Bilgi
Soracağımız birkaç soru, bir kısım malwarein başarısı hakkında bilgi edinmemizi sağlayabilir: Nasıl ve kim tarafından ortaya çıkarılırlar?, Nasıl çalışırlar?, Nasıl hızlıca yayılırlar? ve Nasıl saklanırlar? Bu sorulardan ilk ikisi –ortaya çıkış ve çalışma prensibi- bu tehtidin başarısında muhtemel en etkili faktörlerdir. Tarihsel olarak inceleme yaptığımızda en şöhretli kötü yazılımlar bu şöhretlerini ortaya çıkış yöntemlerine borçludurlar. Pek çok toplu e-posta gönderme virüsü ve solucanı çok hızlı üreme ve SMTP , altyapısını geniş çapta kullanabilme yetenekleri sayesinde büyük hasarlara yol açtılar. E-posta yollu tehditler halen internet kullanıcılarının başını ağrıtmaya devam ediyor, SMTP muntazaman toplu spam saldırıları için Trojanlar tarafından kullanılıyor. İlk yüksek-profil “dosyasız” Windows solucanı olan CodeRed , Microsoft IIS servisindeki bir açıktan yararlanıp aşırı derecede hızlı bir şekilde yayılarak büyük bir yıkıma neden oldu. SQLSlam hızlı yayılma işlemini yeni bir düzeye çekerek salgının (outbreak ) ilk birkaç dakikasında tahmini olarak 100.000-200.000 makinenin etkilenmesine yol açtı. SQLSlam çoğalması ile oluşan trafiğin etkileri, bir çok internet root nameserverın mahzun kesinti raporlarıyla birlikte geniş ölçüde hissedildi.
E-posta kaynaklı tehlikeler genellikle kötü içerikli eklentiye kurbanı yönlendirmek için sosyal mühendislik tatkiklerini kullanır. E-posta sunucuları peşin hükümle çalıştırılabilir içeriği zararlı olup olmadığına bakmaksızın engellemeye başlayınca zaman içerisinde dosyalar arşivlenerek, hatta bazı durumlarda şifrelenerek gönderilmeye başlandı .
Teslim mekanizması, malware için en çok arzulanan yöntem olmasına karşın, her zaman kod çalıştırılması için kullanıcıya ihtiyaç duymaz. En yaygın yöntem bazı uygulama veya işletim sistemlerinin açıklarını değerlendirerek zararlı kodu çalıştırmaktır. Geçtiğimiz yıllarda bir çok ağ solucan türü çeşitli açıklardan yararlanmak suretiyle ağ üzerindeki makinelere zarar vererek bu yöntemin tipik temsilcileri oldular . Exploitler başta olmak üzere web saldırılarında en çok kullanılan yöntemler bu dokümanda detaylarıyla anlatılıyor. Ziyaretçinin kullandığı tarayıcıda bulunan sömürülebilir açıklar kurban zararlı bir siteyi görüntülediğinde malwarein zararlı kodu çalıştırabilmesine olanak sağlıyor. Bu tip saldırılar genellikle “drive-by downloads” olarak adlandırılır.
2. Güncel Zararlı Yazılımlarda Webin Rolü
Geçtiğimiz iki yılda zararlı yazılımlar webi daha çok kullanmaya başladılar. Web sayfalarının içerisine gömülmüş zararlı scriptlerden (kod dizileri) çok daha geniş etki alanına sahipler, örneğin:
• HTTP’yi kullanarak diğer zararlı dosyaları indiren downloader Trojanlar (internetten dosya indiren truva atı) webi basit bir dosya deposu olarak kullanılıyor.
• Saldırgan sitelerin barındırdığı zararlı scriptler, ziyaret, açığı olan bir tarayıcı tarafından gerçekleştirilince exploit kodunu çalıştırarak kurbanın makinesine zarar veriyorlar.
• Tehlikeli siteler zararlı kodların çok büyük sayılarda kurbana etki etmesine olanak sağlayan mekanizmalar sunuyorlar.
• Spam e-posta ve cezbedici siteler kurbanların zararlı yazılımlara maruz kalması için tuzaklar kuruyorlar.
• Zararlı yazılımlar ziyaretçiyi başka sayfalara yönlendirebiliyor. Günümüzde online reklamcılık milyarlarca dolarla ifade ediliyor – . Ziyaretçilerin yönlendirilmesi veya diğer yollarla bir sitenin trafiğinin arttırılması, organizasyonlar veya bireyler için reklam sektöründe para kazancı sağlayan bir mekanizmaya olanak sağlıyor .
Hedeflenen reklamları görüntülemek için tarayıcılarla birleştirilen uygulama sınıfına genel olarak adware (reklam yazılımı) denir. Günümüzde bu tip yazılımlara sıkça rastlanıyor ve genellikle diğer uygulamalarla birlikte yükleniyorlar (ad-supported software-reklam destekli yazılım). Tipik adware yüklemeleri, affiliate veya pay-per-install (yükleme başına ödeyen) adıyla bilinen, para kazanma mekanizmalarını şart koşuyor. Yazılımla birlikte kayıtlı olarak gelen reklam uygulamaları, diğer adware uygulamalarını indirmek için adware sitelerine bağlantı kuruyor. Bağlantı sırasında sunucuya reklam kimliğiyle giriş yaparak bu bağlantı sonucunda biraz ödeme alıyor. Bu mekanizma zararlı yazılım üreticileri tarafından, kullanıcının bilgisi olmaksızın, etkilenmiş makineler üzerinde adware uygulamaları çalıştırılarak, para kazanma amacıyla kolaylıkla değerlendirilebiliyor. Adware herhalde bu doküman dışında başka hiçbir yerde bu kadar iyi tanımlanmamıştır.
Web, malware üreticilerine için, aşağıda listelenen tekniklerin kullanılmasına olanak sağlayan, mükemmel bir iskelete sahiptir. Günümüzün tehlikesi kurnazca çalışarak, etkili bir biçimde masum kurbanlara zarar veren exploit kodları ve web tuzakları. Şekil 1.’de bazı ana hatlarıyla günümüz malware ataklarının web hileleri gözler önüne seriliyor.
Şekil 1. Günümüz zararlı yazılımlarının web saldırı adımları. Dosya deposundan (Trojan downloaderlar kullanılarak) başlayarak tehlikeli sitelere açığı olan bir tarayıcı tarafından yapılan ziyaret sonucunda kurbanın zararlı yazılımdan etkilenmesini gösteren basit bir döngü.
Bu doküman, ilerleyen sayfalarda kurbanlar üzerinde kullanılmış örnek zararlı yazılım saldırılarını inceleyerek, daha detaylı bilgiler sunuyor.
Dosya Deposu
E-posta akarsuyunun içerisinde zararlı içeriğin var olması tüm e-posta tabanlı saldırılar için genel bir zaaftır. Çünkü bu gelen posta üzerinde tehdidi engellemek amacıyla sert politikaların uygulanmasına neden olur. Bu içeriğin ya direkt olarak bloklanmasını yada derinlemesine taranmasını sağlar. Malware üreticileri genellikle yaydıkları kitle-postalarda birincil yükü göndermezler (örneğin backdoor, şifre çalıcı veya keylogger), bunun yerine downloader Trojan tercih ederler. Bu yöntemin yegane amacı (tipik http yoluyla) bazı uygulamaları indirip uygulamaktır. İndirme yönteminin kullanılması malware yazarına birkaç avantaj sağlar:
• Birincil dosya ve e-posta.
Pratikte download için bir çok farklı yöntemle çok küçük binary kodlar yazılabilir. Bu da e-posta ağ geçidi güvenliğinin kolaylıkla geçilmesine olanak sağlar. Üstelik indirme dosyasının mass-spammed downloader üzerinden anında kod çalıştırmasına ihtiyaç duyulmaz. Bir geciktirme kodu eklemek kullanıcının şüphelenmemesi açısından çok daha etkilidir. Ayrıca bu yöntem kullanıcı makinesinde bulunan behavioral technologies (davranış teknolojileri) korumasının atlatılmasına da yardımcı olur.
• Uzak içeriğin güncellenmesi (the primary payload).
Saldırının temeli hedef URL’de barındırılan içeriğin kolaylıkla güncelleştirilmesiyle kolaylıkla değiştirilebilir. Server taraflı otomasyonlar genellikle tehtidin bir çok küçük değişkenini oluşturarak bunu kullanırlar (bir otomasyon yöntemiyle yüzlerce benzersiz değişken oluşturmak için repacking, re-encrypting veya recompiling kullanılır). Sabit URL’ler de barındırılan malwareleri inceyerek hangi sıklıkta içeriğin güncellendiğini tespit edebiliriz. Otomasyon bir çok script kullanılarak günde bir kaç kez güncelleniyor. Bilinen bazı malware türleri ise her 1-4 günde bir tekrar inşa ediliyor.
Tablo 1: 30 günlük periyotda zararlı türlerin ortalama güncelleme oranı.
• Downloadın çeşitli aşamaları.
Daha önceden belirttiğimiz gibi downloaderın içeriği anında indirmeye ihtiyacı yoktur. Mekanizma farklı domainlerden içeriği indirerek diğer downloader bileşenlerini tamamlayabilir. Downloader sıklıkla içeriği indirmesi için kodlanmış bir config (ayar) dosyasından ibarettir.
Bu mekanizma çeşidi en çok kullanılandır; malware tarafından talep edildiğinde bir network deposu olarak kullanılan webden indirme işlemini gerçekleştirebilir. Otomasyonun belirli aralıklarla ve çoklu indirme seviyeleriyle zararlı dosyaları indirmesi, çoğunlukla birçok malware ve URL öğesini kapsayan, etkilenmiş sistemlerin oluşmasıyla sonuçlanır. Malware yazarları açısından böyle bir teknoloji yönetilecek çok esnek yapı oluşturuyor.
Son 2 yılda güvenlik şirketleri tarafından tespit edilen downloader Trojanların sayısında keskin bir yükseliş belirlendi. Bunlardan biri bilinen bir çok çeşidi olan ünlü Clagger . Bu tür sürekli olarak güvenlik ürünlerinin tespitinden kurtulmak için deneme amacıyla yazılmıştır. Şubat 2007’den beri neredeyse 80 benzersiz değişken tespit edildi (Mal/Clagger). Clagger downloaderların önemli bir kısmı online bankacılığı hedef alan bir başka zararlı tür olan Cimuz’u indirip kurmayı amaçlar .
Şekil 2: Şubat 2007’den beri tespit edilen Cragger örneklerinin zaman dağılımı.
2007’de hiçbir eklenti barındırmayan, sadece bir web bağlantısına sosyal mühendislik yoluyla kurbanın tıklamasını sağlamayı amaçlayan boş e-posta seviyesinde büyük bir artış tespit edildi. Tipik olarak, bu bağlantılar kullanıcı ziyareti gerçekleştirdiğinde tarayıcısı aracılığıyla malware indirip uygulayan web sayfalarına yönlendirilmiştir. Son zamanlarda ortaya çıkan kitle e-posta gönderici eCard bu saldırı mekanizmasının kusursuz bir örneği , , . Kullanıcılar, e-posta mesajında bulunan bağlantıya tıkladıkları takdirde Şekil 3’te örneği sunulmuş olan web sayfasıyla karşılaşırlar.
Figure 3: Mal/Dorf spam mesajlarındaki bağlantıya tıklandığında açılan sayfa içerikleri.
Sayfa, çeşitli tarayıcı açıklarını kullanmayı deneyerek, bir malware uygulaması olan Dorf ’un indirilip kurulmasını amaçlayan, zararlı bir script içerir (Troj/JSXor-Gen olarak tespit edildi ). Öncelikle kurban kitle e-postalarla anlaşmalı sayfaya yönlendirilir (e-postaların içerisinde anlaşmalı siteye yönlendirilmiş bir bağlantı mevcuttur). Diğer web saldırılarında da çok benzer JSXor-Gen scriptleri kullanılır, anlaşmalı site ziyaret edildiğinde script gizlice yüklenir (Bölüm 3.1’e bakın). Bu webin saldırılar için sağladığı esnekliği kanıtlar.
Şekil 4: Dorf saldırılarında kullanılar JSXor-Gen scriptinin görüntüsü (üst kısım: çözümlenmiş script, alt kısım: original script).
Mükemmel Tuzak
Bir önceki bölümde bahsedildiği gibi, exploitler malwarelerin sessizce kod çalıştırması için mükemmel mekanizmalara olanak sağlarlar. Buna rağmen, sosyal mühendislik, malware yazarlarının en güvendiği silahlardan biridir ve e-posta temelli saldırılarda sıklıkla kullanılır . Günümüzde, iyileştirilmiş bağlantılar ve istemci teknolojilerindeki gelişmeler ile, tarayıcılardan istenen zengin içerik talebi hiç bu kadar yüksek olmamıştı. Kullanıcılar web sayfalarının ses, animasyon veya görüntü içermesini talep ediyor. Malware yazarları için bu durum gittikçe ağ üzerinde sosyal mühendislik saldırılarının daha cazip (ve daha kolay) olmasına neden oluyor.
Zlob adıyla bilinen Windows trojanı pornonun bir tuzak olarak kullanılmasını kusursuz bir şekilde ıspat ediyor. Yükleme mekanizması pornografik içeriğe sahip web sitelerindeki kampanyaları kullanıyor. İçeriğe erişmek için hamle yapıldığında (genellikle cazip bir porno filmi) kullanıcı Şekil 5’te gösterilen hata mesajıyla karşılaşır. Kayıp video codecini indirmek için yapılan tıklama başka bir siteden sahte codec kurulumunun (saldırının amacı doğrultusunda) indirilmesiyle sonuçlanır. Kurulum çalıştırıldığında zararlı Zlob bileşenleri yüklenmiş olur ve kurbanın makinesi zarar görür.
Şekil 5: Kurbanın makinesinde sahte video codec kurulumunun çalıştırılması için hazırlanan Zlob tuzağı
Sonraki Zlob bileşenleri tamamen aynı sosyal mühendislik mekanizmasını kullanır. Ancak arada bir fark vardır; boş hata mesajı yerine bir porno videosundan ses içerir, bu sayede kurbanın zararlı kayıp codeci yüklemesi garanti aldına alınmış olur.
Bir Bilgi Kaynağı
Sorgulama yönüyle (arama motorları vasıtasıyla) insanların iş ve özel hayatlarının ayrılmaz bir parçası olan web çok büyük bir bilgi deposudur. Art niyetli siteler potansiyel hedeflerin taranması için arama motorlarının kullanılarak bilindik açıkları yine web sayesinde bulurlar. Bir çok zararlı yazılım bu yöntemi kullanır. Bunların önde gelenlerinden birisi belirli bir forum uygulamasını kullanan yeni kurbanlarını Google arama motoru sayesinde tespit eden Perl/Santy solucanı dır. Geçmişte hackerlar network üzerinde derinlemesine incelemeler yapmak veya snifferlar oluşturmak zorundaydılar, günümüzde ise uygun hedefler arama motorları kullanılarak tespit edilebiliyor. Örneğin popüler bir günlük uygulamasında bir açık bulunduğunu varsayalım, saldırganlar bu uygulama tarafından oluşturulmuş sayfaları tarayarak potansiyel kurbanların listesini çıkarabilirler.
Kullanıcıların internet arama motorları büyük oranda kullanması malware yazarlarının yeni kurbanlar bulmalarına fırsat tanıyor. Arama motorlarında üst sıralara yerleşme amacıyla inşa edilen siteler saldırı hedefi olma açısından şanslarını maksimize etmiş oluyorlar. Arama motorları sıralamalarını manipüle etmek amacıyla sayfa içeriklerinde yapılan değişiklikler genellikle araştırmalarda zararlı sitelerin ilk sıralarda yer almalarını sağlıyor. Genellikle pornografik veya ilaç kullanımına ait sitelerin blok halindeki linklerini görmekte mümkün (bkz. Şekil 6). Bu tip bloklar sitelerinde aranan metinler style=display:none özelliği kullanılarak görüntülenen sayfada arka planda kalmaları sağlanıyor. Bu fenomen link bombardımanı veya Google Bombing olarakta biliniyor (diğer arama motorlarında da yöntem uygulanıyor). Hedeflenen sitelerin çoklu linklerle desteklenmesi bu sitelerin arama motoru sonuçlarına ihtiyaç duymaksızın sıralamada yükselmesine neden oluyor. Geçtiğimiz yıl, Google bu tekniğin uygulanabilirliğini en aza indirmek için link bombardımanına karşı savaşan bir teknoloji başlattı .
Şekil 6: Link bombardımanında kullanılan “link-bomb” blok ve “iframe”leri.
3.Zararlı Siteler
Bir çok farklı tipte site malware içerir. Heckerlar bedava web sağlayıcı servislerde yeni siteler oluşturarak, bu siteleri kurbana ulaşmak için araç olarak kullanırlar. Zararlı kodlar (öncelikli olarak JavaScript) kullanılarak kurbana zarar veren bir çok yol mevcut. Bu kodlar ziyaretçinin tarayıcısını sayfanın doğru bir şekilde yüklendiğine inandırdıktan sonra tarayıcının açığını ararlar. Daha sonra uygulanabilecek açıklar listelenerek açık bulununcaya dek tarayıcı üzerinde denenir. Basit aldatıcı kod Şekil 7’de gösterilmiştir. Hackerlar yeni açıklar bulunur bulunmaz bunları saldırılarına eklerler (Örnek olarak yeni Yahoo! webcam ActiveX açığı ). Başarılı bir şekilde açıklar için exploit oluşturmakta kullanılabilecek yayınlanmış teknik dokümanların oranı ile çalışan exploit kodları arasında doğru orantı mevcuttur. Ek olarak bir ActiveX açığı üzerinde oluşturulan kod benzer bir ActiveX açığında başarıyla kullanılabilir.
Şekil 7: Modern web saldırısında kullanılan tipik aldatıcı kod.
Faydalanılan Siteler
Kullanıcılar ve kullandıkları web servisleri arasında bir güven ilişkisi vardır. Rutin olarak bu sitelere bağlanıp online haritalar üzerinden haber okur, hava tahminlerini incelerler, dolayısıyla tarayıcılarını bu sitelerin içeriklerine izin vermelerini sağlarlar. Doğrusu kullanıcılar güvenilen site listelerini oluşturmaları için teşvik edilirler, böylece görüntülenen sitenin tarayıcı ayarlarından güvenilen site olarak ayalanması sağlanır. Bu yolla tarayıcılar görüntülenen sitenin ihtiyaç duyabileceği ActiveX, Java gibi kodlamaların çalışmasına olanak sağlar. Uygulanan konsept güvenilir olmayan sitelerin izin verilen içeriği üzerinde daha katı bir kontrol uygulanmasını esas alır. Buna rağmen son zamanlarda tehlikeli sitelerin seviyesinde keskin bir artış saptandı . Neden? Hackerlar bu işi sadece ün için yapmıyorlar , . Bu tip zararlı yazılımların barındırıldığı bir siteler dokümanın başında bahsedilen adımları tamamlayan gizli bir mekanizmayı sağlar: tehtidin yayılması ve uygulama. Üstelik bu siteler geniş ve güvenen bir kullanıcı kitlesine sahipse kurbanların sayısı büyük oranlara ulaşabilir. 2007 Super Bowl ödüllerinden kısa süre önce Miami Dolphins sitesinin hacklenmesi saldırılarda faydalanılabilecek sitelerin önemine dikkat çekti .
HTML extra içerik yüklenmesi için çok rahat yollara sahiptir. En çok kullanılan yöntemlerden biri <IFRAME> tagıdır , içeriği sayfaya gizlice entegre eder. Bu tag bir çok web sitesinde uygulanmaktadır. Malware yazarı için bu yöntem gücenilen web adresleri üzerinden kullanıcının müdahalesine veya sosyal mühendislik uygulamalarına ihtiyaç duyulmaksızın zararlı içeriğin çalıştırılması için çok uygundur. 2007’nin son 6 aylık istatistiklerine göre web tabanlı malware uygulamalarının yaklaşık %50’si iframe yöntemini kullanıyor . İçeriğin yüklendiği iframein sayfadaki görüntüsünü ayarlamak için yükseklik ve genişlik özellikleri sıkça kullanılır. Kullanıcının zararlı iframei görmemesi için genellikle genişlik/yükseklik oranları çok küçük ayarlanır (0-10 piksel). Bir sayfada birden fazla iframeler mevcut ise, ufak ifremeler ufak kutucuklara sebep olur. Zararlı iframelerin bu özelliklere sahip olduğu bilinmesine rağmen proaktif tespit sistemleri bunları sıradan olarak görür, çünkü bir çok normak web sitesi çok benzer özelliklere sahip iframeler kullanmaktadır. iframe boyutu tespit için kullanılabilir fakat içeriğide (kaynak kodu) çok iyi analiz edilmelidir. İlginçtir, bir çok saldırı türü küçük boyutlardan çok büyük boyutlu iframelere geçiş yapmıştır (örn: 1500×1500 piksel), muhtemelen ufak boyutlardaki iframeleri potansiyel tehlike olarak gören savunma teknolojilerinin şüphelerini çekmemeyi amaçlıyorlar.
Şekil 8: Birçok kez kullanılmış bir sitenin ekran görüntüsü. Çok ufak kutucuklar görünüyor (23 kutunun her biri eklenmiş zararlı iframeler)
Benzer bir durumda iframe içerisindeki zararlı kodun sayfa görüntülendiğinde çalıştırılmasıdır. Bunun neticesinde aynı sonuç elde edilir –sayfa görüntülendiğinde uzak sunucudan zararlı içerik çekilerek yüklenir- bu tip ataklar koruma yöntemlerine karşı farklı bir yöntem izlemektedir. Faydalanılan sitelerin tespit edilmesinde iframein tespitinden ziyade içerdiği metnin tespiti gereklidir. document.write(’<iframe …>’)’in sağladığı çeşitli yollarla JavaScript kullanılarak proaktif tespit sistemleri aldatılabilir (bkz. Şekil 9).
Şekil 9: Faydalanılan web sitesi görüntülendiğinde zararlı iframe sayfaya eklenir. (üst kısım:sayfadaki iframe tagı , alt kısım: saldırı sırasında zararlı kod sayfaya ekleniyor).
Pintadd olarak bilinen yeni bir saldırı aynı şekilde uzak sunucudan zararlı içeriği çekmek için iframe yöntemini kullanır, fakat ufak bir hilesi vardır. iframe objesini ve niteliklerini oluşturmadan önce basit document.write() yerine createElement() metodu nu kullanır ve sayfaya eklemek için appendChild() metodu nundan faydalanır:
var url=’http://domain/path/index.php’;
var ifr=document.createElement(’iframe’);
ifr.setAttribute(’src’,url);
ifr.frameBorder=0;
ifr.width=1;
ifr.height=1;
document.bOdy.appendChild(ifr)
Kurban açısından iframe tagının direk eklenmesiyle bu yöntem sonuç olarak tamamen aynıdır. Günvelik yazılımları içinse üstesinden gelinmesi gereken başka bir problemdir. SophosLabs tarafından tespit edilen neredeyse tüm faydalanılan siteler uzak sunucuya bu şekilde bağlantılar içerir. Bir sitenin güvenliği aşıldığı andan itibaren, bir saldırı için gerekebilecek tüm bileşenler o sitede barındırılabilir. Sayfa zararlı kodun çalıştırılması için modifiye edilip, yüklenecek olan zararlı yazılım aynı serverda barındırılabilir. Fakat bu yönteme pek rastlanmaz, bunun iki ana nedeni vardır. İlk olarak faydalanılan siteleri tek bir yere yönlendirmek merkezi bir kontrol sistemi sağlar. İkinci olarak, ufak bir iframe kodu eklemek yerine büyük scriptler binary dosyalarını yüklemek yakalanma riski açısından çok daha dikkat çekicidir. Bir sitenin bir çok kez kullanıldığı içerdiği bazı işaretlerden anlaşılabilir (Şekil 8), sayfa kaynağıda bazı işaretler taşır. Çoklu iframe tagları veya zararlı scriptler kullanıldığı bazı durumlarda karakteristik işaretçilerle (HTML yorumlayıcı) eklenen kodun hemen başında ve sonunda karşılaşılır
Şekil 10: Her blok arasında (<!– ~ — >) kullanıldığı görünüyor.
Büyük sitelerden faydalanılması önemli bir ilgi oluşturabilir. Buna rağmen gözlemlerimize göre faydalanılan siteler genellikle küçük trafiğe sahipler. Ayrı ayrı az bir etki gösterselerde kümülatif olarak düşünüldüğünde azımsanmayacak bir etkiye sahipler. Bir diğer belirgin problem de ağ gelişiminin dışarıdan destek almasıdır. Öncelikle site oluşturulur, faaliyete geçirilir, fakat bunun sonrasında sitenin zararlı bir yazılım tarafından kullanılması durumunda herhangi bir şey yapamazlar. Sayfaların eklenen script veya iframelerden basit bir şekilde arındırılması hususunda dahi yetersizlerdir. Malwareler tarafından kullanılan sitelerin yöneticileriyle temasa geçip sitelerinin nasıl ve ne amaçla kullanıldıklarını aktarmak çok önemlidir. Fakat site yöneticileriyle temasa geçme işlemi bazı büyük siteler dahil başarısızlıkla sonuçlanıyor.
Hackerlar servis sağlayıcıda bulunan makine üzerindeki tüm sitelere tek bir siteye saldırarak ulaşabilmekteler . Bu yılın başlarında SophosLabs, EncIfr tarafından kullanılan onlarca serverın bulunduğu bir Polonya ISP tespit etti. Sayıları 13.000’in üzerine çıkan siteler yem olarak kullanılıyordu. Her bir sayfaya JS/EncIfr-A adındaki zararlı kod eklenmişti. Bu olay bir saldırının etki alanı ve önemini belirlemek için neden sadece etkilenen sitelerin tespit edilmesinin yeterli olmadığı anlamak açısından iyi bir örnek.
Bazı saldırıların bir dizi siteyi kullanmak yerine popular bir web sitesini kullanması bu durumun ayrıca ele alınmasının gerekliliğine işaret ediyor. Yakın geçmişte MySpace sosyal ağına yapılan iki saldırı bunun iyi iki örneği. Ofigel QuickTime görüntülerinin bir özelliğinden (gömülü JavaScript desteği) yararlanarak bir MySpace solucanı ortaya çıkardı . Kullanıcılar etkilenmiş bir profili görüntülediklerinde görüntü yürütülerek uzak servisten zararlı kodun çekilmesi sağlanmıştı. Bu kod MySpace’te bulunan bir XSS açığından faydalanarak kurbanın profiline etki ediyordu (QuickTime görüntüsü ekleyerek). SpaceStalk olarak adlandırılan daha sonraki bir saldırıda aynı yöntemi kullandı , . Bu tür odaklanmış saldırı tipleri kurbana zarar vermek için popüler web sitelerinin açıklarından faydalanır. Sitelerden faydalanmak amacıyla uygulanan tekniklerden (örn: XSS) kurbanın kendini koruması bir hayli zordur. Malware saldırılarından korunmanın en etkili yollarından biri URL sınıflandırma teknolojilerini kullanmaktır (bkz. Bölüm 4.)
Etkilenmiş Web Serverları
HTML ve script dosyalarını (PHP, ASP vb.) değiştirebilen birçok virus mevcut. Fujacks ve Pardona türevi dosyaları değiştirerek iframe tagı ekleyebilen virüslerdendir. Her iki tür de Windows platformu için yazılmış olup, web servislerinin bir kısmı içintehlikelidir. Web servislerinin %30’unun Microsoft IIS tabanlı olmasına rağmen bu türler kullanıcılar için hala büyük bir tehdit oluşturuyor. SophosLabs 2007 yılında bu virüslerin zarar verdiği geniş bir site listesi tespit etti. Etkilenmiş servislerde gözlemlenen ilginç bir şey ise diğer dosya tiplerinin (.GIF gibi) iframelere eklenmesi. Bu tip dosyalar zararsızdır (HTML iframe tagını yorumlayacak herhangi bir şekil uygulamasından haberdar değilim).
Özel Saldırı Siteleri
Tüm ağ saldırıları faydalanılan siteler üzerinden gerçekleştirilmez. Hergün internet üzerinde bu amaçla oluşturulmuş yeni sitelere rastlanıyor. Alan adı kayıt süreci yeterli derecede kontrol altında değildir, web tabanlı saldırılar için siteler oluşturulmasına veya benzer bir alan adının web trafiğinin takip edilmesine olanak sağlar. Bu yeni sayılabilecek yöntemi kullanan saldırılar var olan legal bir alan adına bazen telaffuz hataları veya ufak bir harf değişikliği kadar benzer alan adları edinirler . Bu teknikler phishing saldırılarında sıradandır fakat sadece bu saldırı tiplerinde kullanılmazlar. Saldırı için oluşturulmuş özel sitelerin alan adları içeriklerini yansıtmaz. Bazıları popular sitelerin adlarına yakın karakterlerden oluşur, diğerleri ise genellikle anlamsız karakter serilerinden oluşur (bir çoğu telaffuz bile edilemez). Saldırı siteleri alan adı kaydı yapılmadan, bedava hizmet veren servislerden alınan alanlarla da oluşturulabilir. Saldırı sitelerini araştırmanın önemli bir kısmı da alan adı bilgilerini incelemektir, bir sitenin zararlı olup olmadığı kısmen bu kriterle de belirlenebilir (i.e. bir sitenin saldırı sitesi olup olmadığını bildirebiliyor). er ikiside saldırı için Google’dan destek alır. İlki özelleştirilmiş bir Google arama sayfası gibi görünür, fakat esasında kurbana zarar vermek için tasarlanmış ve zararlı kodlar içermektedir . İkincisi ise web sayaç servisi olarak görünmesine rağmen değişik tarayıcı açıklarını kullanarak (MS06-057 , WinZip, MS06-055 , QuickTime (CVE-2007-0015), MS07-009 ) kurbanın bilgisayarına zararlı yazılım yüklemeyi amaçlar. Site sonuçları ikinci kez istendiğinde gerçek Google arama sayfasına yönlendilmiş olması ise işin ilginç kısmı.
Şekil 11:Örnek saldırı sitesi ilk istekte zararlı içeriği deniyor ikinci istekte ise orjinal Google arama sayfasına yönleniyor.
Geçenlerde ilginç bir şekilde zararlı site oluşturmak için gerekli araçlar herkes tarafından erişilebilecek şekilde pazarlandı. 2007 yılındaki saldırılarda en çok kullanılan araçlardan ikisi olan MPack , ve IcePack aleni bir şekilde satıldı. Bu gibi saldırı siteleri oluşturmak için tasarlanan PHP tabanlı araçlar artık internet forumlarında rahatlıkla satın alınabilir hale geldi. İnsanlar seçtikleri malware ile çeşitli tarayıcı açıklarını kullanarak kurbanlara zarar vermek amacıyla bu araçları kullanabilirler. Scripting veya exploit bilgisine sahip olmaları bile gerekmez. Bu araçlar bir “landing page” (indirme sayfası) hazırlayarak süreci başlatırlar. Tüm hackerların yaptığı gibi daha sonra çeşitli yöntemlerle kurban bu sayfaya çekilir (genellikle spam e-posta veya aracı siteler vasıtasıyla). Tarayıcı indirme sayfasını görüntüleriğinde script kurbana zarar verebilecek olası tarayıcı açıklarını dener. Ayrıca bu araçlar yeni bir tarayıcı açığı keşfedildiğinde otomatik olarak indirme sayfasını güncelleyerek saldırının başarı oranını maksimize etmek için ayarlanabilir. Her kurban için bilgiler depolanır (veritabanlarında), ve bu bilgilerden oluşan istatistik sayfaları hackerların kullanımına sunulur. İstatistikler ayrıca aynı müşterinin çoklu saldırılar yapmasını da engeller, sayfa içeriği görüntülenmez veya küçük mesajlar belirir (örn: “:[“]). Bazı araçlar ise “Üzgünüz! IP adresiniz yasaklı.” gibi mesajlar verir.
Figure 12: MPack yapılı bir saldırı sitesinden örnek sayfa.
Saldırı sitesi kurulduğu andan itibaren hackerların kurbanları bu siteye çekmeleri gerekir. Bunun için genellikle iki yöntem kullanılır, faydalanılan sitelerde ki iframe içeriklerinin çalıştırılması veya içerisinde bu siteye bağlantı içeren spam e-postalar. Spam e-postalarda en çok kullanılan yöntem ise pornografik içerik vaadi (örn: pornografik resimler videolar vb.) , . Son zamanlarda kullanılan saldırı aracı ise Iffy . Iffy ilk olarak, Microsoft Internet Explorer’ın imleç açığı (MS07-017) sayesinde zararlı ANI dosyaları oluşturmak için kullanıldı. Müteakip Iffy saldırılarında ise kurbana zarar vermek için MS07-017 çerçevesinde oluşturulan diğer exploitleri kullanıldı.
Iffy farklı saldırılarda farklı malware parçaları yüklemek için kullanılan scriptlere iyi bir örnek. SophosLabs, 12 saat içerisinde (bu doküman hazırlandığı sırada) Iffy tarafından kullanılan 10 farklı saldırı çeşidi tespit etti (bkz. Şekil 13). Bunlar server tabanlı bir otomasyon tarafından devamlı olarak güncellenen üç farklı malware çeşidini yükleme işlemini gerçekleştiriyordu (bkz. Tablo 1).
Şekil 13: Iffy kullanılarak gerçekleştirilen saldırıların 12 saatlik periyottaki incelemesi.
Kurbanları “indirme sayfa”larına yönlendirmenin en çok kullanılan yolu daha önce de belirttiğimiz iframe yöntemi. Bu yolla bir çok kullanıcı tarafından görüntülenen tek bir site zararlı kodun çalıştırılması için yeterli oluyor. Bu tip saldırılarda özel saldırı siteleri ve faydalanılan sitelerin kombinasyonundan oluşan bir yöntemle tehdit kurbanlar arasında yayılıyor. Kullanılan sitelerde görülen bir yan etki ise saldırı sitesinin kapanmasından uzun zaman sonra bile zararlı içeriğin çalıştırılmaya çalışılmasıdır.
Tarihsel açıdan bakıldığında script tabanlı zararlı yazılımlar basit kod eklentileriyle yeni yazılım üretebiliyorlar. Bunun sonucu olarak bu yazılımların bir çok ufak varyasyonu mevcut. Benzer olarak piyasada satışa çıkarılan PHP tabanlı araçlarda kopyala/yapıştır yöntemiyle birbirinin varyasyonu haline gelmiş kod parçaları. Scriptin büyük kısmı kopyalandıktan sonra geri kalan kısımları ufak değişikliklerle tamamlanıp satışa çıkarılıyor (genellikle birkaç yüz dolara).
4.Web Saldırılarına Karşı Korunma
Bu doküman kullanıcıya sunulan koruma teknolojilerinden ziyade güncel zararlı yazılımların kullandığı yöntemleri ele almaktadır. Buna rağmen Web tehditlerine karşı uygulanabilecek çözümlerin bir bölümü bu kısımda sunulmuştur. Aşağıda ki maddeler tehditleri kısmen engellemek için kullanılabilir:
• Network ayrımı. Web siteleri bir çok farklı kategoriye ayrılır, bunlardan bazıları sosyal ağlar, kişisel web siteleri, küçük ticaret siteleri ve güvenilen global markalar olarak tanımlanabilir. Her bir kategorinin görüntülenmesi kullanının farklı risk seviyeleri ile karşı karşıya kalması demektir. Web hizmetini dışarıdan alan ufak sitelerin kullanılmasıyla oluşturulabilecek tehdit, kendi özel sunucusu olan rüşdünü ıspatlamış büyük organizasyon sitelerine oranla daha fazla olacaktır. Bu şekilde ayrım yapılarak uygulanacak bir güvenlik politikası son kullanıcı için riski azaltmaya yardımcı olur. Network ayrımı için uygulanan en popüler yöntem her biri için farklı tarayıcı ayarlamaları yapmaktır.
• Kullanıcı tarayıcıları. Internet Explorer hala en çok kullanılan tarayıcı olmasına karşın tüm saldırılar buna odaklanmaz. Diğer tarayıcılar daha fazla kullanım alanı buldukça saldırılar onları hedef alarak açıkları üzerinde yoğunlaşmaya başlar. Uygun tarayıcı seçimi – ayarlamaları ve uygulanabilecek eklentileride göz önünde bulundurarak- daha fazla güvenlik sağlanmasına yardımcı olacaktır. Mozilla tabanlı tarayıcıların en çok kullanılan eklentisi Java ve JavaScript uygulamaları üzerinde kontrol sağlayan NoScript etkin bir koruma sağlanmasına yardımcı oluyor.
• Yama güncellemesi. Web saldırılarının agresif saldırılarına karşı kullanıcı makinesi daima güncel olmalıdır. İşletim sistemleri, uygulamalar veya internet tarayıcılarının yayınlanan yamaları takip edilmeli ve uygulanmalıdır.
4.1 İçerik Denetimi
İçerik denetiminin en yaygın türü alınan ve gönderilen http trafiğini tarayan uygulamaların konuşlandırılmasıdır. Tarama tipik olarak bilinen bir malware içeren bir sayfa görüntülenmeye çalışıldığında bunu engeller. Ayrıca bazı anahtar kelimelerin geçtiği içerikte otomatik olarak engellenebilir.
Ağ geçidinde anti-virüs yazılımları tarafından gerçekleştirilen içerik taraması işlemi kullanıcılara güvenliğin önemli bir bölümünü sunar. Gelişmiş ürünler diğer tarama opsiyonlarıyla optimize edilmiştir (e-posta veya hdd kontrolü gibi). İçerik denetleme ve URL filtreleme (bkz. 4.2) saldırı halinde birbirlerini çok iyi tamamlayarak koruma sağlar.
İçerik denetiminin önemli bir kriteri de performanstır. E-postadan farklı olarak web içeriği gerçek zamanlıdır, dolayısıyla devamlı olarak güncel bir koruma sağlanması gerekit. Artan bu ihtiyaç aldatıcı ve karmaşık zararlı scriptlerin analiz edilmesini bir hayli maliyetli bir hale getirir.
4.2 URL Filtreleme
Ağ uygulamaları URL sınıflandırmasını başarıyla uygular. İstenen URL eğer zararlı olduğu tespit edilmiş bir alan adına ait ise içeriğe bakılmaksızın adres engellenir. Hackerların devamlı olarak tehdit içeriğini değiştirdiği düşünüldüğünde bu yöntem oldukça yararlıdır. Bilindik zararlı sitelerin engellenmesindeki başarının altında yatan sebep bu tip sitelerin devamlı güncellenen bir listesinin bulunmasıdır. Bu listelerin belirlenmesinde birkaç faktör rol alır:
• Konuyla ilgili veri. Yeni ortaya çıkan malwareler hakkında mümkün olabildiğince hızı bilgi edinilmesi gerekir. Sistem global olmalıdır. Çözüm tehditler karşısında yeterli bilgiyi sağlamak için ağ spidering arçlarını veya benzeri yöntemleri kapsayabilir.
• Back-end sistemleri. Gelen URL içeriğinin hızlı bir şekilde taranması ve uygun verinin yayınlanması için kompleks işlemler uygulanmalıdır. Sistemlerin tehditleri izleyerek malwarein gerçek zamanlı analizini gerçekleştirip zararlı dosya tespiti ve URL engellenmesi için etkili bir koruma sağlamalıdır.
URL filtreleme aynı zamanda kullanıcının ziyaret ettiği sitelerin üzerinde de kontrol sağlar. Siteler porno, kumar, şiddet içerikli ve benzeri kategorilere ayrılarak istendiği takdirde engellenmesi sağlanabilir. Kategorize kriterleri URL filtrelemesinin başarısıyla doğru orantılıdır. Bu sebeple URL sınıflandırılmasının belirlenmesi açısından birçok 3. parti yazılım firmasına lisans verilmiştir.
4.3 Güvenlikte Son Adımı
Kullanıcı makinesinde kurulu olan güvenlik ürünleri önemlidir. Güvenlik çözümünü belirlemek için anti-virüs yazılımlarının sunduğu bir çok önemli özellik mevcuttur. Bu özelliklerden birisi tespit edilmiş bir zararlı yazılıma karşı proaktif korumadır. Servis tabanlı otomasyonlar tarafından sürekli olarak modifiye edilip yayınlanan yeni tehditlerin proaktif olarak tespit edilmesi zorunludur. Bilindik dosya tarama teknolojisine ek olarak genellikle host intrusion prevention systems (HIPs) , biçiminde adlandırılan run-time (çalışma zamanlı) koruma yöntemleri kullanılmaktadır. Bu yöntem bir dosyanın davranışlarını inceleyerek tehdit oluşturup oluşturmadığını inceler. Çalışma zamanlı koruma bir tehdit içeren uygulamanın tespit edilip zararlı içerik yüklenmeden önce durdurulmasında çok etkilidir.
Kullanıcı güvenlik duvarları özellikle anti-virüslerin gözünden kaçmış olan Trojan downloaderların tespitinde önemli bir rol oynar. Kaliteli güvenlik duvarı uygulamaları özellikle Trojan downloaderlar tarafından kullanılan yöntemlerde oldukça başarılıdırlar. Yaygın web saldırılarına karşı uygulanan bir diğer koruma da buffer overflow protection (BOP) olarak adlandırılan teknolojilerdir. Bu teknolojiler genellikle uygulamaları takip ederek anormal bellek taşmalarına neden oldukları gözlendiğinde müdahale ederler. Bu yöntemle tarayıcı saldırının gerçekleştirildiği web sitesini ziyaret ettiğinde oluşan bellek taşımı tespit edilerek zararlı içerik engellenir. Saldırıların gün geçtikçe artan karmaşık yapısına karşı doğru güvenlik yazılımının seçilmesi çok önemlidir.
4.4 Web Server Güvenliği
Web servislerine yapılan saldırılar bir çok metodla gerçekleştirilebilir:
• Zayıf kullanıcı adı / şifre kombinasyonları
• Açığı tespit edilen web uygulamaları,
• İşletim sistemleri,
• Web server yazılım, veritabanı, araç veya kitaplıkları
Bir giriş noktası tespit edildiği andan itibaren hacker muhtemel uzak shell yüklemeleri deneyecektir. Yaygın şekilde kullanılan birçok shell mevcut, Şekil 14.’te en çok kullanılan shelllerin ekran görüntüleri verildi. Bir çok shell server üzerinde kod çalıştırma, diğer açıkları tarama veya dosya yükleme özelliklerine sahip.
Figure 14: En çok kullanılan shellerin ekran görüntüleri.
Web serverlarının barındırdığı sitelerin kullandıkları web uygulamaları hackerlar için ilk hedeftir. Tek bir sitenin sahip olduğu veritabanı veya script açığı o serverda bulunan tüm sitelerin etkilenmesine neden olabilir.
Web serverlarının bir çoğunda erişim koruması aktif değildir (hem sistem hem de web dizini üzerinde). Erişim korumasının aktifleştirilmesi serverın kendini korumasını ve olası bir etkilenme durumunda sistem yöneticisinin uyarılmasını sağlar. Ufak siteler içinse web dizinindeki dosyaları kontrol eden ve problemi yöneticiye ileten basit bir script yeterlidir. Bu işleme yarayan SpyBye gibi araçlar site yöneticilerinin hizmetine sunulmuştur.
5 Özet
Bu dokümanda modern ağ saldırılarını inceledik. Bu saldırıların ticari ve sosyal ağ uygulamaları üzerinde nasıl esnek ve rahat bir yapıda olduklarını göstermeye çalıştık. Parasal amaçlarla ortaya çıkarılan malware yazılımları her geçen gün daha kompleks ve saldırgan mekanizmalarla ortaya çıkıyor. Modern web saldırıları ise onların başarısını en üst düzeye ulaştırmak ve daha fazla insana bulaşmasını sağlamak için türlü teknikler deniyor. Bir çok saldırı sitesi PHP tabanlı araçları kullanarak herhangi bir teknik bilgiye sahip olmasına gereksinim duymaksızın saldırı yapabiliyor. Yeni bulunan tarayıcı açıkları bir takım araçlarla otomatik olarak güncelleniyor.
Saldırılarda kullanılan zararlı kodlar güvenlik uygulamaları tarafından tespit edilmemek için birçok teknikler kullanabiliyor. Daha açık bir ifadeyle güvenlik ürünlerine meydan okuyorlar. Yine de tüm malwareler açıkları değerlendirip zararlı içeriği yüklemek için benzer teknikler kullandığı unutulmamalıdır.
Ayrıca server tabanlı otomasyon sistemleriyle zararlı yazılımların düzenli olarak modifiye edildiğini açıkladık. Bu günümüz malware yazarlarının daha fazla saldırgan olmalarını sağlıyor. Güvenlik sistemlerinin zararlı yazılım tespitinde daha gelişmiş sistemler bulması gerekiyor.
Ağ teknolojileri ilerlediği sürece malware yazarları da yeni sistemler geliştirerek saldırı gerçekleştireceklerdir. Saldırılara karşı URL sınıflandırması ve içerik taraması gibi koruma yöntemleri mutlaka kullanılmalıdır.
