Exploit Paketleri

25-8-2007

Yaklaşık iki - üç hafta kadar önce saat sabah onbir civarlarında ilginç bir iş düştü masama. Öyle bir giriş yaptım ki ilk defa okuyanlar "gizli dedektif" olarak çalıştığımı düşünecek.

Neyse, Normalde Uniximsi işler pek benim alanıma girmez ama bu hasbel kadar bende kaldı. Özetle Redhat bir sistemi tuhaf hareketlerde bulunuyordu.

Özetle gayet temiz ve çok popüler olmayan bir rootkit, benzer olaylar rapor edilmiş ama ben henüz tam olarak ne olduğuna dair bir bilgi bulamadım. Sisteme benim SSH erişimim vardı ve fiziksel erişimim yoktu. Disk' in imajını alıp tam bir analiz yapmayı düşündük ama vakit ve erişim yoktu.

Sistemin gönderdiği bu javascript dosyasında exploitler ise hatırladığım kadarıyla, kadariyla klasik ADO BinaryWrite, SetSlice, Quicktime ve Winzip Activex exploitleriydi.

Bu dosya sırası ile tüm bu exploitleri deniyor, tabii ki Javascript kodu basit şekilde encode edilmiş durumdaydı. Burada anlatmadan duramayacağım bu iş bana geldiğinde bana  encode edilmiş Javascript kodunun 11 sayfa kadar kağıtta çıktısını da verdiler! Güler misin? Ağlar mısın....

Bullets(1)Neyse özetle bu bir paket exploit saldırı örneği. Mpack te  bunun benzeri ama daha gelişmiş bir JS Exploit paket yöneticisi diyelim. Özetle bu hazır bir sistem bir çok exploit içeriyor ve bunu bir grup kişi geliştirip firmalara, kurumlara, suçlulara satıyorlar. Malum onlarda bunun ile genelde adware, spyware, kredi kartı hırsızlığı vs. gibi işler yapıyorlar.

Security Focus' ta bu "ürünü" satan kişiler ile röportaj yapmışlar. Şuradaki diyalog ilginç geldi;

SecurityFocus - Do you feel sorry for the people whose machines are infected by an attack?

Mpack Geliştiricisi - Well, I feel that we are just a factory producing ammunition.

Türkçesi,

SecurityFocus - Exploit edilen kurbanlar için üzülmüyor musunuz?

Mpack Gelistiricisi - Ben kendimizi mermi üreten bir firma gibi görüyorum.

Recent Blog Posts

See all of the blog posts