Exploit Paketleri

25.08.2007

exploit mpack rootkit ie client-side security illegal

Okuyucu : 2.908
Günlük Okuyucu : 10,9

Yaklaşık iki - üç hafta kadar önce saat sabah onbir civarlarında ilginç bir iş düştü masama. Öyle bir giriş yaptım ki ilk defa okuyanlar "gizli dedektif" olarak çalıştığımı düşünecek.

Neyse, Normalde Uniximsi işler pek benim alanıma girmez ama bu hasbel kadar bende kaldı. Özetle Redhat bir sistemi tuhaf hareketlerde bulunuyordu.

Serverda tüm interfacelerde port 80 den dışarı giden paktleri izliyor
Bu paketleri geçerli HTTP cevapları ise body tagının hemen ardından yeni bir Javascript dosyası çağırıyor (bu JS nin adı rasgele 5 karakter ve .js uzantısını kullanıyor)
Bu Javascript dosyası da 5 kadar IE exploiti içeriyor.
Ve aynı IP adresine iki defa exploiti göndermiyor.

Özetle gayet temiz ve çok popüler olmayan bir rootkit, benzer olaylar rapor edilmiş ama ben henüz tam olarak ne olduğuna dair bir bilgi bulamadım. Sisteme benim SSH erişimim vardı ve fiziksel erişimim yoktu. Disk' in imajını alıp tam bir analiz yapmayı düşündük ama vakit ve erişim yoktu.

Sistemin gönderdiği bu javascript dosyasında exploitler ise hatırladığım kadarıyla, kadariyla klasik ADO BinaryWrite, SetSlice, Quicktime ve Winzip Activex exploitleriydi.

Bu dosya sırası ile tüm bu exploitleri deniyor, tabii ki Javascript kodu basit şekilde encode edilmiş durumdaydı. Burada anlatmadan duramayacağım bu iş bana geldiğinde bana encode edilmiş Javascript kodunun 11 sayfa kadar kağıtta çıktısını da verdiler! Güler misin? Ağlar mısın....

Neyse özetle bu bir paket exploit saldırı örneği. Mpack te bunun benzeri ama daha gelişmiş bir JS Exploit paket yöneticisi diyelim. Özetle bu hazır bir sistem bir çok exploit içeriyor ve bunu bir grup kişi geliştirip firmalara, kurumlara, suçlulara satıyorlar. Malum onlarda bunun ile genelde adware, spyware, kredi kartı hırsızlığı vs. gibi işler yapıyorlar.

Security Focus' ta bu "ürünü" satan kişiler ile röportaj yapmışlar. Şuradaki diyalog ilginç geldi;

SecurityFocus - Do you feel sorry for the people whose machines are infected by an attack?

Mpack Geliştiricisi - Well, I feel that we are just a factory producing ammunition.

Türkçesi,

SecurityFocus - Exploit edilen kurbanlar için üzülmüyor musunuz?

Mpack Gelistiricisi - Ben kendimizi mermi üreten bir firma gibi görüyorum.

Yorumlar

Bu makalenin yorumlarını RSS ile takip et!

Adamin yorum mantigi yanlis çünkü; mermi iyi amaçlar için de kullanilabilir (güvenlik gibi) ama adamlarin yaptigi "exploiter" in iyi amaçlar la kullanilabilmesi su haliyle çok zor.
Bir kaç sorum var_ Peki bu rootkitlerden ya da JavaScript Exploit paket yöneticilerinden sistemlerimizi nasil koruya biliriz? Sadece unix sistemler mi etkileniyor? Clamav bu tür rootkitleri yakalama-temizleme özelligi sunuyor mu? Tesekkürler.

Serdar [ # | 26.08.2007 ]

Gayet samimi bir cevap vermis arkadas :) Peki sen ne yaptin nasil hallettin meseleyi onu da yazsaydin bari.

nothingrows [ # | 26.08.2007 ]

Peki sen ne yaptin nasil hallettin meseleyi onu da yazsaydin bari.
Ben bir sy yapmadim adamlar gidin yeni bir sistem kurun bu hakkin kemaline ermis dedim :) Rootkit giren bir sistemi geri dondurmeye calismak genelde mantikli bir is degil cunku asla tam olarak emin olamazsiniz.

Peki bu rootkitlerden ya da JavaScript Exploit paket yöneticilerinden sistemlerimizi nasil koruya biliriz?
Sonucta bu rootkit baska bir acikla sisteme atilmis dolayisiyla sistem guvenli ise zaten ilk basta bu giremeyecektir. Javascript ataklar zaten siteye giren ziyaretcilere karsi oluyor, Orada da windows update lerin yamali olmasi kritik.

Bu arada belirtmem gerekiyor chrootkit yada linux icin olan clamav, fprot vs. bu rootkiti bulamiyordu, pek sasilacak bir seyde degil acikcasi.

Ferruh Mavituna [ # | 26.08.2007 ]

daha güvenli diye linux'a geçis yapalim dedik muhabbete bak sadece linux'u hedef alan rootkitler.
abd'nin dedigi gibi dünya'da artik güvenli yer yok :D

ikideredebirarada [ # | 01.12.2007 ]

Yorum Ekle