Garip iletiler ve ekteki UYA dosyalari.pdf

7/25/2019 Garip iletiler ve ekteki UYA dosyalari.pdf

1/4

Internet GvenlikGnderilen Garip Iletiler ve

Eklentilerindeki UYA Program Dosyalari

Prepared By Erkan Kiraz

Ltfen dikkat,nc sahislara ait Web Sayfalari, rnleri, programlari, yazilim ve uygulamalari yada hizmetleri ile ilgili verilen referanslar yada linkler,Internet Gvenlik Grubu nun, onun Owner larinin yada Moderator larinin onayladigi yada garanti verdigi anlamina gelmez. InternetGvenlik Grubu nun iletilerinde yada Files kisminda yer alan dosyalarinda verilen linkler ve firma isimleri bilgi vermek amaci ile uygungrldg iin verilmektedir. Olusabilecek olumsuz sonular tarafimiza hibir sekilde herhangi bir ykmllk ve sorumlulukaktarmayacaktir.Please note that references to third party Web sites, products, sorftwares and programs or services shall not be construed as anendorsement or guaranteed by Internet Gvenlik Group and/or its Owners and/or its Moderators. Links to third-party sites and namesof companies are provided as a convenience for informational purposes only. Consequential negative results shall not bind us whateverthey might be.

Son zamanlarda gerek Internet Gvenlik Grubumuz yelerinden gerekse is ve arkadas evremden, eklentidosyalari (attached files) Virus (Virus), Truva Ati (Trojan Horse) yada Solucan (Worm) dosyasi

olabileceginden ve tiklandiginda (click) harekete geebileceginden (detonable) sphe edilen, gndericileri(from, sender) belli olmayan (unknown) iletiler (emails) alindigi ve bunlarla ilgili neler yapilabilecegi konusundayardim talep eden mesajlar almaktayim.

Bana gre nemli ve hassas olan bu tr yardim talep eden mesajlara, arastirma yapmadan (investigation), testetmeden (testing), hemen ve tek tek cevap vermem (promptly and individually) olanaksiz bir konuydu. Bu trolaylarda herkesin yararlanabilecegi bir yazi hazirladim.

Bazen gelen kutumuzda (incoming box) garip iletiler (weird emails) bulabiliriz. Ve gndericinin (sender) bununasil basardigini merak ederiz. Kafamizda asagidakilere benzer bir sr soru ve dsnce uusmaya baslar.Evet olasi sorulari ve bunlara verilebilecek cevaplari asagida siraladim. Umarim yararli olacaklardir.

1.) Ileti (email) Bilinmeyen (unknown) birisinden gnderilmistir,

2.) Konu (Subject) kisminda hibir sey (none) grnmemektedir,

3.) Fakat ileti ailirsa, eklentisinde (attachment) CPGDELCP.EXE (30k)isimli bir .exeyada farkli isimlertasiyan .exe dosyalari ykl oldugu grlr,

4.) Eklenti dosyasinin (attached file) bir Virus (Virus), Truva Ati (Trojan Horse) yada Solucan (Worm)dosyasi olabileceginden ve tiklandiginda (click) harekete geebileceginden (detaonable) spheettigimiz iin hi bir sey yapmayiz,

5.) Gndereni (From, Sender) bilinmeyen (unknown) bir ileti naisl gnderilebilir, bu mmknm?

6.) Gndereni (from, sender) bilinmedigi (unknown) iin biz gndericiyi (sender) nasil tesbit edebiliriz(detect) ?

7.) Bu ileti (email) bize telnet benzeri programlar kullanilarak mi (use) gnderilmektedir (sending)?

Simdi yukarida siraladigimiz sorulara anlasilabilir ve kt niyetli kisilerin olaylari kotarma yntemlerini gznnde tutarak cevaplar vermeye alisalim.

1.) Bazi iletiler, grnmezlik zelligi (anonymous) saglayan bazi email servisler (email services) yadagrnmezlik olanagi saglayan cretli yada cretsiz (free or with fees) Web siteler (anonimty sites)


2/4




kullanilarak yada bu siteler zerinden gnderilmektedir. Bu nedenle iletilerin gndericileri hakkinda

herhangi bir izleme (tracking) yapilamamaktadir. Yada bu sekilde gnderilen iletilerde bu bilgiler yeralmamaktadir.

2.) Iletilerin Konu (subject) kismina herhangi bir ifade yazmak nezaket geregidir. Email programlarininyaziliminda bu konu (subject) kisminin doldurulmasi zorululugu getirilmemistir. Kt niyetli kisilermerak uyandirmak yada baska gerekelerle bu kismi bos birakmaktadirlar.

3.) Bu tr iletilerin amaci, aliciyi bir sekilde kandirarak ekli dosyayi (attached files) alistirmasini(execute) saglamaktir. Ekli dosya kesinlikle ya bir UYA dir, Uzaktan Ynetim Araci, (RATs, RemoteAdministration Tools, RMTs, Remote Monitoring Tools) yada Virs (Virus), Truva Ati (Trojan Horse)veya Solucan (Worm) dir. Yukarida rnegini verdigim .exe uzantili dosya aildiginda bilgisayarimizdabulunan tm kullanici kimligi (User IDs) ve Sifrelerimizi (Passwords) kt niyetli kisi yada kisilere

aktarmaya baslayacaktir.

Peki ya biz bilgisayar kullanicilari, esitli alanlarda (bilgisayarimizin ailisinda, email servislerinde, ISPbaglantilarinda, yesi oldugumuz grup ve kulplerde, IRC, ICQ ve mIRC benzeri yerlerde) kullanmisoldugumuz Kullanici Kimlik (User ID) ve Sifrelerimizin hangi dosyalarda tutuldugunu biliyormuyuz?Bilmiyormuyuz? Bence bilmemizde yarar var. Kabul edeklimki kt niyetli kisiler (malicious) bizlerdendaha bilgili (informative) ve kurnaz (tricky) kisiler. Bu bilgiler bilgisayarimizda, C:\Windows altindatutulmaktadir. Kullanilan Isletim Sistemine (OS, Operating System) ve ne tr sifreler olduklarainabagli olarak ayrinti degismektedir. Win9x ve ME (Milennium Edition) Isletim Sistemin de C:\Windowsaltinda .pwl uzantili dosyalarda, WinNT (Network technology) ve Win2K (Windows2000) Isletim

Sisteminde C:\Windows .samuzantili dosyalarda tutulmaktadir. Ancak burada atlanmamasi gerekenkonu Sabit Diskimizin (HDD) ne kadar blmlendirildigine (partitioned) ve Isletim Sisteminin (OS)hangisinde olduguna bagli olarak durum farklilik arzetmektedir rnegin zellikle Win2K da C:\ yadaD:\ olabilir.

Cpgdelcp.exe (30k). ve benzeri, yada son zamanlarda bana sik sorulan http://www.xbx.rial.net/gip/ veyawww.gip.f2s.com/gip, Rusya adresinden mukim Hacker sitesinden alinmis ve ismi GIP Horse, RemoteMonitoring Tool (GIP, Uzaktan Denetleme ve Izleme Araci) olan UYA kullanilarak, yada olasilikla baziTrk Hacker lar tarafindan bu UYA nin ismi degistirilmis varyatlari olan deve.jpgveya devrim.exedosyalari kullanilarak bazi kiislerin szn ettigimiz bu dosyalari araklanmakta ve bu daosyalar desfireedilerek (decryption) etkin Kullanici Kimlikleri (User IDs) ve Sifreler (Passwords) elde edilmektedir.

Bize ulasan Bulgaristan, Sirbistan, Yugaslavya, ve zellikle Rusya kkenli iletilere karsi daha hassasolalim. nk sz geen bu lkeler virs ve UYA retiminde olduka verimli lkelerdir.

Bazi kisilerin ISP baglantilarinda, ICQ da ICQ UIN Kullanici Kimlikleri (User IDs) ve Sifreleri(Passwords) alinmis (filch, snatch, rip) ve yayinlanmis. Evet son zamanlarda ortalikta dolastirilan GIPSifreler (GIP Passwords) iletisi bu tr bir iletidir.

4.) Evet bu tr iletileri hemen ve kesinlikle silmeliyiz (delete). Yanlislikla asak bile eklentilerini(attachments) ASLA tiklamamaliyiz. Tiklarsak, yukarida anlatilan ve ortalikta dolastirilan listedebizimde bilgilerimiz yer alabilir.


3/4




5.) Gndereni (from, sender) belli olmayan iletiler (emails) yollamak (send) mmkndr. Bu olanagin ikisnedeni yada hakli gerekesi suymus; gnderen bazi hayati nedenler ile taninmasini istememekte yadagizli kalmasinin kendisi ve ailesi iin yararli olacagini dsnmektedir. Bu nasil olur? Su sekildeyapiliyormus; Gnderici email programini kurarken, Hesap Kurulumunda (Account setup) Kimden (From)yada Gnderici (Sender, Name) kismina herhangi bir bilgi girmezmis. Bylece gnderdigi iletilrdeGnderici (Sender, From) kisminda herhangi bir bilgi yer almazmis.

6.) Anonimity siteler kullanilarak yada Anonim Email Servisler zerinde gnderilmis iletiler (emails) hari,diger tm iletileri kimlerin, hangi sunucular zerinden gnderildigini tesbit edebilir ve elde ettigimizbilgilerle ilgili mail adresini [email protected] a bildirebiliriz. Burada rnegini [email protected] yerinde dogal olarak yahoo, msn, hotmail hangi mail servisi kullaniliyorsa o firma ismi

yer alacaktir. Bunu yapmak iin;a. ogunlukla ve genelde herbirimiz mail programimizda kisa baslik seenegini (Brife Header)

kullaniriz. Zaten bu varsayimsal (default) bir seenektir. Bu seenekte sadece Gnderici(sender), Alici (Receiver), Konu (Subject) ve Tarih ve Saat (Date & Time) yer alir,

b. Ama Tam Baslik (Full Header) seeneginde durum farklidir. Grnmeyen gndericinin kullandigitm mail adresleri, sunucular, siteler, DNS isimleri ve IP Numaralari, zamani, mesajin KimlikNumarasi grntlenir.

c. Kullandigimiz email programinin Seenekler (Options) altinda yer alan,d. Ileti Tercihleri (Mail Preferences) seenegini tiklariz,e. Burada asagilarda bir yerde Brief Header / Full Header seenekleri vardir, Full Header

seenegini tiklariz,f. Sayfa sonunda yer alan Kaydet (Save) tiklar, ardindan Tamam (Ok) tiklariz ve ileti sayfasina

dneriz. Simdi ilgili iletiyi tikladigimizda tm ayrintisi ile mesaj dklecektir.g. Elde ettigimiz bu mesaji, hi bir yerine dokunmadan, ilave yapmadan, kullandigimiz mail

servisin [email protected] yollariz.7.) Bu tr iletiler bize telnet ve benzeri programlar kullanilarak degil, bizzat herkesin kullandigi email

servisleri kullanilarak gnderilmektedir.

Yukarida szn ettigim UYA lara (RATs yada TMTs) karsi ok hassas olmaliyiz. Byle bir durumdaoldugumuzu anladigimizda hemen bilgisayarimiza Truva Ati taramasi yaptirip, eger enfekte olmussabundan kurtarma yollarina basvurmali ve kullandigimiz tm Kullandici Kimlik ve Sifrelerimizi hemen

degistirmeliyiz.

UYA (RATs yada RMTs) hakkinda daha ayrintili bilgi iin Internet Gvenlik Grubumuzun Files kisminda yeralan RATs&DoS.Doc Word dosyasina, Spam Mailler ve bunlara karsi nelerin yapilabilecegi konularindadaspammails.doc Word dosyasina basvurulabilir.

Bundan baska ieriginden sphe ettigimiz iletiler ekinde gelen dosya isimleri hakkindahttp://www.symantec.com , http://www.mcafee.comve http://www.ca.comun Virs Merkezlerinden yardim isteyebiliriz.Yada bu tr bilgileri http://www.spamcop.coma ve www.predator-hunter.comadresinde ki Sn. Michael Vaughan, E-mail: [email protected] ,a bildirip bilgi alabiliriz.


4/4




Copyrighted to Erkan Kiraz Bu yazi kaleme alanin izni alinarak yayinlanabilir.(This study may be copied or distributed only with prior consent of its Author.

Prepared By Erkan Kiraz [email protected] 20-29/01/2001)

KAYNAK : http://groups.yahoo.com/group/BilgisayarVeInternetGuvenlik/

Documents

Garip iletiler ve ekteki UYA dosyalari.pdf