Kanald.com.tr Hacklendi…

20:30 sıralarında http://www.kanald.com.tr sitesi bilgisayar korsanları tarafından hacklenerek sayfaya giren ziyaretçiler http://m3ng3nl1.by.ru/birand.html web sayfasına yönlendirildi. Her ne kadar korsanların sayfada yayınladıkları mesaj masum gibi görünsede aslında sayfanın kaynak kodu incelendiğinde heap-spray yöntemi ile yaması güncel olmayan Internet Explorer tarayıcısına sahip olan ziyaretçiler istismar edilmeye yani işletim sistemi ele geçirilmeye çalışılıyordu. İstismar kodunu kayıt edebildim, elimdeki verileri toparlamaya çalışıyorum, imkanım oldukça sizleri bilgilendireceğim. Internet Explorer sürümü güncel olmayanlarınız bu sayfayı ziyaret etti ise büyük tehlike altında olabilirsiniz bu nedenle işletim sisteminiz üzerindeki sıra dışı aktivitelere dikkat etmenizde fayda var…

Güncelleme @01:10: Benden bu kadar kendinizi ve ağınızı korumak istiyorsanız yapmanız gerekenler;

  • 217.23.7.125 IP adresine doğru tüm trafiği yasaklayın ve izlemeye alın.
  • xxx.exe adında işletim sisteminizde bir dosya varsa (MD5 hashi: b597c4a7451a84d94ff421f4ba3c4d6c) silin.
  • windows\system32 klasörü altında a.exe adında bir dosya varsa (MD5 hashi: b597c4a7451a84d94ff421f4ba3c4d6c) silin.
  • [email protected] e-posta adresine giden tüm e-postaları yasaklayın ve izlemeye alın.

Güncelleme @01:00: xxx.exe ve a.exe leetlogger adında bir tuş kayıt (keylogger) programı ve tuş kayıtlarını [email protected] e-posta adresine gönderiyor, dikkat!

Güncelleme @00:42: Istismar kodu http://217.23.7.125/xxx.exe dosyasını indirip çalıştırıyor ve daha sonra kendisini system32 klasörü altında a.exe adı altında saklıyor, dikkat!

Güncelleme @00:30: İstismar kodunun online analiz sonucu
Kanald Hacked

Güncelleme @00:09: İstismar edilen güvenlik zafiyeti tespit edildi – MS10-018

Hedef IE sürümleri:

  • Microsoft Internet Explorer 7, Windows Vista SP2
  • Microsoft Internet Explorer 7, Windows XP SP3
  • Microsoft Internet Explorer 6, Windows XP SP3

Güncelleme @22:01: Korsanlar kanald.com.tr sayfasının kaynak koduna aşağıdaki satırı eklemişler.
Kanald Hacked

Korsanların yönlendirdiği sayfa:
Kanald Hacked

Sayfanın IP adresi:
Kanald Hacked

Host IPS alarmı:
Kanald Hacked

Internet Explorer istismar kodu:
Kanald Hacked

image_pdfShow this post in PDF formatimage_printPrint this page
10 comments
  1. çok gülünç bir durum :) tamam belki aktivist olabilirsin, deface yapmak hoşuna gidiyordur, illegal vs.. olabilir ama bu tamamen amaçsız birşey, yazdıkları şeylerin gerçek amaçları olduğunada inanmıyorum sadece hava atma/piyasa yapma peşindeler bence. zaten Türkiye’de gerçek bir underground hacking ortamı yok “bence”.

  2. İşte bu Açıklama Gerçekten Süper Tebrik Ediyorum En İnce Detaylarına Kadar girmişsin,

Leave a Reply

Your email address will not be published. Required fields are marked *

You May Also Like
Read More

e-Devlet Hacklendi mi?

If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
Read More
Read More

WhatsApp Dolandırıcıları

If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
Read More
Read More

LinkedIn Dolandırıcıları

If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
Read More
Read More

Bad Bad USB

If you are looking for an English version of this article, please visit here. Her yıl, Ağustos ayında, ABD’nin Las Vegas kentinde düzenlenen geleneksel Black Hat Bilgi Güvenliği Konferansı‘nın sonuncusunda, Karsten NOHL ve Jakob LELL adındaki iki araştırmacı, BadUSB adında dikkat çekici bir sunuma imza attı. Bu sunumda kısaca, USB’de…
Read More