Kanald.com.tr Hacklendi…

20:30 sıralarında http://www.kanald.com.tr sitesi bilgisayar korsanları tarafından hacklenerek sayfaya giren ziyaretçiler http://m3ng3nl1.by.ru/birand.html web sayfasına yönlendirildi. Her ne kadar korsanların sayfada yayınladıkları mesaj masum gibi görünsede aslında sayfanın kaynak kodu incelendiğinde heap-spray yöntemi ile yaması güncel olmayan Internet Explorer tarayıcısına sahip olan ziyaretçiler istismar edilmeye yani işletim sistemi ele geçirilmeye çalışılıyordu. İstismar kodunu kayıt edebildim, elimdeki verileri toparlamaya çalışıyorum, imkanım oldukça sizleri bilgilendireceğim. Internet Explorer sürümü güncel olmayanlarınız bu sayfayı ziyaret etti ise büyük tehlike altında olabilirsiniz bu nedenle işletim sisteminiz üzerindeki sıra dışı aktivitelere dikkat etmenizde fayda var…

Güncelleme @01:10: Benden bu kadar kendinizi ve ağınızı korumak istiyorsanız yapmanız gerekenler;

  • 217.23.7.125 IP adresine doğru tüm trafiği yasaklayın ve izlemeye alın.
  • xxx.exe adında işletim sisteminizde bir dosya varsa (MD5 hashi: b597c4a7451a84d94ff421f4ba3c4d6c) silin.
  • windows\system32 klasörü altında a.exe adında bir dosya varsa (MD5 hashi: b597c4a7451a84d94ff421f4ba3c4d6c) silin.
  • [email protected] e-posta adresine giden tüm e-postaları yasaklayın ve izlemeye alın.

Güncelleme @01:00: xxx.exe ve a.exe leetlogger adında bir tuş kayıt (keylogger) programı ve tuş kayıtlarını [email protected] e-posta adresine gönderiyor, dikkat!

Güncelleme @00:42: Istismar kodu http://217.23.7.125/xxx.exe dosyasını indirip çalıştırıyor ve daha sonra kendisini system32 klasörü altında a.exe adı altında saklıyor, dikkat!

Güncelleme @00:30: İstismar kodunun online analiz sonucu
Kanald Hacked

Güncelleme @00:09: İstismar edilen güvenlik zafiyeti tespit edildi – MS10-018

Hedef IE sürümleri:

  • Microsoft Internet Explorer 7, Windows Vista SP2
  • Microsoft Internet Explorer 7, Windows XP SP3
  • Microsoft Internet Explorer 6, Windows XP SP3

Güncelleme @22:01: Korsanlar kanald.com.tr sayfasının kaynak koduna aşağıdaki satırı eklemişler.
Kanald Hacked

Korsanların yönlendirdiği sayfa:
Kanald Hacked

Sayfanın IP adresi:
Kanald Hacked

Host IPS alarmı:
Kanald Hacked

Internet Explorer istismar kodu:
Kanald Hacked

image_pdfShow this post in PDF formatimage_printPrint this page
10 comments
  1. çok gülünç bir durum :) tamam belki aktivist olabilirsin, deface yapmak hoşuna gidiyordur, illegal vs.. olabilir ama bu tamamen amaçsız birşey, yazdıkları şeylerin gerçek amaçları olduğunada inanmıyorum sadece hava atma/piyasa yapma peşindeler bence. zaten Türkiye’de gerçek bir underground hacking ortamı yok “bence”.

  2. İşte bu Açıklama Gerçekten Süper Tebrik Ediyorum En İnce Detaylarına Kadar girmişsin,

Leave a Reply

Your email address will not be published. Required fields are marked *

You May Also Like
Read More

e-Devlet Hesaplarımızı Nasıl Hackliyorlar?

If you are looking for an English version of this article, please visit here. Başlangıç 25 Ekim 2023 günü saat 11:46’da e-Devlet uygulamasından ve e-posta adresime gelen uyarılardan e-Devlet Kapısı hesabıma üst üste birden fazla defa yanlış parola ile giriş yapılmaya çalışıldığı için hesabımın bir saatliğine geçici olarak kullanıma kapatıldığını…
Read More
Read More

WhatsApp Dolandırıcıları

If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
Read More
Read More

SIM Kart Dolandırıcılığı ile Mücadele

If you are looking for an English version of this article, please visit here. Günümüzde, kullandığımız e-posta hesabından sosyal medya hesabına, internet bankacılığı hesabından geliştirdiğimiz yazılımın kaynak kodunu barındırdığımız hesaba kadar giriş (login) esnasında güvenliğimiz için iki faktörlü kimlik doğrulama kullanıyoruz veya kullanmaya zorlanıyoruz. İki faktörlü kimlik doğrulama denildiğinde son…
Read More
Read More

e-Devlet Hacklendi mi?

If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
Read More
Read More

Operasyon Güvenliği (OPSEC)

If you are looking for an English version of this article, please visit here. Sosyal medyada, ağlarda siber güvenlik uzmanlarını takip ettiğinizde veya siber güvenlik ile ilgili sunumlara göz attığınızda kimi zaman “OPSEC FAIL” şeklinde ibarelere rastlarsınız. Buralarda çoğunluklukla APT grupları tarafından ve/veya zararlı yazılım geliştiricileri tarafından yapılan önemli operasyonel…
Read More