Sosyal Mühendislik ve Zombi Bilgisayarlar: Sistemler Nasıl Ele Geçirilir?

Sosyal Mühendislik ve Zombi Bilgisayarlar: Sistemler Nasıl Ele Geçirilir?

10325
Sosyal mühendislik uygulamalarıyla bilgisayarlar zombi hale getiriliyor

Son yıllarda hızla artan ve etkisini büyüten siber saldırılarda kullanılan en büyük silah elbette ki zombi bilgisayarlar. Binlerce, hatta milyonlarca sistemi ele geçiren saldırganların, bu sistemleri aynı anda kullanarak yaptıkları saldırılar son derece zararlı ve yıkıcı olabiliyor. Bu yazımızda, saldırganların sistemleri hangi yöntemlerle ele geçirdiğini, buna yönelik hazırladığımız saldırı uygulamasını, sosyal mühendislik ve bu tür saldırılardan korunma yollarını anlatmaya çalışacağız.

Zombiye Dönüşen Sistemler

Zararlı bir yazılımın (virüs, trojan, malware vs.) bir sisteme bulaştırılması sonrasında, yazılım arka planda çalışır ve sistemin internet bağlantısını kullanır. Sistem kullanıcıları bunun farkına bile varmazlar. İşte zombi sistemler bu şekilde ortaya çıkar.

1-zombie
Zombi bilgisayarlar kullanıcılarından habersiz işlemler yürütür

Bilgisayar yerine sitem kelimesini tercih ediyoruz, çünkü artık bilgisayarlarımız haricinde cep telefonlarımız, tabletlerimiz, akıllı saatlerimiz ve akıllı gözlüklerimiz bile bu saldırılara maruz kalabiliyor. Hatta küresel çapta geçtiğimiz aylarda yaşanan DDoS saldırısında, akıllı ev aletlerinin kullanılmış olması, zombi bilgisayarlar ifadesinin zombi sistemlere nasıl dönüştüğünü gözler önüne seriyor.

Elbette mobil cihazlarımız ve bilgisayarlarımıza kendi hatalarımız doğrultusunda indirdiğimiz dosyaların buna sebep olduğu bir gerçek; ancak sistemdeki açıklar nedeniyle akıllı cihazların ve bilgisayarların ele geçirilmesi de mümkün.

Sistemlere bulaştırdıkları yazılım aracılığıyla kendi amacı doğrultusunda sistemi kullanan siber saldırganlar, cihazların kendi internet bağlantılarını saldırılarda kullandığından, sorumluluğu da bir nevi sistem sahiplerinin üzerine atmış oluyor.

Zombi Bilgisayar Ağları: Botnetler

Yüzlerce ve daha fazla sistemi ele geçiren saldırganların, bu zombi sistemleri bir araya getirdiği ağlara botnet diyoruz.

2botnet
Botnet kullanan bir siber saldırgan

Botnet’in sahibi siber saldırgan, kuruduğu bu ağı dünyanın herhangi bir yerinden kontrol edebiliyor. Hatta bu tür ağları kullanmak için yazılan pek çok yazılım da var.

Çoğunlukla ev kullanıcılarını hedef alarak kolay yoldan kurulan botnetlerin pazarlandığı ortamlar bile var. Zombi sayısına göre çeşitli fiyatlardan kiralanan botnetler başta DDoS olmak üzere pek çok saldırıda kullanılıyor. “Deep Web” olarak bilenen ve herkesin ulaşamadığı ağlarda yer alan forum sitelerinde zombi sistemlerin kiralandığına şahit oluyoruz.

3deepweb
İllegal pek çok işin döndüğü “deep web” botnet piyasasına da sahip

Zararlı Yazılımlar Cihazlarımıza Nasıl Bulaşıyor?

Oldukça fazla yöntem var. Bu yöntemlerden en önemlilerine değinmeye çalışalım.

Sosyal Mühendislik

Sosyal mühendislik, insanların zafiyetlerini kullanarak çeşitli ikna ve aldatma yöntemleriyle istenilen bilgileri elde etmeye çalışmaktır.

Sistemlerini güvence altına almaya çalışan pek çok kişi/kuruluş, teknik önlemlerden önce insan zafiyetine odaklanarak bu yönde önlemler almalıdır. Bilgi güvenliğinin en zayıf halkası elbette insan faktörüdür.

4social-engineering
Sosyal mühendislik, insanları zaaflarını kullanarak manipüle etmektir.

Neden insanoğlunu bu kadar küçümsedik? Çünkü gerçekten de neredeyse hiçbir zafiyeti olmayan sistemlere erişebilmek için, sistem kullanıcılarını baştan çıkarmak yeterli.

Örneğin, tüm güncellemeleri yapılmış, firewall kullanan, güncel ve etkili bir antivirüs kullanan bir sisteme bulaştırılacak zararlı yazılım için, herhangi bir konuda zafiyeti olan sistem kullanıcısına gönderilecek e-posta, sosyal medya ya da film/dizi sitelerinden verilecek bir bağlantı (link) kullanıcıyı cezbedecek ve zararlı yazılım sisteme entegre edilecektir.

İşte kullanıcıyı çeşitli yöntemlerle kandırıp sistemden istediğini alma işlemine sosyal mühendislik diyoruz.

Sosyal mühendislik uygulamalarını iki şekilde kategorize edebiliriz:

  • İnsan odaklı sosyal mühendislik
  • Bilgisayar tabanlı sosyal mühendislik
İnsan odaklı sosyal mühendislik

İnsan odaklı sosyal mühendislik uygulamalarında, yukarıda izah ettiğimiz şekilde, sistem kullanıcısı uzaktan takip edilir, sosyal ağ hesapları incelenir ve elde edilen bilgiler değerlendirilerek kullanıcı ile irtibata geçilir. Bunun dışında, bir şirkete o şirketin çalışanıymış gibi girilerek herhangi bir sisteme direkt ulaşılmaya çalışılabilir. Hatta, telefon yolu ile sistem sorumlusu biriymiş gibi personel aranarak, personele ait bilgiler elde edilebilir.

Örneğin, sosyal medya hesaplarından bir müzik grubunun hayranı olduğu belirlenen kullanıcıya, müzik grubunun sosyal medya hesabından gelmiş gibi gösterilecek e-posta ya da direkt mesaj ile bir bağlantıya tıklaması sağlanabilir. Ücretsiz konser bileti ya da hayran topluluğuna davetiye gibi görünen PDF veya JPEG dosyasını açması sağlanarak sisteme zararlı yazılım entegre edilebilir.

5phising
“Phising” yöntemiyle pek çok kişi sosyal mühendislik ağına düşmektedir.
Bilgisayar temelli sosyal mühendislik

Bilgisayar temelli sosyal mühendislik uygulamalarında ise, toplu taramalarla bilgi toplanmaya çalışılır. Toplu gönderilen e-postalarda yer alan bağlantılar veya eklerin tıklanması sağlanabilir. Bunu sağlamak için e-postanın popüler bir telekomünikasyon ya da kablolu TV şirketinden gelen fatura olduğu izlenimi yaratılabilir. Benzer şekilde bu bağlantılar Twitter, Facebook, Linkedin ve Instagram gibi popüler sosyal medya hesaplarından da gönderilebilir. Günümüzde iyi kamufle edilmiş yığın şekilde gönderilen bu bağlantılara erişim sağlayan kullanıcı sayısı azımsanmayacak kadar çoktur.

6socialmedia
Sosyal medyadan toplu gönderilen link içeren mesajlar da aynı amacı taşıyor

Nitekim haberlere yansıyan ünlü sanatçı, gazeteci ya da siyasetçilere ait sızan bilgilerin elde edilme yöntemlerinden biri de budur. Bu sızıntılar haricinde, ele geçirilen sistemler botnet amaçlı kullanılmaktadır.

Bilgisayar temelli sosyal mühendislik çalışmalarından biri de içeriden yapılan saldırılardır. Bir şirkete ait ağa içeriden erişebilen art niyetli kullanıcı, MITM ya da çeşitli bilgi toplama araçlarını kullanarak zafiyet tespit ettiği sistemlere zararlı yazılım gönderebilir. Bu şekilde aslında bir taşla koca bir şirketin tüm kuşlarını vurmuş olabilir.

Zararlı Yazılımların Petri Kabı: Crack Programları

Lisanslı ve ücretli pek çok uygulamayı kullanmak isteyen, ancak bunlar için hiçbir ücret ödemek istemeyen kullanıcılar genelde bu yazılımlar için “crack” adı verilen programları kullanırlar. Uygulamaya ait doğrulama yöntemlerini atlatmaya yarayan bu “crack” programları da zararlı yazılımların en sevdiği ortamdır.

7crack
Pek çok “crack” programı aynı zamanda zararlı yazılım taşıyor

İşletim sitemlerinden cep telefonu uygulamalarına kadar pek çok ücretli ürün için hazırlanmış bu programlar, sisteme kurulurken beraberinde zararlı yazılım içeren kodları da sisteme entegre ederler. Bazen “crack” programlarının kurulum bilgilendirmelerinde, sistemin antivirüs programının mutlaka kapatılması da istenir. İyi niyetli (?) olsun olmasın, “crack” programlarının büyük bölümünün zararlı yazılımları dağıtma amacı taşıdığı düşünülebilir.

Paylaşımcı Neslin Özgür Ortamları: Torrent ve Download Siteleri

Basit bir ders notundan, çok satan kitaplara; ev yapımı bir müzik parçasından en çok izlenen Blu-Ray filmlere kadar hemen her türlü dijital nesnenin paylaşımının yapıldığı torrent ve çeşitli download siteleri de zararlı yazılımların cirit attığı ortamlardan biri.

8torrent
Torrent siteleri pek çok içeriğe ulaştırsa da zararlı yazılımlar cirit atıyor

Bazı kullanıcıları bugüne kadar zarar görmemiş olsa bile, özellikle güvenilirliği olmayan bu tür internet sitelerinde yer alan reklamların yönlendirdiği linkler ve sıkıştırılmış dosya içerisinde yer alan bir dijital nesne kullanıcıyı zararlı yazılımlarla muhatap edebilir. İndirdiğini zannettiği film, müzik ya da PDF dosyası sistemin ele geçirilmesini sağlayabilir.

Aksiyon Zamanı: Antivirüsü Atlatıp Windows 10’u Ele Geçiriyoruz

Yukarıda anlattığımız usullerden biri kullanılarak bir sisteme (özelikle vurgulamak gerekir, sistem güncel ve antivirüs kullandığı halde) gönderilen zararlı yazılımın çalıştırılması sonrası sistemin nasıl ele geçirildiğini göstermek istediğimiz video çalışmasını sunacağız.

Öncelikle, videoda anlatılan olayları özetlemekle başlayalım:

Kali Linux 2016.2 kullanan bir saldırgan, Windows sistemlerinde yer alan genel bir açık üzerinden (reverse_tcp) veri sağlayacak “Exploit”i bir şekilde şifreleyerek (encoding), “C” diliyle yazdığı bir kod yığınına (script) gömüyor ve C kodunu Windows ortamında çalışabilir hale getirip ele geçirilmesi istenen kullanıcıya gönderiyor. Kullanıcının programı herhangi bir yöntemle aldığını ve çalıştırdığını kabul ediyoruz.

9kali
Kali Linux 2016.2 oldukça fazla güvenlik yazılımını bir arada sunuyor

Normalde dışarıdan gelen bağlantı istekleri bir porta geldiği zaman, sistem bunu güvenilmez bularak bloklar. Ancak saldırganın oluşturduğu yazılım, bağlantı isteğini dışarıdan değil, içeriden yaptığı için sistem bunu engellemeyecek, kullanıcının isteğini yerine getirecektir.

Hazırlanan exploit ile saldırganın IP numarasına ve 4444 numaralı porta zararlı yazılım tarafından gelecek olan bağlantı isteği, 4444 numaralı portu dinleyen Armitage yazılımı tarafından kabul edilecek ve sistem ele geçirilecektir.

Uygulamada;

  • Kali Linux 2016.2
  • C kodunu yazmak için basit bir metin düzenleyici,
  • Exploit’i şifrelemek (encode) için “unicorn.py” aracı (Python ile yazılmış basit bir script)
  • Exploit’in gömüldüğü C kodunu derlemek için “mingw” adlı derleyici
  • Sosyal mühendislik becerileri
  • Armitage

kullanılması yeterlidir.

10armitage
Exploit işlemleri için Armitage oldukça kullanışlı ve görsel

Bu tür exploit kullanımları genelde Metasploit Framework (MSF) kullanılarak gerçekleştirilebilir. Ancak Armitage’ın içerdiği görsel kullanım oldukça kolaylık sağlıyor.

Uygulamamızı izleyerek birkaç konuya temas edelim:

Antivirüsü atlatan zararlı yazılım

Videoda görüldüğü gibi, zararlı yazılım güncel bir antivirüs tarafından tarandığı halde temiz görünüyor. Biz bu zararlı kod yığınımızı https://www.virustotal.com adlı ve içerisinde onlarca antivirüs programı barındıran test ortamında da tarattık.

Test sonucunda 56 antivirüs programından sadece 5 tanesi bu yazılımın zararlı olabileceğini tespit etti. Yani %90 küsür ihtimalle yazılımımız bir antivirüse takılmayacaktır.

Kendi oluşturduğumuz zararlı kod içeren yazılım neredeyse tüm antivirüs testlerinden geçti
Kendi oluşturduğumuz zararlı kod neredeyse tüm antivirüs testlerinden geçti

Buradaki antivirüs atlatma olayına “Antivirus ByPass” denmektedir. Sisteme zarar verecek olan kod yığını encode edildiği için çoğu antivirüs bunu görememektedir.

Armitage’a gelen bağlantı sonrası Windows 10 kullanan bilgisayara erişen saldırgan, masaüstünü canlı olarak görebiliyor. İstediği zaman dilimlerinde “screenshot” alabiliyor. Bilgisayarın tüm dizinlerinde gezinip istediği dosyaları indirebiliyor ve istediği dosyayı karşı bilgisayara yükleyebiliyor. Ele geçirilen sistemin internet bağlantısı dahil tüm kaynakları kullanılabiliyor.

Zombi Olmaktan Sistemimi Nasıl Korurum?

Öncelikle bu konu hakkında Teknopusula’da yazılan bir yazımızı okuyabilirsiniz (DDoS Saldırı Araçları ve Korunma Yöntemleri).

Bunu dışında;

  • Sisteminize ait işletim sistemlerini her zaman güncel tutun. Sistem güncel olursa, sistemden kaynaklanan saldırılardan kurtulmuş olursunuz.
  • Güncel ve etkili bir antivirüs kullanın.
  • Firewall kullanın (yazılım veya ihtiyaca göre donanım).
  • İşletim sistemi ve yazılımlarınızı her zaman orijinal lisanslı kullanın (crack türü şeylerden uzak durun, lisanslı olması ücretli anlamına gelmez, ücretsiz açık kaynak kodlu da kullanabilirsiniz).
  • Sosyal medya hesaplarından herhangi bir adla kandırmaya yönelik gelen mesajları ve bağlantıları görmezden gelin, gelen bağlantılara tıklamayın, tıkladıysanız sizi yönlendirdiği programı indirmeyin.
  • Tanımadığınız e-posta eklerini ve bağlantılarını açmayın, gelen ekleri bilgisayarınıza indirip çalıştırmayın.
  • Tanıdığınız kişilerden gelen şüpheli dosyaları açmayın. Tanıdığınız kişinin sistemi ele geçirilmiş ve sistem üzerinden size de zararlı yazılım gönderilmek isteniyor olabilir. Tanıdığınız kişi ile irtibata geçerek içeriği teyit edin ve uyarın.
  • Sosyal mühendislik saldırılarına karşı (paranoyak olmadan) tetikte olun.
  • Belirli aralıklarla sisteminizi zararlı yazılımlara karşı gerekirse farklı programlarla taratın.

Tüm bu adımlara dikkat edildiği halde elbette %100 güvende olacağınızı söyleyemeyiz, ancak çoğunlukla kendinizi koruyabileceğinizi söyleyebiliriz.

BİR CEVAP BIRAK