- 13 Şub 2016
- 2,518
- 1,344
Merhaba dostlar bu konuda sizlere 0day exploit kavramı hakkında kafanızda net bir bakış açısı oluşturmaya çalışacağım.
Bildiğiniz üzere Exploit kavramı bir sistemin zaafiyetinin sömürülmesi anlamına gelmekte ve exploitlerin çeşitleri bulunmakta.
0day , Remote , Local Şeklinde 3 gruba ayırmaktayız exploitleri.
Remote exploitler uzaktan yapılabilen sömürülmelere denilir.
Local exploitler sistem içerisinde sizin yetkinizi arttırmaya yaran exploitlerdir.
0day exploitler ise bulunan bir zaafiyetin internete yüklenmesi sonucu birçok saldırganın o zaafiyeti sömürmesidir.
Adım adım şu şekilde anlatabiliriz.
Sistemde veya uygulamada öncelikle zaafiyet tespiti yapılır.
Zaafiyet testip aşamasından sonra zaafiyete uygun exploit yazılır.
Exploit ücretli veya ücretsiz bir biçimde internete yüklenir.
Uygulamanın veya sistemin yöneticisi bu exploitin verdiği hasarların farkına varır ve zaafiyeti kapatarak sistemini veya uygulamasına güncelleştirme paketi ekler.Bu şekilde exploit artık etkisiz hale gelmiştir.
Adımlar yukarıdaki şekilde işler.Yani bir zaafiyet bulunduğu vakit şahıs bunun önem derecesinde göre bunu ücretlendirebilir ve diğer korsanların satışına sunabilir.Kafanızın karışmaması açısından 0day ismiyle özdeşmiş olan o popüler sitede birçok dolandırıcılık olayı yaşanmıştır.0day kavramı o siteden ayrı tutulmalıdır.
Satışa sunulmayan exploitler ise yaygın olarak exploit-db , cxsecurity gibi insanların exploitlerini yayınladığı ortak platformlarda paylaşılır ve bu zaafiyet birçok kişi tarafından hızlıca sömürülür.
0day exploitlerin önemi günümüzde büyüktür. Örnek vermek gerekirse 2017'de wordpress 4.7.0 ve 4.7.1 sürümlerinde yayımlanan content injection exploiti ile wordpress websitelerinde adminlerin girdiği içerikleri admin olmadan girebilme zaafiyeti bulunmuştu.Örnek exploitin sonucu şu şekildeydi.
67.000 websitesi sadece exploiti yazan kişi tarafından hacklenmiştir ki exploit çok kısa süre içerisinde yayınlanıp ve başkaları tarafından geliştirilip otomatik bir araca dönüşmüştür. Bizde zamanında payımıza düşeni almıştık tabi
Bu sebeple 0day exploitler hack faaliyeti gerçekleştiren insanlar tarafından takip edilmeli , değerlendirilmeli ve geliştirilmelidir.
0day exploitlerinin etkisinin yüksek olmasının bir diğer sebebide yayımlanan exploitler geliştirilmeye ve düzenlenmeye çok müsaittir çünkü komplike ve yoğun modül yapıları ile çalışmazlar.Yukarıda verilen örnekte content injection exploiti sadece hedef websitesini hacklemek için paylaşıldı ancak bundan saatler sonra bu işlemi toplu şekilde hedef listenizi tarayıp yapabilen birçok araç geliştirildi.Bu sayede 67.000 le başlayan sayılar zone-h'ın bir süre yoğun notify alması sebebi ile dahi bant genişliğini karşılayamamasından kısa bir süre kapanmasına neden oldu.
Bu exploitlerin güncelken takip edilmesi önemli bir husustur.Vakti geçmiş exploit güncel olduğu halinden etkisini dahada yitirecektir.Yapılan araştırmalar sistemde bulunan exploitlerin 0day olduktan sonra ortalama 28 gün içerisinde zaafiyetin ortadan kaldırıldığını söylemekte.Bu tabi ki sistemin zaafiyetini kapatacak kişinin bu işi ne kadar ertelediğine göre her hedefte değişkenlik gösterecektir.Ancak şöyle bir durum var ki zaafiyeti ortadan kaldıran yeni paket yayınlandığı zaman bu paketi kullanıcıların çoğu indirmemiş olabilmekte.Bu sebeple eski 0day exploitler dahi günümüzde değerlendirilebilmektedir.
0day exploit satışları dark webten veya yeraltı forumlarında dönmektedir. Yükleyen şahıslar genellikle ya sürekli bu satışı yapan bir gruptur yada bu satışın yapıldığı ortamda kendi exploitini satmak isteyen şahıstır.İlk seçenekte gruplar bunları şahıslara hiçbir güven ortamı olmadan satar ki birçok dolandırıcılık örneği bu şekilde yaşanabilir.Örnek veriyorum elimde instagram şifre sıfırlama exploiti var ve ben bunu 10.000$'a kendi web sitemde insanların kripto para ile satın alabilmesi için yayınladım.Bu durumda alacak kişilerin exploit ve ücret hakkında hiçbir güvencesi bulunmaz ve asıl dolandırıcılık olayı bu şekilde yaşanır. Diğer satış yönteminde ise bir escrow yani aracı ortaya konulur ve aracı ücreti güvende tutar.Teslim edilip çalıştığı takdirde ücret satıcıya verilir.
Peki 0day exploit satın alınır mı ?
0day exploitlerin satıldığı , ticaretinin döndüğü ortamlar güvenilir değildir. Yapmanız gereken exploit satın almak yerine exploit keşfetmektir.Zaten ücretsiz yayınlanan exploitleride kendiniz geliştirebilir ve değerlendirebilirsiniz.Ben hiç satın almadım tavsiyede etmiyorum.4000$ verip parası boşa giden insanlar gördüm.Public yani ücretsiz şekilde herkesin erişimine sunulmuş 0day exploitleride işinize yarayacaktır.
Public 0day exploitlerin bir çoğunda dork yok. Biz mi yazacağız ?
Exploit kavramında dork olması şart değildir.Sadece tek bir sisteme uygulanmış exploit dahi o sitelerde yayınlanabilir ve haliyle bunların dorkuda olmayacaktır.Peki örneğin joomla gibi yaygın bir altyapı için bir exploit gördüğümüzü ancak bunun dorkunun olmadığını gördük.Bu durumda ise dorku kendimiz exploitin zaafiyeti nasıl sömürdüğü senaryosuna bakarak elde edeceğiz.
Örnek verecek olursak
"/index.php?option=com_gmapfp&controller=editlieux&tmpl=component&task=edit_upload"
Bu exploit Joomla'nın Component GMapFP J3.5/J3.5F versiyonlarında çalışan çok basit bir html upload exploitidir.Elimizde bunun dorkunun olmadığını varsayarak exploiti incelediğimizde urlde "com_gmapfp" içeriğini görüyoruz. Bu demektir ki bu urlyi içeren websitelerinde bu zaafiyeti değerlendirebiliriz.Böylece inurl:com_gmapfp ile dorkumuzu yazdığımız zaman 0day exploitimize ait dorku elde etmiş olduk.Basitçe bu şekilde anlatabilirim. Senaryolar exploite göre değişkenlik gösterebilmekte.
Şöyle bir konuda var ki her 0day exploitin mükemmel olmadığı gerçeği.Çok az kullanılan bir scriptin sql injection veya reflected xss zaafiyeti dahi bu sitelerde yayınlanabilmekte. Büyüğü küçüğü olmaz şeklinde birçok zaafiyet sürekli yüklenmekte.Sizin hangi exploitin işinize yarayabileceğini sizler exploite uygun aramalar yaparak kendiniz bulmanız gerekmektedir.Yukarıda anlattığım şekilde hedef yelpazenisin genişliğini öğrenmeniz gerekebilir.
0day exploitleri daha detaylı güncel şekilde takip etmek , bunları değerlendirmek isteyen arkadaşlara tavsiyem ise Cyber Star League projesinde verilen eğitime katılmalarıdır. Bu konu hakkında eğitimimiz ve örneklendirmelerimiz bolca olacaktır.
Bu konuda 0day exploitler hakkında bildiğim şeyleri size farklı bir bakış açısından anlatmaya çalıştım.Herkese iyi forumlar.
Bildiğiniz üzere Exploit kavramı bir sistemin zaafiyetinin sömürülmesi anlamına gelmekte ve exploitlerin çeşitleri bulunmakta.
0day , Remote , Local Şeklinde 3 gruba ayırmaktayız exploitleri.
Remote exploitler uzaktan yapılabilen sömürülmelere denilir.
Local exploitler sistem içerisinde sizin yetkinizi arttırmaya yaran exploitlerdir.
0day exploitler ise bulunan bir zaafiyetin internete yüklenmesi sonucu birçok saldırganın o zaafiyeti sömürmesidir.
Adım adım şu şekilde anlatabiliriz.
Sistemde veya uygulamada öncelikle zaafiyet tespiti yapılır.
Zaafiyet testip aşamasından sonra zaafiyete uygun exploit yazılır.
Exploit ücretli veya ücretsiz bir biçimde internete yüklenir.
Uygulamanın veya sistemin yöneticisi bu exploitin verdiği hasarların farkına varır ve zaafiyeti kapatarak sistemini veya uygulamasına güncelleştirme paketi ekler.Bu şekilde exploit artık etkisiz hale gelmiştir.
Adımlar yukarıdaki şekilde işler.Yani bir zaafiyet bulunduğu vakit şahıs bunun önem derecesinde göre bunu ücretlendirebilir ve diğer korsanların satışına sunabilir.Kafanızın karışmaması açısından 0day ismiyle özdeşmiş olan o popüler sitede birçok dolandırıcılık olayı yaşanmıştır.0day kavramı o siteden ayrı tutulmalıdır.
Satışa sunulmayan exploitler ise yaygın olarak exploit-db , cxsecurity gibi insanların exploitlerini yayınladığı ortak platformlarda paylaşılır ve bu zaafiyet birçok kişi tarafından hızlıca sömürülür.
0day exploitlerin önemi günümüzde büyüktür. Örnek vermek gerekirse 2017'de wordpress 4.7.0 ve 4.7.1 sürümlerinde yayımlanan content injection exploiti ile wordpress websitelerinde adminlerin girdiği içerikleri admin olmadan girebilme zaafiyeti bulunmuştu.Örnek exploitin sonucu şu şekildeydi.
67.000 websitesi sadece exploiti yazan kişi tarafından hacklenmiştir ki exploit çok kısa süre içerisinde yayınlanıp ve başkaları tarafından geliştirilip otomatik bir araca dönüşmüştür. Bizde zamanında payımıza düşeni almıştık tabi
Bu sebeple 0day exploitler hack faaliyeti gerçekleştiren insanlar tarafından takip edilmeli , değerlendirilmeli ve geliştirilmelidir.
0day exploitlerinin etkisinin yüksek olmasının bir diğer sebebide yayımlanan exploitler geliştirilmeye ve düzenlenmeye çok müsaittir çünkü komplike ve yoğun modül yapıları ile çalışmazlar.Yukarıda verilen örnekte content injection exploiti sadece hedef websitesini hacklemek için paylaşıldı ancak bundan saatler sonra bu işlemi toplu şekilde hedef listenizi tarayıp yapabilen birçok araç geliştirildi.Bu sayede 67.000 le başlayan sayılar zone-h'ın bir süre yoğun notify alması sebebi ile dahi bant genişliğini karşılayamamasından kısa bir süre kapanmasına neden oldu.
Bu exploitlerin güncelken takip edilmesi önemli bir husustur.Vakti geçmiş exploit güncel olduğu halinden etkisini dahada yitirecektir.Yapılan araştırmalar sistemde bulunan exploitlerin 0day olduktan sonra ortalama 28 gün içerisinde zaafiyetin ortadan kaldırıldığını söylemekte.Bu tabi ki sistemin zaafiyetini kapatacak kişinin bu işi ne kadar ertelediğine göre her hedefte değişkenlik gösterecektir.Ancak şöyle bir durum var ki zaafiyeti ortadan kaldıran yeni paket yayınlandığı zaman bu paketi kullanıcıların çoğu indirmemiş olabilmekte.Bu sebeple eski 0day exploitler dahi günümüzde değerlendirilebilmektedir.
0day exploit satışları dark webten veya yeraltı forumlarında dönmektedir. Yükleyen şahıslar genellikle ya sürekli bu satışı yapan bir gruptur yada bu satışın yapıldığı ortamda kendi exploitini satmak isteyen şahıstır.İlk seçenekte gruplar bunları şahıslara hiçbir güven ortamı olmadan satar ki birçok dolandırıcılık örneği bu şekilde yaşanabilir.Örnek veriyorum elimde instagram şifre sıfırlama exploiti var ve ben bunu 10.000$'a kendi web sitemde insanların kripto para ile satın alabilmesi için yayınladım.Bu durumda alacak kişilerin exploit ve ücret hakkında hiçbir güvencesi bulunmaz ve asıl dolandırıcılık olayı bu şekilde yaşanır. Diğer satış yönteminde ise bir escrow yani aracı ortaya konulur ve aracı ücreti güvende tutar.Teslim edilip çalıştığı takdirde ücret satıcıya verilir.
Peki 0day exploit satın alınır mı ?
0day exploitlerin satıldığı , ticaretinin döndüğü ortamlar güvenilir değildir. Yapmanız gereken exploit satın almak yerine exploit keşfetmektir.Zaten ücretsiz yayınlanan exploitleride kendiniz geliştirebilir ve değerlendirebilirsiniz.Ben hiç satın almadım tavsiyede etmiyorum.4000$ verip parası boşa giden insanlar gördüm.Public yani ücretsiz şekilde herkesin erişimine sunulmuş 0day exploitleride işinize yarayacaktır.
Public 0day exploitlerin bir çoğunda dork yok. Biz mi yazacağız ?
Exploit kavramında dork olması şart değildir.Sadece tek bir sisteme uygulanmış exploit dahi o sitelerde yayınlanabilir ve haliyle bunların dorkuda olmayacaktır.Peki örneğin joomla gibi yaygın bir altyapı için bir exploit gördüğümüzü ancak bunun dorkunun olmadığını gördük.Bu durumda ise dorku kendimiz exploitin zaafiyeti nasıl sömürdüğü senaryosuna bakarak elde edeceğiz.
Örnek verecek olursak
"/index.php?option=com_gmapfp&controller=editlieux&tmpl=component&task=edit_upload"
Bu exploit Joomla'nın Component GMapFP J3.5/J3.5F versiyonlarında çalışan çok basit bir html upload exploitidir.Elimizde bunun dorkunun olmadığını varsayarak exploiti incelediğimizde urlde "com_gmapfp" içeriğini görüyoruz. Bu demektir ki bu urlyi içeren websitelerinde bu zaafiyeti değerlendirebiliriz.Böylece inurl:com_gmapfp ile dorkumuzu yazdığımız zaman 0day exploitimize ait dorku elde etmiş olduk.Basitçe bu şekilde anlatabilirim. Senaryolar exploite göre değişkenlik gösterebilmekte.
Şöyle bir konuda var ki her 0day exploitin mükemmel olmadığı gerçeği.Çok az kullanılan bir scriptin sql injection veya reflected xss zaafiyeti dahi bu sitelerde yayınlanabilmekte. Büyüğü küçüğü olmaz şeklinde birçok zaafiyet sürekli yüklenmekte.Sizin hangi exploitin işinize yarayabileceğini sizler exploite uygun aramalar yaparak kendiniz bulmanız gerekmektedir.Yukarıda anlattığım şekilde hedef yelpazenisin genişliğini öğrenmeniz gerekebilir.
0day exploitleri daha detaylı güncel şekilde takip etmek , bunları değerlendirmek isteyen arkadaşlara tavsiyem ise Cyber Star League projesinde verilen eğitime katılmalarıdır. Bu konu hakkında eğitimimiz ve örneklendirmelerimiz bolca olacaktır.
Bu konuda 0day exploitler hakkında bildiğim şeyleri size farklı bir bakış açısından anlatmaya çalıştım.Herkese iyi forumlar.
Son düzenleme:
