Binary Planting Nedir?

Ghost Killer

Ghost Killer

Harici Saldırı Timleri Koordinatörü
13 Ocak 2019
11,318
7,706
drsr49v.jpg



Binary Planting Nedir?


Türkçe anlamıyla İkili dikim, saldırganın savunmasız bir uygulamanın yükleyip yürütmesi için yerel veya uzak bir dosya sistemine kötü amaçlı kod içeren bir ikili dosya yerleştirdiği (örneğin, /home) bir saldırı için genel bir terimdir. Bu saldırının gayesi Rat/Trojan atmakla mantık benzerliğine sahiptir.

Örnek olarak bir uygulamanın birebir aynısının virüslenip piyasaya sürülmesi ve bu sayede insanların bunun gerçek olduğunu düşünüp indirmesi verilebilir. Herhangi bir uygulama yüklenirken genellikle bizden dosyalara, kameraya, konum bilgisine vs. izin ister. İzin verildiği takdirde tüm bilgiler uygulamayı yöneten/yapan kişiye iletilmiş olur. Bu tarz virüslerde tamamen komple telefonu ele geçirmek için tüm izinlerin verilmesini ister.

İşte asıl sorun aslında burada başlar. Bunlara dikkat edilmesi gerekir. Veyahut hiç izin istemeyebilir sadece indirme yapılarak da telefon veya indirildiği cihaz tamamen ele geçirebilir. Bu nedenle resmi kaynaklar haricinde herhangi bir yerden indirme yapılmamalı, uygulama virüs total gibi virüs tarayıcılarından taratılmalıdır.

h7fao2l.png


Bu saldırının gerçekleşmesinin çeşitli yolları vardır:

  1. Yerel dizindeki güvenli olmayan erişim izinleri, yerel saldırganın kötü amaçlı ikili dosyayı güvenilir bir konuma yerleştirmesine olanak sağlar. (Tipik bir örnek, uygulama dosyalarını depolamak için kullanılan dizinlerdeki izinleri düzgün yapılandıramayan bir uygulama yükleyicisidir.)
  2. Bir uygulama, başka bir uygulamanın güvenilir konumuna kötü amaçlı bir ikili yerleştirme için kullanılabilir.
  3. Uygulama, büyük olasılıkla uzak dosya sistemlerinde güvenilmeyen konumlarda bir ikili dosya arar. (Tipik bir örnek, ağ paylaşılan klasörüne ayarlandıktan sonra geçerli çalışma dizininden dinamik bağlantı kitaplığı yükleyen bir Windows uygulamasıdır.)
  4. Virüs kendisini resmi bir uygulama olarak (masum olarak) tanıtabilir bu sayede bazı virüs tarayıcılarını atlatabilir.



h7fao2l.png



Güvenli olmayan erişim izinleri tabanlı saldırıya örnek verecek olursak;

Windows uygulama yükleyicisi bir kök dizin () oluşturur ve uygulamayı yükler, ancak ayrıcalıklı olmayan kullanıcılar için dizine yazma erişimini sınırlayamaz.

C:\Application

Uygulamanın () Deneme adlı bir uygulama yüklediğini varsayalım. DLL kitaplığını çağırarak bu kitaplığın Windows System32 klasöründe bulunması beklenir.

C:\Application\App.exeLoadLibrary("DENEME.DLL")

Yerel kullanıcı A, DENEME.DLLC:\Application

Yerel kullanıcı B, kötü amaçlı Deneme adlı yükleyen ve yürüten uygulamayı başlatır. DLL' yerine meşru olanı seçtiğinden dolayı virüslü uygulama cihaza yüklenir.

Ardından virüs cihaza kontrolü sağlar ve saldırgan tarafından istenilen komut gerçekleştirilir.


h7fao2l.png




Yada Whatsapp, Telegram gibi uygulamalar üzerinden zararlı kodlar gönderilmesi, zararlı dosyalar gönderilmesi ve kullanıcının bunu fark edemeyip indirmesi örnek verilebilir.

Kodlara örnek verecek olursak gönderilen zararlı kodu açan kişinin kullandığı uygulamanın tamamen çökmesi ve geri açamaması verilebilir. Bu aynı zamanda bazı telefonları kastıradabilir. Uygulama silinip tekrar yüklenmesi takdirinde bu sorun geçer fakat aynı kod tekrar gönderilir ve kullanıcı yine açarsa aynı sorun devam edebilir.

Bu nedenle yabancı kişilerden gelen mesajlara bakılmaması tavsiye edilir.

Mailden atılan mesajlar ise mailin koruması ile "spam" adlı klasöre düşer ve size uyarı gelir. Kullanıcı virüs olduğunu anlar ve mesajı siler.


go2jl58.jpg



Mail ve SMS Gibi Yollarla Gelen Oltalama İstekleri

Genellikle sms ve mail yollarıyla oltalama (phishing) saldırılarına maruz kalan insan sayısı oldukça fazla ve bu sayı her geçen gün artıyor.

Saldırganlar genelde şu örnek mesajla insanları kandırmaya çalışır;

XXX BANKASI

Merhaba, hesabınızda anormal bir para transferi tespit ettik. Eğer bunu siz yapmadıysanız bu maile yanıt olarak,

Kart numaranız, şifreniz, adresiniz, kimlik numaranız

yazarak gönderiniz. 24 saat içerisinde bilgilerinizi doğrulayarak hesabınızı güvence altına alacağız.

Eğer siz yaptıysanız bu mesajı görmezden gelebilirsiniz. Teşekkürler.

XXX BANKASI | SECURITY

h7fao2l.png






Bu mesajı gören hesap sahibi anlık bir panik ve şüpheli bir durumla beraber bilgilerini mail yoluyla iletir. Saldırganlar gelen bilgiler ile birlikte banka hesabına giriş yaparak hesaptaki paraları alıp ortadan kaybolur. Hesap sahibi durumu anlasa da iş işten geçmiştir. Aynı şekilde saldırganlar yabancı numaralardan da sms gönderebilirler.

Bu ve bunun gibi durumlarda bu tarz mesajlara inanılmaması gerekir.


9agdbn9.jpg



Peki Güvenlik İçin Neler Yapmalıyız?

Her önümüze gelen uygulamayı birşey olmaz niyetiyle indirip cihazımıza kurmamalıyız.

Resmi, onaylanmış bir uygulama olsa dahi tüm izinleri vermemeliyiz.

Crackli, pro sürümlü denilen sahte virüslü uygulamaları indirmemeliyiz.


Virüs total, anti malware gibi programlar ile hedef uygulamayı taratmalıyız.

Doğrulanmış ve herkes tarafından bilinen ve kullanılan uygulamaları indirmeliyiz.

Resmi olmayan uygulamayı ise pek çok kaynaktan güvenilirlik hakkında araştırmalıyız.


Son olarak hesap güvenliği için çift faktör kullanmalı, şifremizi karmaşık ve büyük küçük harfler, rakamlar ve semboller kullanarak uzun tutmalı ve tahmini zorlaştırmalıyız.



h7fao2l.png






Konumuzun sonuna geldik, okuduğunuz için teşekkürler.


iUBacd.gif
 
T

'The Wolf

Kıdemli Üye
22 Nis 2021
4,043
2,565
Tanrı dağı
Ghost Killer' Alıntı:
drsr49v.jpg



Binary Planting Nedir?


Türkçe anlamıyla İkili dikim, saldırganın savunmasız bir uygulamanın yükleyip yürütmesi için yerel veya uzak bir dosya sistemine kötü amaçlı kod içeren bir ikili dosya yerleştirdiği (örneğin, /home) bir saldırı için genel bir terimdir. Bu saldırının gayesi Rat/Trojan atmakla mantık benzerliğine sahiptir.

Örnek olarak bir uygulamanın birebir aynısının virüslenip piyasaya sürülmesi ve bu sayede insanların bunun gerçek olduğunu düşünüp indirmesi verilebilir. Herhangi bir uygulama yüklenirken genellikle bizden dosyalara, kameraya, konum bilgisine vs. izin ister. İzin verildiği takdirde tüm bilgiler uygulamayı yöneten/yapan kişiye iletilmiş olur. Bu tarz virüslerde tamamen komple telefonu ele geçirmek için tüm izinlerin verilmesini ister.

İşte asıl sorun aslında burada başlar. Bunlara dikkat edilmesi gerekir. Veyahut hiç izin istemeyebilir sadece indirme yapılarak da telefon veya indirildiği cihaz tamamen ele geçirebilir. Bu nedenle resmi kaynaklar haricinde herhangi bir yerden indirme yapılmamalı, uygulama virüs total gibi virüs tarayıcılarından taratılmalıdır.

h7fao2l.png


Bu saldırının gerçekleşmesinin çeşitli yolları vardır:

  1. Yerel dizindeki güvenli olmayan erişim izinleri, yerel saldırganın kötü amaçlı ikili dosyayı güvenilir bir konuma yerleştirmesine olanak sağlar. (Tipik bir örnek, uygulama dosyalarını depolamak için kullanılan dizinlerdeki izinleri düzgün yapılandıramayan bir uygulama yükleyicisidir.)
  2. Bir uygulama, başka bir uygulamanın güvenilir konumuna kötü amaçlı bir ikili yerleştirme için kullanılabilir.
  3. Uygulama, büyük olasılıkla uzak dosya sistemlerinde güvenilmeyen konumlarda bir ikili dosya arar. (Tipik bir örnek, ağ paylaşılan klasörüne ayarlandıktan sonra geçerli çalışma dizininden dinamik bağlantı kitaplığı yükleyen bir Windows uygulamasıdır.)
  4. Virüs kendisini resmi bir uygulama olarak (masum olarak) tanıtabilir bu sayede bazı virüs tarayıcılarını atlatabilir.



h7fao2l.png



Güvenli olmayan erişim izinleri tabanlı saldırıya örnek verecek olursak;

Windows uygulama yükleyicisi bir kök dizin () oluşturur ve uygulamayı yükler, ancak ayrıcalıklı olmayan kullanıcılar için dizine yazma erişimini sınırlayamaz.

C:\Application

Uygulamanın () Deneme adlı bir uygulama yüklediğini varsayalım. DLL kitaplığını çağırarak bu kitaplığın Windows System32 klasöründe bulunması beklenir.

C:\Application\App.exeLoadLibrary("DENEME.DLL")

Yerel kullanıcı A, DENEME.DLLC:\Application

Yerel kullanıcı B, kötü amaçlı Deneme adlı yükleyen ve yürüten uygulamayı başlatır. DLL' yerine meşru olanı seçtiğinden dolayı virüslü uygulama cihaza yüklenir.

Ardından virüs cihaza kontrolü sağlar ve saldırgan tarafından istenilen komut gerçekleştirilir.


h7fao2l.png




Yada Whatsapp, Telegram gibi uygulamalar üzerinden zararlı kodlar gönderilmesi, zararlı dosyalar gönderilmesi ve kullanıcının bunu fark edemeyip indirmesi örnek verilebilir.

Kodlara örnek verecek olursak gönderilen zararlı kodu açan kişinin kullandığı uygulamanın tamamen çökmesi ve geri açamaması verilebilir. Bu aynı zamanda bazı telefonları kastıradabilir. Uygulama silinip tekrar yüklenmesi takdirinde bu sorun geçer fakat aynı kod tekrar gönderilir ve kullanıcı yine açarsa aynı sorun devam edebilir.

Bu nedenle yabancı kişilerden gelen mesajlara bakılmaması tavsiye edilir.

Mailden atılan mesajlar ise mailin koruması ile "spam" adlı klasöre düşer ve size uyarı gelir. Kullanıcı virüs olduğunu anlar ve mesajı siler.


go2jl58.jpg



Mail ve SMS Gibi Yollarla Gelen Oltalama İstekleri

Genellikle sms ve mail yollarıyla oltalama (phishing) saldırılarına maruz kalan insan sayısı oldukça fazla ve bu sayı her geçen gün artıyor.

Saldırganlar genelde şu örnek mesajla insanları kandırmaya çalışır;

XXX BANKASI

Merhaba, hesabınızda anormal bir para transferi tespit ettik. Eğer bunu siz yapmadıysanız bu maile yanıt olarak,

Kart numaranız, şifreniz, adresiniz, kimlik numaranız

yazarak gönderiniz. 24 saat içerisinde bilgilerinizi doğrulayarak hesabınızı güvence altına alacağız.

Eğer siz yaptıysanız bu mesajı görmezden gelebilirsiniz. Teşekkürler.

XXX BANKASI | SECURITY

h7fao2l.png






Bu mesajı gören hesap sahibi anlık bir panik ve şüpheli bir durumla beraber bilgilerini mail yoluyla iletir. Saldırganlar gelen bilgiler ile birlikte banka hesabına giriş yaparak hesaptaki paraları alıp ortadan kaybolur. Hesap sahibi durumu anlasa da iş işten geçmiştir. Aynı şekilde saldırganlar yabancı numaralardan da sms gönderebilirler.

Bu ve bunun gibi durumlarda bu tarz mesajlara inanılmaması gerekir.


9agdbn9.jpg



Peki Güvenlik İçin Neler Yapmalıyız?

Her önümüze gelen uygulamayı birşey olmaz niyetiyle indirip cihazımıza kurmamalıyız.

Resmi, onaylanmış bir uygulama olsa dahi tüm izinleri vermemeliyiz.

Crackli, pro sürümlü denilen sahte virüslü uygulamaları indirmemeliyiz.


Virüs total, anti malware gibi programlar ile hedef uygulamayı taratmalıyız.

Doğrulanmış ve herkes tarafından bilinen ve kullanılan uygulamaları indirmeliyiz.

Resmi olmayan uygulamayı ise pek çok kaynaktan güvenilirlik hakkında araştırmalıyız.


Son olarak hesap güvenliği için çift faktör kullanmalı, şifremizi karmaşık ve büyük küçük harfler, rakamlar ve semboller kullanarak uzun tutmalı ve tahmini zorlaştırmalıyız.



h7fao2l.png






Konumuzun sonuna geldik, okuduğunuz için teşekkürler.


iUBacd.gif
Genişletmek için tıkla ...
Elinize Sağlık Hocam.
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.