İPUCU

Siber Güvenlik Siber Güvenlik ile alakalı araçların kullanımı, bilgi paylaşımı ve siber güvenlik eğitimi ile ilgili kaynakların paylaşıldığı alanımızdır.

Seçenekler

Elon Musk Bitcoin Dolandırıcılığının OSINT Analizi

'Taipan - ait Kullanıcı Resmi (Avatar)
Forumdan Uzaklaştırıldı
Üyelik tarihi:
06/2015
Mesajlar:
3.876
Konular:
87
Teşekkür (Etti):
935
Teşekkür (Aldı):
1371
Ticaret:
(0) %
01-12-2018 16:45
#1
Elon Musk Bitcoin Dolandırıcılığının OSINT Analizi
Şimdi Elon Musk bitcoin dolandırıcılığı denilince aklınıza “Yok artık Elon Musk milleti mi dolandırmış?” gibi bir soru gelebilir. Tabii ki öyle bir şey olmadı. Yazıya geçmeden önce bilmeyenler için bu dolandırıcılık olayından biraz bahsedeyim.

Twitter’daki onaylı hesaplardan haberiniz vardır, hani şu yanlarında mavi tik olanlar var ya işte onlardan bahsediyorum. Bu hesaplarla yapılan dolandırıcılık olayları son zamanlarda yaygınlık kazanmaya başladı ve hesabınıza onay almak da artık eskisi gibi zor değil. Bu hesaplarla insanların güvenlerini kazanmaksa diğer hesaplara göre oldukça kolay oluyor. Durum da böyle olunca dolandırıcılar için bu hesaplar altın bir tepsi içinde sunulan fırsatlar haline geliyor. Bu yazıda bahsi geçen olay da bu hesaplar aracılığı ile gerçekleşti.

Dolandırıcılar Twitter tarafından onaylı olan Capgemini, Target ve Google’s G Suite gibi hesapları ele geçirdiler, hesapların kullanıcı adını ve profil fotoğrafını Elon Musk’ın orijinal hesabındaki gibi değiştirdiler. Bu işlemden sonra artık kendilerine onaylı ikinci bir Elon Musk hesabı yaratmış oldular. Bu hesaplar aracılığı ile insanlardan bir miktar bitcoin talep edip sonrasında daha fazlasını vermeyi vadettiler ve bir günde 180.000 $ değerinde BTC vurgunu yaptılar. Şimdi “Ya bu insanlar nasıl buna kandı?” diyecek arkadaşlarımız olabilir fakat onlara en basitinden bizdeki “Çiftlik Bank” komedisini örnek gösterebilirim. Hele karşınızdaki de bir Tosun değil de Elon Musk ise inanması tabii ki daha kolay oluyor. Olay hakkında bilgimizi verdiğimize göre şimdi gelin bu olayla ilgili analize geçiş yapalım.



Dolandırıcılık

Araştırmamda karşıma çıkan alan adlarını “SpiderFoot”a verdim ve bulunan 150 modülün tamamını elde edebildiğim kadar bilgi elde etmek için kullandım. Tabii ki araştırmalarda kullandığım yöntem sadece SpiderFoot ile kalmadı. SpiderFoot’a ek olarak manuel olarak taramalar da yaptım. Yazıda bunlardan da bahsedeceğim. Öncelikle Twitter’a reklamı verilen tweetlerden birine bakalım.


Tweet’de bulunan gramer hatalarına, sahte alan adına ve Twitter hesabıyla kullanıcı adı arasındaki uyumsuzluğa rağmen insanlar bu tuzağa düştüler.


Yukarıda bahsettiğim hesaplarla daha fazla insana ulaşmak için tweetlerine Twitter reklamları sağladılar ve amaçlarına ulaşmakta bu yöntem ile başarılı oldular.
Analizin Hedefleri:

Dürüst olmak gerekirse toplayabildiğim kadar veri toplamak ve SpiderFoot’u geliştirmek için bu bilgileri araçta nasıl işleyeceğimi görebilmek dışında bir hedefim yoktu fakat sonrasında bilgi toplarken bazı şeyler gözüme çarptı ve bu yazıyı yazmamda bana ilham kaynağı oldular. Eğer analizi belli başlı süreçlerle açıklamam gerekirse kısaca hedefleri şöyle sıralayabilirim:

--> Bu dolandırıcılık olayının arkasındaki gerçek kimlikleri ortaya çıkarabilecek ya da bu kimlikler hakkında bana ipucu sağlayabilecek verileri( sunucu isimleri, alan adları, isimler, IP adresleri, mail adresleri, vb.) toplamak.
--> Bu dolandırıcılık olayı hakkında elde edilen verileri destekleyecek, olayı araştırırken kullanışlı olabilecek bu olaya spesifik bir şeyler bulmaya çalışmak.
--> Bu araştırma ya da ileride yapılacak araştırmalara yardımcı olabilmek için sonraki adımları önermek.

Yazıya devam etmeden önce bir şeyi belirtmek istiyorum. Bu yazıda dolandırıcıların kimlikleri ya da kökenleri hakkında herhangi bir iddiada bulunmadığımı ve analizimin kapsamlı olduğunu iddia etmediğimi belirtmeliyim. Bu yazı bahsi geçen dolandırıcılık hakkında daha fazla bilgi vermeyi ve benim gibi bu konuda araştırma yapanlara ışık tutmayı amaçlamaktadır. Bunu da belirttiğimize göre hadi analiz kısmına geçelim.

Analiz

Analizde başlangıç noktası olarak kullanılan hesapları ya da olayın ana karakteri olan Elon Musk’ı araştırmayı belirleyemeyeceğiz çünkü hesaplar Twitter tarafından onay verilmiş olan ve ele geçirilmiş hesaplar. E bahsi geçen kişi de Elon Musk. Bu yüzden araştırmamıza alan adları ile başlayacağız. Tweetlerde bahsi geçen alan adları aşağıdakilerdi fakat bunlardan daha fazlası var:

--> m-tesla[.]me
--> elonmusk[.]id
--> m-tesla[.]pw

Alan Adları İle Başlayalım:

Eğer alan adları ile ilgileneceksek açık kaynak istihbarata dair hangi yöntemleri kullanabiliriz? Alan adları birer IP adresine karşılık gelmelidir ve bu alan adlarını kaydeden kurumu içeren Whois kayıtlarına sahip olmalılar. Bunlara bilgi zincirleri diyebiliriz, mesela şu şekilde:

--> Alan adı -> IP adresi -> Pasif DNS sorgusu -> Sunucudaki diğer siteler
--> Alan adı -> Whois kaydı -> Mail adresleri
--> Alan adı -> Sitenin içeriği -> İsim, vb.
Ve benzeri…

Açıkçası yukarıdaki zincirler çok basit düzeyde fakat bundan çıkarmamız gereken sonuç bir bilginini diğer bir bilgiyi elde etmemizi sağladığıdır. Araştırmalarınızda elinizde olan bilgi ve yukarıda örnek verdiğimiz gibi kurduğunuz zincirlerin arasındaki bağlantıların kalitesine bağlı olarak araştırmalarınızı daha da derinleştirebilirsiniz.

Erişilemeyen Sitelere Ait IP Adreslerini Bulma

IP adreslerine sahip olmak bizim için avantajlı bir durum sağlıyor çünkü IP adresleri tehdit istihbaratında, ağ topolojisi, ağdaki yönlendirme ve daha birçok şey hakkında bilgi edinmemiz sırasında başvurulan bir veridir. IP adresleri sayesinde elimizdeki IP adreslerine yönlendirilen diğer alan adlarını keşfedebiliriz ve aynı alt ağda bulunan başka sitelerin olup olmadığına bakmayarak daha geniş bir kapsam elde edebiliriz.

Bu sitelere ait IP adreslerini bulmak için internette bulunan, pasif DNS sorgusu çekmemizi sağlayan servislerden faydalanabiliriz. Ben bunun için “Mnemonic”i kullanacağım. Yukarıda bahsettiğimiz üç alan adını verdiğimizde bu alan adlarından iki tanesinin IP adresini bize verdi, bunlar: m-tesla[.]me için 193.233.15.187 ve elonmusk[.]id için 193.233.15.163 adresleri.


Bunun gibi ulaşılamayan sitelere pasif DNS sorgusu çekmemizi sağlayan tüm servislere teşekkürler.

Mnemonic’e benzer işlev gören diğer servisleri de belirtelim: Robtex.com, SecurityTrails.com, HackerTarget.com, Cymon.io ve VirusTotal. Pasif DNS’in yapısı gereği kullandığınız servisler size eksik bilgiler verebilirler. Karşımızdaki resmi tamamlayabilmek için farklı servislerden faydalanmayı da ihmal etmemeliyiz.

Bu IP Adreslerinin Sahibi Kim?

İlginç bir şekilde, Whois kayıtlarına göre üç alan adı da DNS sunucusu olarak “storm-pro.net”i kullanmakta.



İnceleme yaptığımızda “storm-pro.net”in herhangi bir websitesine sahip olmadığını ve Whois kayıtlarının da gizlendiğini görüyoruz.




Elimizde bulunan IP adresinden biri olan 193.233.15.163'e gitmek istediğimizde ise karşımıza şu çıkıyor:



Dolandırıcılar sağlayıcılarının arkasında, Rus pazarına DDoS koruması ve Hosting hizmeti sağlayan şu şirketi kullanıyor gibi gözüküyor:

https://i.hizliresim.com/26YA40.png

Şirketin web sitesi şirket hakkında çok az bilgi içeriyor fakat LinkedIn hesaplarını incelediğimizde Slovakya’da kayıtlı dört çalışan olduğunu görüyoruz. Bunlardan üç tanesi Rusya’da bir tanesi de Çek Cumhuriyeti’nde bulunuyor. Bu noktada dolandırıcıların bu şirketin müşterisi olduğu ve sitenin sağlayıcı tarafından ya da dolandırıcıların kendileri tarafından servis dışı bırakıldığı sonucuna ulaşıyoruz.

Aynı Ağda ve Sunucuda Başka Ne Var?

Yukarıda verdiğimiz IP adreslerine bakarak aynı alt ağda bulunan birden fazla IP adresinin bu dolandırıcılık olayı içinde bulunduğuna dair bir tez yürütebiliriz. Bu yüzden bu alt ağın kime ait olduğunu kontrol etmek kayda değer bir işlem olacaktır. Bunun için “BGPView.info” servisini kullanabiliriz:


193.233.15.0/24 Alt ağı için sorgulama yaptığımızda bu alt ağın Lübnanlı bir şirket olan Smart Telecom SARL’a ait olduğunu ve Şeyseller’de bulunduğunu görüyoruz.

Bu ağda sunucu ile kullanıcılar arasındaki köprüyü kim sağlıyor diye baktığımızda StormWall yine karşımıza çıkıyor.


STORMSYSTEMS-AG = StormWall

Dolandırıcıların bulunduğu 193.233.15.0/24 alt ağına Whois sorgusu çektiğimizde ise karşımıza Safe Value Management isimli bir şirket çıkıyor.



abuses@safevalue.pro mail adresine baktığımızda websiteleri hakkında bir fikir edinebilir ve daha fazla bilgi için websitelerini kontrol edebiliriz.



Sitede şirkete dair pek bilgi bulunmamakla beraber yaptığımız Whois kaydında Şeyseller’e atıfta bulunulmasına rağmen sitenin hiçbir yerinde buna dair bir iz bulunmamakta. Sitede herhangi bir dil seçeneği özelliği bulunmamasına rağmen URL’e /ru uzantısı eklediğimizde olumlu bir dönüt alabiliyoruz. Site yine İngilizce olmasına rağmen imleç ile şirketin logosunun üstüne geldiğinizde Rusça anasayfa yazısının çıktığını görebilirsiniz fakat Rusça dışında diğer diller için URL’e bir uzantı eklemesi yaptığınız zaman 404 hatası ile karşılaşmaktayız.



Peki bu alt ağa komşu diğer alt ağlar ne olacak? Bunlar nerede konumlanmış ve bunları kim yönetiyor? Bu soruların cevabı için bir betik kullanacağız ve bu betik bize sorularımızın cevabını verecek:




Gördüğünüz gibi dolandırıcıların ki dışında komşu tüm alt ağlar Rusya’da konumlandırılmış durumda. Ayrıca dolandırıcıların ki dışında bunların hiçbirisi Safe Value Management ile ilişkili değil.

Şimdiye kadar yaptıklarımızı ve elde ettiklerimizi bir gözden geçirelim. Alan adlarını Pasif DNS ile çözümledik, bu IP adreslerinin aynı alt ağda bulunduklarını fark ettik. Sağlayıcı olarak ise StormWall ve Safe Value Management’i kullandıklarını keşfettik. Her iki şirket de Rus gibi gözüküyor fakat bunu gizlemeye çalışıyorlar. Bulduğumuz alt ağa komşu diğer alt ağların da Rusya’da konumlandırılmış olması tezimizi destekliyor. Şimdi bu dolandırıcılık olayında başka hangi sitelerin olabileceğini keşfetmek için aramamızı genişletelim.

Odağımızı Genişletelim

Başka hangi sitelerin elimizde olan IP adreslerine karşılık geldiğini hızlıca öğrenmek için SpiderFoot’u kullanabiliriz. Robtex, Cymon ve Mnemonic bize m-tesla[.]me ile aynı IP’de bulunan bir dizi site çıkardı.


SpiderFoot belirttiğimiz IP adresinde çözümlenen alan adlarını bulmak için birden fazla Pasif DNS sorgusu servisi kullanır.

Burada dolandırıcıların kurbanlarına vadettikleri kampanyanın birden fazla siteye yayıldığını görebiliyoruz. Şimdi başka hangi sitelerin olduğunu görmek için alt ağımıza tarama yapalım.



186 site görüldüğü üzere bizim için çok fazla. Bu sayıyı bizim için işe yarayacak şekilde azaltmak için itibar servislerinden faydalanalım.

Zararlı ve Spam Yapan IP’ler:

Spam tespiti ve IP itibarı servisleri riskli gördükleri IP adreslerini bir süreliğine riskli olarak işaretlemektedir. Örneğin VirusTotal Ağustos 2018'i baz alarak yukarıda verilen listedeki birçok alan adını riskli gördüğü için işaretlemiş.



SpiderFoot zaten bu işlemi otomatize olarak gerçekleştirdi ve bize bu siteleri listeledi.



Bu alt ağda bulunan 117 tane riskli site tespit ettik. Virustotal’in bulduklarından bir tanesinde zararlı yazılım bile bulunmakta:



Bu, alt ağda bulunan diğer siteleri incelerken gördüklerimizle benzer bir resim. Neredeyse tüm alt ağda aynı tablo mevcut. Aslında Spamhaus tüm alt ağın yazı yazılırken engellenmesi gerektiğine dair alt ağı işaretlemiş.

Peki Kim?

Beklediğimiz gibi bu dolandırıcılık olayında kullanılan, keşfettiğimiz mail adresleri bir kişinin kimliğini açığa çıkarmayan gizli ya da zararlı mail adresleri.

--> 19dd5ea57f2b4f5388f5f506cb5a9099.pro...oisguar d.com
--> 3471443@PRIVACY-LINK.COM
--> abuse@101domain.com
--> Ve benzerleri…

Başka bir değişle elde ettiğimiz mail adresleri tam anlamıyla işe yaramayan şeyler. Elbette zararlı olmayan mail adresleri de mevcut fakat bunlar bu yazının kapsamı dışında olan ve dolandırıcılık olayı ile ilgili olmayan mail adresleri.

Daha da İleri Gitmek İçin Bağlamı Kullanma

Aynı dolandırıcılık olayında yer alan ve aynı alt yapıyı kullanan birden fazla alan adının olduğunu biliyoruz. Bu bilgiyi kullanarak diğeri hakkındaki araştırmamızı desteklemek için bir diğer alan adından faydalanabiliriz. Gelin şimdi geçmişe, Whois kayıtlarımıza dönelim. Whois kayıtlarında bir şey dikkatimi çekmişti. Üç alan adının ikisi tescil firması olarak NameCheap’ı kullanırken diğer alan adı bunu kullanmıyordu.



Whois sorgusu yaparken sorgunuzu bir sunucuya yönlendirirsiniz ve genellikle insanlar Whois sorgularında ilk sonuca odaklanırlar ve orada kalırlar fakat Whois sorguları arasında farklılıklar bulunabilir ve bu size içinizde bulunduğunuz çıkmazdan kurtulmak için yol gösterebilir.



Whois’i çalıştırırken sorgularınızı varsayılan olarak seçilen Whois sunucusu üzerinde yapıyorsunuz ve elde ettiğiniz veriler varsayılan olarak atanan sunucudaki verilerle sınırlı kalıyor. Yukarıdaki çıktıda kalın harflerle vurguladığım kısmı bu yüzden vurguladım. Gelin Whois’i -h parametresi ile birlikte yukarıda belirttiğim Whois sunucusunda kullanalım.




Elimizde bir sürü veri var fakat hiçbiri bizim için kullanışlı değil. Biz üç alan adından sadece ikisinin NameCheap’ı kullandığını biliyorduk fakat ya diğeri de NameCheap’ı kullanıyorsa? Biz daha öncesinde elonmusk[.]id için Whois sorgusu gönderdiğimizde NameCheap’e dair bilr bilgi alamamıştık fakat bu durum tüm Whois sonuçları aynı sonucu bize göndermediği ve .id Whois sunucularına karakteristik olan bir durum söz konusu olabileceği için olabilir.Hadi birde şansımızı buradan deneyelim:



İşte şimdi elimizde ilginç bilgiler var! İsim, adres, telefon numarası ve mail adresi. Ayrıntılar muhtemelen sahtedir fakat neler çıkacağını görmek için telefon numarasını Google üzerinde bir arayalım:



Karşımıza dolandırıcılık temalı websiteler çıktı ve bu siteler aracılığı ile birçok mail adresini ve ismi de referans olarak görüyoruz.

Benzer Alan Adları: Gelecekteki Potansiyel Dolandırıcılıklar Mı?

Bu dolandırıcılıkta 180.000 $ vurgun yapıldığına göre elbette gelecekte de böyle vakalar olacaktır. Diğer alan adlarına baktığımızda benzer isimlere fakat farklı TLD’lere sahip olduklarını görüyoruz bu vesile ile dolandırıcıların gelecekte Elon Musk’ın namını kullanarak yeni dolandırıcılık eylemlerinde bulunacağını tahmin edebiliriz.



Sonuçlar:

Dolandırıcılık hakkında bildiklerimizi bir sıralayalım:

--> Dolandırıcılık için kullanılan alan adları aynı iki şirketten hizmet alıyor. Bunlar ise StormWall ve Safe Value Management ve muhtemelen bunlar Rus şirketleri fakat bu konu hakkında elimizdeki bilgilerle tam bir kanıt sunamıyoruz.
--> Dolandırıcılıkta kullanılan alan adları IP adreslerini hızlıca 127.0.0.1'e çevirirken pasif DNS sorgusu sayesinde orijinal IP adreslerini öğrendik ve bu bilgi bizim için analizimizin anahtarı haline geldi.
--> Özelleştirme yapmadan yaptığımız tüm Whois sorgularının sonuçları bu dolandırıcılığı yapan kişileri gizlemek için satın alınmış gizlilik servislerinden faydalanıyorlar. Belki, tüm alt ağdaki alan adlarının zarar vermek adına alındığı göz önünde bulundurularak bu alt ağda bulunan diğer sitelerin sorgulanması ile zararlı sitelerin sahiplerinin kim olduğu ortaya çıkarılabilir.
--> Üç alan adından ikisinin kullandığı Whois sunucusunu diğer alan adı için kullanmak bizim için oldukça etkili oldu.
--> Dolandırıcılıkta kullanılan siteler aynı /24 alt ağındalar ve bu alt ağdaki diğer sitelerin neredeyse hepsi tehdit istihbaratı, spam ve itibar servisleri tarafından zararlı siteler olarak işaretlenmişler.
--> Dolandırıcılıkta kullanılan alt ağ incelendiğinde alt ağ Şeyseller’de kayıtlı gibi gözükürken alt ağdaki tüm siteler Rusya’ya kayıtlı.
--> Şimdi birisi çıkıp bu işin arkasında “Ruslar” var diye çığırmadan önce bu durumun internette atfedilmiş olduğunu ve kesin bir bilim ışığında erişilmiş bir bilgi olmadığını aklınızdan çıkarmayın.

Olası Sonraki Adımlar:

--> Dolandırıcılıkta kullanılan Bitcoin adreslerine bakmak ve blockchain.info ile BitcoinWhosWho.com’u kullanarak para trafiğini analiz etmek.
--> Aynı alt ağda bulunan sitelerin içeriklerine, mail adreslerine ve diğer kişisel iletişim bilgilerine daha dikkatli bakmak ve dolandırıcılarla ilgili olup olmadığını kontrol etmek.
--> SecurityTrails ve ViewDNS.info gibi tersine Whois siteleri kullanarak bulunan mail adresleri ve isimlerle kaydı yapılan diğer alan adlarına bakmak.
--> Bu ya da başka bir dolandırıcılıkta potansiyel olarak bulunmuş olabilecek kişilerin tespiti için aynı alan adına sahip fakat farklı TLD’leri olan siteleri daha derinden incelemek.
--> Siteler kullanım dışı olmadan önce arşiv servisleri tarafından arşivlenmiş olabilecek içeriklerini incelemek.(archive.org’da kayda değer bir şey yok gibi gözüküyor fakat daha eski sitelerden belki bir şeyler çıkar)
--> Yukarıda bulunmayan diğer olası dolandırıcılık sitelerini tespit etmek için dolandırıcılık kampanyasında kullanılan metinleri Google üzerinde aramak.

Çevirisini yapıp yayınlamam için izin verdiği ve bu güzel yazıyı yazdığı için Steve Micallef’e teşekkürler. Sonraki yazılarda görüşmek üzere.

Orijinal Yazı: https://medium.com/@micallst/an-osin...m-778fb1b14b3b

Kaynak: https://medium.com/three-arrows-security/

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı