İPUCU

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

Seçenekler

TTWEB Virüsü Nedir? // Nasıl Bulaşır? // Nasıl Temizlenir?

31-07-2014 21:25
#1
Quinones - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
10/2008
Mesajlar:
13.647
Teşekkür (Etti):
1337
Teşekkür (Aldı):
3579
Konular:
5651

turkhackteam.net
Eski modemlerdeki DNS kaydını değiştiren TTWEB virüsü nasıl bulaşıyor? Virüsten kurtulmak için neler yapılmalı? İşte bütün bu soruların yanıtlarını bu makalemde açıklıyorum değerli TurkHackTeam üyeleri..
turkhackteam.net
Geçtiğimiz günlerde birçok kullanıcı internete girmek istediğinde karşısında TTNET’in renklerini hatta adını taklit eden ve bilgisayarlarına “TTWeb” adında bir yazılım indirmelerini isteyen bir sayfa ile karşılaştı. Bu sayfanın TTNET ile en ufak bir alakası yok, kullanıcıları kandırmayı amaçlıyor. Binlerce kullanıcıyı etkileyen bu zararlı nasıl bulaşmıştı peki?
turkhackteam.net
CSRF Açığı
turkhackteam.net
CSRF (Cross-site request forgery), Türkçe’ye kabaca “Siteler Arası İstek Sahteciliği” olarak çevrilebilir. Saldırgan herhangi bir web sitesinde sıradan bir bağlantının altına, modeminizdeki DNS adresini değiştirebilecek bir kod yerleştirebiliyor. Örneğin webde gezinirken bir foroğrafı görmek için tıkladığınızda aslında modeminizdeki DNS adresini değiştirmiş oluyorsunuz. Saldırganlar ufak bir kod ile modeminizdeki DNS adresini, sizi zararlı web sitelerine yönlendirmek amaçlı özel olarak hazırlanmış başka bir DNS sunucusunun adresi ile değiştirilebiliyor.
turkhackteam.net
Olayı biraz daha basite indirgemek için şu senaryoya bir göz atalım:
turkhackteam.net
1. Yeni bir ADSL modem aldık ya da bir servis sağlayıcı bize bir ADSL modem verdi.
turkhackteam.net
2. Modemin ayarları yapılmış durumda ve bizim tek yapmamız gereken şey kablo bağlantılarını yapıp internete girmek.
turkhackteam.net
3. Modemi kullanan tek kişi biz olduğumuzdan varsayılan modem giriş şifresini değiştirmiyoruz.
turkhackteam.net
4. Artık internette dolaşmaya başlıyoruz. Facebookta arkadaşımızın paylaştığı bir gönderiye tıklıyoruz ve bu bağlantı aslında modemimizdeki DNS sunucusunu değiştiriyor.

turkhackteam.net
Peki bu nasıl oldu?
turkhackteam.net
1. Tıkladığınız bağlantının ucunda aslında zararlı bir kod vardı ve bu kod devreye girdi.
2. Söz konusu kod modem arabirimine bağlanarak DNS adresini değiştirdi.
turkhackteam.net
Peki nasıl oldu da modem arabirimindeki DNS adresi bu kadar kolay değiştirebildi? Bunun nedeni aslında çok basit: Servis sağlayıcılar tarafından verilen modemlerde genellikle standart kullanıcı adı ve şifre kullanılmakta. Hattı bazı servis sağlayıcılar kablosuz ağ için bile bütün müşterilerine aynı şifreyi atamış durumda. Saldırgan halihazırda modem arabirimine girmek için kullanılan kullanıcı adının admin, şifrenin de servis sağlayıcı firma ismi olduğunu biliyor. Artık tek yapması gereken bunu bir kod haline getirmek. Burada da da JavaScript devreye giriyor. Çok detaya girmeyeceğim fakat tek bir JavaScript dosyası ve üç satır kod ile saldırganlar modeminizdeki DNS adresini değiştirebiliyor. Merak edenler için bu blog yazısı iyi bir kaynak olacaktır.

turkhackteam.net
Uzaktan Yönetim
turkhackteam.net
“Ben internette çok dikkatliyim. Bugüne kadar bilgisayarıma hiç virüs bulaşmadı ama nasıl olduğunu bilmiyorum, bana da TTWEB virüsü bulaştı” diyorsanız olayın çok daha vahim bir boyutundan bahsetmemde fayda var. TTNET, Superonline ve D-SMART gibi birçok servis sağlayıcı, kullanıcılara daha iyi hizmet verebilmek için kampanya dahilinde hediye ettikleri modemlerde uzaktan erişimde kendilerine özel, sadece kendi erişimlerine açık IP adreslerini açık bırakıyorlar. Kullanıcı herhangi bir sorun yaşadığında İnternet Servis Sağlayıcı (ISS), uzaktan modeminize bağlanıp ayarları değiştirebiliyor.
turkhackteam.net
Ücretsiz dağıtılan modemlerin varsayılan kullanıcı adını ve şifresini bilen saldırganlar, kullanıcı şifreyi değiştirmediyse ya da kolay bir kullanıcı adı ve şifre kombinasyonu kullanıyorsa söz konusu yüz binlerce cihaza ICMP kullanılarak ping taraması yapıyor ve cevap veren IP adreslerine HTTP üzerinden saldırıyor. Akabinde de modemin içerisindeki DNS adresini değiştirip kullanıcıyı zararlı sitelere yönlendirebiliyor.
turkhackteam.net
Modeminizdeki DNS adresi değiştirildiğinde siz adres satırına girmek istediğiniz siteyi dahi yazsanız o site yerine başka bir siteye yönlendirilebiliyor ya da sitenin sahte olan birebir kopyası ile karşılaşabiliyorsunuz. TTWEB olayında saldırganlar tecrübesiz kullanıcıları TTNET’e aitmiş gibi gözüken bir siteye yönlendiriyor ve buradan da zararlı yazılımı indirmelerini talep ediyor. Söz konusu zararlı yazılım tarayıcılara bulaşarak her türlü kişisel bilgilerinizi çalabiliyor. Yine modemdeki DNS adresi değiştiğinden bir banka sitesine girmek istediğinizde modem söz konusu sorguyu Servis Sağlayıcı’ya ait DNS’ye değil, saldırganın yerleştirdiği DNS’ye soruyor ve sonuç olarak kendinizi bankanın web sitesine birebir benzeyen bir sitede buluyorsunuz. Burada da banka bilgilerinizi kolayca saldırganın ellerine teslim etmiş olabiliyorsunuz. Sonuçta ne servis sağlayıcınızın ne de modem üreticinizin burada sonradan müdahale etmek dışında yapabileceği bir şey yok. Dikkatli olmazsanız ve önlem almazsanız zarar gören siz oluyorsunuz.

turkhackteam.net
Hangi modemler risk altında?
turkhackteam.net
Aslında burada sadece ISS’ler tarafından dağıtılan modemler değil, kendi aldığınız modemler de söz konusu saldırılara açık. Zira kimse modeminin giriş şifresini değiştirmiyor. Hatta daha da vahimi AirTies’ın birçok modelinde modem arabirimine giriş şifresi dahi yok! Yani bilgisayarınıza uzaktan erişimi olan bir saldırgan, ya da kablosuz ağ şifrenizi ele geçirmiş olan birisi, elini kolunu sallayarak modeminizdeki DNS adresini değiştirip sizi her daim zararlı web sitelerine yönlendirebilir.
turkhackteam.net
Söz konusu saldırıdan etkilenebilecek modemler özellikle de güncel olmayanlar. Daha da ayrıntıya inmek gerekirse Broadcom ve Trendchip’in eski yongalarını kullanan, 2010 öncesi üretilen bazı modemler. Yeni modemler ise bu tür saldırılara karşı korunmuş durumda. Yine de söz konusu CSRF açığına sahip modemler üretmiş olan firmalar şu şekilde: D-Link, Micronet, Motorola, Netopia, Tenda, TP-Link, ZyXEL. Modeminizin etkilenip etkilenmediğini öğrenmek için modem üreticinizin çağrı merkezini arayabilirsiniz. Modem markanızın internet sitesinden servis bilgilerini bulabilirsiniz.
turkhackteam.net
TP-Link söz konusu açık tespit edilir edilmez modemler için gerekli Firmware güncellemelerini piyasaya sürmüş. Fakat varsayılan modem şifresini bile değiştirmeyen kullanıcılardan modemlerine Firmware güncellemesi yapmalarını istemek, lise öğrencisinden V2 roket tasarlamasını istemek gibi bir şey. Zaten bu yüzden teknik servis ve destek hatları var, yaygın servis desteği olan bir marka modeminiz varsa hemen destek alın ya da aşağıdaki adımları uygulayın:

turkhackteam.net
Çözüm?
turkhackteam.net
Modeminizi Resetleyin: Öncelikle söz konusu değiştirilmiş DNS adresinden kurtulmak için modeminizi fabrika ayarlarına sıfırlamanız gerek. Sıfırlamadan önce ISS tarafından size verilen kullanıcı adı ve şifrenizi not edin zira modeminizi tekrar kurarken bunlara ihtiyacınız olacak.
turkhackteam.net
Modem arabirimine şifre koyun: Mutlaka ama mutlaka modeminizin arabirimine giriş için bir şifre belirleyin. Özellikle de AirTies sahipleri modem şifresi belirlemeli. Ayrıca modemin fabrika çıkış şifresini de değiştirin ve aklınızda kalacak bir şifre belirleyin. Mesela ev telefonunuz.
turkhackteam.net
Firmware Güncellemesi Yapın: Modeminizin marka veya modeli ne olursa olsun, mutlaka üreticinizin web sitesine girip Firmware güncellemenizi yapın. Özellikle de modeminiz 2010 öncesi üretim tarihine sahip ise mutlaka ama mutlaka Firmware güncellemesi yapın! Aksi takdirde tekrar bu zararlıya maruz kalacaksınız!
turkhackteam.net
Üreticinizden Bilgi Alın: Markalar Türkiye’de satış sonrası çağrı merkezi ve teknik servis tarafında epey yatırım yapmakta. Modem üreticilerinin çağrı merkezleri de bu gibi konularda sizlere yardımcı olabilir. Çağrı merkezinden modeminiz için güncelleme bilgilerini alabilirsiniz.
turkhackteam.net
İnternetinizi paylaşmayın: Eğer internetinizi paylaşıyorsanız, komşunuzun bilgisayarına bulaşan bir virüs de modem arabiriminize girip DNS ayarınızı değiştirebilir. Bu bağlamda internetinizi komşunuz ile paylaşmayınız.
turkhackteam.net
DNS adresinizi elle girin: Modeminizi resetlemeyi bilmiyor ya da geçici bir çözüm arıyorsanız DNS ayarınızı elle yapın. 195.175.39.39 ve 195.175.39.40 DNS adresini kullanabilirsiniz. Bunlar Türk Telekom DNS adresleridir.
turkhackteam.net
Yeni Modem Alın: Eğer modeminiz için Firmware güncellemesi yoksa yeni bir modem almak zorundasınız. Bu hem söz konusu saldırıyı ortadan kaldıracak hem de internete daha yeni ve daha hızlı standartlarda bağlanmanızı sağlayacaktır.
turkhackteam.net
Son olarak Ulaştırma, Denizcilik ve Haberleşme Bakanlığının ağ ekipmanları konusunda tanımladığı yaşam ömrünün 5 yıl olduğunu da ekleyeyim.
Kullanıcı İmzası
Emekli Orgeneral ( ÜDY Üyesi )
DrOctopus Teşekkür etti.


Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı