Merhaba dostlar! 6. bölümden herkese selamlar. Son bölümün anket sonuçlarına göre, bugün Fsociety ve Mr.Robot'un Evilcorp verilerini nasıl şifreleyip kilitlediğini göreceğiz. Ancak üzülerek belirtiyorum ki, kaynak eksikliğinden dolayı seriyi bir süreliğine askıya alıyorum. Bundan sonra bir ya da iki ders daha gelecek, daha sonra uzun bir süreliğine ara vereceğiz.
Not: Diziye ait spoiler içeren kısmı işaretledim. Diziyi bitirmemiş arkadaşlar o kısmı atlayabilirler.
Verileri Şifrelemek
---Spoiler Başlangıcı---
İzleyenler bilir, dizinin sonucunda, Fsociety Evilcorp verilerini AES-128 ile şifreleyip anahtarı yok etmeyi başardı. Dizinin henüz başlarında bir Raspberry Pi kullanarak ısıtıcı sistemlerini bozmuş ve fiziksel verileri yok etmişlerdi. Sunucuda saklanan bilgileri yok edemeyeceklerini biliyorlardı. Çünkü bu bilgiler geri yükleme işlemleri ile geri alınabilirdi. Bu nedenle verileri şifrelemeyi tercih ettiler. Böylece veriler orada duracak, ancak Evilcorp onlara ulaşamayacaktı.
---Spoiler Sonu---
Adım 0: İşin Mantığını Anlamak
Her birimiz, bilgisayarları ele geçiren ve fidye isteyen malware yazılımlarını duymuşuzdur. Hatta bir çoğumuz bunlarla karşılaşmış bile olabilir. Bu tarz yazılımlar bilgisayarınızdaki verileri şifreler ve belli miktarda ücret talep eder. Ücret ödendiği takdirde dosyaların açılacağını söyler fakat genelde bu tarz virüslere güven olmaz. Şifre açıldıktan 1 hafta sonra tekrar aynı miktarın talep edildiğini görebilirsiniz. Maalesef şifrelemeden sonra bu dosyaları kırmak imkansız hale gelmektedir. Yine belli bir ücret karşılığı dosyalarınızı kurtardığını iddia eden başka bilgisayar korsanları ya da hükümet adına çalışan siber güvenlik uzmanları olsa da, kişisel olarak bu zararlı yazılımlara karşı alabileceğiniz iki önlem bulunmakta. Bu tarz yazılımlar çoğunlukla maillerle bulaşır, bu nedenle ilk olarak tanımadığınız mailleri açıp, linklere tıklamamak. Hatta tanıdığınız birinden bile gelmiş olsa, bir mesajla mailin doğruluğunu kontrol edin. İkincisi ise bilgisayarınızda mutlaka "Zemana Antilogger" programını bulundurun. Bir çokları çok kolay bypass edildiğini iddia etse de, şuana kadar şifreleme işlemi esnasında şifrelemeyi durdurup virüsü yakalayabildiği kanıtlanmış tek yazılımdır.
Bu tarz fidye yazılımlarına "ransomware" denmektedir. Son zamanlarda Almanda bu tarz yeni bir yazılım keşfedildi. Kendisine "Chimera" diyen bu yazılım, bir çok ransomware gibi genellikle şirketlere saldırmakta. Bunun yine en büyük sebebi mailler ile yayılıyor olması. Bugün bu yazıda bu tarz programların anatomisini, ve Fsociety'in bu yolla verileri nasıl şifreleyip kullanılmaz hale getirdiğine bakacağız.
Adım 1: Malware'i Ulaştırmak
Yakın zamanlarda ortalıkta dolaşan bir çok ransomware gibi Chimera'da mail yoluyla yayılır. Veya sosyal mühendislik kullanarak karşı tarafa tıklatılacak bir link de aynı işlevi görür. .NET'te yazılmıştır.
İlk adımda, Chimera kurbana tek işi aramak, şifre çözmek ve ikinci adım yüklerinin kodunu çözmek olan çalıştırılabilir bir stub ulaştırır.
Adım 2: AES Algoritması
Kodu ve şifresi kırılmış yük, AES şifreleme algoritması içermektedir. Elliot ve arkadaşları da verileri şifrelemek için bunu kullandılar. Süreci hızlandırmak için bir çok hedef üzerinde kullandılar çünkü, Evilcorp sunucularında bizim gibi GB değerinde değil PB yani petabayt (1024 terabayt) değerinde veriler saklıyordu.
Adım 3: Hafızayı Eşleştirmek
Sonraki adımda, Chimera süreçlerini hafızaya eşleştirir, gönderir. Bu tıpkı Windows ve diğer işletim sistemleri için inşa edilmiş ASLR ve DEP korumlarını bypass etmek gibidir. Bu korumalar bir sürecin hafızada nerede olabileceğinin bulunmasını zorlaştırır ve rastgele işaretler verir. Böylece ransomware yeri saptayamaz. Fakat burada manuel olarak eşleştirme yapıldığından bu korumalar otomatik olarak devre dışı kalmakta.
Adım 4: 32-Bit Süreçleri Bulmak
Devamında, Chimera her kendini ana bilgisayara yükleyebileceği 32-bit süreç arayan Windows sürecine göz atar ve açar.
Adım 5: Local IP'yi bulmak
Bu adımda ransomware, whatismyipaddress.com kullanarak bulaştığı bilgisayarın public IP adresini alır.
Adım 6: Komutları Geri Çağırmak ve Kontrol Sunucuları
Chimera bulaştığı ana bilgisayarın IP adresini alır almaz, komutlarını ve kontrol sunucusunu (C&C) çağırır. Buradaki durumda bu sunucular 95.165.168.168 ve 158.222.211.81.
Chimera iletişim kurmak için 8080 ve 8444 portları üzerindeki P2P protokolü yoluyla Bitmessage kullanır. Bitmessage güvenlidir, P2P ile şifrelenmiş mesajları tek noktadan bir çok kişiye göndermesine olanak sağlar. Aşağıdaki resimde de görebileceğiniz gibi Chimera PyBitmessage ile Bitmessage'ı çalıştırmaktadır.
Adım 7: Sabit Diskleri ve Ardından Dosyaları Bulmak
Sonraki adımda Chimera verilerin saklandığı sabit diskleri bulmak zorunda. Bunun için her mantıklı sürücüyü taramalı ve şifreleme işleminde kullanmak üzere bulduklarını kaydetmeli.
Adım 8: Rastgele Anahtar Almak
Şu anda Chimera, 32-bit süreci başarıyla ele geçirmiş, kendini hafızaya ASLR'den uzak durarak eşleştirmiş, sabit diskleri numaralandırmış durumda. Şimdi komutunu ve kontrol sunucusunu geri çağırarak rastgele bir şifreleme anahtarı almalı.
Anahtarı alır almaz, ikinci adımdaki fonksiyonu, AES şifreleme algoritması, çağırır ve kritik dosyaları şifrelemeye başlar. Genellikle aşağıdaki uzantılara sahip dosyaları şifreler.
.jpg, .jpeg, .xml, .xsl, .wps, .cmf, .vbs, .accdb, .ini, .cdr, .svg, .conf, .config, .wb2, .msg, .azw, .azw1, .azw3, .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, .asp, .aspx, .cgi, .php, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .jar, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .x3f, .srw, .pef, .raf, .rf, .nrw, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .eps, .pdd, .dng, .dxf, .dwg, .psd, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .3g2, .3gp, .asf, .asx, .mpg, .mpeg, .avi, .mov, .flv, .wma, .wmv, .ogg, .swf, .ptx, .ape, .aif, .av, .ram, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa3, .amr, .mkv, .dvd, .mts, .vob, .3ga, .m4v, .srt, .aepx, .camproj, .dash, .zip, .rar, .gzip, ., mdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc, .nrg, .nri, .cdi
Bunlar şirket işlerinde kritik öneme sahip grafik dosyaları, veri tabanları, e-mail dosyaları, yedeklenmiş dosyalar (Evilcorp'unkiler gibi), ses dosyaları ve text dosyalarıdır.
Adım 9: Fidye İsteği
Son olarak Chimera bilgisayar sahibine bir fidye istek yazısı gösterir. Hesap numarası ve istenen miktar gibi bu bilgileri içeren yazı, bilgisayar açıldığı anda ekranınızda belirir.
Bu dersin de sonuna geldik arkadaşlar. Dediğim gibi son bir yada iki ders sonra seriye uzun süreli bir ara vereceğiz
Haberiniz olsun. İyi forumlar.
//Yararlanılan Kaynak: Null Byte - The aspiring white-hat hacker/security awareness playground « Wonder How To
//Makale yalnızca eğitim amaçlıdır, tüm sorumluluk kullanıcıya aittir.
Not: Diziye ait spoiler içeren kısmı işaretledim. Diziyi bitirmemiş arkadaşlar o kısmı atlayabilirler.
Verileri Şifrelemek
---Spoiler Başlangıcı---
İzleyenler bilir, dizinin sonucunda, Fsociety Evilcorp verilerini AES-128 ile şifreleyip anahtarı yok etmeyi başardı. Dizinin henüz başlarında bir Raspberry Pi kullanarak ısıtıcı sistemlerini bozmuş ve fiziksel verileri yok etmişlerdi. Sunucuda saklanan bilgileri yok edemeyeceklerini biliyorlardı. Çünkü bu bilgiler geri yükleme işlemleri ile geri alınabilirdi. Bu nedenle verileri şifrelemeyi tercih ettiler. Böylece veriler orada duracak, ancak Evilcorp onlara ulaşamayacaktı.
---Spoiler Sonu---
Adım 0: İşin Mantığını Anlamak
Her birimiz, bilgisayarları ele geçiren ve fidye isteyen malware yazılımlarını duymuşuzdur. Hatta bir çoğumuz bunlarla karşılaşmış bile olabilir. Bu tarz yazılımlar bilgisayarınızdaki verileri şifreler ve belli miktarda ücret talep eder. Ücret ödendiği takdirde dosyaların açılacağını söyler fakat genelde bu tarz virüslere güven olmaz. Şifre açıldıktan 1 hafta sonra tekrar aynı miktarın talep edildiğini görebilirsiniz. Maalesef şifrelemeden sonra bu dosyaları kırmak imkansız hale gelmektedir. Yine belli bir ücret karşılığı dosyalarınızı kurtardığını iddia eden başka bilgisayar korsanları ya da hükümet adına çalışan siber güvenlik uzmanları olsa da, kişisel olarak bu zararlı yazılımlara karşı alabileceğiniz iki önlem bulunmakta. Bu tarz yazılımlar çoğunlukla maillerle bulaşır, bu nedenle ilk olarak tanımadığınız mailleri açıp, linklere tıklamamak. Hatta tanıdığınız birinden bile gelmiş olsa, bir mesajla mailin doğruluğunu kontrol edin. İkincisi ise bilgisayarınızda mutlaka "Zemana Antilogger" programını bulundurun. Bir çokları çok kolay bypass edildiğini iddia etse de, şuana kadar şifreleme işlemi esnasında şifrelemeyi durdurup virüsü yakalayabildiği kanıtlanmış tek yazılımdır.
Bu tarz fidye yazılımlarına "ransomware" denmektedir. Son zamanlarda Almanda bu tarz yeni bir yazılım keşfedildi. Kendisine "Chimera" diyen bu yazılım, bir çok ransomware gibi genellikle şirketlere saldırmakta. Bunun yine en büyük sebebi mailler ile yayılıyor olması. Bugün bu yazıda bu tarz programların anatomisini, ve Fsociety'in bu yolla verileri nasıl şifreleyip kullanılmaz hale getirdiğine bakacağız.
Adım 1: Malware'i Ulaştırmak
Yakın zamanlarda ortalıkta dolaşan bir çok ransomware gibi Chimera'da mail yoluyla yayılır. Veya sosyal mühendislik kullanarak karşı tarafa tıklatılacak bir link de aynı işlevi görür. .NET'te yazılmıştır.
 | Resim yeniden boyutlandırıldı, orjinalini görmek için tıklayın. |
İlk adımda, Chimera kurbana tek işi aramak, şifre çözmek ve ikinci adım yüklerinin kodunu çözmek olan çalıştırılabilir bir stub ulaştırır.
Adım 2: AES Algoritması
Kodu ve şifresi kırılmış yük, AES şifreleme algoritması içermektedir. Elliot ve arkadaşları da verileri şifrelemek için bunu kullandılar. Süreci hızlandırmak için bir çok hedef üzerinde kullandılar çünkü, Evilcorp sunucularında bizim gibi GB değerinde değil PB yani petabayt (1024 terabayt) değerinde veriler saklıyordu.
Adım 3: Hafızayı Eşleştirmek
Sonraki adımda, Chimera süreçlerini hafızaya eşleştirir, gönderir. Bu tıpkı Windows ve diğer işletim sistemleri için inşa edilmiş ASLR ve DEP korumlarını bypass etmek gibidir. Bu korumalar bir sürecin hafızada nerede olabileceğinin bulunmasını zorlaştırır ve rastgele işaretler verir. Böylece ransomware yeri saptayamaz. Fakat burada manuel olarak eşleştirme yapıldığından bu korumalar otomatik olarak devre dışı kalmakta.
| Resim yeniden boyutlandırıldı, orjinalini görmek için tıklayın. |
Adım 4: 32-Bit Süreçleri Bulmak
Devamında, Chimera her kendini ana bilgisayara yükleyebileceği 32-bit süreç arayan Windows sürecine göz atar ve açar.
| Resim yeniden boyutlandırıldı, orjinalini görmek için tıklayın. |
Adım 5: Local IP'yi bulmak
Bu adımda ransomware, whatismyipaddress.com kullanarak bulaştığı bilgisayarın public IP adresini alır.
| Resim yeniden boyutlandırıldı, orjinalini görmek için tıklayın. |
Adım 6: Komutları Geri Çağırmak ve Kontrol Sunucuları
Chimera bulaştığı ana bilgisayarın IP adresini alır almaz, komutlarını ve kontrol sunucusunu (C&C) çağırır. Buradaki durumda bu sunucular 95.165.168.168 ve 158.222.211.81.
| Resim yeniden boyutlandırıldı, orjinalini görmek için tıklayın. |
Chimera iletişim kurmak için 8080 ve 8444 portları üzerindeki P2P protokolü yoluyla Bitmessage kullanır. Bitmessage güvenlidir, P2P ile şifrelenmiş mesajları tek noktadan bir çok kişiye göndermesine olanak sağlar. Aşağıdaki resimde de görebileceğiniz gibi Chimera PyBitmessage ile Bitmessage'ı çalıştırmaktadır.
| Resim yeniden boyutlandırıldı, orjinalini görmek için tıklayın. |
Adım 7: Sabit Diskleri ve Ardından Dosyaları Bulmak
Sonraki adımda Chimera verilerin saklandığı sabit diskleri bulmak zorunda. Bunun için her mantıklı sürücüyü taramalı ve şifreleme işleminde kullanmak üzere bulduklarını kaydetmeli.
| Resim yeniden boyutlandırıldı, orjinalini görmek için tıklayın. |
Adım 8: Rastgele Anahtar Almak
Şu anda Chimera, 32-bit süreci başarıyla ele geçirmiş, kendini hafızaya ASLR'den uzak durarak eşleştirmiş, sabit diskleri numaralandırmış durumda. Şimdi komutunu ve kontrol sunucusunu geri çağırarak rastgele bir şifreleme anahtarı almalı.
| Resim yeniden boyutlandırıldı, orjinalini görmek için tıklayın. |
Anahtarı alır almaz, ikinci adımdaki fonksiyonu, AES şifreleme algoritması, çağırır ve kritik dosyaları şifrelemeye başlar. Genellikle aşağıdaki uzantılara sahip dosyaları şifreler.
.jpg, .jpeg, .xml, .xsl, .wps, .cmf, .vbs, .accdb, .ini, .cdr, .svg, .conf, .config, .wb2, .msg, .azw, .azw1, .azw3, .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, .asp, .aspx, .cgi, .php, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .jar, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .x3f, .srw, .pef, .raf, .rf, .nrw, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .eps, .pdd, .dng, .dxf, .dwg, .psd, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .3g2, .3gp, .asf, .asx, .mpg, .mpeg, .avi, .mov, .flv, .wma, .wmv, .ogg, .swf, .ptx, .ape, .aif, .av, .ram, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa3, .amr, .mkv, .dvd, .mts, .vob, .3ga, .m4v, .srt, .aepx, .camproj, .dash, .zip, .rar, .gzip, ., mdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc, .nrg, .nri, .cdi
Bunlar şirket işlerinde kritik öneme sahip grafik dosyaları, veri tabanları, e-mail dosyaları, yedeklenmiş dosyalar (Evilcorp'unkiler gibi), ses dosyaları ve text dosyalarıdır.
Adım 9: Fidye İsteği
Son olarak Chimera bilgisayar sahibine bir fidye istek yazısı gösterir. Hesap numarası ve istenen miktar gibi bu bilgileri içeren yazı, bilgisayar açıldığı anda ekranınızda belirir.
Bu dersin de sonuna geldik arkadaşlar. Dediğim gibi son bir yada iki ders sonra seriye uzun süreli bir ara vereceğiz
Haberiniz olsun. İyi forumlar. //Yararlanılan Kaynak: Null Byte - The aspiring white-hat hacker/security awareness playground « Wonder How To
//Makale yalnızca eğitim amaçlıdır, tüm sorumluluk kullanıcıya aittir.
