Bilişim ve Hukuk!

Kişisel Güvenlik Eğitim Seti

Merhaba;

Bildiğiniz gibi son zamanlarda forum, portal, vs. gibi yerlerde backdoorlu yani zararlı yazılım paylaşımı arttı. Bunun için paylaşılan bir programı, dosyayı indirdikten sonra direk açmayıp belli taramalardan geçirdikten ve analizler yaptıktan sonra açmalıyız.
"Kişisel Güvenlik" isimli 10 bölümden oluşan setimizde, sizlere;

# Bu tarama ve analiz yöntemlerini,
# Virüslü, backdoorlu dosyalardan nasıl korunmamız gerektiğini,
# BackDoor’lu dosyanın sahibine ne tür zararlar verebileceğimizi
anlatmaya çalışacağız.

Sizler için hazırlamış olduğum bu eğitim setinin bütün bölümlerine sayfayı aşağı kaydırarak ulaşabilirsiniz.


# Kişisel Güvenlik - online Virus Scanners
# Kişisel Güvenlik - Kolay Bir Analiz:Düşünme
# Kişisel Güvenlik - Güvenli Bir Ortam: Sanal Bilgisayar
# Kişisel Güvenlik - Sanal Bilgisayarımızın Gerçek Bekçileri
# Kişisel Güvenlik - Analiz Başlıyor...
# Kişisel Güvenlik - Takip Et ve Yok Et
# Kişisel Güvenlik - Sanal Bilgisayarımızın Güvenlik Duvarı
# Kişisel Güvenlik - Manuel Analiz
# Kişisel Güvenlik - Bir Analiz Macerası...
# Kişisel Güvenlik - Bir Analiz Macerası... 2


 1-Kişisel Güvenlik - Online Virus Scanners  


Merhaba,

"Kişisel Güvenlik"
isimli 10 bölümden oluşan setimizde, siz değerli üyelere;

Bu tarama ve analiz yöntemlerini,
Virüslü, backdoor’lu dosyalardan nasıl korunmamız gerektiğini,
BackDoor’lu dosyanın sahibine ne tür zararlar verebileceğimizi
anlatmaya çalışacağız.

Tabi ki direk profesyonel analiz yöntemlerini değil de, normal bir kullanıcı olarak ve hiç bilgi birikimi gerektirmeyen tarama yöntemi olan "Online Virüs Tarama Siteleri"nden bahsedeceğiz.

Online Virüs Tarama siteleri, sizin sisteme upload ettiğiniz dosyaları bir çok Virüs Programına taratarak çıkan sonuçları size gösterir. İnternetten indirdiğiniz herhangi bir çalıştırılabilir dosyayı aşağıda verdiğim en çok kullanılan Online Virüs Tarama Siteleri’ne upload ederek tarama sonuçlarını görebilir ve eğer dosya virüslüyse dosyayı açmadığınızdan dolayı büyük bir zarardan kurtulmuş olursunuz.

Belli başlı Online Virüs Tarama Siteleri:
www.virustotal.com
vscan.novirusthanks.org
www.metascan-online.com
www.garyshood.com/virus/
http://virusscan.jotti.org/tr
...

Bu sitelerden belki yüzlerce var internette, ancak bunlar en düzgün sonuç veren ve en çok kullanılan sitelerdir. İsterseniz google’da "Online Virus Scanner" diye aratarak daha fazla sonuca ulaşabilirsiniz.

Kullanımı şöyledir, Gözat veya Browse butonlarına tıklayın ve taratmak istediğiniz dosyayı seçtikten sonra Upload veya Scan butonlarına basın. Ardından bir kaç dakika bekleyerek Tarama Sonuçlarınızı görebilirsiniz.

Örnek bir tarama sonucuna göz atacak olursak, gördüğünüz gibi Virüs Programının adı, sürümü ve sonucu sütunları halinde bize tarama sonucunu göstermektedir. Sonuç kısmında Kırmızı ile yazılan yazılar dosyada bulduğu zararlı yazılım türünü göstermektedir.

Yukarıda ise dosyanın güvenirliği ve kaç virüs programının dosyada virüs bulduğunu görebiliriz. Tabi ki tek bir siteye bağlı kalmak yerine birden fazla siteye dosyamızı taratarak işimizi sağlama almış oluruz.



2-Kişisel Güvenlik - Kolay Bir Analiz:Düşünme 


Kişisel Güvenlik setimize devam ediyoruz. Bu bölümde setimizin 2. adımını oluşturan "Mantık ve Düşünme" konusunu ele alacağız. Teknik konulara girmeden önce basit konuları tamamlamak amacıyla, bu konumuzda bir kaç ipucu vereceğiz.

Bu konumuzu bir olay örgüsü şeklinde anlatmaya çalışacağım.

Forumda geziyoruz... Aktif konular bölümünde yeni açılan bir konu gözümüze çarptı.
Konu adı "MSN-Site Hackleme Programı". Ne Yapıyoruz? Tabi ki de konuyu yöneticilere ihbar ediyoruz.
#Bu durumda Hacker (!):0 - 1:Biz

Forumda geziyoruz... Birşeyler aramak için girdiğimiz Mail Güvenlik Açıkları bölümünde bir konuya rastlıyoruz. Konu Adı "xYxY KeyLogger | %100 Çalışıyor". Tam da aradığımız şey, giriyoruz konuya. Bakıyoruz konunun içeriğine, güzelce hazırlanmış bir sunum. KeyLogger arayüzünün resmi, açıklaması, indirme linki, rar şifresi,vs...
Bir de ne görelim:


Mesaj Sayısı: 1
Adamımızın ilk işi foruma girip, selam bile vermeden "Aaa hack forumu, dur ben bu forumda %100 çalışan FUD keylogger paylaşayım. Yararlı olayım..." demek olmuş. Tabi ki "Demiştir ne var bunda?" diyenler olacaktır. Peki dedi diyelim ve devam edelim.
Adamın Avatarına bakıyoruz: No Avatar !
İmzaya bakıyoruz: No imza !

Profiline giriyoruz,
Kayıt Tarihi? "Aaa bugün kaydolmuş."
İletişim Bilgileri? "Yok"
O zaman Ne Yapıyoruz? Konuyu ihbarlıyoruz. Bu durumda Hacker (!):0 - 2:Biz

Tekrar
Forumda geziyoruz... Birşeyler aramak için girdiğimiz Mail Güvenlik Açıkları bölümünde bir konuya rastlıyoruz. Konu Adı "xYxY KeyLogger | %100 Çalışıyor". Tam da aradığımız şey, giriyoruz konuya. Bakıyoruz konunun içeriğine, güzelce hazırlanmış bir sunum. KeyLogger arayüzünün resmi, açıklaması, indirme linki, rar şifresi,vs...
Üyeye bakıyoruz, baya mesajı var. Avatarı, imzası herşeyi tam. Rütbesi de az değil. "Buna güvenmeyelim de kime güvenelim?" diyebilirsiniz, ben de derim ki babanıza bile güvenmeyin.

Biraz aşağılara iniyoruz bir kullanıcı yazmış, "Daha açmadan uyarı veriyor, kullandığım antivirüs.", Hackerımız cevap vermiş "Tabi ki verir hack programı bu."
Siz güvendiniz ve indirdiniz diyelim ne yapıyoruz? Taratıyoruz. -Bknz:Kişisel Güvenlik - online Virus Scanners-

Tarattık, bir de ne görelim:
Sadece bir Hack Programı olsaydı HackTool uyarısı verirdi.
Ama site bize ne söyledi: TrojanDownloader, Win32.Trojan.Buzus.bsln.8, Suspicious file gibi şeyler söyledi.
Ne Yapıyoruz? Programı açmıyoruz. O Forumdaki hacker abimizi ihbar ediyoruz. Demek ki bizim ona güvenmemizi sağlamak için o mertebeye gelene kadar sabretmiş ve backdoorlu programı paylaşmış. Peki biz yer miyiz? Yemeyiz. Hacker (!):0 - 3:Biz
Gördüğünüz gibi Kişisel Güvenlik’te Mantık ve Düşünme’nin çok büyük bir önemi vardır. Bazen çok büyük virüs programlarının bizi koruyamayacağı yerler vardır, o anda devreye aklımız girer.



3-Kişisel Güvenlik - Güvenli Bir Ortam: Sanal Bilgisayar 


Tüm hızımızla setimize devam ediyoruz. Basit konuları diğer 2 bölümümüzde bitirmiştik. Bu bölümden sonra artık teknik konulara başlayacağız.

Teknik konulara başlamadan önce yapmamız gereken son bir iş daha var. O da, yapacağımız testler ve analizler için -Sadece analizler demek daha doğru olur, test kısmı basit kısmıydı.- güvenli bir ortam oluşturacağız. Bu ortamın adı, çoğumuzun bildiği gibi Sanal Bilgisayar (Virtual PC).

Öncelikle Sanal Bilgisyar’dan bahsedelim.
"Sanal Bilgisayar, işletim sistemi ile bilgisayar platformu arasında bir sanal ortam yaratır ve bu sanal ortam üzerinde yazılımların çalıştırabilmesine olanak sağlar." Biz de bu olanaktan yararlanacağız. Ve hiçbir şekilde gerçek bilgisayarımız, açtığımız programlardan yada yaptığımız işlemlerden etkilenmeyecek. Böylece güvenli bir ortamda analizlerimizi gerçekleştirme imkanı bulacağız.

Sanal bilgisayar kurulumları internette bir çok yerde anlatılmış. Onun için burada tekrar anlatmaya gerek duymadım. Arama motorları yardımıyla "Sanal Bilgisayar Kurulumları"na ulaşabilirsiniz.

Sanal Bilgisayar oluşturmamıza olanak sağlayan bir çok program bulunmaktadır. Bunlardan en çok kullanılanlar VirtualBox, VMWare, Microsoft Virtual PC ’dir. İstediğinizi indirebilirsiniz. Bunların yanında bir de bir işletim sistemi, eğer elinizde yoksa, indirmeniz gerek. Herhangi bir Microsoft Windows Sürümü olabilir, ben XP indirmenizi tavsiye ediyorum. İşlemlerimizi XP üzerinden yapacağız.

Böylece, sanal bilgisayarımızı kurarak analiz yapabileceğimiz güvenli bir ortam oluşturmuş olduk ve bu bölümümüzün de sonuna geldik. Bir dahaki bölümlerde teknik konulara girerek, Sanal Bilgisayarımız üzerinden işlemler yapacağız.


4-Kişisel Güvenlik - Sanal Bilgisayarımızın Gerçek Bekçiler 


Setimize başka bir bölüm ile devam ediyoruz. Önceki bölümümüzde Sanal Bilgisayar’ın ne olduğunu, ne faydaları olduğunu, nasıl kuracağımızı ve nerelerde kullanacağımızı görmüştük. Bu dersi okuyorsanız, bir Sanal Bilgisayar’a sahipsiniz demektir.

Bu bölümümüzde ise, sanal da olsa bir bilgisayarın olmazsa olmazı bir güvenlik programının bize ne gibi faydalarının dokunacağını göreceğiz ve programı bilgisayarımıza kuracağız.


1- Tam Güvenlikli Programlar:

Ne kadar şüpheli dosyamızı internetten toplu olarak bir çok antivirüs programına taratabilsek te Bilgisayarımızda da bir güvenlik programının bulunması gerekir. Dikkat ederseniz güvenlik programı dedim, sadece antivirüs değil. Çünkü güvenlik programının kapsamı daha geniştir.

Örneğin bir tam güvenlik programının içinde genelde şu fonksiyonlar da bulunur:

Antivirüs,
Güvenlik Duvarı,
Savunma,
SandBox,
vs...
Bu fonksiyonların her biri için ayrı program yüklemek yerine hepsini içinde barındıran bir güvenlik programı kurabilirsiniz. Benim size tavsiyem, COMODO Internet Security olacaktır. Tabi siz başka firmaların programlarını da kullanabilirsiniz. Ancak ben COMODO kullanıyorum ve size öneririm.

İndirmek isteyenler için:COMODO Internet Security 2011 1 Yıllık Lisanslı
(Benim uploadım değildir.)


2-Yardımcı Ek Programlar:

Yukarıdaki gibi fonksiyonları tam olan bir program kullansak ta bazen ek programlara da ihtiyacımız olacak. Örnek vermek gerekirse, Anti-Logger, Anti-Malware, vs... gibi programlar.

Örneğin, Zemana Anti-Logger. Bu programı da Sanal Bilgisayarınıza kurmanızı tavsiye ederim. Keylogger gibi zararlı yazılımları tespit etmede önemli rol oynar.

İndirmek isteyenler için:
Bu programı da kendi sitesinden deneme sürümünü indirebilirsiniz.


Programların kullanımlarıyla ilgili fazla ayrıntıya girmiyorum, her iki program türü de kolay kullanılan, basit, anlaşılır türlerdir. Bu programlarımızı Sanal Bilgisayarımıza kurmamızın ilerideki bölümlerde bizlere faydaları dokunacaktır...



5-Kişisel Güvenlik - Analiz Başlıyor... 



"Kişisel Güvenlik" setimizin bu bölümünde Profesyonel Dosya Analizine ilk adımımızı atacağız.


Analiz Başlıyor!


Bu dersimizde bazı Online Analiz sitelerini ele alacağız. Dikkat ederseniz Analiz diyorum, daha önce verdiklerimiz tarama siteleriydi ve antivirüs programlarına taratıyorlardı. Bu dersimizde ise daha derin, daha detaylı incelemeler yapan analiz sistemlerine yoğunlaşacağız.

Bu sistemler şöyle çalışır:


Şüpheli dosyayı siteye upload ederiz,
Derin bir analizden geçirir,
Sistem şüpheli dosyayı açar ve yaptığı hareketleri ve davranışları inceler ve raporlar,
Ve raporu bizlere sunar.
Peki bu raporda neler vardır?
Bu raporda şüpheli dosyanın neler yaptığını görebiliriz.
Örneğin:

Sistemimize bir dosya oluşturuyor mu?,
Kendini kopyalıyor mu?,
Hangi dizine hangi dosyayı oluşturuyor?,
Hangi dosyaları açıyor?,
Dışarıya bağlantı gönderiyor mu?,
Dışarıdan birşeyler alıyor mu?,
Kayıt Defterinde birşeylere bakıyor mu?,
Kayıt defterine birşeyler ekliyor mu?

vs...

Bu sitelerinden bazıları;
http://camas.comodo.com *
http://anubis.iseclab.org *
https://valkyrie.comodo.com *
http://www.threatexpert.com/submit.aspx *
http://www.threattrack.com/
http://www.xandora.net/upload/
http://www.norman.com/security_center/security_tools/

Özellikle ilk dört site benim tavsiye ettiklerim arasındadır.

Örnek bir analiz yaptıralım sisteme, Anubis üzerinde duralım bu dersimizde.
Öncelikle, URL den veya bilgisayarımızdan bir dosya upload ederek dosyayı sisteme gönderiyoruz.
Biraz bekledikten sonra karşımıza şöyle bir ekran geliyor:


Buradan raporu kaydedebilir yada online olarak, HTML,PDF,Text,XML uzantılarında inceleyebilirsiniz.

Ben sizlerle örnek bir oyun hilesine gömülmüş trojanın analiz sonuçlarını paylaşıyorum.
BURAYA TIKLAYIN

Rapordan da görebileceğiniz gibi en başta programın davranışlarına göre risk durumlarını gösteriyor.

Aşağılara indiğimizde daha ayrıntılı olarak dosyanın davranışları, yani yaptığı işlemleri ve hangi adrese birşeyler gönderdiğini,vs.. yani yukarıdaki soruların cevaplarını görebiliyoruz.

Ava gideni avlamak!
Peki bu dosyayı inceledik, raporu gördük. Ne yapabiliriz?

Raporda, 1.a) - Network Activity bölümünde dikkat ederseniz bazı IP ler verilmiş. Bu IP, trojanın sahibinin bilgisayarına ait. Aynı zamanda trojanı kullanmak için açtığı portta verilmiş. Bu porttan bilgisayara dalabilir veya modem arayüzüne girebilir, karşıdaki kişiye ciddi zararlar verebiliriz. Ve ava giderken avlanmış olur.

Buna ek olarak aşağılara indiğimizde, karşımızdaki kişinin Trojanı yönetmek için kullandığı şifreyi görebiliriz. Ve en önemlisi karşımızdaki kişi hakkında biraz bilgiye sahipsek, yani bize bu dosyayı atan kişiyi tanıyorsak, MSN, Facebook, Forum,vs... gibi hesaplarını biliyorsak, bu şifreyi bu hesaplarda deneyerek eğer genelde aynı şifreyi kullanıyorsa saldırganın hesaplarını ele geçirebiliriz....



6-Kişisel Güvenlik - Takip Et ve Yok Et



Setimizin geçen bölümünde, şüpheli dosyayı Online Analiz sitelerine taratarak dosyanın neler yaptığını görebileceğimizi görmüştük. Bu bölümümüzde ise dosyayı sanal bilgisayarımızda açarak, yardımcı programlar kullanarak, dosyanın neler yaptığını göreceğiz.

Yani dosyayı takip edeceğiz ve ardından dosya zararlıysa yok edeceğiz. Bunun için kullanabileceğimiz bir çok program var. İki tane örnek vereyim:
1-Process Monitor MICROSOFT
2-Kill Switch COMODO
Bu bölümümüzde Kill Switch üzerinde duralım. Yukarıdaki linklerden sisteminize göre 64 veya 32 bit olan dosyayı indiriyoruz. Dosyanın içindeki KillSwitch.exe yi açıyoruz.

Açtığınızda, o anda sistemde çalışan tüm uygulamaları ve zararlı olup olmadıklarını görebilirsiniz. Process Monitor de ise o anda yapılan tüm hareketleri görebilirsiniz.

Programın yukarısından Network sekmesine geçerek, o anda giden, gelen tüm bağlantıları görebilirsiniz.

Peki bu programları nasıl kullanacağız?

Öncelikle programlardan herhangi birini açıyoruz. Ardından şüpheli dosyamızı açıyoruz. -Bu arada sanal bilgisayarda çalışıyorsanız, başka işler de yapıyorsanız Sanal Bilgisayarınıza deep freeze kurmanızı öneririm.- Şüpheli dosyayı açtıktan sonra hemen inceleme programına bakıyoruz ve şüpheli dosyanın yaptığı hareketleri inceliyoruz. Network bölümünden de nereye bağlantı gönderdiğine bakıyoruz.

Şöyle bir ekran geliyor:


Gerçekten zararlı bir yazılımsa programın üstüne sağ tıklayarak Terminate diyoruz ve yok ediyoruz. 



7- Kişisel Güvenlik - Sanal Bilgisayarımızın Güvenlik Duvarı 



Setimizin bu bölümünde, Sanal Bilgisayarda Firewall kullanımının önemini göstermeye çalışacağım.

Öncelikle Sanal Bilgisayarımıza bir FireWall kurmamız gerekiyor. Bu güvenlik duvarı sayesinde, açtığımız şüpheli dosyanın hangi adrese paket gönderdiğini tespit edeceğiz.

İnternette bir çok güvenlik duvarı bulabilirsiniz. Ben size Ashampoo FireWall’u öneriyorum.

Ashampoo FireWall’ın Türkçe + Crackli haline buradan ulaşabilirsiniz.BR
(Crack,vs.. bana ait değildir. Kişisel Güvenlik setinde bu ana kadar öğrendiğiniz yöntemlerle taratınız. Ondan sonra kurunuz.)

Ashampoo Firewall’u kurduktan sonra, süpheli dosyamızı sanal bilgisayarımızda açıyoruz.
Şüpheli dosya, eğer dışarıya bağlantı gönderiyorsa, Sağ alt köşede şöyle bir uyarı çıkacak:



Gördüğünüz gibi bu uyarıda, dosyanın hangi IP ye hangi Porttan bağlantı göndermek istediğini yazıyor. İsterseniz izin verirsiniz isterseniz vermezsiniz. Örnekte 80. porttan bağlantı gönderdiği için pek şüpheli sayılmaz. Örnek olsun diye verdim.

Böylece Firewall kullanarak, şüpheli dosyamızın nereye bağlantı gönderdiğini görmüş olduk. Bu IP den yola çıkarak, şüpheli dosyanın sahibine zararlar verebiliriz. Önceki bölümde söylediğim gibi, modem arayüzüne girme, vs... gibi.


8-Kişisel Güvenlik - Manuel Analiz 


"Kişisel Güvenlik" setimizin bu bölümüyle birlikte, setimizin son adımlarına yaklaşmış bulunuyoruz. Bu bölümümüzde şüpheli bir dosyayı kendi ellerimizle nasıl analiz edebileceğimizi göstermeye çalışacağım.

En basitinden başlayalım.


1-Not Defteri ile,


Keylogger olduğundan şüphelendiğiniz bir dosyaya sağ tıklayıp, birlikte aç’a tıklayıp not defteri ile açtığınızda, Eğer yazılımcı şifrelemek için uğraşmadıysa, scrollu en aşağıya ve en sağa kaydırıyoruz. Orada keyloggerin bilgi gönderdiği mail ve şifresini veya FTP bilgilerini bulabiliriz. Böylece ava gideni avlamış oluruz.

Not defterinde en sona bakarken dikkat edilmesi gereken şey, her bir değer arasında sabit bir karakter kümesi eklenir. Yani şöyle gözükebilir:


Burada;

hotmaster1234 - Sabit Karakter Kümesi
example@gmail.com - Logların gittiği mail adresi
123456 - Gmail adresinin şifresi ’dir.

2-Hex Editor ile,


Şüpheli bir dosyayı herhangi bir Hex Editor programı ile açarak programın içeriği hakkında biraz bilgiye sahip olabilirsiniz. İlk başta biraz karmaşık gelebilir ancak daha sonralarda kolay ve zevkli gelecektir.

İnternette bir çok Hex Editor ve Kullanımı konusu var. Ben size sadece en çok kullanılanlardan birini vereceğim.

UltraEdit

Yukarıdan indirebilirsiniz. Hex editor ile de bir keyloggeri inceliyorsanız şöyle bir görüntüye rastlayabilirsiniz:


Yine Burada;

hotmaster1234 - Sabit Karakter Kümesi
example@gmail.com - Logların gittiği mail adresi
123456 - Gmail adresinin şifresi ’dir.

FileAlyzer ile,


Bir dosya analiz ederken en çok kullanacağımız program bu tür programlar olacaktır. Bir dosya analiz edecekseniz, FileAlyzer programını şiddetle tavsiye ederim.

Buradan Ulaşabilirsiniz.

Bunun üstünde biraz fazla duracağız. En iyisi sırayla bazı önemli sekmelerin işlevlerini tek tek anlatalım.

Şüpheli dosyamızı FileAlyzer ile açıyoruz.

General - Karşımıza ilk gelen ekrandır. Bu ekranda dosya ile ilgili şu bilgilere ulaşılabilir:


Dosya Adı, konumu, büyüklüğü, versiyonu,
Dosyanın bazı Hash’leri,
Dosyanın oluşturulma, değiştirilme,vs.. tarihleri.
Hex - Bu sekme, Yukarıdaki programlar gibi bir nevi Hex editor işlevini görür. Herhangi bir yere sağ tıklayıp, "Scan for strings" tuşuna bastıktan sonra, Sağ tarafta 6 tane yeni alt sekme açılır. Bunlardan Strings, Filenames, URLs sekmelerini inceleyerek programın içindeki bazı adreslere ve dosya bilgilerine ulaşılabilinir.

Hashes - Bu sekmede, dosyaya ait tüm Hash’lere ulaşılabilinir.

Classification Sources - Bu sekme ise, dosyanın Hash’lerinden yola çıkarak google’da, bing’de, yahoo’da, Threat Expert’te, VirusTotal’da ve Camas.comodo.com’da daha önce taranmış bir dosya ise, sonuçlarını bize gösterir. Bunun da bize çok faydası dokunur.

VirusTotal - Bu sekmede ise yine VirusTotal da taratarak sonuçlara ulaşabilirsiniz.

Bu bölümün de sonuna geldik. Bir dahaki bölümümüzde genel olarak bir dosyanın analiz macerasından bahsedeceğiz ve setimize son vereceğiz.


9-Kişisel Güvenlik - Bir Analiz Macerası... 



Nihayet, bu bölüm ile birlikte "Kişisel Güvenlik" setini tamamlamış bulunuyoruz. Bu bölümde birşeyler öğretmek yerine, beyin fırtınası yaparak birşeyler yapacağız. Biraz hikaye tarzında bir anlatım yapacağız. Bu bölüm parçalar halinde olacak. 1. parça aşağıdadır. Başlıyoruz...


Bizi nasıl eker?


Arkadaşımızla buluşacağız. Taksim Meydanına gittik, ve bekliyoruz. 10 dakika geçti, yarım saat geçti, 1 saat geçti ama arkadaşımız görünmüyor. Tasalanıyorsunuz, meraklanıyorsunuz, acaba başına birşey mi geldi?. En sonunda arıyorsunuz arkadaşınızı;
+Mehmet nerdesin?
-Kanka ben gelemeyeceğim yav, çok önemli işim çıktı, kusura bakma.


Neyse, diyorsunuz. Önemli bir işi vardır belki... Gidiyorsunuz eve, facebook’a giriyorsunuz. Bir bakıyorsunuz arkadaşınız yeni fotoğraflar yüklemiş. Kız arkadaşıyle çektiği fotoğraflar. Hem de daha yeni çekilmiş. Biz meydanda beklerken. Haliyle sinirleniyorsunuz, çok kızıyorsunuz.

Arkadaşınıza zarar vermek istiyorsunuz. Ama nasıl?... Buldunuz! Ona keylogger yedirelim. Hemen bir senaryo kuruyorsunuz aklınızda. Böyle böyle dersem inanır, açar dosyayı, vs..
Eee? Keylogger i nereden bulacaz. Giriyoruz google’a. Yazıyoruz: %100 Fud Keylogger.
Bakıyoruz sonuçlara, 1-2 sayfa geziyoruz. Bir forum sitesine giriyoruz: XyXyhack.com.
Bakıyoruz konuyu admin açmış! Şansa bak, süper. Tarihe bakıyoruz daha yarım saat önce açılmış! Bundan iyisi Şam’da kayısı. Giriyoruz indirme linkine; hotfile.com/...... , indiriyoruz dosyayı.

Şimdi ne yapıyoruz? Hemen açıyor muyuz dosyayı? Tabi ki hayır. Ya o forum sitesinin admini hacklendiyse ve hackleyen kişi logger paylaştıysa?(Bknz: Kişisel Güvenlik - Kolay Bir Analiz: Düşünme) Açıyoruz hemen Sanal bilgisayarımızı. Dosyayı atıyoruz oraya. Ve macera başlıyor

..........

Devamı 2. parçada...


10-Kişisel Güvenlik - Bir Analiz Macerası... [2] 


Bu konu, diğer konunun devamı niteliğindedir.

Bizimkisi bir Analiz Hikayesi


Sanal bilgisayarımızı açtık ve indirdiğimiz dosyayı sanal bilgisayara attık. Ne yapıyoruz? Hemen online virus tarama sitelerine, dosyayı taratıyoruz. (Bknz: Kişisel Güvenlik - online Virus Scanners)

Tarattık, peki sonuçlar? %100 güvenli. Ne yapıyoruz? Hemen dosyayı açmıyoruz tabiki

Macera devam ediyor. Önce işlem takip edici programımızı açıyoruz. Sonra şüpheli dosyayı açıyoruz. (Bknz: Kişisel Güvenlik - Takip Et ve Yok Et)



Bir de ne görelim, dosya haddini aşarak, kayıt defterinden bazı kayıtları düzenlemeye çalışıyor ve hiç ilgisi olmadığı yerlere kendini kopyalıyor. Kesinlikle Backdoor var bunda diyoruz.

Bu bize yapılır mı be? Arkadaşımız bize yalan söyledi. Bizi ekti. Ardından bu forumun dengesiz veya hacklenmiş admini bize keylogger,trojan,vs... yedirmeye çalışıyor. İyice sinirlendik artık.



Ava gideni avlamak!



Bütün sinirimizi bu bize backdoorlu dosya yedirmeye çalışan adamdan alacağız. Hemen Hex Editörümüzü açıyoruz ve dosyayı incelemeye başlıyoruz. (Bknz: Kişisel Güvenlik - Manuel Analiz) En aşağılara indik ama logların gitti mail adresi felan yok. Demek ki şifrelenmiş.

O zaman hemen Online Analiz sitelerinden birine girip dosyayı taratarak (Bknz: Kişisel Güvenlik - Analiz Başlıyor...) yada güvenlik duvarımızı açıp şüpheli dosyayı çalıştırarak hangi IP ye bağlantı gönderdiğini tespit ediyoruz. (Bknz: Kişisel Güvenlik - Sanal Bilgisayarımızın Güvenlik Duvarı)

Evet! Sonunda bulduk, dosyaya bir trojan gömülmüş ve resimdeki IP ye bağlantı gidiyor.


Hemen IP ye giriyoruz. Ve adamın modem arayüzü karşımıza geliyor. Modem isminden şifreyi buluyoruz ve deniyoruz. Girdi!



Şimdi istediğimizi yapabiliriz. Bütün sinirimizi ondan alabiliriz. Ama merhamet edip, hiçbirşey yapmıyoruz.

Ve hikayemiz burada sona eriyor.


Beni dinlediğiniz için teşekkürler...

Kişisel Güvenlik setimiz burada sona eriyor. Elimden geldiği kadar birşeyler anlatmaya, yararlı olmaya çalıştım. İnşAllah yazdıklarımla birşeyler anlatabilmişimdir.


Bâki Muhabbetle...
CWEnS - Enes ARSLAN