Ele geçirilmiş siteler

“Modern İnternet saldırıları” makalesi Sophos Plc ve SophosLabs tarafından sunulmaktadır.

Ağustos 2007

Kullanıcılar, kullandıkları web hizmetlerine güvenirler. İnternet haritaları ve haberlerden hava durumu tahminlerine kadar hizmetlerini kullanmak için sitelere bağlanırlar ve tarayıcılarının sayfaları buna göre görüntülemesine izin verirler. Kullanıcılara genellikle güvenilir sitelerin listelerini bulundurmaları ve tarayıcıyı site güvenilirliğine göre ayarlamaları önerilir. Bu şekilde kullanıcılar, belirli bir siteyi görüntülemek için gerekli ise, betikler, ActiveX ve Java gibi özellikleri açabilirler. Bilinmeyen bir alandan gelen içeriğe daha sıkı kurallar uygulama fikri mantıklıdır.

Yine de son zamanlarda tehlikeye atılmış sitelerin sayısı önemli ölçüde arttı [31]. Sebep nedir? Bilgisayar korsanları işlerini sadece bir siteyi bozmak için yapmazlar [32, 33]. Bir siteyi tehlikeye atmak ve sayfalara kötü amaçlı içerik yüklemek, bu makalede ele alınan tehditleri yaymak ve uygulamak için neredeyse fark edilmeyen bir araç olarak hizmet eder. Ayrıca, tehlikeye atılmış bir site birçok düzenli kullanıcıya sahipse ve bu kullanıcılar siteyi güvenilir olarak kabul ediyorsa, potansiyel kurban sayısı da çok yüksek olacaktır. 2007 Super Bowl kupası öncesinde Miami Dolphins takım sitesinin siber saldırıya uğraması, tehlikeye atılmış siteleri kullanarak yapılan saldırıların olağanüstü büyük ölçekli olabileceğini kanıtladı [34].

HTML dili, ek içerik yüklemek için birçok kullanışlı yol sağlar. Çoğu zaman tehlikeye atılmış siteler, sayfaya fark edilmeden ek içerik yüklemeye olanak tanıyan <IFRAME> etiketini kullanır [35]. Bu etiket, birçok sitede barışçıl amaçlarla yaygın olarak kullanılır. Bu yöntemi, güvenilir kabul edilen bir siteyi tehlikeye atmak için kullanmak, kötü amaçlı yazılım yaratıcıları için çok uygundur, çünkü kullanıcıları sosyal mühendislik kullanmadan siteye çekebilirler ve kötü amaçlı içeriği indirmek için kullanıcı işlemlerine ihtiyaç yoktur. 2007’nin ilk yarısına ait istatistikler, İnternetteki kötü amaçlı yazılımların neredeyse %50’sinin iframe etiketlerini kullandığını gösterdi [36]. Bu etiket birkaç özelliği destekler. Çoğu zaman saldırılar, içeriğin yüklendiği sayfadaki çerçeve boyutunu ayarlayabileceğiniz genişlik ve yükseklik özelliklerini kullanır. Bir siteyi fark edilmeden tehlikeye atmak için, çoğu kötü amaçlı iframe etiketi oldukça küçük genişlik ve yükseklik değerlerine sahiptir (0-10 piksel). Bu tür etiketler, sayfada birçok küçük alanın oluşmasına yol açar. Bu alanlar, tekrar eden enfeksiyon durumunda oldukça görünür hale gelebilir.

Kötü amaçlı iframe etiketleri bu özellikleri içermesine rağmen, tehlikeye atılmış sayfaların proaktif olarak tanımlanması zor bir görevdir, çünkü bu özellikler birçok sıradan sayfada da kullanılır. Boyutu ayarlayan özellikler yalnızca dolaylı bir işaret olarak hizmet edebilir — tespiti sağlamak için iframe etiketinin src özelliğini kontrol etmeniz gerekir. İlginç bir şekilde, son zamanlardaki birkaç saldırı, ekstra küçük yerine ekstra büyük boyut (örneğin 1.500’e 1.500 piksel) kullandı. Açıkça, bu, tehlikeye atılmış sayfaların şüpheli derecede küçük özellik değerleriyle tespit edilmesini önleme girişimidir.

Şek. 6. Ardı ardına virüs bulaşmış bir sitenin ekran görüntüsü. 23 eklenmiş kötü amaçlı etiketin her biri için birkaç küçük alan görebilirsiniz.

Benzer bir sonuç genellikle, sayfa görüntülendiğinde bir iframe etiketi ekleyen kötü amaçlı bir komut dosyası ile bir sayfanın tehlikeye atılmasıyla elde edilir. Bu tür saldırıların nihai sonucu esasen aynı olsa da (sayfa görüntülendiğinde uzak sunucudan kötü amaçlı içerik indirilmesi), önleme yöntemleri farklıdır. Bu şekilde virüs bulaşmış sayfaları tespit etmek için eklenen komut dosyasını bulmanız gerekir. Sayfayı kötü amaçlı iframe etiketleri için kontrol etmek yeterli değildir (kontrol teknolojisi JavaScript’i yorumlamanıza veya simüle etmenize izin vermedikçe). JavaScript’te kötü amaçlı bir document.write ('<iframe... >') işlemini gizlemenin birçok yolu olduğunu düşünürsek (bkz. Şek. 7), erken tespit daha da zorlu bir görev haline gelir.

Şek. 7. Sayfanın koduna kötü amaçlı bir iframe etiketi ekleyen kötü amaçlı bir komut dosyası ile virüs bulaşmış bir sayfa. (üst: sayfaya eklenen iframe etiketi; alt: enfeksiyon sonucu sayfaya eklenen kötü amaçlı komut dosyası).

Pintadd [37] adlı son bir saldırı, iframe etiketi ile kötü amaçlı içerik yüklemenin biraz değiştirilmiş bir yolunu kullanan bir komut dosyası ile birçok siteye virüs bulaştırmıştır. Sadece document.write() çağırmak yerine, komut dosyası bir iframe öğesi oluşturan createElement () işlevini kullanır [38]. Daha sonra etiket için gerekli özellikler ayarlanır ve etiketin kendisi appendChild () yöntemi ile mevcut sayfaya eklenir [39]:

Kurbanın bakış açısından, sonuç, iframe etiketinin doğrudan eklenmiş olmasıyla aynı olacaktır. Ancak, bu güvenlik yazılımları için yeni bir sorundur.

SophosLabs tarafından tespit edilen neredeyse tüm virüs bulaşmış siteler, uzak sunuculardan ek kötü amaçlı içerik indirmektedir. Aslında tehlikeye atılmış siteler, kötü amaçlı komut dosyalarını indirmek ve enfeksiyon mekanizmasını başlatmak için kullanılır (bkz. Bölüm 3.3). Bazı saldırılar (örneğin, Dorf) kullanıcıları kötü amaçlı siteye çekmek için spam mesajları kullanır. Diğer saldırılar aynı hedefe ulaşmak için tehlikeye atılmış siteleri kullanır. Kullanıcılar, uzak saldırı sitesine bağlı olduklarını bile bilmezler.

Teorik olarak, saldırganlar güvenlik sistemini aşıp siteye uzaktan erişim sağladıklarında, saldırı için gereken tüm bileşenleri tehlikeye atılmış siteye yerleştirebilirler. Değiştirilmiş sayfalar, aynı sunucuda barındırılan kötü amaçlı komut dosyalarını çalıştırabilir ve kötü amaçlı yazılımları yükleyebilir. Ancak, genellikle durum böyle değildir. Bunun iki ana nedeni vardır. Birincisi, tehlikeye atılmış sitelerden kullanıcıları tek bir saldırı sitesine yönlendirmek, saldırı üzerinde tek bir kontrol noktası sağlar. İkincisi, tehlikeye atılmış site sayfalarına küçük komut dosyaları veya etiketler eklemek, büyük ikili dosyalar ve komut dosyaları yüklemekten daha az fark edilir. Tekrarlayan enfeksiyonun görünen işaretlerine ek olarak (Şek. 6), sitenin kaynak kodu da genellikle enfeksiyon belirtileri içerir. Çoğu zaman, özel işaretlerle (HTML yorumları) çevrili birkaç iframe etiketi veya kötü amaçlı komut dosyası görebilirsiniz.

Şek. 8. Virüs bulaşmış bir sayfanın başlangıcı, eklenen komut dosyalarını ve iframe etiketlerini () enfeksiyon işaretleriyle ayırarak gösterir.

Büyük sitelerin tehlikeye girdiğine dair haberler çok geniş bir şekilde yayılabilir. Yine de, tehlikeye giren sitelerin çoğu küçük ve nispeten az trafik çeker. Ayrı ayrı, herhangi bir özel tehdit oluşturmazlar, ancak kümülatif etki çok önemli risklere yol açar. Ayrıca, küçük ve kötü yönetilen siteler genellikle daha uzun süre virüs bulaşmış halde kalır, çünkü siteyi temizlemek imkansızdır, sorun göz ardı edilir veya yöneticilerin deneyimi yoktur. Açık bir sorun, web geliştirme işinin dış kaynak kullanımıdır. Site oluşturulduktan sonra, desteğine çok az dikkat edilir ve site enfeksiyonu gibi bir sorunla başa çıkacak yeterli nitelikli personel yoktur. Sayfalardan eklenen komut dosyalarını ve etiketleri kaldırmak yeterli değildir. Tekrarlayan bulaşmayı önlemek için, barındırma sağlayıcısıyla iletişime geçmeli ve siteye nasıl virüs bulaştığını anlamak için sunucu günlük dosyalarını incelemelisiniz. Virüs bulaşmış sitelerin yöneticilerine e-posta yazmak verimsizdir. Büyük şirketler bile genellikle minimal yanıt sağlar.

Eğer bilgisayar korsanları birden fazla siteyi barındıran bir sunucuyu (örneğin, bir barındırma sağlayıcısının sunucuya çiftliği) virüs bulaştırırsa, tek bir saldırı bilgisayarda barındırılan tüm sitelere virüs bulaşmasına yol açabilir [40]. Bu yılın başlarında, SophosLabs şirketi bir Polonya sağlayıcısına yapılan bir saldırıyı ortaya çıkardı. Birçok sunucuya EncIfr bulaşmıştır. Enfeksiyon, birkaç sunucuda barındırılan 13.000’den fazla URL’de tespit edildi. Tüm sayfalara JS/EncIfr-A kötü amaçlı komut dosyası bulaşmıştır. Bu örnek, saldırının ölçeği ve tehdit seviyesinin sadece virüs bulaşmış sayfaların sayısıyla değil, aynı zamanda virüs bulaşmış sunucuların sayısıyla da değerlendirilmesi gerektiğini göstermektedir.

Bazı saldırılar, tehlikeye giren siteleri kullanarak daha hedefli bir yaklaşım uygular, birçok site yerine belirli bir popüler siteye virüs bulaştırır. İyi bir örnek, MySpace sosyal ağına yapılan iki son saldırıdır. MySpace üzerinde çalışan bir solucan oluşturmak için Ofigel, QuickTime video kliplerini (gömülü JavaScript desteği ile) kullandı [41]. Kullanıcılar virüs bulaşmış bir profili açtığında, bir video klip indirildi ve bu da uzaktaki bir siteden kötü amaçlı bir komut dosyası indirdi. Bu komut dosyası, MySpace sitesinin savunmasız olduğu çapraz site komut dosyası çalıştırmayı kullandı. Kurbanın profiline benzer bir QuickTime video klibi ekledi. SpaceStalk [42] ile yapılan bir sonraki saldırı da kötü amaçlı komut dosyası indirmek için QuickTime video kliplerini kullandı. Komut dosyası, kullanıcı kimlik bilgilerini topladı ve bunları uzak sunucuya iletti [43]. Bu tür hedefli saldırılar, kullanıcılarına virüs bulaştırmak için popüler sitelerdeki güvenlik açıklarını kullanır. Site güvenlik açıklarını (örneğin, çapraz site komut dosyası çalıştırma) istismar eden yöntemlerden kullanıcıları korumak oldukça zor olabilir. En iyi yollardan biri, URL’leri sınıflandırmak ve daha az güvenilir siteleri görüntülerken daha sıkı bir güvenlik politikası uygulamaktır (bkz. Bölüm 4).

İleri

Destek birimiyle iletişime geçin