Özel sunucu saldırıları

“Modern İnternet saldırıları” makalesi Sophos Plc ve SophosLabs tarafından sunulmaktadır.

Ağustos 2007

Tüm İnternet saldırıları, ele geçirilmiş siteleri kullanmaz. Her gün webde çok sayıda özel kötü amaçlı yazılım sitesi ortaya çıkmaktadır. etki alanı adı kayıt prosedürü neredeyse kontrol edilmez, bu da İnternet saldırıları veya benzer alan adlarından trafik yakalama için siteler oluşturmayı mümkün kılar. Son yöntem, mevcut bir siteye benzer yazılışta bir etki alanı adı ile site oluşturmayı varsayar. Bu tür yöntemler genellikle kimlik avı için kullanılır, ancak bununla sınırlı değildir. Saldırı siteleri için alan adlarının belirli kurallara uyduğunu söyleyemeyiz. Bazı durumlarda normal saygın görünen adler kullanılırken, diğer durumlarda anlamsız ve genellikle okunamayan karakter dizileri kullanılır. Saldırı siteleri ayrıca ayrı bir etki alanı adı kaydetmeden ücretsiz barındırma hizmetleri kullanılarak da oluşturulabilir. Saldırı sitelerini tanımlarken, sitenin kasıtlı olarak kötü amaçlı olarak oluşturulup oluşturulmadığını belirlemek için etki alanı adı kayıt bilgilerini kontrol etmek önemlidir. Aslında, sitenin ele geçirilmiş mi yoksa saldırgan mı olduğunu yanıtlamamız gerekiyor.

İki yakın tarihli vaka, iyi bilinen adleri kullanan saldırılara iyi bir örnek olabilir. Her iki saldırıda da kurbanlara virüs bulaştırmak için sahte Google alan adları kullanıldı. İlk site, yerelleştirilmiş bir Google arama sayfası gibi görünüyordu [48] ancak aslında kurbanlara kötü amaçlı yazılımla virüs bulaştıran kodu içeriyordu. İkinci durumda, bir web sayaç hizmeti gibi görünen bir site, çeşitli tarayıcılardaki (MS06-057 [49], WinZip, MS06-055 [50], QuickTime (CVE-2007-0015) ve MS07-009 [51] dahil) birkaç güvenlik açığını kullanarak kötü amaçlı yazılım yüklemeye çalıştı. İlginç bir şekilde, ikinci siteye yapılan sonraki bir erişim denemesi, normal Google arama sayfasına yönlendirdi.
Kötü amaçlı sürücü-by siteleri oluşturmak için hazır ve açıkça dağıtılan araçların popülaritesi son zamanlarda arttı. En ünlü iki örnek MPack [52.53] ve IcePack [54], 2007 yılı boyunca İnternet saldırılarında yaygın olarak kullanıldı. Bu tür kitler, özel İnternet forumlarında satın alınması nispeten ucuzdur. Saldırı siteleri oluşturmak için bir dizi PHP aracı içerirler. Alıcılar, bu tür kitleri kullanarak çeşitli tarayıcı güvenlik açıklarını kullanarak kötü amaçlı siteler oluşturabilir ve kurbanlara seçilen kötü amaçlı yazılımla virüs bulaştırabilir. Betik ve açık geliştirme konusunda deneyime sahip olmaları gerekmez. Bu kit ile ayrıca kötü amaçlı yazılımın yayıldığı bir açılış sayfası oluşturabilirsiniz. Bundan sonra, hacker sadece ziyaretçileri çekmelidir. Genellikle bu, spam veya ele geçirilmiş sitelerle yapılır. Böyle bir sayfa tarayıcıda açıldığında, betik kurbana virüs bulaştırmak için çeşitli açıkları denemeye başlar. Genellikle bu tür kitler güncellemeyi destekler. Herhangi bir tarayıcıda yeni bir güvenlik açığı tespit edildiğinde, başarılı bir saldırı şansını artırmak için açılış sayfası güncellenir.

Kurbanlar hakkındaki bilgiler veritabanına kaydedilir, bu da bilgisayar korsanının saldırıların başarı oranını takip etmesine olanak tanır. Bu tür istatistikler, öne çıkan müşterilere tekrarlanan saldırılardan kaçınmak için de kullanılır. Tekrarlanan sorgu boş bir sayfa veya zararsız bir mesaj döndürür (örneğin, ": ["). Bazı kitler, "Üzgünüz! IP’niz engellendi." mesajı olarak gizlenmiş bir betik bile kullanır (orijinal yazım korunmuştur).

Şek. 9. MPack paketi ile oluşturulmuş bir saldırı sitesinde istatistik sayfası örneği.

Bir site saldırı için oluşturulup yapılandırıldıysa, bilgisayar korsanının kurbanları cezbetmesi gerekir. Genellikle iki yöntem kullanılabilir: tehlikeli iframe etiketinin gizli indirilmesi veya site bağlantısının spam mesajlarında yayılması. Spam olarak kullanılan sosyal mühendislik yöntemleri genellikle pornografi üzerine dayanır, örneğin ünlülerle bir porno fotoğrafı veya video sunmak [5556]. Son saldırıların birkaçında, bağlantıya tıklayan kullanıcılar, kötü amaçlı yazılım yüklemek için bir dizi tarayıcı güvenlik açığını kullanan kötü amaçlı Iffy [57] betiği aldı. Iffy ile yapılan ilk saldırı, yakın zamanda ortaya çıkan Microsoft Internet Explorer animasyonlu imleç güvenlik açığını hedefleyen özel kötü amaçlı ANI dosyalarını kullandı. Müteakip Iffy saldırıları, kurbanlara virüs bulaştırmak için MS07-017 dışında diğer açıkları kullandı.

Iffy, çeşitli saldırılarda kötü amaçlı yazılım yüklemek için kullanılan bir betiğin iyi bir örneğidir. Bu makaleyi yazmak için kullanılan 12 saat içinde, SophosLabs 10 yeni Iffy saldırısı ortaya çıkardı (bkz. Şek. 9). Üç farklı aileden kötü amaçlı yazılım yüklediler, dosyaları sunucu otomasyonu ile sürekli güncellendi (bkz. Tablo 1). Bir saldırı sitesi, IcePack kiti kullanılarak oluşturulmuş başka bir saldırı sitesinin açılış sayfasını yüklemek için kullanıldı, bu da yeni bir enfeksiyon mekanizması oluşturdu. Bu örnekler karmaşık veya olağandışı değildir. Modern web saldırılarının çoğunda uygulanan yöntemleri kullanırlar.
PHP kümeleri ile oluşturulan açılış sayfalarına kullanıcıları yönlendirmenin en popüler yolu, saldırıya uğramış sayfaya kötü amaçlı bir iframe etiketi yerleştirmektir. Bu, kurbanların gizlice kötü amaçlı betik yüklendiği saldırıya uğramış sitelerin ziyaret ettiği bir saldırı sitesi yapılandırmasına olanak tanır. Bu tür saldırılar, kullanıcıların saldırıya maruz kaldığı birkaç saldırıya uğramış site ve özel saldırı sitelerinin bir kombinasyonunu kullanır. Birden fazla saldırıya uğramış site kullanmanın yan etkisi, nihai saldırı sitesi kullanılamaz hale gelse bile saldırıya uğramış sayfaların hala kötü amaçlı içerik talep etmeye çalışmasıdır.

Kötü amaçlı betiklerin karakteristik özelliklerinden biri, yeni bir güvenlik açığı kullanmak için hızla uyarlanabilmeleridir. Sonuç olarak, insanlar kopyalayıp minimal değişiklikler yaparak birçok küçük varyasyon geliştirirler. İnternet üzerinden dağıtılan PHP araçları durumunda benzer bir durum görülmektedir: bu tür araçlar kullanılarak oluşturulan betiklere benzer betikler barındıran birçok saldırı sitesi vardır. Muhtemelen, bu tür araçların edinimi için para tasarrufu yapma girişimlerinde manuel kopyalamanın bir sonucudur (fiyat genellikle birkaç yüz ABD dolarıdır).

İleri

Destek birimiyle iletişime geçin