Günümüzde İnternet, pek çok insan için vazgeçilmez bir gereklilik ve alışkanlıktır. Dünyayı saran internet ağına çeşitli yollardan erişmek mümkündür. İnternet Cafe’ler, işyerleri, okullar ya da kişisel bilgisayarlar. İnternete ulaştığınız yol ne olursa olsun sizi bekleyen çok çeşitli tehlikeler mevcuttur. Birileri kişisel bilgisayarınız, kullandığınız network ya da size özel accountlarınız üzerinde hakimiyet kurmuş olabilir. Bu durum, kişisel dosyalarınızın tanımadığınız kişilerin ellerine geçmesinden, bulunduğunuz ortamdaki konuşmaların dinlenmesine, kişisel hesaplarınızın sizin adınıza kötü amaçlarla kullanılmasından, sizi mahkeme koridorlarına taşıyabilecek işlemlere kadar çeşitli belalara neden olabilir. Bu satırları okuduğunuz sırada sizin bilgisayarınız aracılığıyla bir banka hesabına illegal müdahaleler yapılıyor olabilir. İnanın bana bu hiç de paranoyakça bir düşünce ya da komplo teorisinin bir parçası değil. Bu yazıda "Computer Security" için gerekli olan üst düzey bilgileri yeni kullanıcıların da anlayabileceği bir şekilde açıklamaya çalışacağım. Buna rağmen anlayamadığınız terimler ya da açıklamalar olursa 42000000 nolu icq uininden bana ulaşabilirsiniz.

Computer Security için ilk şart bilgisayarınızın açılırken ve açıldıktan sonra yaptığı her işlemin şeffaf olması gerekliliğidir. Normal şartlarda işletim sisteminiz açıldığında hiçbir şüphe çekmeksizin bilgisayarınızı başkalarının kötü amaçlarına sunabilir. Gerekli şeffaflığın sağlanması için başlıca üç fonksiyonun gözlemlenebilmesi gerekir.

1. Start up dosyaları
2. Dosya ve register erişimi
3. TCP/IP trafiği

Bu üç fonksiyonun bilinçli bir şekilde gözlemlenmesi bilgisayarınızı tek kelimeyle kusursuz bir güvenliğe eriştirir. Güvenlik için hiçbir zaman antivirüs programlarına tam olarak güvenmemelisiniz. Bu tür programların koruyucu özelliği bazı durumlarda tamamen ortadan kalkabilmektedir. Şu an kullanımda olan trojanların (bilgisayarların dışarıdan yönetilmesini sağlayan casus programlar) bir kısmı hiçbir antivirüs programı tarafından tespit edilememektedir. Güvenlik konusunu Windows işletim sistemi üzerinde anlatmaya çalışacağım. Çünkü windows hem en yaygın kullanılan hem de en zayıf güvenliğe sahip işletim sistemidir. Eğer internete alternatif bir işletim sistemi üzerinden bağlanıyorsanız yazının geri kalan kısmını genel kültür açısından okuyabilirsiniz. Windows kullanıcılarının ise her kelimesini itinayla okumalarını tavsiye ederim.

1. Start up Dosyaları :

Start up dosyaları bilgisayarınızın her açılışında sizin onayınız ve haberiniz olmaksızın otomatik olarak çalıştırılan dosyalardır. Antivirüs program paketlerinin shield programları, getright ya da netzip gibi download araçları, printer ya da scanner gibi donanımlarınızı yöneten programlar bu yöntemle çalıştırılmaktadır. Ancak bilgisayarınızda trojan ya da bazı pws (password stealer) programları bir defa bile çalıştırılsa kendilerine autostart özelliği kazandıracak bir dizi işlem yaparlar ve her açılışta aktif hale gelirler. Şimdi programların start up özelliği için sisteminizde ne tür değişiklikler yaptıklarını görelim. Programların kendilerini yazabilecekleri yerleri tanıttıktan sonra zararlı programları nasıl tanıyabileceğimizi açıklamaya çalışacağım.

Start up özelliği için en basit yöntem programın başlangıç (start up) klasörüne kısayolunu kopyalamasıdır. Bu klasör

C:WINDOWSProfiles*oturum logininiz*Start MenuProgramlarBaşlangıç

adresinde bulunur. Bu klasöre START menüsünden rahatlıkla ulaşabilirsiniz.

İkinci yöntem programın kendisini

C:WINDOWS

dizinine kopyalayıp windows un yapılandırma ayarlarını düzenleyen dosyalara kendisini yazmasıdır. Bu dosyalar windows klasörü altında yer alan WIN.INI ve SYSTEM.INI dosyalarıdır. Dosyalar ASCII modda olduklarından herhangi bir editör yardımıyla (notepad gibi) açılıp kolayca düzenlenebilirler. Aşağıda söz konusu iki dosyanın start up fonksiyonu için kullanılan bölümlerini görebilirsiniz.

[windows]
NullPort=None
DOSver=3D213E3C6D66
StartUp=3F70
load=
run=
[boot]
oemfonts.fon=vgaoem.fon
system.drv=system.drv
drivers=mmsystem.dll power.drv
shell=Explorer.exe


WIN.INI ve SYSTEM.INI dosyalarının ilgili bölümleri

WIN.INI dosyasında run anahtarı, SYSTEM.INI de ise shell anahtarı start up sırasında çalıştırılacak dosya adını saklı tutar. SYSTEM.INI de Explorer.exe default olarak kayıtlı durumdadır. Yeni bir dosya eklendiğinde Explorer.exe’nin sağ tarafına yazılır.

Üçüncü yöntem programın windows dizinine kopyalandıktan sonra register anahtarlarını kullanarak autostart özelliği almasıdır. Windows register’ı işletim sisteminin ve install edilen program kayıtlarının ve bazı yapılandırma ayarlarının saklı tutulduğu bir yapıdır. Bilgisayarın isminden, faks için kullanılan telefon numarasına kadar bütün bilgilere buradan erişip değişiklik yapmak mümkündür. Register’ı düzenlemek için windows dizini altında yer alan REGEDIT.EXE programını kullanabilirsiniz. Programlar autostart özelliği almak için registry’de çoğunlukla

[HKEY_LOCAL_MACHINESoftwareMi crosoftWindowsCurrentVersion Run]

[HKEY_LOCAL_MACHINESoftwareMi crosoftWindowsCurrentVersion RunServices]

[HKEY_LOCAL_MACHINESoftwareMi crosoftWindowsCurrentVersion RunServicesOnce]

[HKEY_CURRENT_USERSOFTWAREMic rosoftWindowsCurrentVersion Run]

[HKEY_CURRENT_USERSOFTWAREMir abilisICQAgentAppsICQ]

Anahtarlarını kullanırlar. Sisteminizin söz ettiğimiz bölümlerinde birçok program dosyası kayıtlı durumdadır. Bu dosyalar arasından zararlı olanları ayırabilmek biraz dikkat ve birikim ister. Sizlere kolaylık olması açısından normal ve zararlı dosyalar için örnekler vermeye çalışacağım

Örnek Windows Start up dosya listesi

Yukarıda gördüğünüz tablo benim çoğunlukla kullandığım windows profiline ait start up dosyalarımın listesidir. Bu liste her makine için farklılık gösterebilir. Kullandığınız donanımların markası ve cinsi, kullandığınız yazılımlar bu tablonun içeriğini değiştirmektedir. Casus programların registry’de aldıkları isimler programı konfigüre eden kişilerin isteğine göre değişebilir bu nedenle standart bir liste vermek mümkün değildir. Fakat yine de Türkiye’de sık kullanılan trojan serverlarının sisteme yerleştikten sonra default olarak aldıkları isimleri açıklamakta fayda görüyorum.

- systray.dl
- systray.exe (system klasöründeki değil)
- msrexe.exe
- grcframe.exe

Sisteminizde şüpheli bir dosya bulunuyorsa (şüpheli dosyalar konusunu birazdan açıklamaya çalışacağım) ve o dosyanın ismi de start up dosyalarınız arasında yer almışsa, söz konusu dosya şüpheli olmaktan çıkmış ve bilgisayarınızdaki verileri başkalarının hizmetine sunmaya başlamış demektir.

2. Dosya Erişimi :

Bilgisayar sistemleri yazılım olmaksızın çalışmaz. Bu nedenle gerekli yazılımları çeşitli yöntemlerle temin edip bilgisayarımıza yükleriz. Bu işlem bilgisayarımızın güvenliğini tehdit eden faktörlerin başında yer alır. Bu konuda çok yaygın yanılgılar vardır. Özellikle yalnızca executable dosyaların zararlı olabileceği yanılgısı pek çok kişinin başını derde sokmuştur. Sizlere belki çok şaşırtıcı gelebilir ama normal işlevini yapan ve işletim sisteminde hiçbir tuhaf görünüme sahip olmayan bir resim, mp3, midi, txt ya da office dosyası (bu liste hayal gücünüzle sınırlıdır) sistem güvenliğinizi tamamen ortadan kaldırabilir. Dosya ve register erişimini kontrol altında tutabilmek için monitör programlarına ihtiyacınız vardır. Ben FILEMON.EXE ve REGMON.EXE adlarında iki program kullanıyorum. Bu programlar hakkında detaylı bilgileri başka bir yazımda açıklayacağım. Şimdi normal bir dosyayla casus fonksiyonlar taşıyan dosyalar arasındaki görünür farkları incelemeye çalışalım.

I - Yalın Trojanlar

Bu dosyalar .exe uzantılı olurlar. boyutları 30Kb ile 1.5Mb arasında değişmektedir. Popüler olanları 8Kb, 122Kb, 136Kb, 261Kb, 314Kb, 321Kb, 372Kb, 389Kb, 484Kb ve 610Kb boyutlarında karşınıza çıkabilir. İconları olmayabilir, standart executable iconu (üstte mavi şeritli beyaz dikdörtgen), meşale, satellite anten ya da windows logosu iconları söz konusu trojanların yalın halleridir. Bu dosyalar açıldıklarında ya hiçbir şey olmaz ya da sisteminiz hata mesajı verir. Bu işlem sırasında hard diskinizden yoğun sesler gelir ve sisteminiz yavaşlar. Eğer dosya pws dosyası ise ve bilgisayarınız internetde değilse internet connection’ı sağlamaya çalışır. Aşağıda popüler trojan serverlarının yalın haldeki iconlarını görebilirsiniz.

Popüler trojanların default server iconları

II - Birleşik Trojanlar

Bu dosyalar iki programın birleşimidir. Animasyon, e-cart, şaka, utility gibi programlara trojan eklenmesiyle oluşturulur. iconları ya da boyutları standart değildir. Bu dosyalar çalıştırıldığında bir çıktı oluşturmadan önce hard diskinizden yoğun sesler gelir. Eğer dosya pws dosyası ise bilgisayarınız internet connection’ı sağlamaya çalışır.

III - Süslü Trojanlar

Bu dosyalar görünürde .exe uzantılı değildir. iconları media file iconlarına (jpg, gif, bmp vb.) benzetilmeye çalışılmıştır. Ancak orijinal icon gibi davranmazlar. görünüm modu değiştirildiğinde boyutuyla beraber şeklinin değişmesi gereken iconun yalnızca boyutu değişir. Ayrıca bazen transparan olması gereken kısımlarda renkli lekeler bulunmaktadır. Aşağıda orijinal ve taklit icon örneklerini inceleyebilirsiniz.

Dosyalar çalıştırıldıklarında bir şey olmayabilir, hata mesajı verebilir ya da taklit edildikleri media dosyasının fonksiyonlarını tam anlamıyla gerçekleştirebilirler. Ancak her 3 durumda da sistemde yavaşlama, hard diskden gelen yoğun sesler ve/veya internet connection’ı sağlama çabası görülebilir. Bu tür dosyaların güvenirliliğini dosya üzerinde sağ butona basarak anlayabilirsiniz. karşınıza çıkan assist menü normalden 3-4 kat daha genişse dosya, windows üzerinde uzantısı farklı görünen bir dosyadır. Ayrıca klasör seçeneklerinin görünüm sekmesinde "Bilinen dosya türlerinin uzantılarını gizle" seçeneğini pasif hale getirirseniz windows un extensionlar konusunda sizi yanıltmasını engellemiş olursunuz.

IV - Gizli Trojanlar

Bu trojanlar anlaşılması en zor ve en tehlikeli dosyalardır. uzantısı .exe değildir. sisteminizde çalışmayan bir media file olarak aktif hale geleceği zamanı bekler. Bu dosyalar özel hedefler için oluşturulur. uzantısı .exe olmayan dosyayı bulup uzantısını değiştirip çalıştıran ve gerektiğinde silen çok küçük .exe, .com, veya .bat dosyaları ile aktif hale getirilirler. Genellikle program crack dosyaları, key generator’lar 2. parça için çok ideal programlardır. Bu dosyalardan korunmak için sisteminizde işlevini gerçekleştirmeyen dosyaları kesinlikle barındırmayın.

V - Self extract zip Trojanları

Bu dosyalar .exe uzantılıdır ve üzerlerinde default olarak aşağıdaki icon bulunur.

Self extract zip file iconu

Zip paketi içerisindeki programları belirli bir sırayla ve otomatik olarak çalıştırmaya yarayan bu dosya türünün içerisine sisteme gizlice yerleşen bir trojan yerleştirmek son derece kolaydır. Bu nedenle bu tür dosyaları açmadan önce sağ butona basıp "Extract to folder..." komutunu vererek içeriğini bir klasöre açmak ve kontrol etmek gerekmektedir.



İnternet erişimi sağlamadan önce kullanacağınız programları (ICQ dahil) önceden açmanız ve connection windowlarını kapatmanız güvenli bir erişime zemin hazırlar. Bilgisayarınızın açıldıktan sonra sizin isteğiniz dışında internete girmeye çalışması şüpheli bir durumdur. Bu isteği onaylamanız halinde verilerinizi tanımadığınız kişilere göndermiş olabilirsiniz.

Computer Security için en önemli koşul TCP/IP trafiğini kontrol altında tutmaktır. Bu kontrol için iyi bir firewall kullanmalı ve firewall rule ’larını en iyi şekilde düzenlemelisiniz. Bu konuyu detaylı olarak yazımın ikinci bölümünde açıklamaya çalışacağım. Firewall kurulumunun yanı sıra TCP ve UDP portlarının çalışma mantıkları ve işlevleri de gelecek yazımın içeriğinde yer alacak.

Bu yazıma son verirken değinmek istediğim birkaç konu var. Öncelikle Hacker’lığın güzel, karizmatik ve itibarlı bir sıfat olduğunu asla düşünmeyin. Bir bilgisayar sistemine gizlice girmekle bir eve gizlice girmek arasında ahlaki açıdan hiçbir fark yoktur. Hiç kimse size illegal bir siteyi hacklediğiniz için madalya vermez. Benden hiçbir saldırı amaçlı yardım istemeyin. Bilgisayarınızda yukarıda söz ettiğim belirtiler meydana geldiyse ya da daha açık bir şekilde bilgisayarınız sizinle sesli ya da yazılı iletişim kurmaya başladıysa ve fonksiyonları sizin kontrolünüzden çıkmaya başladıysa 42000000 numaralı uinden bana ulaşın. Bu gibi durumlarda yardım edebilmek için elimden geleni yaparım.

Unutmayın "güvenlik, huzur için zorunlu bir koşuldur"

Computer Security II
(Trojan tespiti ve çözümler)
Bu yazıyı önceki yazımdaki teorik bilgilerin uygulanmasında kolaylık sağlaması amacıyla yayımlıyorum. Sisteminizde trojan olduğundan şüpheleniyorsanız tespit için gerekli bilgileri ve çözüm yollarını bu yazı yardımıyla bulabilirsiniz. Trojanların bilgisayar sistemine nasıl yerleştiklerini anlayabilmek amacıyla hepsini kendi bilgisayarımda denedim. Bu çalışmada Dünya underground yazılım piyasalarında popüler olan 4 trojanın toplam 10 versiyonu ve 2 Türk trojanı olmak üzere toplam 12 popüler trojan hakkında bütün detaylı bilgilere yer verilmiştir. Yazı sitemde sürekli olarak güncellenecektir. Eğer listede yer almayan bir trojanın yaygın şekilde kullanıldığını tespit ederseniz server dosyasını bana yollayın. Birkaç gün içinde trojan hakkında detaylı bilgiyi yazıya eklerim.

Build Güncelleme Notları

BackOrifice1.2 ve 2k UDP portu kullandıkları için portscan yapıldığında farkedilemezler. Deep Throat ve Truva Atı haricindeki trojanların kullandıkları portlar trojanı konfigüre eden kişi tarafından değiştirilebilir. Subseven Trojanı, tecrübeli kullanıcılar tarafından EditServer programı yardımıyla çok geniş bir çeşitlilikte konfigüre edilebilmektedir. Bu trojanın boyutu, iconu, startup yöntemi, sistemde yerleşeceği dizin ve alacağı isim, register anahtarının adı ve kullanacağı port değişiklik göstermektedir. Yukarıdaki tabloda verdiğim bilgiler server’ın default özellikleridir.

SchoolBus serverı çalıştığı bilgisayarın UDP 44767 portunu da açmaktadır. BackOrifice, system klasöründe WINDLL.DLL dosyasını oluşturur. SubSeven’ın 1.9 dan önceki versiyonları SYSTRAY.DL adıyla windows klasörüne yerleşip TCP 1243 portu açarlar. Ayrıca system klasöründe FAVPNMCFEE.DLL dosyasını oluştururlar.



Build 014 Güncellemesi :

InCommand 1.5 Trojanının iconu, sistemde alacağı isim ve kullanacağı port, edit server programı yardımıyla değiştirilebilmektedir.

GIP 110 Programı, register’da özel bir teknik kullanarak registry’de LM (run) ve LM(RunServices) bölgeleri arasında yer değiştirebilir. Bu nedenle, bilgisayarınızı restart yaptıktan sonra mutlaka DOS ortamında açıp program dosyasını silmelisiniz. Eğer bu işlem yapılmazsa Windows yeniden başlatıldığında program tekrar aktif hale gelebilir. GIP programının iconu değişebilir, gönderildiği bilgisayarda windows, system ve temp dizinlerine yerleşebilir, aynı şekilde çalıştırıldıktan sonra alacağı isim de değişebilmektedir. Ayrıca GIP trojanı çalıştırıldığında taşıyıcı dosyayı silebilme fonksiyonuna da sahiptir. Bu trojan bilgisayarınızda çalıştırıldıysa hiç zaman kaybetmeden ICQ ve DialUp passwordleri başta olmak üzere sistemde kullandığınız bütün passwordleri (email, ftp, web-site vb.) değiştirmeniz gerekmektedir.



Çözüm Yöntemleri

1.Start up Fonksiyonunun iptali

1.1. Registrye Yerleşen Trojanlar

Regedit.exe programıyla

LM (RunServices) için ;

[HKEY_LOCAL_MACHINESoftwareMi crosoftWindowsCurrentVersion RunServices]

LM (run) için ;

[HKEY_LOCAL_MACHINESoftwareMi crosoftWindowsCurrentVersion Run]

adresine gidip trojan dosyasının oluşturduğu anahtarları sildikten sonra bilgisayarınızı restart etmeniz gereklidir.

* Truva Atı trojanını registry’den temizlemek için öncelikle trojan dosyasının bulunduğu klasörün ismini değiştirip bilgisayarınızı restart ettikten sonra programı registry den silmelisiniz.

1.2 Yapılandırma Dosyalarına Yerleşen Trojanlar

windows dizini altındaki WIN.INI ve SYSTEM.INI dosyalarını notepad’le açıp

WIN.INI de run=

SYSTEM.INI de ise shell=

satırları kontrol edilmelidir. Eşittir işaretinden sonra yazan dosya ismi yukarıdaki listede yazan isimlerden birisi ya da şüphe uyandıran başka bir isimse o bölümü silip yapılandırma dosyasını save ettikten sonra bilgisayarınızı restart edin.

2. Executable dosyanın silinmesi

Registry erişimi engellenemeyen bir dosyayı windows üzerinde silmeniz olanaksızdır. Bu dosyaları silebilmek için bilgisayarı, low level işletim sistemi olan DOS kipinde açmak gereklidir. Dos ortamında dizin değiştirmek için CD dosya silmek için DEL komutlarını kullanırız.

Örnek :

msrexe.exe olarak sisteme yerleşmiş bir SubSeven trojanını silmek için.

del c:windowsmsrexe.exe

komutu verilmelidir. silme işlemi bittikten sonra, dos ort********** shutdown menüsünden girmişsek EXIT boot sırasında girmişsek WIN komutu verilerek windows ort********** dönülür.

Eğer Firewall kullanmıyorsanız haftada bir kez windows ve system klasörünüzdeki dosyaların listesini ;

dir *.exe /od > liste.txt

komutunu vererek liste.txt dosyasına oluşturma tarihi sırasına göre aktarabilirsiniz. Daha sonra bu dosyayı Notepad programıyla açıp incelemeniz haftalık değişimleri farkedebilmenizi sağlar. Hızlı bir portscan yardımıyla bilgisayarınızdaki TCP portlarını haftada bir kez kontrol etmeniz de sistem güvenliğinizi sağlamanıza yardımcı olur.

alıntıdır...

ellerine saglık paylaşım için saoll ...