XSS var!

Anlatmakta zorlandığımız tehlikelere güzel bir örnek: AskMen.com

Sızma testleri bulguları arasında üst yönetime en zor açıklananlar, XSS gibi, kurum kaynaklarının başkalarına saldırmak için kullanıldığı zafiyetlerdir. Kendileri de konuya çok hakim olmadıklarından olsa gerek bazı “hızlı heykır” abilerimiz XSS zafiyetlerinin göstergesi olarak ekrana “XSS Var!” yazdırmaktan fazlasını sunamazlar. Benzer saldırılardan birisi de sitenin kaynak koduna zararlı bir kod eklenerek site ziyaretçilerine karşı yapılan saldıralardır. 

Websense araştırmacıları www.askmen.com sitesinin kaynak koduna zararlı java kodları eklendiğini tespit etmiş. Aylık 10 milyondan fazla ziyaretçisi olduğu tahmin edilen siteye eklenen kod özünde zararlı değil. Eklenen kod ziyaretçiyi asıl zararlı kodun bulunduğu siteye yönlendirerek istismar kodunun buradan yüklenmesini sağlıyor.


Şekil 1: askmen.com Alexa'ya göre dünyanın en popüler 1591. sayfası


Eklenen koda bakıldığında günün tarihini CRC32 algoritması ile işleyip bir alan adı oluşturduğunu ve ziyaretçiyi bu alan adına yönlendirdiğini görüyoruz. Bu sayede saldırganlar ziyaretçilerin hangi gün hangi alan adına yönlendirileceğini biliyor ve buna göre hazırlık yapabiliyorlar. Bu algoritmaya göre 30 Haziran günü www.askmen.com sitesini ziyaret edenlerin http://a78b8f8c.pw/nbe.html adresine yönlendirileceğini biliyoruz. Saldırgan olarak yapmamız gereken şey, ileriye dönük bu alan adlarını hazırlayıp beklemek.

Şekil 2: Sayfanın kaynak koduna eklenen yönlendirme kodu



Şekil 3: Eklenen kodun açık hali

Ziyaretçilerin yönlendirildiği sitede ise bir Java istismar kodu (virüstotal CVE-2013-2465 olarak tespit etmiş) ve bir Adobe PDF okuyucu istismar kodu bulunuyor. Analizi yapanlar, Java’nın kodlanma (obfuscation) yönteminin saldırganların bu iş için Nuclear Pack Exploit Kit’i kullanmış olabileceğini gösterdiğini belirtiyor.

İstismar kodunun başarılı olması halinde CAPHAW olarak bilinen zararlı yazılım kurbanın bilgisayarına yükleniyor. Hükümet ve altyapı gibi stratejik hedeflere yönelik kullanıldığı tespit edilen bu zararlının gelişmiş özellikleri sayesinde saldırganlar bulaştıkları ağ içerisinde tarama yapıp, yatay olarak yayılma imkânına sahip oluyorlar.
CAPHAW’ın daha çok Rusya ve Ukrayna’da bulunan komuta sunucularına doğru gözlemlenen trafiğin kaynakları aşağıdaki resimde verilmiştir. (Her hangi bir harita gördüğümüzde yaptığımız gibi hemen Türkiye'ye bakıyoruz ve... bizden de birileri var)

Şekil 4: Komuta sunucuları (Kırmızı) ve kurbanlar (mavi)

Zararlının kullanıdığı bilinen bazı alanadlarını da aşağıda paylaşıyorum.  Bu alan adlarına doğru olan kurum trafiğinin engellenmesinde ve geçmişe dönük kayıtlara bakılmasında fayda var.

service-stat.com
updservice.net
autowinupd.net
autoavupd.net
service-update.net
full-statistic.com
service-statistic.com
stetsen.no-ip.org
autodbupd.net
automsupd.net
titanium.onedumb.com
statuswork.ddns.info
fullstatistic.com
service-statistic.com
autosrvupd.net
full-statistic.com
fullstatistic.com
service-update.net
storestatistic.com
updsvc.net
fullstatistic.com
reservestatistic.net
srvupd.com
automsupd.net
stotsin.ignorelist.com
autosrvupd.net
autosrvupd.net
reserve-statistic.com
autodbupd.net
workstat.hopto.org
service-statistic.com
full-statistic.com
srvupd.com
updsvc.net
automsupd.net
autosrvupd.net
assetsstatistic.com
assetsstatistic.com
assetsstatistic.com
srvupd.com
updsvc.net
reserve-statistic.com
reserve-statistic.com
autodbupd.net
fullstatistic.com
reservestatistic.net
reserve-statistic.com
srvupd.com
updsvc.net
fullstats-srv.net
stats-srv.com
fullstats-srv.com
statssrv.com
reserv-stats.net
reserv-stats.com
pushstatistics.com
stats-upd.net
reservstats.com
push-statistics.net
push-stats.net
push-stats.com
fullstatistic.com


Comments