Conficker terörü henüz engellenemedi (Çooook Önemli !!!)

"Conficker" virüsü yayılıyor


Ankara - İnternette hızla yayılan
Conficker isimli virüsün şimdiden milyonlarca bilgisayara bulaştığı ve
kendisini temizlemeye yönelik çabaları da boşa çıkardığı bildirildi.
Solucanın son sürümü, zayıf şifrelere sahip kullanıcı
hesaplarını, ağ üzerindeki paylaşımları ve bulaştığı bilgisayarlara
takılan harici taşınabilir bellekleri kullanarak yayılıyor.
Bu solucan, sisteme bulaştıktan sonra bilgisayarın
işletim sistemi ve anti virüs güncellemelerini almalarını önleyerek
sistem üzerinde diğer virüs ve zararlı yazılımların da bulaşmasını
sağlayacak 'açık kapı' oluşmasını sağlıyor. Solucandan etkilenen sistem
üzerinde daha sonra bulaşan zararlı kodun yeteneklerine göre,
bankacılık hesap bilgileri gibi kişisel bilgilerin çalınmasından başka
bilgisayarlara saldırıda kullanılmaya kadar birçok faaliyet
gerçekleşebiliyor.
Solucanın henüz bulaşmadığı sistemlerde işletim
sistemi ve anti virüs güncellemelerinin acilen yapılması gerektiğini
belirten TR-BOME uzmanları, açıklar, açıkların kapatılması ve solucanın
bulaşmış olduğu sistemlerin temizlenmesiyle ilgili detaylı bilginin [Linkleri görebilmek için üye olun veya giriş yapın.]
internet adresinden alınabileceğini bildirdi.TÜBİTAK'a bağlı Ulusal
Elektronik ve Kriptoloji Araştırma Enstitüsü bünyesinde faaliyet
gösteren Türkiye Bilgisayar Olayları Müdahale Ekibi'nden (TR-BOME)
yapılan açıklamaya göre, Microsoft, 23 Ekim 2008 tarihinde Windows
2000, Windows XP ve Windows 2003 işletim sistemlerini etkileyen, çok
acil olduğunu bildirdiği "MS08-67" kodlu güncellemeyi yayımladı. 15
milyon bilgisayara bulaştığı tahmin edilen Conficker isimli solucan, bu
güncellemenin uygulanmadığı sistemlerde etkin oluyor.
Terör estiren zararlı Conficker, Atatürk Havalimanı'ndan sonra ABD'nin adalet sistemini de sarstı.

ABD'nin Houston eyaletindeki güvenlik güçleri, geçtiğimiz gün
hayatlarının en zor mesailerinden birini yaşadılar. Önce polis ve yargı
merkezlerindeki bilgisayarlar normalden daha yavaş çalışmaya başladı.
Kısa süre içerisinde bilgisayarlardaki verilere erişmek neredeyse
imkansız hale gelince görevliler bilgisayarları bir kenara bırakıp
kağıt kalemle işlemleri sürdürmeye çalıştılar. Yavaşlık mahkemeleri
etkileyince Vali, tüm duruşmaların ileri tarihlere ertelenmesini
istedi. Bu sırada polis, işlem yapılamayacağı için ufak suçlar için
tutuklama yapmayı kesti.
Çok geçmeden tüm bunların sebebinin son zamanlarda adını sıkça
duyduğumuz ve Atatürk Havalimanı'nı da etkileyen Conficker solucanı
olduğu ortaya çıktı. Eyalet yetkilileri 475 bilgisayarın virüsten
etkilendiğini duyurdu ve 25 bin dolar ödeyerek Gray Hat Research adlı
bir güvenlik firması ile sorunun çözülmesi için anlaştılar.
Bu Conficker'ın yarattığı ilk ciddi sorun değil. Şu ana kadar Atatürk
Havalimanı dışında, Yeni Zelanda Sağlık departmanı, İngiltere
Sheffiled'da hastane sistemleri ve Fransa'nın savunma sistemleri
Conficker kabusunu yaşadılar.



Tahribatın boyutları ve en çok etkilenen ülkeler burada...

PandaLabs'tan gelen bilgilere göre Conficker solucanı yayılmasını
sürdürüyor ve bu malware'den etkilenen bilgisayarların sayısı artmaya
devam ediyor. PandaLabs tarafından yürütülen bu çalışmaya göre taranan
bilgisayarların yüzde 6'sında (5,77) bu solucana rastlandı. İki milyon
bilgisayarda yapılan bu araştırma, Çin'de üretilien bu malware'in şu
anda 83 ülkeye yayıldığını; ABD, Brezilya, İspanya, Mekhataa ve
Tayvan'da tahrip edici boyutlarda yaygınlaştığını gösteriyor.
Microsoft'un MS08-067 yamasıyla kapattığı açığı kullanarak yayılan
solucan, bu yamanın yüklenmesine rağmen kolay temizlenemiyor. Özellikle
ardışık sayılardan veya basit klavye dizilişlerinden oluşan 123456,
qwerty, 123qwe, qweasd gibi basit şifreleri çok rahat kıran Conficker
bu sayede yayılmasını hızlandırıyor. Ülkemizde de THY'nın sistemlerine
giren ve 400 bilgisayara bulaşarak bilet işlemlerinin aksamasına neden
olan solucan USB flash diskler ile daha hızlı yayılıyor.

Coficker nasıl çalışıyor?

Çalışma mantığı ise şöyle: Conficker öncelikle Windows içinde bulunan
ses hizmetleri, sunucu yazılımları gibi arkaplan servislerinin
çalışmasını sağlayan "services.exe" isimli uygulamayı enfekte ederek,
aslında Windows'un çalışması için gerekli olan bu uygulamanın bir
parçası haline geliyor. Services.exe'nin bir parçası haline gelen
zararlı betik parçacığı, kendisini Windows'un sistem klasörü altına
kopyalahata, 5-8 karakterli bir "dll" dosyası olarak saklıyor.
Windows'un uygulama ayarlarını tutan "Registry" içinde bir düzenleme
yapan uygulama, bu noktadan sonra kendini sistem için gerekli bir
servis olarak tanımlahata bilgisayar açık olduğu her an arkaplanda
çalışmaya devam ediyor. Solucan bilgisayarın en son alınmış olan Sistem
Geri Yükleme Nokta'sını siliyor ve durumu kurtarılması güç bir hale
getiriyor, daha sonra da çalışmaya başladığı andan itibaren oluşturduğu
HTTP sunucusu ile Conficker'i üreten saldırganların sitesi üzerinden
bilgisayara dosyalar yüklemeye başlıyor ve bu şekilde istedikleri
işlemleri yapmalarına imkan sağlıyor.
Solucan malware'lerin birçoğu bağlanmaya çalıştıkları siteler sayesinde
kolayca yakalanabilirken, Conficker tamamen rastgele isimlere
bağlanmaya çalışan karmaşık algoritması sayesinde yakalanması imkansız
bir hale geliyor. Çünkü bağlandığı bu yüzlerce site arasından
hangisinin saldırganlara ait olduğu bulunamıyor.
Blaster ve Kournikova solucanlarından bu yana bu kadar güçlü ve çabuk
dağılan bir worm saldırısı olmamıştı. Bu saldırıdan etkilenmemek için
bilgisayarımıza transfer ettiğimiz veriye ve bu transfer esnasında
kullanmış olduğumuz kaynağa dikkat etmemiz gerekmekte.



YARDIM

Bu Patch lari yüklenilmesi tavsiye edilir.

[Linkleri görebilmek için üye olun veya giriş yapın.]


Nam-ı Diğer Conficker (Downadup, Kido) Solucanı

Osman PAMUK, TÜBİTAK-UEKAE

28.01.2009

Microsoft 23 Ekim 2008 tarihinde çok acil olduğunu bildirdiği bir güncelleme yayınladı: MS08-67 [7]. Güncelleme solucanlar tarafından kullanılabilir bir açıklığı kapatıyordu. Tabiî ki Microsoft’un kendisinin böyle önemli bir açıklık olduğunu belirtmesi ve normal güncelleme çıkarma periyodunu sırf bu açıklık için değiştirmesi dünyadaki birçok güvenlik uzmanının dikkatini çektiği gibi, kötü niyetli kod yazarlarının da ilgisini çekti. Açıklığın yayınlanmasının üzerinden daha 24 saat geçmemişti ki internette açıklığı kullanan exploitler ortaya çıktı. Ondan sonraki günlerde birçok kötü niyetli yazılım bu açıklığı kullanarak yayılmaya çalıştı fakat çok büyük tehdit oluşturamadılar. Ancak açıklık yayınlandıktan bir ay sonra ilk kayda değer, açıklığı kullanan “Conficker” adlı solucan tespit edildi. Conficker solucanı ilk çıktığında fazla dikkat çekmedi. Solucanın yayılımı beklenenin, diğer bir deyişle korkulanın altında bir sayıdaydı. Hatta görülen o ki bu durum birçok güvenlik sorumlusunu rehavete sevk etti. Çünkü işin ciddiyeti yaklaşık üç hafta önce solucanın yeni bir sürümünün çıkmasıyla değişti. Bu yeni sürümün tespit edilmesinin üzerinden bir iki hafta geçmeden yeni solucan 3 milyonunun üzerinde bilgisayara bulaşmıştı. Haddi zatında 3 milyon sayısı bir solucan için çok büyük bir başarıydı. Çünkü şimdiye kadarki en büyük solucan ağının büyülüğü 100 binler civarındaki bilgisayardan oluşmaktaydı. Fakat Conficker bu kadarla kalmadı. Bir kaç gün içinde telaffuz edilen sayı 9 milyonu geçti. Bu yazıyı yazdığım sıralarda ise sayı 15 milyonun üzerinde olarak tahmin edilmekte [1]. Nasıl Yayılıyor Aslında bu yayılma hızı bir açıdan hiç de şaşırtıcı değil. Çünkü solucan, her ne kadar çok karmaşık bir mühendislik örneği olsa da, bilinen en zayıf güvenlik halkasına yani insan faktörüne akıllı bir şekilde saldırmakta. Biraz daha açacak olursak, solucan yayılmak için biraz sosyal mühendislik, biraz da hep ihmal ettiğimiz çok basit güvenlik zafiyetlerinden faydalanmakta. Solucanın yayılmak için kullandığı kısaca üç farklı yol var [5].

[Resimleri görebilmek için üye olun veya giriş yapın.]

Conficker yayılma yöntemleri [3]
MS08-67 ile Duyurulan SMB Protokolündeki Açıklığı [7] Kullanarak


Evet,
üzerinden üç ay geçmesine rağmen maalesef birçok kullanıcı bilgisayarı
halen güncellememiş durumda. Solucanın bu kadar hızlı yayılmasının
temel nedeni de bu.
Ele geçirilmiş olan
bilgisayardan solucan diğer bir bilgisayara açıklık yardımıyla bulaşmak
istediğinde ilk önce ele geçirilmiş olan bilgisayarın dış ip adresini
aşağıdaki web sayfalarından herhangi birini kullanarak tespit etmekte
[2]:

[Linkleri görebilmek için üye olun veya giriş yapın.]
Daha sonra solucan rastgele bir portta HTTP sunumcusu açmakta:

[Linkleri görebilmek için üye olun veya giriş yapın.]
Bu
web sunumcusunun üzerinden de solucan kendisini yeni kurban makinesine
kopyalamakta. Kopyalanan dosyanın uzantısı “bmp”,”gif”,”jpeg”,”png”
uzantılarından herhangi birisi olabilmekte.
Son
olarak da solucan, açıklığın asıl kaynağı olan NetpwPathCanonicalize
API 'sine kanca atmakta ve başka birisinin bu açıklığı kullanarak bu
bilgisayarı ele geçirmesini engellemekte.
Bu
açıklığı kullanarak solucan sadece güncellenmemiş Windows 2000,XP ve
2003 makinelerine bulaşabilmekte, Vista ve Server 2008 kurulu
bilgisayarlara bulaşamamaktadır [7].
Sözlük Saldırısı ile Bilgisayarlardaki Zayıf Yerel Yönetici Hesaplarının Şifrelerini Kırarak [2]


Zaten
eğer hala standart “12345”,”Asd1234”,”Password” gibi şifreler
kullanıyorsanız ve şimdiye kadar hacklenmediyseniz ya bir ağ
bağlantınız yok ya da hacklendiğinizin farkında bile değilsiniz.
Conficker
solucanı bir bilgisayara bulaştığında ilk önce çevresindeki
bilgisayarları taramakta. Tarama sonucunda bulduğu bilgisayara
bulaşabilmesi için tarama için kullandığı kullanıcı hesabının karşı
bilgisayarda yerel yönetici haklarına sahip olması gerekmektedir. İşte
eğer yerel yönetici hakkına sahip değilse, NetUserEnum API yardımıyla
karşı bilgisayardaki kullanıcı hesap isimlerini almakta ve yukarıda
bahsi geçen kendi sözlüğündeki şifreleri sırayla denemektedir.
Bu
saldırı sonucunda solucan yerel yönetici haklarına sahipse ve ağ
üzerinden bilgisayarın paylaşımlarına ulaşabiliyorsa, aşağıdaki adreste
bir kopyasını “ADMIN$” paylaşımda oluşturmakta:

\\[Sunumcu İsmi]\ADMIN$\System32\[rastgele dosya ismi].[rastgele uzantı]
Bundan sonra zamanlanmış bir iş tanımlahata kopyalamış olduğu dosyanın çalıştırılmasını sağlamaktadır:

rundll32.exe [rasgele dosya ismi].[rastgele uzantı], [rastgele]
Ele Geçirilmiş Bir Bilgisayara Bağlanmış Depolama Aygıtlarının Başka Bir Bilgisayara Bağlanmasıyla[2]


Aslında
bu yöntem çok da yeni olmayan bir yöntem. Fakat Conficker bu saldırıya
eklediği orijinal sosyal mühendislik örneği sayesinde yeni bir boyut
kazandırmakta.
Conficker bir bilgisayara bulaştığında o bilgisayara map edilmiş ve taşınabilir sürücülerde aşağıdaki dosyaları oluşturmakta:

%DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d- %d\[...].[3 rasgele karakter]

%DriveLetter%\autorun.inf
Bu
sayede bulaştığı bir sürücü başka bir bilgisayara takıldığında eğer
autorun (otomatik çalıştır) aktifse, Conficker direk olarak takıldığı
bilgisayara bulaşmakta. Eğer autorun aktif değilse yani biraz bilinçli
bir kullanıcı autorun’ı kapattıysa veya Vista ve üstü bir sürüm
kullanıyorsa Conficker’ın sosyal mühendislik saldırısı devreye
girmekte.




Vista’ya taşınabilir bir sürücü takıldığında [5]
Yukarıdaki
Windows penceresindeki sorunu görebildiniz mi? Evet, “Install or run
program” yazısının altındaki “Open folder to view files” yazan klasör
ikonu sahte. Eğer bir aşağıdaki “General options” altındaki “Open
folder to view files” yazan klasör ikonu yerine üstteki sahte olana
tıklarsanız Conflicker’ı kendiniz çalıştırmış olacaksınız.
Gayet
akıllıca değil mi? Evet, Conficker’ın sayısı 3 bin civarında olduğu
tahmin edilen küçük, orta veya büyük ölçekli kuruluşun iç veya dış
ağına bulaştığı varsayılmakta [1]. Malumunuz günümüzde direk internet
erişimi olan bir kuruluş nerdeyse hiç yoktur. Hepsinin çıkışında bir
güvenlik duvarı ve bunun yanında genellikle bir IDS bulunmaktadır. Bu
solucanın Windows açıklığını kullanarak bulaşması için karşı
bilgisayarın 139 ve 445 inci portlarına ulaşması gerekmektedir [7] ve
güvenlik duvarlarında internetten bu portlara gelen isteklerin kapalı
olması gerektiği en temel ayarlardan birisidir. Peki, nasıl olduyor da
bu kuruluşlara Conficker rahatlıkla bulaşıyor? Tabiî ki taşınabilir
sürücülerle.
Birçok kuruluşta USB sürücü
kullanımı ya yasaktır ya da denetim altında tutulmaktadır. Fakat sistem
yöneticileri için bu yasak çoğu zaman bir şey ifade etmez. Ve bu
solucanın bir sistem yöneticisinin bilgisayarına bulaştığını
varsayalım. Solucan hâlihazırda sistem yöneticisinin haklarına sahip
olacaktır ve ikinci yayılma yöntemini hatırlarsak, daha sonrası için
bütün ağı ele geçirmesi an meselesi olacaktır.
Diğer
taraftan solucanın çoğu zaman yönetici hesabına ihtiyacı da
bulunmamaktadır. Genelde iç ağ olmasından dolayı önemsenmeyen ve
zamanında yapılmayan güvenlik güncellemeleri ve devamlı şifre
sıfırlamak ve değiştirmekten bıktığı için basit şifreler kullanan
sistem yöneticileri ve bilgisayar kullanıcıları, solucanın yayılması
için gerekli ortamı zaten oluşturmaktadırlar.
Bilgisayarımıza bulaştı mı nasıl anlarız?


Conficker
solucanı bir bilgisayara bulaştığı zaman tespit edilmesini zorlaştıran
ve yayılmasını kolaylaştıran birçok değişiklik yapmaktadır. Yaptığı bu
değişiklikler diğer taraftan da normalin dışında faaliyetlere sebep
olduğu için tespit edilmesine de olanak sağlamaktadır [5].
Tabiî
ki en genel tespit yöntemi virüs programları. Fakat Conficker bulaştığı
bilgisayardaki virüs programlarının kendilerini güncellemek için
bağlanmaları gereken domainlere (etki alanlarına) ulaşmasını
engellemektedir. Yani virüs programınız kendini güncelleyemiyorsa
Conficker size çoktan bulaşmış olabilir.
Bunun dışında:

• Eğer “Windows Update” devamlı olarak başarısız oluyorsa.
  
• Windows Defender güncelleme yapamıyorsa
  
• Svchost adresinden rastgele hata mesajları geliyorsa
  
• Güvenlikle alakalı önemli sitelerin belli bir kısmına ulaşamıyorsanız
  
• Aşağıdaki Windows servisleri çalışmaya başlayamıyorsa
  

1. “wscsvc” (Windows Security Center Service)
   
2. “WinDefend” (Windows Defender Service)
   
3. “ERSvc” (Windows Error Reporting Service)
   
4. “WerSvc” (Windows Error Reporting Service)
   

Conficker size de bulaşmış olabilir.
Bunların
dışında, Conficker analiz edilmesini ve denetlenmesi zorlaştırmak için
çok katmanlı polimorfizm (polymorphism) ve paketleme (packing)
korumasına sahiptir. İndirilen ve çalıştırılan dosyalarına ulaşımı
engellemek için oluşturduğu kütük defteri servis ayarlarına ulaşım
hakkını sadece Local System erişebilecek şekilde değiştirmektedir. Aynı
amaçla çalışacak olan dosyalarına bütün kullanıcılar için bütün erişim
haklarını kaldırmakta. Sadece execute (çalıştırma) hakkına ulaşımı
bırakmaktadır. Bunlara ek olarak kendi dosyaları üzerinde bir sistem
kilidi (system lock) tutmakta. Böylelikle başka programların bu
dosyalara ulaşımını zorlaştırmaktadır [3].
Nasıl önlem alır veya temizleriz?


Eğer
bilgisayarınıza Conficker bulaşmamış ise yapmanız gereken gayet kolay.
Bilgisayarınızı güncelleyin, anti virüs programınızı güncelleyin,
şifrelerinizi güçlendirin, autorun özelliğini kaldırın ve diğer
bilgisayarlara da giren taşınabilir sürücüleri taktığınızda nereye
tıkladığınıza dikkat edin. Diğerlerine göre biraz teknik olan autorun
özelliğinin nasıl kaldırılacağına dair bilgi için yine bilgi güvenliği
sayfasındaki “[Linkleri görebilmek için üye olun veya giriş yapın.]” yazısına göz atabilirsiniz [6].
Fakat
Conficker zaten bulaşmış durumda ise [3]: ilk önce gerekli MS08-67
güncellemesi yüklenmeli ve şifreler güçlendirilmelidir. Tabiî ki
“Windows Update” servisinin çalışması virüs tarafından engelleneceği
için güncelleme temiz bir bilgisayarda Microsoft’un sayfasından
indirilebilir. Daha sonra bu dosya yazma korumalı olarak açılan bir
paylaşıma kopyalanabilir ve bu paylaşım üzerinden kurban bilgisayarda
çalıştırılabilir. Asıl temizleme işlemi için ise kurban bilgisayarda
bulunan virüs yazılımı varsa güncellenebilir veya yalnız başına çalışan
birçok temizleme aracından birisi kullanılabilir. Örnek olarak MSRT
(Malicious Software Removal Tool) [3] veya F-Secure “Disinfection Tool”
[1]. Yine bu noktada dikkat edilmesi gereken husus Conficker’ın virüs
programı güncellemesini web üzerinden yapmanızı engelleyecek olmasıdır.
Bunun için yukarıdaki metot aynı şekilde kullanılabilir.