Hajime IoT Zararlısı

Geçen yılın ikinci yarısında DYN DDoS saldırısı ile gündeme gelen Mirai zararlısı, yönlendirici, modem, kamera, dvr, nvr gibi bugün IoT genellemesi altında nitelenen cihazları kendi botnetine dahil ediyordu. Bu cihazlardaki baz işletim sistemi olan Linux’un çok eski ve zayıf sürümlerinin getirdiği güvenlik açıkları ve/veya bu cihazların üreticiden geldiği şekilde bırakılmış kullanıcı ismi-şifrelerini kullanan Mirai (Japoncada “Gelecek”) ile 22 Eylül 2016’de Brian Krebs’in bloguna 620 Gbps [1] ve 21 Ekim 2016’da da DYN’ye karşı 1.2 Tbps[2]  boyutuna ulaşan saldırılar yapıldı. Mirai kodu ise kendini Anna Senpai ismiyle tanıtan birisi tarafından hackforums’da 30 Eylül 2016’da yayınlandı. Detayları incelendiğinde ise  Mirai’ın DDoS yetenekleri net bir şekilde görünmekteydi. [3]

Kodun yayınlanması sonrasında bir başka zararlı görünmeye başladı. Rapidity SRG’nin 16 Ekim 2016 tarihli çalışmasında[4] net bir şekilde daha yenilikçi diyebileceğimiz bir zararlı örneği anlatılıyor. Bu zararlı Mirai’ın yayılım yöntemi gibi IoT aygıtlarındaki telnet portları aracılığı ile yayılıyordu. Ancak bulaşmasından sonraki ikinci aşama (stage2) dosyalarını bulmak için Bittorrent DHT ve indirmek içinde Bittorrent uTP kullanıyor. Hajime (Japoncada “başlangıç”) ismi verilen zararlı, bu sayede ikincil aşama kodu kolaylıkla dağıtık şekilde sunulabiliyor. Ayrıca bu kadar esnek bir ikincil aşama kodu sunumuyla beraber de aslında bu yeni zararlı sonraki amaçlar için jenerik bir platform haline geliyor. Örneğin ele geçirilen botlar custom ikincil aşamalar yüklenebilir şekilde kiralanabilir oluyor. Bu çok önemli bir gelişme.

Aynı araştırmacılardan Ioannis Profetis ise yakın zamanlı blog yazısında[5] Hajime’nin güncel sürümünde bazı değişikliklerden bahsediyor. Yüklemeler için wget’e geçiş, ve zararlının bulaştıktan sonra bulaştığı sistemdeki telnet başta olmak üzere bazı portlara erişimi engellediği gibi değişikliklerle beraber Hajime’nin aslında bulaştığı sistemi başka zararlıların bulaşmaması için koruduğu şeklinde yorumlar yer almaya başladı. Hatta sistemleri koruyan bir yaızlım olduğu, bunu yazanların da gri şapkalılar oldukları ile ilgili haberler çıkmaya başladı. [6]

Hajime ile ilgili ben hiç de bu görüşte değilim onu belirtelim. İlgili portları kapatıyor olması Hajime’nin amacının bu olduğu anlamına gelebileceği gibi, kendisinin olduğu mekana başkasını kabul etmek istememesi yani mülkiyet de ifade eder. Ayrıca ikincil aşama dosyanın kolayca değiştirilebiliyor olması da gelecekte bu botnet’in DDoS ve benzeri saldırılar için kullanılabilmesi için de platformu hazırlıyor. Hatta ilk tasarımda Bittorrent altyapısı kullanılması da bu amacı işaret ediyor bence.

Bu saldırıları engellemek için saldırma yaklaşımında Hajime tek değil. Yakın zamanda ortaya çıkarılan brickerbot zararlısı ise IoT aygıtlarının “ele geçirilmemesi için”, onları çalışmaz hale getiriyor. Nasıl çalışmaz hale getirdiği ile ilgili “acımasız” komut satırlarına bakmak isteyebilirsiniz. [7]

Bu arada ilk araştırmada konan ismin güncel sürümde Hajime’yi yazan kişilerce kabul görmesi ve güncel sürümlerde kendilerini bu şekilde ifade etmeleri de gayet ilginç olmuş.

Son kullanıcı olarak okuyorsanız, siz siz olun modem, kamera, dvr gibi cihazların şifrelerini ön tanımlı da bırakmayın. Telnet ve gerekmiyorsa ssh erişimlerini kapatın.

Teknik araştırmacı iseniz aşağıdaki linkler ilginizi çekecektir. Bunlarla beraber Brian Krebs’in Mirai’ı yazan kişinin izini nasıl sürdüğü ile ilgili yazı da ilginizi çekebilir 🙂 [8]

  1. https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/
  2. http://dyn.com/blog/dyn-statement-on-10212016-ddos-attack/
  3. https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html
  4. https://security.rapiditynetworks.com/publications/2016-10-16/hajime.pdf
  5. https://x86.re/blog/hajime-a-follow-up/
  6. https://arstechnica.com/security/2017/04/vigilante-botnet-infects-iot-devices-before-blackhats-can-hijack-them/?comments=1
  7. https://www.bleepingcomputer.com/news/security/new-malware-intentionally-bricks-iot-devices/
  8. https://krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-author/

Fokirtor Linux malware

Hello,

It is not good to hear such smarter malware backdoor in Linux.
http://www.theregister.co.uk/2013/11/15/stealthy_linux_backdoor/
http://www.symantec.com/connect/blogs/linux-back-door-uses-covert-communication-protocol

The guys in kumina has prepared a checker script.
https://github.com/kumina/nagios-plugins-kumina/blob/master/check_fokirtor.sh

However this will not work for older gdb. I have modified it for working with older gdb’s, below:
check_fokirtor.sh.zip


#!/bin/sh
#
# A simple check to see if running ssh processes contain any string that have
# been designated an indication of Fokirtor by Symantec.
#
# More info here:
# http://www.symantec.com/connect/blogs/linux-back-door-uses-covert-communication-protocol
#
# (c) 2013, Kumina bv, info@kumina.nl
#
# You are free to use, modify and distribute this check in any way you see
# fit. Just don't say you wrote it.
#
# This check is created for Debian Squeeze/Wheezy, no idea if it'll work in
# other distros. You'll need gdb-minimal (for gcore) installed.
#
# modified for older gdb by Oguz Yilmaz

# We need to be root
if [ `/usr/bin/id -u` -ne 0 ]; then
echo “You need root for this script. Sorry.”
exit 1
fi

FILE1=”set pagination off\\n\
set height 0\\n\
set width 0″

FILE2=”detach\\n\
quit”

if [ ! -f /tmp/check_fokirtor.gdb ]; then
echo -e “$FILE1” > /tmp/check_fokirtor.gdb
fi
if [ ! -f /tmp/check_fokirtor.gdb2 ]; then
echo -e “$FILE2” > /tmp/check_fokirtor.gdb2
fi

# For all pids of the ssh process, do the check
for pid in `pidof sshd`; do
t=$(/bin/mktemp)
echo “gcore $t” > /tmp/check_fokirtor.tmp1

/usr/bin/gdb –nx –pid $pid \
-x /tmp/check_fokirtor.gdb \
-x /tmp/check_fokirtor.tmp1 \
-x /tmp/check_fokirtor.gdb2 > /dev/null 2>/dev/null
#/usr/bin/gdb # -ex “set pagination off” -ex “set height 0 ” -ex “set width 0” \
# -ex “attach $pid” -ex “gcore $t” -ex detach -ex quit

i=0
for str in hbt= key= dhost= sp= sk= dip=; do
/usr/bin/strings $t | /bin/grep “${str}[[:digit:]]”
if [ $? -eq 0 ]; then
i=$(($i + 1))
fi
done
/bin/rm $t
/bin/rm /tmp/check_fokirtor.tmp1
if [ $i -eq 6 ]; then
echo “CRITICAL: Fokirtor strings found in sshd process ${pid}!”
exit 2
fi
done

echo “OK: No indication of Fokirtor found.”
exit 0

Çin yabancı firmaların güvenlik yazılımlarına sınır koyuyor

Referanslar:

http://www.telekomedya.com/haber.asp?id=1385
http://www.washingtontimes.com/news/2010/aug/26/china-sets-new-trade-curbs/

Çin yabancı firmaların güvenlik yazılımlarına sınır koyuyor

Çin, Beıjıng bölgesinde bankalara ve büyük şirketlere bir yazı göndererek bundan böyle güvenlik teknolojilerinin kullanımına bir kota getirmeleri için uyarıda bulunuyor.

Çin’in yüksek teknolojik sırlar kapsamında aldığı bu karar, bazı ülkelerden tepkiler alıyor. Güvenlikten dolayı BlackBerry servislerinin kullanımını azaltma tehditleri olduğu bir zamana denk gelmesi Amerika ve Avrupa ülkeleri ile ticari bir çatışmaya sebep olabileceği belirtiliyor.

Beijing’in bu sınırlamaları bazı güvenlik endişeleri olduğunun bir göstergesi olarak yorumlanıyor. Güvenlik ile ilgili uzmanlaşan yerli firmalarını ve kendi teknoloji sanayisini dünya çapındaki rakiplerinin yaptığı baskılı rekabete karşı korumak için oluşturmaya gayret ettiği koruma yapısına da uygun olduğu belirtiliyor.

Amerika ve Avrupa ülkeleri Dünya Ticaret Örgütü’ne başvurarak Çin’in “ Yabancı Güvenlik Yazılımlarına Sınırlama Kanunu “ ve kuralları hakkındaki rahatsızlıklarını dile getiriyorlar.

Washington’da Akin Gump Avukatlık Firması avukatlarından Steven Kho “ Bunlar meşru sayılabilecek güvenlik endişeleri ama Çin biraz daha ileriye gidiyor. Hemen daha işin başında bütün yabancı ürünler güvenlik riski taşıyor diyemezsiniz “ diyor.

Çin’e teknolojik satış yaparak ekonomilerini düzlüğe çıkarmaya çalışan Washington ve Avrupa, Çin Hükümetinden Petrol, Gaz, Bankacılık ve Telekomünikasyon sektörlerinin tamamını içeren ve bunları uymaya zorlayan bu kanun ve uygulamalar ile ilgili planlarını tekrar gözden geçirmesini istiyorlar.

Yüksek Seviyeli Koruma Projesi ( Multi-Level Protection Scheme, or MLPS ) ve planı olarak bilinen kural ve kanunlar, mobil telefon üretimin de Beijing’in yeni doğan ve gelişen teknoloji firmalarını Çin standartlarının uygulaması için korumaya ve kollama gayretlerini ve amaçlarını içeriyor.

Yabancı firmalar Çin tarafından getirilen bu yasaklamalar ve sınırlamalar ile Beijing’i kendilerini önemli sanayi ve sektörden uzak tuttuğunu savunuyor.

Bu yasaklamalar ve sınırlamalar Cisco, Juniper Networks, Taiwan’lı Trend Mikro gibi batılı şirketler tarafından kontrol edilen, yönlendirilen ve üretilen Günelik sistemleri, sayısal kimlik sistemleri ve şifreleme cihazlarını kapsıyor.

Avrupa Birliği Beijing’den bu yasaklamayı sadece ulusal güvenliğine zarar vermeye çalışmış ya da bulaşmış firmalara uygulanmasını talep ediyor.

IDC araştırma şirketine göre Çin’in güvenlik teknolojisi pazarı bu yıl 250 milyon dolar olup bu değerin 2014 yılında 340 milyon dolara yükselmesi bekleniyor.

Amerikan iş konseyi ve araştırmacı Dieter Ernst böyle bir kararın yabancı sağlayıcıları Çin pazarına sokmayacağını ve Çin yapımı cihaz ve yazılımların çok güvenilir güvenlik ihtiyaçlarını karşılamayacağını savunuyor.

Ancak çok yüksek güvenlik sağlayan yabancı cihaz ve yazılımların Çin’in bu ihtiyaçlarını karşılayabileceği en kötü ihtimalle büyük üreticilerin Çinli yerli üreticileri araya sokarak karşılıklı bilgi değişimi ile Çin pazarına girebileceği söyleniyor.

Çin yabancı firmaların güvenlik yazılımlarına sınır koyuyor

Çin, Beijıng bölgesinde bankalara ve büyük şirketlere bir yazı göndererek bundan böyle güvenlik teknolojilerinin kullanımına bir kota getirmeleri için uyarıda bulunuyor.

Çin’in yüksek teknolojik sırlar kapsamında aldığı bu karar, bazı ülkelerden tepkiler alıyor. Güvenlikten dolayı BlackBerry servislerinin kullanımını azaltma tehditleri olduğu bir zamana denk gelmesi Amerika ve Avrupa ülkeleri ile ticari bir çatışmaya sebep olabileceği belirtiliyor.

Beijing’in bu sınırlamaları bazı güvenlik endişeleri olduğunun bir göstergesi olarak yorumlanıyor. Güvenlik ile ilgili uzmanlaşan yerli firmalarını ve kendi teknoloji sanayisini dünya çapındaki rakiplerinin yaptığı baskılı rekabete karşı korumak için oluşturmaya gayret ettiği koruma yapısına da uygun olduğu belirtiliyor.

Amerika ve Avrupa ülkeleri Dünya Ticaret Örgütü’ne başvurarak Çin’in “ Yabancı Güvenlik Yazılımlarına Sınırlama Kanunu “ ve kuralları hakkındaki rahatsızlıklarını dile getiriyorlar.

Washington’da Akin Gump Avukatlık Firması avukatlarından Steven Kho “ Bunlar meşru sayılabilecek güvenlik endişeleri ama Çin biraz daha ileriye gidiyor. Hemen daha işin başında bütün yabancı ürünler güvenlik riski taşıyor diyemezsiniz “ diyor.

Çin’e teknolojik satış yaparak ekonomilerini düzlüğe çıkarmaya çalışan Washington ve Avrupa, Çin Hükümetinden Petrol, Gaz, Bankacılık ve Telekomünikasyon sektörlerinin tamamını içeren ve bunları uymaya zorlayan bu kanun ve uygulamalar ile ilgili planlarını tekrar gözden geçirmesini istiyorlar.

Yüksek Seviyeli Koruma Projesi ( Multi-Level Protection Scheme, or MLPS ) ve planı olarak bilinen kural ve kanunlar, mobil telefon üretimin de Beijing’in yeni doğan ve gelişen teknoloji firmalarını Çin standartlarının uygulaması için korumaya ve kollama gayretlerini ve amaçlarını içeriyor.

Yabancı firmalar Çin tarafından getirilen bu yasaklamalar ve sınırlamalar ile Beijing’i kendilerini önemli sanayi ve sektörden uzak tuttuğunu savunuyor.

Bu yasaklamalar ve sınırlamalar Cisco, Juniper Networks, Taiwan’lı Trend Mikro gibi batılı şirketler tarafından kontrol edilen, yönlendirilen ve üretilen Günelik sistemleri, sayısal kimlik sistemleri ve şifreleme cihazlarını kapsıyor.

Avrupa Birliği Beijing’den bu yasaklamayı sadece ulusal güvenliğine zarar vermeye çalışmış ya da bulaşmış firmalara uygulanmasını talep ediyor.

IDC araştırma şirketine göre Çin’in güvenlik teknolojisi pazarı bu yıl 250 milyon dolar olup bu değerin 2014 yılında 340 milyon dolara yükselmesi bekleniyor.

Amerikan iş konseyi ve araştırmacı Dieter Ernst böyle bir kararın yabancı sağlayıcıları Çin pazarına sokmayacağını ve Çin yapımı cihaz ve yazılımların çok güvenilir güvenlik ihtiyaçlarını karşılamayacağını savunuyor.

Ancak çok yüksek güvenlik sağlayan yabancı cihaz ve yazılımların Çin’in bu ihtiyaçlarını karşılayabileceği en kötü ihtimalle büyük üreticilerin Çinli yerli üreticileri araya sokarak karşılıklı bilgi değişimi ile Çin pazarına girebileceği söyleniyor.

İsrail’in Echelon’ları

Le Monde Diplomatique ‘de Yeni Zelendalı bir gazetecinin haberi; İsrail’in çölde konuşlanmış en azından Interlsat ve Inmarsat uydularını dinleyen bir tesisin varlığından bahsediyor.  Amerikan ve İngiliz tesislerine ile de boy ölçüşecek kapsamda olduğundan bahsediyor. İsrail’in güvenlik ilişkili bu alanda da diğer ülkelerden ayrık çalışıyor olması şaşırtmadı.

Haberin aslına yazarın blog’undan ulaşabiliniyor:

http://www.nickyhager.info/israel%E2%80%99s-omniscient-ears/