SOC Hizmetinde Bir Lider Daha: KoçtaşSetur ile Yine İleriye!

NO. 15 • Aralık 2016 Editör: Özge ÇELİK

KoçSistem Security Operation Center www.kocsistem.com.tr/guvenlik-hizmetleri

Kasım Ayında Kayıtlara Geçen Ataklar

İşletim Danışmanlığı

KASIM AYINA AİT KRİTİK AÇIKLAR

BOTNET

Hacker’lar zevk ya da bir amaç uğruna sistem, web-site, e-posta ya da sosyal medya hesabı hacklemeye devam etse de; bilgisayar korsanlarının asıl gözde aracı bunlardan farklı olup, kendilerine daha çok gelir sağlayacak olan ve binlerce zombiden oluşan botnet ağlarıdır.

BelirliBelirli bir ücret karşılığında DDoS saldırısı gerçekleştiren hacker’lar, geliştirdikleri botnet ağı ile büyük bir sanal orduya sahip olabiliyor. Bu da sadece birkaç komut ile kredi kartı bilgilerini kopyalamayı, hedef siteye DDoS atak yapmayı, spam göndermeyi ve worm yaymayı çok kolay bir hale getiriyor.

BBOTNET Nedir ?Bot kelime olarak robotun kısaltılmış halidir. Hackerlar, bilgisayarınızı bot adı verilen zombiye çevirerek amaçları doğrultusunda sizi kullanırlar. Bilgisayarınızda bu tür bir virüsün olması, ha-beriniz olmadan Internet üzerinden sizin adınıza giriş-çıkışlar gerçekleştirebilir.

Botnet kısaca, hacker’ların, zararlı yazılım trojanını çeşitli bilgisayar sistemlerine bulaştırılarak bu bilgisayardaki yetkilere sahip olması demektir. Bir botnet trojanı, sisteme bulaştıktan sonra artık o bilgisayar bir zombiye dönüşerek botnet yöneticisinin her istediğini yapmaya hazır hale gelmektedir. DDoS için kullanılankullanılan Botnet virüsleri az CPU kullandığı için kullanıcı tarafından fark edilmez.

En Güçlü BotnetBotnet’in en önemli noktası trojan’ın bulaştığı sistem sayısıdır. Örneğin; trojan, 1 bilgisayara

bulaşıbulaşırsa 1 bot (zombi), 100 bin bilgisayara bulaşırsa elinde 100 bin bot (yüz bin zombi) var demektir. Bu durum; 100 bin kişinin kişisel bil- gilerinin habersizce ele geçirilmiş olup, sadece birkaç tuş ile hazırdaki binlerce botu tek bir hedefe yönlendirerek, sistemi kolaylıkla devre dışı bırakabilme anlamına gelmektedir.

100-1000100-1000 arası ele geçirilmiş zombi bilgisayara bot; 1000′ den daha fazla ele geçirilmiş bilgi-sayar ağlarına da botnet ağı adı verilir.

Zombi Bilgisayar Nedir? Zombi Ağı Nedir ?Botnet trojanının bulaştığı her sistem birer zombi bilgisayardır. Zombiler hacker tarafından sistem açığı bulunarak hacklenilen ve aynı za-manda bilgisayardaki tüm kişisel bilgilerin, iletişim ve veri ağının takip edilmesine açık bilgisayarlardır.Botnet ağındaki tüm zombiler, sadece bir bilgi-sayardan (hacker’a ait) komut verilerek yön-lendirilir.

Farkında Olmadan Siber Orduya, Saldırılara KatılıyorsunuzHacHacker tarafından trojanın bulaştırılarak zombi haline getirilen sistemler, tek bir DDoS ko-muduyla hedef sisteme erişimi kesmek için siber saldırılar gerçekleştirebilir. DDoS amacıyla kuru-lan botnet virüsleri, bilgisayarlarda spam vs. kullanılmadığı sürece kolay kolay yakalanmadığı için sisteminizin zombi olduğunun farkında olmadan çeşitli siber saldırılara dahil olabilirsiniz.

Botnet’in Amacı Nedir ? Neden Kullanılır ?Siber suçlular BotNet’i gelir sağlamak için kullanıyor. Bunlardan en önemlileri şunlardır;

1. DDoS Saldırıları: Saldırganlar kurdukları botnet ağını saatlik, günlük ya da sınırsız DDoS paketleri halinde satarak gelir sağlamaktadır.

Kısaca DDoS olarak adlandırılan Distributed Denial of Service, gizlilik, erişilebilirlik ve kullanılabilirlik üzerine kurulmuştur. Bunların herhangi birinde zafiyet oluşması durumunda koruduğunuz bilgi tehlike altında olacaktır. Bu tür saldırıların amacı ise, hedef sunucunun hizmet vermesini durdurmak ve kullanıcıların o seserver üzerinden işlem yapması engellemektir. Özetle sistemi kilitleyerek devre dışı, servis dışı bırakmaktır.

DDoS saldırıları, başlangıçta DoS (Denial of Ser-vice) şeklinde kullanılmış olup zamanla şimdiki halini almıştır. DoS, tek bir kaynaktan hedefe yapılan saldırı iken DDoS, DoS’un geliştirilmesiyle birlikte çok sayıda kaynaktan tek bir hedefe yapılan saldırı ve atakların daha

ZombilerZombiler özellikle DDoS saldırının merkezinde bulunan, ancak saldırıdan haberi olmayan ve hacker tarafından ele geçirilmiş makinalardır. Genellikle anti-virüs kullanmayan, her reklama tıklayabilen, sık sık çevrimiçi indirme yapan cihazların zombi olma olasılığı oldukça yüksektir. Zombiler en çok DDoS saldırısı yapılmak için sö-mürülümürülür. Haberiniz olmadan bir zombi ordusu-nun parçası olabilirsiniz.

Botnet'i Özetleyecek olursak:• DDOS Saldırıları için büyük bir güçtür.• Zombilerden oluşan yıkım ordusudur.• Uzaktan yönetilirler.• Sahibi adına istenilen eylemi yapar, bilgi çalar veya saldırı yapar.• Spam mail gönderir.• Her an emir almaya hazır sanal askerlerden oluşur.• Tüm siber ordu, genelde tek bir kişi tarafından yönlendirilir.•• Tüm zombiler ile bir server'a saldırmak sadece birkaç saniyede yazılacak komutla yapılabilir.

şiddetli olan türüdür.

İnternetin Karanlık Dünyası DEEPWEB ve DDOS Saldırıları (Botnet)İnİnternetin karanlık dünyası olarak bilinen, yasal olmayan her şeyin bulunabildiği DeepWeb’de, elinde zombi ordusu bulunan bilgisayar korsanları, internetin bu yer altı dünyasında saatliği 10 $’dan başlayan DDoS saldırılarını müşterilerine sunmaktadır.

BuBu yöntemi kullanarak 2013 yılında BlackHat konferansında iki kişi 300 dolar maliyetle Akamai’ye 300 Gbps saldırı düzenlemeyi başarması bu tür saldırılara uygun bir örnek olarak gösterilebilir.

HenüzHenüz sıcak bir savaş bile yokken yapılan bu saldırıların gerçek bir savaş durumunda bir böl-genin elektiriğinin kesilmesine, suların boşa akıtılmasına, savaş uçaklarının rotasından çıkarılmasına ve kurumların iletişim altyapısının çökertilmesine aracılık etmesi oldukça muhtemeldir.

2. Spam: Virüslü makinalar, bot yöneticisi tarafından bir mail sunucu gibi kullanılarak, çok sayıda istenmeyen e-posta gönderir. Örneğin testpit edilen botnetlerden bir tanesinin günde milyarlarca spam e-posta gönderilmesini sağladığı ortaya çıkarılmıştır.

3.3. Finansal sahtekârlık: Botnetler son yıllarda kapsamlarını bankacılık sahtekârlıklarına doğru genişlettiler. Botnet ağında olan makinalara ek zararlı yazılım (keyloger) yükleme imkanı saye-

sinde bot yöneticileri kimlik numarası, isim, adres, doğum tarihi ve yeri, kredi kartı numarası vb. özel ve önemli bilgileri kolayca edinerek banka hesaplarından ve kredi kartlarından para çalabilmektedirler.

4.4. Black Hat SEO (SEO>Arama Motoru Opti-mizasyonu): Bot yöneticisi hacker tarafından arama motorları sıralamalarını yapay bir şekilde kendi zararlı yazılımını enjekte ettikleri siteleri üst sırada çıkacak şekilde değiştirerek yeni kur-banlar edinmekte ve bu kurbanları sahte ürün ve ilaç vb. sitelerine yönlendirerek haksız kazanç elde etmektedirler.

5. Tıklama Başı Ödeme (PpC) sahtekârlığı: Bot yöneticisi, yasal görünümlü bir web sitesi hazırlar ve buraya reklam verenlerden reklam alır. Web sitesi sahibinin botneti, arka planda çalışarak siteyi ziyaret eder ve bu reklamlara tıklar. Bunun sonucunda reklam veren botnet yöneticisine, reklamlara tıklanmasından dolayı hakhakkettiğini düşündüğü parayı öder. Reklam verene göre bir sorun yoktur çünkü tıklamalar, botnet sayesinde dağınık bir coğrafi yapıda pek çok farklı IP’den yapılmıştır.

6. Bitcoin madenciliği: Bitcoin, anonim bir şekilde ürün ve hizmet satın almakta kullanılan sanal bir para birimidir. Bitcoin madenciliği, kullanıcının bilgisayarına kompleks hesaplama-lar yapan uygulamalar yükleyerek yapılmaktaktadır. Bitcoin uygulaması yükleyerek bot yöneticisi, kurbanın bilgisayarının işlemci gücünügücünü kullanarak bitcoin elde eder ve bunları karaborsada satarak bunlardan gerçek para kazanır.

Kaynak: https://goo.gl/N6llBH, https://goo.gl/2CGRi6

DDoS saldırısını önlemek güçtür, zira saldırılar çok çeşitli kaynaklardan gelmekte ve zombiler üzerinden yapıldığından kaynak saldırgan çoğu kez tespit edilememektedir. Ancak, DDoS saldırısını önlemeye yardımcı olacak yöntemler de vardır.

DDoSDDoS saldırısı farkedildiğinde, ilk yapılması ge- reken, saldırının geldiği IP adreslerinden gelen bağlantı isteklerinde application bazlı engelleme yapılabilir. Ancak, sistemin tümden kapatılması zaten saldırganların ana amacı olduğundan, DDoS saldırısından korunurken, sistemin mümkün olduğunca açık ve çalışır vaziyette kalmasınıkalmasını içerecek tekniklerin kullanılması ge- rekmektedir.

Rate Limit adı verilen teknik, bir hedef doğrultusunda belli bir zaman içerisindeki trafik miktarının sınırlandırılmasıdır. Bu yöntemle normal zamandaki trafik öğrenilir ve bu trafiğe uygun bir değer limit olarak kabul edilir. Böylece kabul edilen değerin üzerindeki trafik düşürülür ve DDoS saldırısının sistemi kilitlenmesinin önüne geçilmiş olunuönüne geçilmiş olunur.

Saldırı sırasında kullanılan zombi bilgisayarların saldırıyı farkedip saldırganın önceden bilgisayarına kurduğu daemon’ları ortadan kaldırması da saldırıyı keseceğinden, etkili bir yoldur. Ancak DDoS saldırılarında genelde çok sayıda ve birbirinden bağımsız zombiler kullanıldığından, birkaç zombinin uygulayacağı bubu yöntem çoğu kez saldırının şiddetini engelle-mekte yeterli olmamaktadır.

Botnet Nasıl Bulaşır ?Sanal korsanlar tarafından özellikle güvenlik açığı bulunan sistemlere çok kolay enjekte edile-bilir. Botnet’in yayılması ve zombilerin çoğalması için kullanılan yöntemlerden bazıları şunlardır:

1- Korsan yazılım: Lisanslı programları süresiz kullanmak isteyen kullanıcılar, internet üzerin-den crack indirirler. Ancak bu crack dosyası içine gömülen trojandan haberleri olmadığı için zombi bilgisayar ağına dahil olurlar.2- Farkında olmadan indirtme (Drive-by Download): Bilgisayarında herhangi bir güven-lik duvarı ya da antivirüs yazılımı bulunmayan kullanıcıların bir takım websitelerine girmesiyle birlikte arkaplanda otomatik (HTML Javascript downloader) indirilerek çalıştırılan virüsler, sis-teme bulaşmış olur.3- Torrent: Torrent’ten indirdiğiniz dosyalardan bulaşabilir.4- Güvenilmeyen Kaynaklar: Mp3, film yada oyun olarak indirdiğiniz ama uzantısına dikkat etmeden açtığınız dosyalardan bulaşabilir. E-postaE-posta ile gelen dosyalara devamlı şüphe ile yaklaşın. Dosya uzantısı .pif, .scr, .bat, .exe, .zip, .rar ise dikkatli olun.KlasörKlasör seçeneklerindeki “Görünüm” bölümünde bulunan “Bilinen dosya türleri için uzantıları gizle” seçeneği aktif olmasın. Böylece dosya uzantılarını görürsünüz. Bu da sizin ne tür dos- yalarla uğraştığınızı anlamınıza yardımcı olur. E-posta ile gelen dosya.doc gibi görünür ama gerçekte “Belge.doc.exe” olabilir.5-5- E-posta: Banka ya da GSM şirketi adına size gönderilen sahte e-posta’ya inanıp indirdiğiniz dosyadan ya da yönlendirildiğiniz websitesin-den bulaşabilir.

4 Kasım İngiltere’deki bir çevrimiçi rezervasyon sayfası DDoS saldırısına uğradı ve 24 saaten uzun bir süre boyunca sayfaya erişimler kesildi.

KanadaKanada’da bir kumarhane zincirine ait 14.000 şifrelenmemiş veri, 5 GB’lık bir dosya şeklinde sızdırıldı. Dosyanın içerisinde müşterilerin e-posta adresleri, fotoğrafları, kimlik numaraları, işlem geçmişleri ve kredi kartı bilgileri bulunu- yordu.

5 KasımBirBir İngiliz bankası, yaklaşık 9 bin müşterisinin hesaplarından para eksildiğini bildirmesinin ardından çevrimiçi bankacılık hizmetini durdur-du.

6 KasımBirkaç Rus bankası yoğun DDoS saldırısına uğradı ve birkaç gün için servisleri devre dışı kaldı. Saldırının Mirai botnet saldırısında kullanılan IOT cihazları üzerinden gerçekleştirildiği düşünülüyor.

7 KasımFinlandiyaFinlandiya’da, apartmanların su, sıcaklık ve havalandırma sistemlerini yöneten yazılım DDoS saldırısı sonucu çöktü. Saldırı, sistemi 5 dakikada bir yeniden başlatmak zorunda bırakan yoğun DNS sorguları sonucu oluştu.

17 KasımLinLinkedin’in kişisel veri saklamak için kullandığı veri tabanı servislerinden birinde, yanlış kon-figüre edilen bir NoSQL veri tabanı üzerinden 8 milyon kişisel bilgi sızdırıldı.

Bir İngiliz telekom servisinin güncelleme siste-minden faydalanarak 135.000 müşteri bilgisi çalındı. Saldırganlar verileri, müşterilerin güncel-leme sırasında bilgilerini teyid ederken kullandıkları sistemden çaldılar.

18 KasımHollanda Dutch Üniversitesi öğrencilerine ait 270 bin kayıt sızdırıldı. Sızdırılan kayıtlar içerisinde öğrencilerin adresleri, öğrenci bilgi sistemi giriş bilgileri, sağlık bilgileri ve bazı fi-nansal bilgiler yer alıyor.

23 KasımAmerikan Deniz Kuvvetleri’ne hizmet eden üçüncü parti bir şirketin çalışanlarının bilgisayarlarına erişim sağlandı ve 135.000 Amerikan deniz subayının isimleri ve sosyal güvenlik numaraları sızdırıldı.

25 KasımSanSan Francisco’nun toplu taşıma servislerine ait binlerce bilgisayara ransomware bulaştı. Turnikelerin kullanılmaz duruma gelmesinin ardından metro herkese ücretsiz hizmet vermek zorunda kaldı. Saldırganlar, 100 Bitcoinlik öde-menin yapılmaması durumunda 30 GB’lık hassas verinin internete sızdırılacağı yönünde teh- ditleditlerde bulundu.

27 KasımBir Alman telekom şirketi, 900.000 routerlarına DDoS bot malware kurulmaya çalışıldığını bildir-di. Saldırının, 7547 portunu dinleyen bir ser- visten yararlanarak yapılmaya çalışıldığı söyleni-yor

“IBM XForce” http://www-03.ibm.com/security/xforce/

Kaynak: http://goo.gl/08OAmA

CVE-2016-3028SummaSummary: IBM Security Access Manager for Web 7.0 before IF2 and 8.0 before 8.0.1.4 IF3 and Security Access Manager 9.0 before 9.0.1.0 IF5 allow remote authenticated users to execute arbitrary commands by leveraging LMI admin access.Published: 11/24/2016 10:59:07 PMCCVSS Severity: v3 - 9.1 CRITICAL v2 - 9.0 HIGH

Özet:Özet:IBM Security Access Manager da local management interface(LMI)'den admin yetki- siyle uzaktan erişilerek sistem üzerinde rastgele komutlar çalıştırılabileceği tespit edilmiştir. Hangi versiyonların etkilendiğinin listesine bu-radan erişebilirsiniz: http://www.securityfocus. com/bid/93176

Detaylı Bilgi İçin: http://www-01.ibm.com/support/docview.w ss?uid=swg21990317

CVE-2016-9150SummaSummary: Buffer overflow in the management web interface in Palo Alto Networks PAN-OS before 5.0.20, 5.1.x before 5.1.13, 6.0.x before 6.0.15, 6.1.x before 6.1.15, 7.0.x before 7.0.11, and 7.1.x before 7.1.6 allows remote attackers to execute arbitrary code via unspecified vectors.Published: 11/19/2016 1:59:01 AMCCVSS Severity: v3 - 9.8 CRITICAL v2 - 10.0 HIGH

Özet:Özet: Palo Alto Networks 'ün PAN-OS 5.0.20, 5.1.13 den, 6.0.15 den, 6.1.15 den, 7.0.11 den ve 7.1.6 den önceki versiyonlarının web arayüzü yönetiminde saldırganın uzaktan erişimi ele geçirerek rastgele kodlar çalıştırabileceği tespit edilmiştir. Zafiyetin çözümü için son versiyonların kullanılması önerilmektedir.

Hangi Hangi versiyonların etkilendiğinin listesine bu- radan erişebilirsiniz: http://www.securityfocus.com/bid/94399

Detaylı Bilgi İçin:https://securityadvisories.paloaltonetworks.com/Home/Detail/68?AspxAutoDetectCookieSupport=1

BUNU BİLİYOR MUSUNUZ?

20142014 Haziran ayında çok kullanılan blog/portal yazılımının Türkçe sayfası hacklendi. Hackerlar sisteme sızıp bir sonraki blog sürümüne uzaktan yönetim amaçlı kod eklediler. İlgili siteden portal yazılımını indiren herkes aynı anda sistemlerini hackerların yönetimine teslim etmiş oldu.

Network: FiFirmaya ait Telekom altyapısı ve LAN/WAN/WLAN/Data Center network optimi-zasyonunu sağlayarak kaynakların en doğru şekilde kullanılmasını hedefleyen bir servistir. Network yapısının güvenliğine yönelik ve iş sürekliliğini sağlayacak iyileştirme önerileri sunulur.

Güvenlik:Firmanın alt yapısında bulunan güvenlik cihazlarının ve genel güvenlik yapısının detaylı olarak incelenmesi ve buna yönelik olarak iyileştirme önerilerinin çıkarılmasının hedeflendiği servistir. Ek olarak müşterinin dışarıya açık zafiyet durum bilgisi sağlanır.

Ses:Ses:Firma IP telefon ve santral altyapısı, ISP bağlantıları, ses kalitesi ve ses güvenlik ihtiyaçlarının adreslendiği servistir. Bu alanlarda iyileştirme önerileri sunulur.

İşletim danışmanlığı KoçSistem ’in network, güvenlik ve ses alanında yetkin yönetilen hizmetler personeli aracılığıyla sağlanır. Bu hizmet tipinde amaç; KoçSistem‘in çok yönlü ve değişik altyapıların işletiminden kazanılan iyi uygulama tecrübesinin ( Best Practice ) müşteri hedef ve ihtiyaçları dikkate alınarak uyuygulanmasıdır. Bu sayede müşteri, teorik danışmanlık modelinde elde edemeyeceği tecrübeye yönelik bir bilgi birikiminden ve bü- tünsel bakış açısından faydalanma imkanı bulmaktadır.

Hizmet kapsamında network, güvenlik veya ses alanı için elde edilen bulgular ve öneriler detaylı olarak müşteri ile rapor formatında paylaşılır. Çalışmalar talep edilmesi halinde aşağıdaki kırılımda belirtilen şekillerde yürütülebileceği gibi her biri ayrı ayrı da yürütülebilir.

HerHer bir danışmanlık tipi ilgili dikey uzmanlıktan gelen yetkin insan kaynağı tarafından sağlanır ve talep edilmesi halinde bu danışmanlığın belli bir periyotta belli adede kadar kullanılması söz konusu olabilecektir.

SOC Hizmetinde Bir Lider Daha!

EvEv geliştirme perakendeciliğinin lider kuruluşu Koçtaş, 22 ilde, 45 mağazası ve 237.000 metre- kareyi aşan toplam satış alanı ile güçlü yerel te-darik zinciri ve uluslararası satın alma gücü sayesinde, yerli ve ithal çok sayıda markanın ürünlerini uygun fiyat ve kolay ödeme avantajıyla tüketicilere sunmaktadır.

Türkiye ve çevresindeki ülkelerde, dünya standartlarında ev geliştirme perakendeciliği yapan lider kuruluş olmayı hedefleyen Koçtaş, SOC hizmeti ile güvenliğini platin seviyeye çıkararak her türlü durum karşısında gerekli ön-lemleri alıp hizmetini kesintiye uğratmayacak şekilde, müşterilerinin güvenini her zaman en üst düzeüst düzeyde tutmak için KoçSistem’e güveniyor.

Her iki taraf için de hayırlı olması dileğiyle.

Setur ile Daha Da İleriye!

TTurizm alanında her türlü faaliyeti bünyesinde bulunduran, dünya çapında elde ettiği başarılarla, Türkiye’nin ilk ve öncü turizm şirketlerinden biri haline gelen Setur, hizmet ka-litesini daha da ileriye taşıyor. Uzun zamandır SOC Temel Seviye olarak aldığı hizmeti, SOC Standart Seviyeye yükselterek artık güvenliğini daha da ileri sevidaha da ileri seviyeye çıkaracak.