Thursday, March 4, 2010

Türkiyede HTTPS/SSL Hırsızlığı (Part1)























Rutin analizler sırasında, bir spyware'da SSL logger özelliğine rastladım. (Bizim SSL-Logger simülasyonunda kullandığımız metod) spyware'in yaptığı, Facebook'tan tutunda banka hesaplarınıza, yaptığınız alışveriş sitelerindeki şifrelerinize hatta tüm Yahoo Messenger ve MSN messenger şifrelerinize kadar almak.

Bazı yerlerde Youtube yasağını kaldırıcak bir program olarak lansa edilmiş ve gerçektende DNS değiştirerek bu yasagı kaldırıyor, buda programın çalışıtığını ispatlamasını sağlıyor. İşin en ilginç kısmı ise bunun tamamen bir Türk tarafından yapılması, bunu sadece hedef aldığı sistem için söylemiyorum aynı zamanda programda kullanılan değişken isimleri dahil Türkçe. Programda, SSL logger dışında, keylogger vs gibi başka hiç bir component yok, tamamen SSL trafiğine focus olmuş durumda, bu da tehlikenin ne derece yüksek olduğunu gösteriyor.

SSL logger işleminin bilinmemesinden dolayı şimdiye kadar bu metodu sadece 6-7 tane banker worm'da görmüştük ancak bundan sonra home made trojanlarda dahil görmeye başlayacağız demekki.

Diğer Antivirüs firmalarımdaki arkadaşlarımdan, Türkiyeden bu spyware'a ait nekadar infeksyon saptadıklarını sordum ve sonuç korkutucu. Her gün ~1500 yeni infeksyon.

Bu programın yuklenmesinden, bilgileri çalana kadar tüm hamleleri AntiLogger tarafından durduruluyor hatta alarmları, yanlışlıkla onaylananlara da bir şey olmuyor çünkü Anti-SSL özelliği için, AntiLogger, kullanıcıya sormadan direk bloke ediyor çünkü hiç bir legal program tarafından bu özellik kullanılmıyor. Tek dikkat etmeniz AntiLogger özellikler kısmında Anti-SSL teknolijisi aktif olmalı.















Hatta eğer bir Intel netbook sahibi iseniz Intel AppUp store'dan ücretsiz olarak yayınladığımız "Secure Banking" uygulamasını kurarak bu ve benzer tehditlere karşı proactive olarak korunabilirsiniz. "Secure Banking" programını toplu olarak işletmelerede kurabilirsiniz çünkü hiçbir kullanıcı onayı istemeden ve pop-up göstermeden sessizce işini yapıyor.

Programcısı release versionda OutputDebugStringA fonksyonunu kaldırmayı unutmuş ve Dbgview ile çaldığı trafiği üstteki resimdeki gibi görebiliyoruz.

Spyware herhangi bir rootkit modülu taşımadığı için, task manager'dan görüntülenebiliyor ve eğer TranslatorSrv.exe isminde bir process çalışıyorsa makinanıza bulaşmış anlamına geliyor. Tabi bu isim bir diğer varyonlarından farklı olabilir.

Not: Program, bağlanığı master server'lardan kendini ve programcısını afişe ediyor. Bu bilgiler gerekli birimlerde istendiği taktirde verebiliriz. (emergency [at] zemana.com)


2 comments:

  1. Bu spyware programın adını paylaşmanızda sakınca yoksa söylerseniz çok iyi olacaktır diye düşünüyorum. Çok sayıda kullanıcı bu tip programları bilgisayarına kurduğu için en azında daha dikkat etmeye çalışırız.

    ReplyDelete
  2. rustock ve ssl stealer birleşirse ne olur? :D

    Virus databaselerde RUSTOCK.SSL gibi bir varyant olur heralde :P

    ReplyDelete