~ Ali Kapucu | Network & System & Security Research Worker ~

Archive for 'Security'

IPS Tuning Best Practices Live Webcast

Posted on Mart 2, 2010, under Network Security.

NSS Labs, the world’s leading independent information security research and testing organization. recently put seven leading Network IPS vendors through a rigorous test that included 1,159 validated exploits. nsslabs_award_tested2

One of the findings from the test was that a “tuned” IPS blocks considerably more threats than an IPS configured with a default policy alone..

To learn more about the NSS Labs Network IPS test results and some of the industry best practices for IPS tuning, please join us on March 10th for a free and insightful live webcast.

Speakers: Rick Moy, President of NSS Labs &
Matt Watchinski, Sr. Director of Sourcefire’s Vulnerability Research Team™ (VRT)

Date: Wednesday, March 10th at 11:00 a.m. Eastern (EST)

Türkiye Saati ile 10 Mart 2010 Saat 18:00

Screen Unlock Meterpreter Script

Posted on Şubat 25, 2010, under Security, System Security.

In this video, we look at a demo of the screen unlock meterpreter script. The script needs SYSTEM privileges and patches the msv1_0.dll loaded by lsass.exe so that every password will be accepted to unlock the screen. (the patch can also be undone to get back to normal behavior). Currently Windows XP SP2 and SP3 are supported. You can download it from here. The script author’s blog has more details.

Thanks go out to PaulDotCom for uploading this to vimeo.

Meterpreter Screensaver unlock script from PaulDotCom on Vimeo.

Lets run any command you want on every machine in your domain.

Posted on Şubat 23, 2010, under Security, System Security, Windows Servers.

After listening to Larry’s excellent technical segment on dumping the event logs from a large list of computers, I decided to try it out on my own. If you missed the technical segment, you can find the notes here. To do my own testing I needed to start with a large list of computers. For my list, I want to have the names of every computer in the domain. So I turned to “dsquery computer ” to get a list of all computers.
C:\WINDOWS> dsquery computer "CN=CONTROLER1,OU=Domain Controllers,DC=subdomain,DC=domain,DC=com"

BLA BLA BLA… Truncated

"CN=WORKSTATION1,OU=ORGUNIT1,OU=OrgUnit2,OU=OrgUnit3,DC=Subdomain, DC=Domain,DC=com"

BLA BLA BLA… Truncated again

The length of the results changes because of the variable number of subdomains, but fortunetly for us the workstation name is always the first part of the string. It is always between the CN= and the first comma. We can strip out the workstation name with the “DELIMS” and “TOKENS” option of the FOR loop. Also, by default DSQUERY will only return the first 100 results. This can be changed using the “-LIMIT” option. Setting the LIMIT to 0 returns all result. For now lets check our output looking at only two entries.

C:\WINDOWS>for /F "delims=, tokens=1" %i in ('dsquery computer -limit 2') do echo %i


C:\WINDOWS>echo "CN=WORKSTATION1

"CN=WORKSTATION1

C:\WINDOWS>echo "CN=WORKSTATION2 "CN=WORKSTATION2

We are almost there. I need to strip the first 4 characters of the line. For this I stole a page or two from Ed Skoudis’ play book. We can strip the first four characters with the SET command using the expression variable = %variable:~4%. But, since we are in a FOR loop we have to turn on delayed variable expansion and use ! instead of %.

C:\WINDOWS>cmd.exe /v:on /c "for /F "delims=, tokens=1" %i in ('dsquery computer -limit 2') do set name=%i & set name=!name:~4! & echo !name!"
(daha fazla…)

FileZilla Ftp şifrelerimizin turşusunu kuruyor!!!

Posted on Ağustos 14, 2009, under System Security.

Merhaba Arkadaşlar bugün Friendfeed’de Ahmet Alp Balkan’ın blogunun zararlı site olmasının muhabbeti dönerken C:\Documents and Settings\XXX\Application Data\FileZilla\sitemanager.xml veya filezilla.xml dosyalarınızı bakmanızı öneririm :S ftp şifrelerimiz ne kadar açıkta görmüş oluyoruz malesef..

Cisco IPS’lerine IP reputation özelliğini ekledi

Posted on Ağustos 12, 2009, under Network Security.

Merhabalar malum uzun süredir yazamıyorum Türkiye’deki son 1 haftama girmiş bulunmaktayım bu süre zarfında da fazla yazamayacam ancak, olaylara Fransız kalmamak için rss ve friendfeed üzerinden kendimi sürekli yeniliyorum. En geç 2 hafta içinde I’m Back diyeceğim

Başlık ile ilgili kısma gelincede başlıkta da görülebiliceği gibi Cisco IPS’lerine IP reputation özelliğini eklemiş. Peki Nedir bu IP Reputation?? Ip Reputation zararlı iş yapan iplerin tutulduğu büyük bir veritabanları listesi diyelim.. Hani Türk Telekom’un ip adresleri sürekli Spam listelerinde bundan dolayı ip ler Blacklistlere girip Bilgi İşlemcilerin Başını ağrıyor ya o listelerden işte Ip Reputation listelerini kontrol eden spam gatewayler gelen maillerde o ipler varsa işleme almadan direk engelliyor. Bunu Cisco Ipslerin yaptığını düşünürsek DDos yada başka tür bir saldırı yapan ipleri bu databaselerden alacak IPS doğası gereği gelen saldırıyı incelemeden direk Drop yapıcak buda büyük fayda..
Görüşmek Üzere

Cisco IPS'lerine IP reputation özelliğini ekledi

Posted on Ağustos 12, 2009, under Network Security.

BIND Dinamik Güncelleme Hizmet Dışı Bırakma Açıklığı Üzerine

Posted on Ağustos 11, 2009, under System Security.

BIND yazılımının geliştiricisi olan Internet Systems Consortium, 28 Temmuz 2009 tarihinde BIND çalıştıran alan adı sunucularını etkileyebilecek bir açıklığı bildirmiş, bu açıklık CVE-2009-0696 kodlu açıklık duyurusuyla geniş kitlelere ulaştırılmıştır. Bu yazıda, açıklığın doğası, gerçekleştirme şekli ve alınabilecek önlemlere değinilecektir.

Dinamik güncelleme mekanizması, alan adı sunucularının kaydını tuttukları alanların uzaktan güncellenmeleri için kullanılan bir mekanizmadır. Yetkili istemciler, bu mekanizma sayesinde sunucudaki alan bilgilerini güncelleyebilirler. Açıklık, bu mekanizmayı kullanmakta, özel düzenlenmiş bir dinamik güncelleme istek paketinin sunucuya yollanması sonucunda sunucu sürecinin sonlanmasına yol açmaktadır.

Bu açıklıkta kullanılan özel düzenlenmiş paketin, açıklığı gerçekleştirebilmesi için iki özelliğe ihtiyacı vardır. Birincisi, oluşturulan isteğin alan adı sunucusunun yetkili (authoritative) olduğu bir alanın güncellenmesine yönelik olması; ikincisi, güncellemedeki kayıt tipinin ANY olması gerekmektedir. İlk özellik aynı zamanda sunucunun alan adı için birincil alan sunucusu olmasını gerektirdiğinden, ikincil alan adı sunucuları görünüşe göre etkilenmemektedir.
(daha fazla…)

WordPress Güvenlik Açıkları

Posted on Temmuz 10, 2009, under Web Security.

Popüler içerik yönetim sistemi WordPress’te çoklu güvenlik açıkları tespit edildi. Buna göre çeşitli URL istekleriyle izinsiz olarak çeşitli eklenti ve ayar sayfalarına ulaşmak mümkün. Bunun yanı sıra çeşitli JavaScript kodlar ile bu eklentilere zararlı kodlar da eklenebiliyor.

Çeşitli eklentilerde bulunan zafiyetlerin tetiklediği güvenlik açıkları doğrudan admin.php ile de ilgili olabiliyor. Uzaktan (remote) olarak tarif edilen güvenlik açıkları şuan için WordPress 2.8 ve öncesini, WordPress MU 2.7.1 ve öncesini etkilemekte.

Örnek saldırılar:
Local File Inclusion için, admin.php?page=
http://[websayfası]/wp-admin/admin.php?page=/collapsing-archives/options.txt

http://[websayfası]/wp-admin/options-general.php?page=collapsing-archives/options.txt

WP Security Scanner pano görüntüleme,
http://[websayfası]/wp-admin/admin.php?page=wp-security-scan/securityscan.php
Çözüm:
Wp-admin dizinine olan erişim kolaylığı yüzünden meydana gelen bu güvenlik açıkları yine bu klasörün kısıtlanmasıyla giderilebilir. Bunu wp-admin klasörüne şifre koyarak çift şifre korumasına geçebilirsiniz. Ya da WordPress’inizi son sürüme güncellemelisiniz.(Kesinlikle)

Referans:
http://corelabs.coresecurity.com
http://www.guvenli.org

Dns’lerimize Dikkat Edelim!!!

Posted on Temmuz 8, 2009, under System Security.

Bildiğiniz gibi internet üzerinde alan adlarıyla dolaşıyoruz. Bu bloğa girmek için www.alikapucu.com adresini browserınızda yazdığınız da browser internet üzerinde buluna DNS (Domain Name Server) serverlerına bu ismi sorar isme denk gelen ip adresi dns server tarafında verilir ve browserımız o siteye gider. Örnek Olarak DNS serverımıza bir isim soralım Windows’da bu işlemi yapan komut nslookup komutudur. Başlat / Çalıştır /cmd yazdıktan açılan komut satırına nslookup domain yazarak aşağıdaki gibi bir çıktı alırız ;
C:\Documents and Settings\Alyy>nslookup Varsayılan Sunucu: resolver1.opendns.com Address: 208.67.222.222

> www.alikapucu.com Sunucu: resolver1.opendns.com Address: 208.67.222.222

G_venilir olmayan yan_t: Ad: www.alikapucu.com Address: 79.171.18.126

bu çıktı da www.alikapucu.com adresini 208.67.222.222 Open Dns serverlarına soruldu ve karşılık 79.171.18.126 ipsi karşılık geldi demekki alikapucu.com adresi bu ip de host ediliyormuş. Aynı işlemi Linux de dig komutu ile yapıyoruz, dig komutu çok gelişmiş bir komut umut ediyorum ki ileride nslookup’ın yerini alsın

root@bt:~# dig www.alikapucu.com

; <<>> DiG 9.5.0-P2 <<>> www.alikapucu.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 454
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.alikapucu.com. IN A

;; ANSWER SECTION:
www.alikapucu.com. 11724 IN A 79.171.18.126

;; Query time: 1 msec
;; SERVER: 192.168.0.6#53(192.168.0.6)
;; WHEN: Wed Jul 8 04:33:33 2009
;; MSG SIZE rcvd: 51

burada da dig www.alikapucu.com dedim ve yukarıdaki çıktı geldi bu çıktıdan anladığımız Networkümde bulunan 192.168.0.6 dns serverına 53.porttan sorulan sorgu yine 79.171.18.126 ip yi verdi.

Ipv6 çıkması ile birlikte DNS ler artık olmazsa olmaz bir hal alıcak. Örneğin Ipv4 adresi 79.171.18.126 olan www.alikapucu.com adının ip adresi (Ipv6) 2001:0050:0000:0000:0000:9AC2:0FA0:8701 tarzında bişi olucak durum böyle olunca dns serverlar hayatımızda çok önemli olucak (şuan da önemli ama çok daha fazla önemli olucak) dolayısıyla Dns serverlarımızın güvenliğini iyi sağlamamız lazım.
Peki Dns Server Nasıl tehlikeli olabilir??
Geçen sene DNS Cache Poising çıktı bu saldırı ile dns serverlarının cacheleri zehirlenerek belirtilen domainler için farklı ip adresleri yazılabiliyordu. Bununla ilgili bir videoyu link veriyorum. http://securitytube.net/DNS-Cache-Poisoning-Attack-
video.aspx

Aynı şekilde domaine ait kayıtları değiştirerek başka bir konuya değinelim. Adsl Kullanıcıların %60 ının Default şifrelerini değiştirilmediği biliniyor. Google’dan basit bir arama ile bu şifrelere ulaşabiliriz. Bir modeme eriştiğimiz eğer ki o modem destekliyorsa (büyük bir çoğunluğu destekliyor) manuel bir dns server adresi yazarak o modem’in bütün sorgularını istediğimiz dns sunucusuna aktarabiliriz..

Peki Dns server kurmak zor bir şey mi? Cevabı; Hiç de zor değil ben network’umde kullandığım DNS Serverı internete açarsam ve istediğim domainler için kayıtlar girersem benim serverımı kullananlar benim yönlendirdiğim adreslere giderler gidilen adresin bir banka sitesi olduğunu düşünürsek durumun ciddiyeti anlaşılabilir.

Bu işi otomasyona döken DNSChanger adlı Trojan Hakkında Onur Oktay’ın yazdığı yazıyı sizlere sunuyorum..

DNSChangerin ne kadar tehlikeli bir trojan olduğunu anlayabilmek için işin boyutunu biraz daha geniş açıdan düşünürsek, ülkemizde ADSL modemlerin güvenlik seviyesini ve bu modemleri kuran kişilerin varsayılan güvenlik ayarlarını, varsayılan şifreleri değiştirmemesini de işin içine katarsak durum sanıldığından daha vahim ve ürkütücü olmuş oluyor.

Onun adı DNSChanger… 2005 yılında ortaya çıktı, milyonlarca bilgisayara, binlerce ağ(network)’a bulaştı… Verdiği zararlar çok sonraları tespit edilebildi.

Neredeyse çoğu kullanıcı onun, kendi bilgisayar sisteminde var olduğunu bile anlayamadı. Çünkü güncel ve bilinen güvenlik yazılımları ile antivirüs programları DNSChanger’ı tespit edemedi. Klasik zararlı yazılımlar gibi sadece Windows kullanıcılarına değil, MAC kullanıcılarına da bulaşarak kendi alanında efsane olmayı başardı.

İşte o efsane trojan (Zararlı yazılım) şimdi yenilenen ve güçlenen zararlı içeriği ile karşımıza tekrar çıktı.

DNSChanger ne yapıyor? Nasıl böyle bir zarar verebiliyor? Çalışma mantığı nedir?

DnsChanger sadece tekil bilgisayarlara değil, Ağa bağlı çalışan bilgisayarlara ve Ağ ortamlarına (Network) da zarar veriyor. Yeni versiyonda karşımıza daha da kötü ve acımasız olarak çıkan DnsChanger, bulaştığı bilgisayarlarda kendini gizleyerek, o bilgisayarların Ağ ortamlarına bağlanmasını bekliyor ve çıktığı zaman kendini ağ maskelerine bulaştırarak sistemin DNS Kayıtlarını değiştiriyor.

Böylece kullanıcılar sahte DNS kayıtları ile Internet ortamına erişmeye başlıyorlar. Bu tür erişimler, kullanıcılar nereye eriştiklerini farkında olmadan gerçekleşiyor ve kullanıcılar daha önceden hazırlanan sahte web sitelerine yönlendirilebiliyor ya da her zaman kullandıkları web sitelerinin bire-bire kopyası (fake web sayfası) ile karşılaşıp, durumu anlayamadan DNSchanger’in yemi olmuş oluyorlar.

Özellikle kablosuz ağ ortamlarının olduğu topluma açık paylaşım ağlarında sıklıkla ve rahatça yayılan DnsChanger, bulaştığı bilgisayarlarda 85.255.114.13, 85.255.112.174 numaralarını kullanan sahte DNS Kayıtları oluşturuyor. Eğer profesyonel bir Bilgisayar kullanıcısı değilseniz yani sıradan bir kullanıcı iseniz, bahsi geçen DNS kayıtlarına bakmak tabii ki aklınıza gelmeyecektir.

Böylece bu sahte DNS’leri kullanarak mı yoksa gerçekten kendi İnternet Servis Sağlayıcınızın atadığı DNS kayıt numarası ile internete eriştiğinizi tabii ki bilemeyeceksiniz.

DNSChangerin ne kadar tehlikeli bir trojan olduğunu anlayabilmek için işin boyutunu biraz daha geniş açıdan bakarsak, ülkemizde ADSL modemlerin güvenlik seviyesini ve bu modemleri kuran kişilerin kurulum güvenlik ayarlarını, kurulum şifreleri değiştirmemesini de işin içine katarsak durum sanıldığından daha vahim ve ürkütücü olmuş oluyor.

Çoğu kullanıcı, ADSL modem şifrelerini değiştirmeden, kurulumdaki olarak kullanıyor. Ülkemizde hali hazırda kullanılan ADSL modemlerin varsayılan şifrelerini Google üzerinden search ettiren bir kişi çok rahatlıkla bu şifrelere erişebiliyor. Durum böyle olunca DNSChanger gibi zeki trojanların ADSL modeme girmesi ve buradan o modeme bağlanan bilgisayarlara kendini bulaştırması da zor olmuyor. DNSChanger kendi içine daha önceden yaratıcısı tarafından yerleştirilmiş Wordlisteki şifreleri tek tek deneyerek (brute-force) ilgili modeme Administrator yetkilisi olarak bağlanmaya çalışıyor ve bağlandığı zaman da o modeme bağlı tüm bilgisayarlar zararlı yazılımdan nasibini almış oluyor. Trojan kendi içerisindeki sahte web sitelerine kullanıcıları yönlendirerek kişisel bilgileri, kredi kartı bilgileri, e-posta ve MSN bilgileri gibi bilgileri sahibine gönderebiliyor. DNS Changer çoğunlukla Film, MP3 Siteleri, Forumlar ve Warez içerik barındıran web sitelerinden içerik indiren kullanıcılara bulaşıyor.

Yazının başında da belirttiğim gibi DnsChanger sadece Windows kullanıcılarını değil, MAC kullanıcılarını da etkileyerek kendi alanında farklılık yaratıyor ve bu’da trojanın ne kadar ciddiye alınması gerektiğini bir kere daha gösteriyor.

Peki DNSChanger’dan nasıl korunacağız ?

Şu an aktif olarak yayılmaya devam eden zararlıyı maalesef ki bir çok güncel güvenlik programı engelleyememektedir. Bunun için sistemizi Anti-Malware yazılımları ile taratmalıyız. Bu temizlik işlemini gayet başarılı yapan bir programı tavsiye ediyorum. RapidShare adresinden ilgili programı indirerek sisteminizi taratabilir ve temizleyebilir yada sistemizin güvenliğinden emin olabilirsiniz.

Dns'lerimize Dikkat Edelim!!!