EN
EN

2019 22. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

22. Hafta Siber Güvenlik Haberleri

Haber Yazısı 1

Hacker’lar Rootkit Malware ile 50.000 MS-SQL ve PHPMyAdmin Sunucularını Hackledi.

TARİH: 29 Mayıs 2019

Guardicore Labs'daki Siber Güvenlik araştırmacıları bugün dünya çapında Windows MS-SQL ve PHPMyAdmin sunucularına saldıran yaygın bir şifreleme kampanyası hakkında ayrıntılı bir rapor yayınladılar

Nansh0u” olarak adlandırılan siber güvenlik araştırmacıları, yaklaşık 50.000 sunucuya virüs bulaşmış olan ve kötü amaçlı yazılımın sonlandırılmasını önlemek için tehlikeye atılmış sistemlere sofistike bir çekirdek modu kök seti yükleyen APT tarzı bir Çinli hack grubu tarafından gerçekleştirildiği bildiriliyor.

Saldırı basit bir port tarayıcı kullanarak erişime açık olan Windows MS-SQL ve PHPMyAdmin sunucularını bulduktan sonra kaba kuvvet uygulama tekniğine dayanmaktadır.

Yönetici ayrıcalıklarına sahip başarılı bir oturum açma kimlik doğrulamasının ardından saldırganlar, uzak bir dosya sunucusundan kötü amaçlı payload yüklemek ve SYSTEM ayrıcalıklarıyla çalıştırmak için tehlike altındaki sistemde bir dizi MS-SQL komutu çalıştırıyor.

Arka planda, payload tehlikeye giren sistemlerde SYSTEM imtiyazları elde etmek için bilinen bir imtiyaz artırma güvenlik açığı (CVE-2014-4113) kullanıyor.

Araştırmacılar ayrıca , Windows yöneticilerinin sistemlerine virüs bulaşıp bulaşmadığını kontrol etmek için kullanabilecekleri tamamen bir IoC listesi (uzlaşma göstergeleri) ve ücretsiz bir PowerShell tabanlı komut dosyası yayınladı .

Saldırı, MS-SQL ve PHPMyAdmin sunucuları için zayıf bir kullanıcı adı ve şifre kombinasyonuna dayandığından, yöneticilerin hesapları için her zaman güçlü ve karmaşık bir şifre tutmaları önerilir.

Detaylı rapor: https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/

IoC listesi: https://github.com/guardicore/labs_campaigns/tree/master/Nansh0u

PShell komut dosyası: https://github.com/guardicore/labs_campaigns/blob/master/Nansh0u/detect_nansh0u.ps1

Haber Yazısı 2

Hacker’lar, 103 Checkers and Rally's Restoranlarının Müşterilerin Kredi Kartlarını Çaldı.

TARİH: 31 Mayıs 2019

Amerika Birleşik Devletleri’ndeki en büyük restoran zincirlerinden biri olan Checkers, dün büyük bir veri ihlali ile sarsıldı. 103 restoranınında etkili olduğu bilinen veri ihlali hakkında, ne kadar müşterinin etkilendiği henüz bilinemezken, restoranlarının %15’lik kısmının kesin etkilendiğini açıkladı. Etkilenen restoranlar, Florida, Kaliforniya, Michigan, New York, Nevada, New Jersey, Florida, Georgia, Ohio, Illinois, Indiana, Delaware, Kentucky, Louisiana, Alabama, da dahil olmak üzere 20 eyalette bulunmaktadır.

Bazı restoranlarında anormal durumlar fark ettikten sonra şirket, bilinmeyen bilgisayar korsanlarının 103 mağaza üzerindeki satış noktası (PoS) sistemlerine zararlı yazılım yerleştirmeyi başardıklarını belirtti.

Zararlı yazılım, kart sahibinin adı, ödeme kartı numarası, kart doğrulama kodu ve son kullanma tarihi de dahil olmak üzere, ödeme kartlarının manyetik şeridinde depolanan bilgileri toplamak için tasarlanmıştır.

Ancak, şirket, soruşturmanın, bilgisayar korsanlarının etkilenen kart sahiplerine ait ek bilgilerle yaptıklarını ve “listelenen restoranları ziyaret eden tüm misafirlerin” ihlalden etkilenmediğini gösteren hiçbir kanıt bulmadığını belirtti.

- Kaliforniya'daki bir restoran Aralık 2015’te, PoS kötü amaçlı yazılımını kurdu, bu da Mart 2018’e kadar müşterilerin ödeme kartı bilgilerini sürekli olarak yakaladı.
- Biri Kaliforniya'da ve diğeri Florida'da olan iki restoran, 2016 yılında PoS kötü amaçlı yazılımlarıyla backdoored kapatıldı ve hackerlar sırasıyla 2018 ve 2019'a kadar uzaktan çalmalarına devam etti.
- Dört farklı eyalette dört restoran 2017'de enfekte olmuş ve 2018 ve 2019'un başlarında enfekte kalmıştır.
- Kalan restoranlar 2018'de enfekte olmuş ve 2019'un başlarına kadar aktif kalmıştır.

Haber Yazısı 3

Saldırganlar RDP Oturumlarındaki Windows Username ve Password Ekranını Atlatabiliyor.

TARİH: 04 Haziran 2019

Bugün bir güvenlik araştırmacısı, Microsoft Windows Uzak Masaüstü Protokolü'ndeki (RDP) yeni eklenmiş bir güvenlik açığının ayrıntılarını açıkladı. CVE-2019-9510 olarak rapor edilen güvenlik açığı, saldırganlarının uzak masaüstü (RD) oturumlarında kilit ekranını atlamasına izin vermektedir.

Carnegie Mellon Üniversitesi Yazılım Mühendisliği Enstitüsü’nden (SEI) Joe Tammariello tarafından keşfedilen güvenlik açığı, Microsoft’da yakın zamanda ortaya çıkan kritik BlueKeep RDP zafiyetine karşı geçiçi çözüm olarak kullanılan Ağ Düzeyi Kimlik Doğrulaması (NLA) ile kimlik doğrulamasından kaynaklanmaktadır.

Yapılan açıklamada, “Duo Security MFA gibi Windows oturum açma ekranına entegre olan iki faktörlü kimlik doğrulama sistemleri de bu mekanizma kullanılarak atlatılabildi. Bir kuruluş tarafından uygulanan tüm oturum açma başlıkları da atlatılabilinmektedir” diye belirtildi.

CERT saldırı senaryosunu şu şekilde tarif eder:

- Hedeflenen bir kullanıcı Windows 10 veya Server 2019 sistemine RDS üzerinden bağlanır.
- Kullanıcı uzaktaki oturumu kilitler ve istemci cihazını gözetimsiz bırakır.
- Sonrasında istemci cihaza erişimi olan bir saldırgan ağ bağlantısını kesebilir ve herhangi bir kimlik bilgilerine ihtiyaç duymadan uzaktaki sisteme erişim sağlayabilir.

Tammariello, güvenlik açığı hakkında Microsoft’a bildirimde bulundu; ancak şirket, “Windows için Microsoft Güvenlik Hizmet Kriterleri’ne uymuyor” diyerek yanıt verdi. Bu cevap, teknoloji devinin yakın zamanda sorunu çözmeyi planlamadıkları anlamına geliyor. Ancak, kullanıcı uzak sistem yerine yerel sistemi kilitleyerek veya yalnızca kilitlemek yerine uzak masaüstü oturumlarını kapatarak sistemlerini bu güvenlik açığından koruyabilir.

KAYNAKÇA

[1]. MS-SQL ve PHPMyAdmin

[2]. Checkers and Rally's Kredi Kartları

[3]. Windows RDP