EN

2019 22. Hafta Siber Güvenlik Haberleri

07 Haziran 2019

SİBER GÜVENLİK GÜNDEMİ

22. Hafta Siber Güvenlik Haberleri

Haber Yazısı 1

Hacker’lar Rootkit Malware ile 50.000 MS-SQL ve PHPMyAdmin Sunucularını Hackledi.

TARİH: 29 Mayıs 2019

Guardicore Labs'daki Siber Güvenlik araştırmacıları bugün dünya çapında Windows MS-SQL ve PHPMyAdmin sunucularına saldıran yaygın bir şifreleme kampanyası hakkında ayrıntılı bir rapor yayınladılar

Nansh0u” olarak adlandırılan siber güvenlik araştırmacıları, yaklaşık 50.000 sunucuya virüs bulaşmış olan ve kötü amaçlı yazılımın sonlandırılmasını önlemek için tehlikeye atılmış sistemlere sofistike bir çekirdek modu kök seti yükleyen APT tarzı bir Çinli hack grubu tarafından gerçekleştirildiği bildiriliyor.

Saldırı basit bir port tarayıcı kullanarak erişime açık olan Windows MS-SQL ve PHPMyAdmin sunucularını bulduktan sonra kaba kuvvet uygulama tekniğine dayanmaktadır.

Yönetici ayrıcalıklarına sahip başarılı bir oturum açma kimlik doğrulamasının ardından saldırganlar, uzak bir dosya sunucusundan kötü amaçlı payload yüklemek ve SYSTEM ayrıcalıklarıyla çalıştırmak için tehlike altındaki sistemde bir dizi MS-SQL komutu çalıştırıyor.

Arka planda, payload tehlikeye giren sistemlerde SYSTEM imtiyazları elde etmek için bilinen bir imtiyaz artırma güvenlik açığı (CVE-2014-4113) kullanıyor.

Araştırmacılar ayrıca , Windows yöneticilerinin sistemlerine virüs bulaşıp bulaşmadığını kontrol etmek için kullanabilecekleri tamamen bir IoC listesi (uzlaşma göstergeleri) ve ücretsiz bir PowerShell tabanlı komut dosyası yayınladı .

Saldırı, MS-SQL ve PHPMyAdmin sunucuları için zayıf bir kullanıcı adı ve şifre kombinasyonuna dayandığından, yöneticilerin hesapları için her zaman güçlü ve karmaşık bir şifre tutmaları önerilir.

Detaylı rapor: https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/

IoC listesi: https://github.com/guardicore/labs_campaigns/tree/master/Nansh0u

PShell komut dosyası: https://github.com/guardicore/labs_campaigns/blob/master/Nansh0u/detect_nansh0u.ps1

Haber Yazısı 2

Hacker’lar, 103 Checkers and Rally's Restoranlarının Müşterilerin Kredi Kartlarını Çaldı.

TARİH: 31 Mayıs 2019

Amerika Birleşik Devletleri’ndeki en büyük restoran zincirlerinden biri olan Checkers, dün büyük bir veri ihlali ile sarsıldı. 103 restoranınında etkili olduğu bilinen veri ihlali hakkında, ne kadar müşterinin etkilendiği henüz bilinemezken, restoranlarının %15’lik kısmının kesin etkilendiğini açıkladı. Etkilenen restoranlar, Florida, Kaliforniya, Michigan, New York, Nevada, New Jersey, Florida, Georgia, Ohio, Illinois, Indiana, Delaware, Kentucky, Louisiana, Alabama, da dahil olmak üzere 20 eyalette bulunmaktadır.

Bazı restoranlarında anormal durumlar fark ettikten sonra şirket, bilinmeyen bilgisayar korsanlarının 103 mağaza üzerindeki satış noktası (PoS) sistemlerine zararlı yazılım yerleştirmeyi başardıklarını belirtti.

Zararlı yazılım, kart sahibinin adı, ödeme kartı numarası, kart doğrulama kodu ve son kullanma tarihi de dahil olmak üzere, ödeme kartlarının manyetik şeridinde depolanan bilgileri toplamak için tasarlanmıştır.

Ancak, şirket, soruşturmanın, bilgisayar korsanlarının etkilenen kart sahiplerine ait ek bilgilerle yaptıklarını ve “listelenen restoranları ziyaret eden tüm misafirlerin” ihlalden etkilenmediğini gösteren hiçbir kanıt bulmadığını belirtti.

- Kaliforniya'daki bir restoran Aralık 2015’te, PoS kötü amaçlı yazılımını kurdu, bu da Mart 2018’e kadar müşterilerin ödeme kartı bilgilerini sürekli olarak yakaladı.
- Biri Kaliforniya'da ve diğeri Florida'da olan iki restoran, 2016 yılında PoS kötü amaçlı yazılımlarıyla backdoored kapatıldı ve hackerlar sırasıyla 2018 ve 2019'a kadar uzaktan çalmalarına devam etti.
- Dört farklı eyalette dört restoran 2017'de enfekte olmuş ve 2018 ve 2019'un başlarında enfekte kalmıştır.
- Kalan restoranlar 2018'de enfekte olmuş ve 2019'un başlarına kadar aktif kalmıştır.

Haber Yazısı 3

Saldırganlar RDP Oturumlarındaki Windows Username ve Password Ekranını Atlatabiliyor.

TARİH: 04 Haziran 2019

Bugün bir güvenlik araştırmacısı, Microsoft Windows Uzak Masaüstü Protokolü'ndeki (RDP) yeni eklenmiş bir güvenlik açığının ayrıntılarını açıkladı. CVE-2019-9510 olarak rapor edilen güvenlik açığı, saldırganlarının uzak masaüstü (RD) oturumlarında kilit ekranını atlamasına izin vermektedir.

Carnegie Mellon Üniversitesi Yazılım Mühendisliği Enstitüsü’nden (SEI) Joe Tammariello tarafından keşfedilen güvenlik açığı, Microsoft’da yakın zamanda ortaya çıkan kritik BlueKeep RDP zafiyetine karşı geçiçi çözüm olarak kullanılan Ağ Düzeyi Kimlik Doğrulaması (NLA) ile kimlik doğrulamasından kaynaklanmaktadır.

Yapılan açıklamada, “Duo Security MFA gibi Windows oturum açma ekranına entegre olan iki faktörlü kimlik doğrulama sistemleri de bu mekanizma kullanılarak atlatılabildi. Bir kuruluş tarafından uygulanan tüm oturum açma başlıkları da atlatılabilinmektedir” diye belirtildi.

CERT saldırı senaryosunu şu şekilde tarif eder:

- Hedeflenen bir kullanıcı Windows 10 veya Server 2019 sistemine RDS üzerinden bağlanır.
- Kullanıcı uzaktaki oturumu kilitler ve istemci cihazını gözetimsiz bırakır.
- Sonrasında istemci cihaza erişimi olan bir saldırgan ağ bağlantısını kesebilir ve herhangi bir kimlik bilgilerine ihtiyaç duymadan uzaktaki sisteme erişim sağlayabilir.

Tammariello, güvenlik açığı hakkında Microsoft’a bildirimde bulundu; ancak şirket, “Windows için Microsoft Güvenlik Hizmet Kriterleri’ne uymuyor” diyerek yanıt verdi. Bu cevap, teknoloji devinin yakın zamanda sorunu çözmeyi planlamadıkları anlamına geliyor. Ancak, kullanıcı uzak sistem yerine yerel sistemi kilitleyerek veya yalnızca kilitlemek yerine uzak masaüstü oturumlarını kapatarak sistemlerini bu güvenlik açığından koruyabilir.

KAYNAKÇA

[1]. MS-SQL ve PHPMyAdmin

[2]. Checkers and Rally's Kredi Kartları

[3]. Windows RDP

Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog