OzzTech - Bir saldırganın BT sistemlerinde arka kapılar yerleştirebileceği 10 farklı yol

Bir saldırganın BT sistemlerinde arka kapılar yerleştirebileceği 10 farklı yol

arka kapı

Bir saldırganı ve sistemlere veya yazılımlara erişmeye veya bunları değiştirmeye çalışmak için kullanılan çeşitli yöntemleri anlamak, sistemlerimizi korumamızı kolaylaştırır. Bu yöntemlere karşı direnç oluşturabilmeli ve aynı zamanda bir şeylerin olacağını gösteren olayları doğru zamanda tespit edebilmeliyiz. Bu nedenle, arka kapı koymak için aşağı yukarı 10 yaratıcı yol yazdık. Elbette daha fazla yol var, ancak bunlar sadece birkaç vaka.

1. Basitçe bir programlama hatası mı?

Bir arka kapı kurmak için bir geliştirici bulursanız bu çok ince olabilir, bir programlama hatasıyla karıştırabilirsiniz. Bazen, gerçekte arka kapı olabilecek yazılımlarda güvenlik açıkları algılanır. Değişiklikler küçüktür ve genellikle bunlar geliştiricinin çalıştığı olağan modelin veya kodun teslim edildiği zaman çerçevesinin dışında yapılır.

Aşağıdaki kod, kodun Linux çekirdeği içinde tanımlandığı 2003'ten bir örnektir:

if ((options == (__WCLONE | __WALL)) && (current-> uid = 0)) retval = -EINVAL;

Burada neyin yanlış olduğunu görebiliyor musunuz?

2. Ek bir kullanıcı adı ve şifre veya anahtar girin

Nesnelerin interneti durumunda, bu yaygındır. Üreticinin daha sonra ürüne erişebilmesi ve kontrol edebilmesi için sorun gidermeye izin verebilecek bir arka kapı. Bu, bir saldırganın bu ayrıcalıkları kullanmasına da izin verir. Botnet Mirai, ilgili şifreleriyle birlikte 60 farklı sabit kodlanmış kullanıcı adı kullandı.

3. İnternetten bir yazılım indirilirken gerçek zamanlı olarak bir arka kapı ekleyin

İnternetten indirdiğiniz dosyaları doğrulamanız ne kadar yaygın? Bunu pek çok kişi yapmasa da, OnionDuke zararlı kodu bundan olabilecek en kötü şekilde yararlandı. Tor'un anonimleştirme ağında en az bir yere kuruldu ve indirilen dosyaların otomatik olarak ek bir kod saatinin yanı sıra indirilen yasal yazılımı almasını sağladı.

4. Doğrudan kaynakta bir arka kapı

Kaynak kodunu işleyen yazılımları ihlal etmek de meydana gelen bir şeydir. Veya Github gibi popüler merkezi konumlara kullanıcı adlarını ve şifreleri zorlamaya çalışmaktır. Bu eylem, bu listedeki 10 numaralı maddeye oldukça benzer. Ancak buradaki fark, saldırganın içeriden bilgi kullanmak yerine bunu kaynak ağaca karşı yapmasıdır.

5. Bina sistemi aracılığıyla

Kuruluşların Jenkins, CircleCI ve Bamboo gibi bina sistemlerini kullanması daha yaygın hale geliyor. Bu bina sistemleri, genellikle gelişimsel bir akışta kilit bir nokta oldukları için saldırıya uğrayabilir. Ayrıca bu araçlar, kötü amaçlı kodun da imzalanması durumunda tehlikeli olabilecek kod imzalayabilir.

6. Yalnızca sistemde bulunan bileşenleri kullanın, yani "toprağın yaşamı"

Bu eylem, sisteme yeni bir ikili kod girilmemesi anlamında diğer eylemlerle birlikte kullanılabilir. Bu, kötü amaçlı kodu tespit etmek için Threat Hunting veya antivirüs yazılımı gibi sosyal yardım faaliyetlerini yürütmeyi zorlaştırır. Powershell, Windows Komut Dosyası Ana Bilgisayarı (WSH) veya Windows Yönetim Araçları (WMI) kullanmayı içerebilir.

7. Arka kapıyı, bulması inanılmaz derecede zor olan şekilde saklayın

Saldırgan, arka kapıları büyük ölçüde tanımlamayı zorlaştırmak istiyor. BIOS, sabit disk bellenimi, grafik kartı, ağ bağdaştırıcısı veya benzeri yerler gibi kötü amaçlı kod aramak için daha zor yerler vardır. Bu konumlardaki manipülasyonu tespit etmek bile mümkünse, bu alanları çok az güvenlik yazılımı kontrol eder.

8. Derleyiciye bir arka kapı ekleyin, böylece derlenen kodun tamamı veya bir kısmı bir arka kapı alır

Bu 1984 yılına dayanan çok eski bir saldırıdır ve Ken Thompson Hack olarak bilinir. Ancak, Apple'ın Xcode derleyicisinde tanımlandığı için XcodeGhost adını verdikleri 2015'te olduğu gibi yakın zamanda gözlemlendi. Derlenen tüm yazılımlar daha sonra otomatik olarak bir arka kapıya sahipti ve ikinci durumda, bir arka kapı içeren Xcode derleyicisiyle derlenen bir dizi popüler iOS yazılımıydı.

9. Üreticiden teslimat sırasında arka kapıyı donanıma takın

UPS ve Cisco gibi ağ sağlayıcılarının ekipmanlarının kısa bir süre için bulunduğu diğer benzer dağıtım şirketlerinde hırsızlık raporları var. Hiçbir şey çalınmamıştı, ancak birinin Cisco yönlendiricilerini değiştirdiğine dair şüpheler vardı. Bu şüpheler aynı zamanda, NSA çalışanları olduğu söylenen, Cisco logolu bir karton kutuyu izinsiz modifiye ettiğini gösteren bir resmin yayınlanmasıyla aynı zamana denk geldi.

10. Dual_EC_DRBG gibi bir standardı etkiler

Bir standardı etkilemek kolay bir şey değil, uzun yıllar süren lobicilikten önce gelmesi gereken bir şey. Ancak bu, NSA tarafından hem ANSI X9.82 hem de NIST SP 800-90'da Dual_EC_DRBG aldıklarında başarıldı. Buna rağmen RSA şirketi, BSAFE kripto kitaplığında rasgele sayı üreteci olarak Dual_EC_DRBG'yi girdi. Ayrıca, Dual_EC_DRBG'yi kullanmayı daha da kolaylaştıracak Genişletilmiş Rastgele adlı bir uzantı uygulandı. Bu eklenti, tersine mühendislik yoluyla BSAFE'nin Java uygulamasında tanımlanmıştır.

Ozztech Bilgi Güvenliği Teknolojileri, güvenlik açıklarını tespit etmenize, riskleri değerlendirmenize ve tüm altyapınızdaki her varlık için iyileştirmeye öncelik vermenize olanak tanır. Şimdi Bizimle İletişime Geçin!


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.