MS17-010 Windows Patch (KB) Kontrolü


2 Mayıs‘ta dünya çapında birçok kuruluşu etkileyen büyük çapta bir fidye yazılımı (WannaCrypt) saldırısı gerçekleştirilmiştir. Bu konudaki çeşitli istatistik sonuçlarına göre en çok Rusya’da olmak üzere 74 ülkede en az 45.000 fidye yazılımı bulaştırma teşebbüsü saptanmıştır.

Bu fidye virüsü, EternalBlue, EternalSynergy ve EternalRomance adında leak edilen NSA exploitlerini kullanarak yayılmakta ve her geçen gün bulaştığı sistem sayısı da artmaktadır.

Windows SMB üzerinden hedef sistemlere bulaşan bu virüsten korunmak için, bazı windows güncellemelerinin kurulu olması gerekmektedir.

Sistemleriniz üzerinde (XP-7,8,8.1-2K8,2K8R2, 2012, 2012R2, 10) gerekli güncellemelerin kurulu olup olmadığını test etmek amacıyla aşağıdaki vbscript kodunu kullanabilirsiniz.

'-----------------------

Dim KBList
Set KBList = CreateObject("System.Collections.ArrayList")
KBList.Add "4012212"
KBList.Add "4012213"
KBList.Add "4012214"
KBList.Add "4012215"
KBList.Add "4012216"
KBList.Add "4012217"
KBList.Add "4012598"
KBList.Add "4012606"
KBList.Add "4013198"
KBList.Add "4013429"
KBList.Add "4019474"
KBList.Add "4015221"
KBList.Add "4016637"
KBList.Add "4015219"
KBList.Add "4016636"
KBList.Add "4019473"
KBList.Add "4019472"
KBList.Add "4015217"
KBList.Add "4015438"
KBList.Add "4016635"
KBList.Add "4015549"
KBList.Add "4015550"
KBList.Add "4015551"
KBList.Add "4019215"
KBList.Add "4019216"
KBList.Add "4019264"

Set WshShell = CreateObject("WScript.Shell")

WshShell.Run "cmd /c wmic qfe list | clip", 0, True

For Each kb In KBList
If InStr(CreateObject("htmlfile").ParentWindow.ClipboardData.GetData("text"), "KB" + kb) > 0 Then
MsgBox("Sisteminiz gerekli güncellemeleri almış ve güvenli! (KB" + kb + ")")
WScript.Quit
End If
Next

MsgBox("Sisteminize gerekli güncellemeler yüklenmemiştir! Lütfen Windows Update Çalıştırınız!")

'-----------------------

Yeni bir x.vbs dosyası oluşturunuz, ardından yukarıdaki kodu yazarak kaydediniz.
Kaydedilen script'i çalıştırdığınız da arka planda gerekli güncellemelerin kurulu olup olmadığı kontrol edilecek ve size bildirilecektir.




Ancak leak edilen daha birçok exploit'in belirli aralıklarla paylaşılacağı bilgisine karşın, sistem üzerinde 445 ve 139 portlarının kapatılması adına, aşağıdaki kodu cmd üzerinden çalıştırmanız önerilmektedir.

C:\Users\Tolga> netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=139 name="Block_TCP-139"

C:\Users\Tolga> netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

Ayrıca RDP Kullanımının kapatılması veya portunun değiştirilmesi, güvenliği bir nebze olsun arttıracaktır.

Güvenli sistemler dileğiyle :)

Tolga SEZER.



Ücretsiz VPN, Log tutulması ve gizlilik


Aslında ücretsiz vpn kullanan birçok arkadaşın aklına takılan sorudur;

Ücretsiz VPN ler güvenli midir?
Ücretsiz VPN ler niçin ücretsiz?
Ücretsiz VPN sağlayanların amacı veya karı nedir?

Peki ya kimler niçin ücretsiz vpn sağlar;

[*] İleride ücretli versiyona geçilecek olan trial amaçlı verilen ücretsiz VPN sağlayıcıları
[*] Ücretsiz ve direk açık bilgilerle paylaşılan vpn'e bağlanan kişilerin trafiğini loglamak ve bu logların ileride kullanılması amacıyla verilen vpnler
[*] Kendi sunucusuna kurduğu ve loglamayı kapattığı vpn nin bilgilerini açık bir şekilde paylaşıp, kirli işlerinide bu vpn üzerinden yaparak connection trafiğini karıştırmak ve böylelikle kendi connection bilgisinin diğer connection bilgileri içerisinde kaynatılması amacıyla verilen ücretsiz vpnler
vs..vs..

Peki ya kesinlikle log tutmadığını iddaa eden ücretli VPN sağlayıcıları?
Söz konusu hacker grubundan birisi veya birileri, saldırı sırasında veya sonrasında(net açıklama gelmedi) HMA isimli VPN servisinin arkasına sığınmış ve neticesinde saklandıkları yer, doğrudan HMA tarafından açık edilmiş. Oysaki bu tip büyük firmalar hemen her ilgili soruya, kesinlikle log tutulmadığı cevabıyla karşılık vermeyi tercih ediyorlar. Ancak bu örnekten de anlaşılacağı üzere ne yazık ki hazır VPN servisleri, her daim kişisel güvenlik veya şirketin “gizli” prosedürleri gereği, log tutuyorlar, tutmaya mecbur bırakılıyorlar.

Buradan çıkartılacak sonuç, tüm vpn sağlayıcılarının log tuttuğudur. Trafik logları tutulmasa bile connection yani VPN ye bağlantı yapılan IP adresi kayıt altına alınmaktadır.

Zaten ücretli vpn satın alırken kullanılan form, bilgiler, IP ve useragent gibi bilgilerin kayıt altına alınması, sağlayıcılar için zorunludur.

Güvenliğiniz için açık şifre ile paylaşılan ücretsiz ve sitesinde herhangi ücretli ürünü bulunmayan vpn sağlayıcılardan uzak durunuz.

Saygılar.
Tolga SEZER.

Bitcoin güvenliği ve dolandırıcılık



Aslında herkesin merak ettiği ve tam anlamıyla bir sonuca varamadığı konudur,

Peki ya bitcoin gerçekten güvenli mi ? ya da kimler için güvenli? Bitcoin dolandırıcıları nasıl bulunur?

Bitcoin'in resmi sitesine bulunan bir yazıda, Tüm bitcoin işlemlerinin kalıcı olarak loglandığı belirtilmekte.
Bknz: "All Bitcoin transactions are stored publicly and permanently on the network"

Biraz daha açıklayıcı konuşmak gerekirse,
Hangi bitcoin adresinden hangi bitcoin adresine ne kadar gönderildiği, hangi tarihte ve saatte gönderildiği, hangi IP üzerinden gönderildiği vs gibi tüm işlemler kayıt altına alınmaktadır.

Burada sormamız gereken soru şu;
Bitcoin'e güvenli deniliyorsa niçin log tutuyor?

Ayrıca bitcoin transfer veya dönüştürme işlemlerini yapan tüm web siteleri, kendi firmalarını korumak amacıyla da kayıt tutar. Yani bu demek oluyorki, bitcoin'in kötüye kullanılmasında suçlunun kullandığı bitcoin adresinin firma üzerinde, yetkili makamlar ile yapılan sorgulamada tüm işlemler gün ışığına çıkar.

Hacker news'in yaptığı araştırmaya göre sanal korsanların büyük çoğunluğu kara parayı aklamak için bitcoin kullanmakta.Birçok sanal korsan bitcoinin kendileri için güvenli olduğunu düşünmekte.
Bitcoini kötüye kullanan sanal suçlular ise nasıl yakalandıkları konusunda şaşkın!

Peki ya bir sanal suçlu, bitcoin transfer işlemini public bir mekanda kablosuz internet kullanarak, aracısız olarak kendi cüzdanı üzerinden dolandırıcılık yaparsa?

İşte burada yapılacak işlem iz takip işlemidir. Bitcoinin resmi sitesi olan BlockChain'de bir bitcoin adresinin, hangi adrese, hangi tarih ve saatte, ne kadar coin gönderildiği normal kullanıcılar tarafından sorgulanabilmektedir.




Şunu unutmayalımki, bitcoin dolandırıcılığı yapan bir kişinin, coin'i paraya çevirebilmesi için bir aracı kullanmak zorundadır.Bu demek oluyorki, çalınan coin'in log tutan üçüncü kişilere gidip asıl paraya çevrilmesi gerekir.

Yukarıda verilen adresde, dolandırıcıya gönderdiğiniz bitcoin adresini sorgulayabilirsiniz.

Örneğin bir dolandırıcı, legal dışında elde ettiği coinleri, TL ye dönüştürmek istediğinde kullandığı aracısı (Bitcoin Transfer işlemini veya dönüştürmeleri yapan sitesi) bulunup, bu siteler üzerinden, dolandırıcının coin'i hangi sisteme dönüştürdüğü (paypal, skrill, western union vs..) ve bu dönüştürme işleminde kullanılan email adresi, IP logları, western union kullanıyorsa adresi gibi yakalanması sağlanacak izler takip edilerek bulunabilir.

Buradan çıkartılacak sonuç ise; bitcoin normal kullanıcılar için güvenli, korsanlar için güvensizdir.

Not: Bu makale Tolga SEZER tarafından www.tolgasezer.com.tr için yazılmıştır. Kaynak belirtmeksizin Alıntı yapılmasına göz yumulmadığı gibi hukuki yollara başvurulacaktır. Bknz: 5846 sayılı Fikir ve Sanat Eserleri Kanunu

[TUT] Crypter ile şifrelenen yazılımı çıkarma


Crypterlerin ne olduklarını, çeşitlerini, mantıklarını önceki yazılarımızda öğrendik, peki ya crypt edilen bir dosyayı stub dan nasıl ayırıyoruz? Bellekte açılan dosyayı nasıl kaydediyoruz?

Birkaçımız belkide şuan "Birden fazla crypter kullanılırsa da aynı şekilde zararlı yazılım'ı stub dan ayırabilirmiyiz?" diye akıllarından geçireceklerdir, evet bu mümkün!


Artık rahatlıkla crypt edilmiş ratları, botnetleri crypter stublarından ayırıp decompile edebileceksiniz! Zararlı yazılım hakkında daha fazla bilgiye ulaşabileceksiniz!

Dilerseniz başlıyalım;

Öncelikli olarak test amaçlı kullanacağımız crypterimizi ve test amaçlı zararsız yazılımımızı ve aracımızı şuradan indirelim;

[TUT] Crypter Çeşitleri ve Kullanım Alanları


Evet arkadaşlar bir başka yazımızda birlikteyiz, önceki makalemizde crypterlerin ne olduklarını öğrendik. Bknz: Crypter Nedir

Şimdi bunların çeşitlerini ve nerelerde kullanıldığına bakalım;

Çalışma mantığına göre 2 tür Crypter bulunmaktadır;

1- Scantime Crypter;

Stub, crypter client ile üzerine yazılan dosyayı bir temp dizinine veya önceden belirlenmiş bir dizine olduğu gibi çıkartır ve çalıştırır. Scantime crypterin şifrelediği dosya ve stub ile oluşturulan nihai dosya, taratıldığında hiç bir antivirus tarafından yakalamaz, çünki orjinal yazılım stub'un içerisinde gizlidir, lakin çalışma esnasında stub, şifrelenen dosyayı dizine çıkartacağı için antivirusler tarafından yakalanacaktır.

Korsanlar tarafından daha çok bilgisayarlarında antivirüs kullanmayan kişiler için kullanılmaktadır. Çoğu kullanıcı bilgisayarına antivirus kullanmak yerine indirdiği dosyayı virustotal gibi sitelerde taratarak açmaktadır. Bu tür online taramalarda scantime crypter ile oluşturulan yazılımlar hiçbir antivirüse yakalamaz.

Buradan çıkartılacak sonuç, scantime crypter tarama esnasında yakalanmaz, ama çalışma esnasında kendini belirli bir dizine çıkaracağı için yakalanmaktadır.

2- Runtime Crypter

Runtime crypter, şifrelenmesi istenilen yazılımı hiç bir dizine çıkarmadan, belleğe(ram'e) kopyalayıp, orada çalıştırmasıdır, Bu şekilde antivirusler tarafından, HDD üzerinde hiç bir yere çıkartılmadığı için yakalanmaz. Scantime crypter'e göre daha değerlidir ve kodlanması daha profesyonellik gerektirir.

Peki Crypter yazılımlarının kullanım alanları nelerdir?

[*] Korsanlar tarafından zararlı yazılımların antivirüsler tarafından yakalanmamasını sağlamak
[*] Yeni kodlanan zararsız yazılım, eğer antivirüsler tarafından zararlı kod olarak görüntülenirse, crypter kullanarak, antivirüsleri atlatma ve bu şekilde müşterilerin yazılıma olan güvenlerini arttırmak
[*] Kodlanan programların decompile edilmesini önlemek
[*] Kodlanan programların stringlerinin veya diğer özel komutların üçüncü şahıslar tarafından görüntülenmesini önlemektir.

Not: Bu makale Tolga SEZER tarafından www.tolgasezer.com.tr için yazılmıştır. Kaynak belirtmeksizin Alıntı yapılmasına göz yumulmadığı gibi hukuki yollara başvurulacaktır. Bknz: 5846 sayılı Fikir ve Sanat Eserleri Kanunu


[TUT] Crypter, Binder, Packer Nedir?

Evet bugüne kadar birçok sitede crypter, binder, packer, keylogger, protector kavramlarından bahsedildi. Ama hiç birisinin bu terimleri ilk defa duyan birisi için açıklayıcı değil, gelin bu terimlere baştan sonra daha detaylı ve basit bir şekilde tekrar işleyelim;

Temel kavramlar;

Malware: Zararlı Yazılımdır. Trojan, Virus, Solucan gibi casus veya zarar verme amaçlı kodlanan her türlü kötü amaçlı yazılım kısaca malware olarak adlandırılır.

Keylogger: Buradaki Key kısaltması Keyboard yani Klavye terimidir. Log ise Kayıt tutma/kaydetme anlamlarına gelmektedir. Keyboard Logger (KeyLogger) klavyede basılan her türlü tuşu kayıt altına almak demektir.Örneğin mailimize girmek için klavye den girdiğimiz şifre keylogger sayesinde öğrenilir.

Crypter: Öncelikle Türkçe anlamı yönünden ele alırsak Crypt = Şifreleme demektir. Crypter ise şifreleyici/saklayıcı anlamına gelmektedir. Yazdığımız bir uygulamanın decompile(kodlarının çözülmesi) edilmesini önler. Ama daha çok zararlı yazılımları antivirus firmalarının tanımasını engellemek amacıyla kullanılır. Crypter, Client ve Stub olmak üzere 2 kısımdan oluşur.


Crypter Client: Şifrelenmesi gereken dosyayı veya zararlı yazılımı stub ile maskeler. Zararlı yazılıma manto giydirir de diyebiliriz.Burada Stub bir mantodur. Zararlı yazılımı veya şifrelenmesi gereken yazılımı sarar ve gizler.


Resimdeki boyutlardan da anlaşılacağı gibi önceden 15kb olan stub, 10kb lik zararlı yazılımı sardığında 25kb ye çıkıyor. Yani, zararlı yazılım stub üzerine yazılıp, tek bir şifrelenmiş dosya elde edilmiş.

Peki korumaya alınan zararlı yazılım, hiçbir zaman anti-virüs şirketleri tarafından yakalanmıyor mu?

[*] Korumaya aldığımız dosya eğer anti-virüs şirketlerininin lavabotuvarlarına ulaşırsa, incelemeler sonucu zararlı yazılım olduğu tespit edilir ve yakalanmaya başlar. Bu yakalanma işlemine de detect denir.

Peki anti-virüs şirketleri bu dosyaya nasıl ulaşır?

[*] Örneğin Esed No32 güvenlik yazılımı, bilgisayar üzerinde taranan bazı dosyaları kendi analiz sunucularına incelenmesi için gönderir, bu şekilde detect olmaya yani yakalanmaya başlar. Ayrıca Virus-Total tarzındaki online virüs tarama sitelerinde tarattığımız tüm dosyalar anti-virüs şirketlerine gönderilir. İncelemeler sonucunda yine detect olmaya başlar.

Korumaya alınan zararlı yazılım hakkında bazı kavramlar şunlardır;

Detected: Yakalanan, Açığa çıkmış olan zararlı yazılımdır.

Undetected [UD] : Bazı anti-virüsler tarafından yakalanmayan zararlı yazılımdır. (Avira’nın yakalayıp nod32’nin yakalamaması gibi)

Full Undetected [FUD] : Hiçbir anti-virüs tarafından yakalanmayan zararlı yazılımdır.

Packer, Protector: Yine Crypter gibi zararlı yazılımı veya decompile edilmesini istediğimiz uygulamalarımızı korumaya alan araçlardır. Mantık Crypter gibi olsa da, işleyişleri biraz farklıdır.

Binder: Bind kelimesi, bağlama/birleştirme anlamına gelmektedir. Yani Binder ise birleştirici anlamındadır. Genel olarak kullanım alanları zararlı yazılımlar üzerinedir. Örneğin bir resim ile zararlı yazılımı veya müzik ile birleştirerek, isteğe göre eş zamanlı olarak açılmasını sağlayan araçtır.

Stealer: Bilgisayar üzerindeki kayıtlı şifreleri toplayıp üçüncü şahıslara ileten zararlı yazılımdır. Örneğin mozilla firefox dan girilmiş ve kaydedilmiş facebook şifresini üçüncü şahsın mail adresine yollar.

Evet bazı terimleri basit ve daha anlaşılabilir şekilde anlattık, yinede sormak istediğiniz daha detaylı bilgi almak istediğiniz terim olursa yorum olarak iletebilirsiniz, gün içinde cevaplanacaktır.

Not: Bu makale Tolga SEZER tarafından www.tolgasezer.com.tr için yazılmıştır. Kaynak belirtmeksizin Alıntı yapılmasına göz yumulmadığı gibi hukuki yollara başvurulacaktır. Bknz: 5846 sayılı Fikir ve Sanat Eserleri Kanunu

Professional RDP Scanner v1.0

Örnek Görünüm
Ne işe yarar?

Girdiğiniz IP aralığındaki RDP sunucularını tarar, aktif olanları kullanıcıya bildirir, bulunan aktif sunucularda önceden girilmiş bilgileri tek tek dener. başarıyla giriş yapılanları kullanıcıya bildirir. IP aralığında değilde, direk IP üzerinden de programa girilmiş wordlist ile denemeler yaptırabilirsiniz.Sunucu satışı yapan arkadaşlar, satışını gerçekleştirip nihai kullanıcıya sattığı sunucular üzerinde veya hedef sunucular üzerinde pentest işlemlerini gerçekleştirebilirler [Örneğin fabrika kullanıcıların client bilgisayarları bu şekilde kontrol ettirebilir, güvenliği (şifresi) zayıf sistemler üzerinde önlem alınır.]

Fonksiyonlar;

[*] IP aralığındaki, aktif sunucuları tarama
[*] IP aralığındaki aktif sunucular üzerinde wordlist veya elle girilen şifrelerle bağlantı testi
[*] Direct IP girilen sunucu üzerinde brute-force
[*] Connect time out ve Login check time out manuel ayarlama (Internet hızınıza göre arttırıp azaltabilirsiniz.)

[*] Default RDP portunu değiştirebilme
[*] Manuel olarak veya wordlist olarak user:pass ekleyebilme
[*] Eş zamanlı durum kontrolü izleyebilme
[*] Kısa sürede işleyiş
ve dahası..










FTP Account List Checker v1.0



Elinizdeki FTP accountlarını topluca kontrol ettirebileceğiniz araçtır. FTP bilgilerini ister liste şeklinde programa ekleyin, ister elinizle tek tek..
Örneğin sunucunuzda açtığınız ftp bilgilerini tek tek kontrol etmektense, toplu halde saniyeler içinde kontrol ettirmek size bi hayli kolaylık ve zaman kazandıracaktır.

Fonksiyonlar;

[*] Toplu halde ftp listesini programa ekleyebilme
[*] Girdiğiniz ftp bilgilerini toplu halde kaydedebilme
[*] Kontrol edilen ve seçilen ftp bilgilerini kopyalama
[*] Toplu halde eş zamanlı ftp login kontrolü
[*] Sadece başarılı ftp bilgilerini kaydedebilme
[*] Eş zamanlı istatiskleri kullanıcıya gösterme

Örnek işleyiş;


Programlama & Tasarım: Tolga SEZER

Simple APK Decompiler


APK dosyalarını kolayca decompile edip incelemeniz için geliştirilmiş araçtır.
Hedef dosyanın stringlerini(URL, ports etc..), değişkenlerini, bağlantı sağladığı sunucuları rahatlıkla görebilirsiniz.

Not: Java kodlarını çoğu zaman direk olarak göremezsiniz, ancak kullanılan apileri, stringleri incelerseniz programın işleyişi hakkında bilgi sahibi olursunuz.



Download;
Click Here to download
Rar pass: www.tolgasezer.com.tr


PHP Vulnerability Scanner v1.0


Ne işe yarar?

Örneğin hostunuzda kullanmak üzere indirdiğiniz php scriptlerinizde potansiyel zafiyetleri tarayıp güvenliğinizi bir nebze arttırabilirsiniz.


Fonksiyonlar;

[*] Seçili klasördeki tüm php, html uzantılı dosyalarda akıllı zafiyet testi. (Buradaki akıllı tarama: örneğin $_GET['xxx'] koduna uyarı verip htmlspecialcharacters($_GET['xxx']) koduna uyarı vermemesidir.Kodları inceler ve eğer GET, POST, REQUEST gibi işlemlerin ayrıştırılmadığını görürse uyarı verir)

[*] Şifrelenmiş veya korumaya alınmış php/html kodlarını yakalama(ioncube,base64 vs..)
[*] Html iframe ve php mail fonksiyonlarını yakalayıp kullanıcıya bildirme
[*] Yakalanan potansiyel zafiyetin risk seviyesini kullanıcıya bildirme
[*] Bulunan zafiyetin hangi scriptte olduğunu ve zafiyetin ne tür olduğunu bildirme

Download;
Contact administrator for download link.

WordPress Vulnerability Scanner v1.0

Ne işe yarar?

Wordpress temalarının veya pluginlerinin güvenliğini test etmek amacıyla programlanmıştır.Bu sayede sitenizi güncel olarak zafiyet testinden geçirebilir, güvenliğinizi bir nebze arttırabilirsiniz.


Fonksiyonlar;

[*] Hedef sitenin temasını ve script versiyonunu bulma
[*] Bulunan temanın ve versiyonunun güncel olarak exploit-db den zafiyet testi
[*] Kurulu olan pluginleri ve versiyonlarını bulma
[*] Kurulu pluginlerin exploit-db üzerinden eş zamanlı kontrol ettirme
[*] Pluginlerde bulunan zafiyet hakkında detaylı bilginin exploit-db üzerinden gösterme
[*] Veritabanında bulunan 56x zafiyet ile hedef sitede zafiyet testi
Resim 2 deki kırmızıyla gösterilen "Vulnerability Found!" satırına tıklandığında direk olarak zafiyeti tespit edilen exploit-db sayfası açılacaktır.

Tüm bunları sadece birkaç dakika üzerinde tarar ve kullanıcıya bildirir. Veritabanındaki tüm zafiyetler zamanla güncellenecektir.

Download;
Contact administrator for download link.