Posted on March 13th, 2013

“Intelligence is power.” 

12 Mart 2013 tarihinde WebSense, bazı Israil kurumlarına ait websitelerinde exploit kodları tespit etti.

Bu kurumlardan biri Israil’in Uluslararası Terörle Mücadele Enstitüsüydü.  (International Institute for Counter-Terrorism)

Bahsi geçen kurumun websitesine giren ziyaretçilerin bilgisayarları Internet Explorer ve Adobe Flash zafiyetleri kullanılarak exploit edilmeye çalışılıyor ve exploit sonrası sistemlere zararlı yazılım bulaştırılıyor.

Bu tarz kurumların genel ziyaretçi profillerini tahmin edebilirsiniz.  Dolayısıyla böyle bir saldırının arkasında Çin/Iran gibi bir devlet olduğu düşünülüyor. Evinde oturan aktivist hackerların yaptığını düşünmek pek mantıklı olmasa gerek. Günümüzde artık bir çok devlet bu tarz siber istihbarat operasyonları düzenlemekte.

 

İlk etapta Protect.html ile sayfaya dahil edilen javascript yapılacak saldırı için hazırlanmış kodları içeren karakterlerin kodlarını oluşturmaktadır. Bu sayede yapılacak olan atağın kamufle edilmesi amaçlanmaktadır. Script calıştırılana kadar nasil bir cıktı vereceği kullanıcı tarafından fark edilmeyecektir.

 

“C” değişkeni üzerine tanımlanan karakter kodları, javascript kodlari calıştırıldığı anda tekrar javascript ile karaktere çevrilmek suretiyle , yorumlanıyor ve document write functionu ile sayfaya script olarak dahil ediliyor.

Sayfaya script olarak dahil edilen kodlar içerisindeki fonksiyonlar sayfanın onload(yüklenme) ve onselect (seçilmiş olma durumu) yordamından tetikleniyor.

Yukarıdaki şekilde görüldüğü gibi exploit scriptini basit bir şekilde değiştirerek deobfuscate ediyoruz ve aşağıdaki kodu elde ediyoruz.

 

 

Sayfa içerisindeki oluşturulmuş olan javascript kodlari her ne kadar zararsız olarak gözüksede, IE (internet explorer) üzerindeki Use After Free zafiyetinden (CVE-2012-4969) yararlanarak, sistemde shellcode calıştırılmasına imkan tanıyor. İlgili shellcode ‘ un virus total analizini aşağıdaki resimde görebiliriz.

Devletlerin son yıllarda amansız bir siber istihbarat yarışına girdiği aşikar.  Peki Türkiye bu yarışta ne durumda? Umarım bir gün yayınlanan bir APT analiz raporu “Zao Shang Tüerqi” ile başlamaz.