USB Disklerde AutoRun ile Gelen Tehlike

Abdullah Şahin

Altın Üye
Altın Üye
Kayıt
3 Nisan 2008
Mesaj
2.630
Tepki
89
USB flash diskler yüksek veri kapasiteleri, boyutları, taşınabilirlikleri ve farklı sistemlerde sorunsuzca çalışabilmeleri ile cüzdan, cep telefonu ve anahtarlarımızdan sonra yanımızdan hiçbir zaman ayırmadığımız temel ihtiyaçlarımızdan oldular. Hemen hemen her sistemde çalıştırılabiliyor olmaları nedeniyle de bilgisayarlar arası veri alışverişimizi USB diskler yardımıyla yapar olduk.

Hal böyle olunca eğer çok titiz değilsek, usb disklerimizi onlarca farklı bilgisayarda kulanıyor, yine bilgisayarımıza onlarca farklı diskin takılmasına izin veriyoruz. Aslında USB diskleri tehlikeli kılan da bu çok da denetimli olmayan taşınabilirlikleri. Taşınabilir medya üzerinden bilgisayara giren zararlı yazılımlar başta bilgi sızdırma, uzaktan komut koşturma ve servis dışı bırakma (DoS) olmak üzere birçok güvenlik zaafiyetine neden olabilmekteler.

Öte yandan bu zararlı yazılımların USB diskten çalışarak sisteminize zarar vermesi için bu yazılımların kullanıcı tarafından çalıştırılması gerekir. Aksi takdirde zaten kötü niyetli yazılım diskin üzerinde kalacak ve sisteme zarar vermeyecektir. Tâ ki işletim sisteminin sisteme bağlanan bir medya için AutoRun özelliği varsa durum tehlikeli bir hâl alıyor.
Autorun.inf Manipülasyonu

AutoRun işlevi, işletim sisteminin taşınabilir bir medya (CD-ROM, DVD-ROM, flash disk vb.) bağlandığında tanımlı aksiyonları doğrudan alabilme yeteneğidir. Microsoft Windows işletim sisteminden tanıdığımız bu özellik farklı işletim sistemlerinde de mevcut. İşte bu özellik sayesinde takılan bir USB disk zararlı yazılımın kendisi haline gelebiliyor.

Medyanın kök dizininde bulunan Autorun.inf dosyası işletim sistemi tarafından bağlantı yapıldığı anda okunmakta ve içerisinde belirtilen komut seti sorgusuz sualsiz çalıştırılmaktadır. Bir örnekle AutoRun özelliği aktif bir bilgisayarda senaryoyu gerçekleyelim:

Sisteme bağlayacağımız USB diskimiz Windows Explorer ile araştırılınca boş ya da zararlı bir yazılım içermiyor görünebilir. Ancak aynı diski komut satırından araştırırsak sistem dosyası olarak saklanmış bir Autorun.inf dosyası taşıdığını görürüz:



Şekil 1- Komut satırından sistem dosyalarının araştırılması

İşte bu diski sisteme bağladığımız anda eğer sistemimizin AutoRun özelliği aktif ise Autorun.inf dosyasının içinde saklı komutlar kullanıcıya sorulmaksızın işletilmektedir. Örneğimizde C: partition için FORMAT komutu çalıştırılmaktadır!



Şekil 2- Zararlı Autorun.inf dosyası içeren USB diskin neden olabileceği bir disk biçimlendirme tehditi

Bu küçük örnekle Autorun işlevinin ne denli ciddi zararlar verebileceğini gördük. Aynı şekilde Autorun.inf dosyası manipüle edilerek İnternet'teki bir istemciye bilgisayardaki verileri kaçırılabilir, gelişigüzel kod koşturulabilir ya da serviş dışı bırakma (DoS) gibi ciddi zararlar verilebilir.

Yakın zamanlarda, AutoRun işlevi manipüle edilerek oluşturulmuş bir bilgi sızdırma açıklığı tespit edilmişti. Makinaya bağlanmış olan bir zararlı USB disk, makinanın öntanımlı bir İnternet kaynağına bilgi göndermesini tetikliyordu. Eğer makine İnternet'e bağlı değilse, kaçırılacak bilgi USB bellek üzerinde tutuluyor, diskin İnternet bağlantılı bir bilgisayara bağlanması halinde toplanmış tüm bilgi İnternet kaynağına iletiliyordu.

Şimdi de sorunun temelini teşkil eden Autorun.inf dosyasına bir göz atalım:



Şekil 3- Manipüle edilmiş zararlı Autorun.inf dosyasının içeriği

Text tabanlı Autorun.inf dosyasının olmazsa olmaz parametreleri ShellExecute ve UseAutoPlay dir. ShellExecute otomatik olarak çalıştırılacak komutun işaret edildiği yerdir. Burada “format c” komutunu örnek gösterdik. Aynı şekilde herhangi bir .exe uzantılı dosya çalıştırılabilir yahut sistem komutları işletilebilirdi. UseAutoPlay parametresi de AutoPlay işleminin yapılıp yapılmayacağını belirttiği için gereklidir.

Tehlikenin işleyişini ve neden olan yapıyı anlattıktan sonra bu tehditten nasıl korunabileceğimiz konusunda fikir yürütelim.
AutoRun İşlevinin Etkisiz Hale Getirilmesi

Bu tür bir tehdite yönelik alınabilecek ve hatta alınması elzem olan birkaç aksiyon vardır. Fakat bu önlemlerin belki de başlıcası işletim sisteminin AutoRun özelliğinin tüm diskler için etkisiz/disable hale getirilmesidir.

Microsoft Windows işletim sisteminde bu işlemi “Local Computer Policy” ekranından yapıyoruz. (erişmek için Run -> gpedit.msc)



Şekil 4- Windows için Group Policy ayarları ekranı

Local Computer Policy -> Computer Configuration -> Administrative Templates -> System seçilir. Sağ panelde çıkan ayarlarda Turn Off AutoPlay seçeneği etkinleştirilir.



Şekil 5- Windows'ta Autoplay seçeneğinin politika olarak etkisiz hale gitirilmesi

USB Disk Üzerindeki Zararlı Yazılım ve AutoRun.inf Dosyalarının Silinmesi

Yazının başında belirtildiği gibi zararlı yazılım barındıran USB diskin içeriğine explorer ile bakıldığında bu dosyaları göremeyiz. Aynı şekilde komut satırından da diskin içindeki dosyalar listelendiğinde bu dosyaları görmemiz mümkün olmaz. Çünkü bu gibi bir zararlı yazılımı yayanlar, dosyaları sistem dosyası olarak diske yazarlar. Microsoft Windows için “attrib” komutu ile diskin içeriği listelenirse sistem dosyası kılığına girmiş bu zararlı dosyalar görülebilir.Bu dosyayı silmek için öncelikle dosya nitelikleri attrib komutu ile değiştirilir:



Şekil 6- "attrib" komutuyla dosya özelliklerinin değiştirilmesi

attrib –S –H –R Autorun.inf

attrib –S –H –R zararli.exe

Bu değişiklik yapıldıktan sonra dosyalar kolaylıkla silinebilir.
Alınacak Diğer Tedbirler

* Antivirüs yazılımları ve zararlılara karşı yazılımlar mutlaka kullanılmalıdır. Unutulmamalıdır ki USB diskin içindeki zararlı yazılımlar AutoRun özelliği aktif olsun olmasın tehlike arz eder ve temizlenmesi gerekir.

*AutoRun etkisiz hale getirildiği gibi AutoPlay özelliğini kullanmaktan da kaçınmalıdır.

*USB diskin takıldığı portlara—eğer çok zor durumda kalınırsa—kısıtlama getirilebilir. Çok tercih edilmemekle birlikte bazı önemli makinalarda kullanılmak durumunda kalınmaktadır. Windows işletim sistemi için aşağıdaki linkten detaylı bilgi alınabilir:

http://support.microsoft.com/kb/953252
Kaynakça

[1] NATO Incident Response Capability Bulletin 96/2008

[2] https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/222

[3] http://technet.microsoft.com/en-us/magazine/2008.01.securitywatch.aspx

[4] http://support.microsoft.com/kb/953252

[5] http://www.h-labs.org/blog/2008/05/27/usb_diskler_ve_gvenlik_problemleri.html


KAYNAK
Erdem Alparslan, TÜBİTAK-UEKAE
26.12.2008
 
Kayıt
8 Eylül 2008
Mesaj
2.540
Tepki
31
Çok faydalı bir paylaşım olmuş Abdullah bey
gerçektende flash diskler artık anahtarlıklarımızda

drakula antivirüs programı bu işler için bir numara üstelik çalış deyince çalışıyor tavsiye ederim
 

Buse Türüdü

Altın Üye
Altın Üye
Kayıt
5 Şubat 2008
Mesaj
3.395
Tepki
103
Cidden herkesin elinde bi usb bellek, ee dolayısıyla Pc'den pc'ye aktarım yapılıyor, Bu sayede kaçınılmaz bi şekilde virüsleri de kapıyoruz.

Bilgiler için teşekkürler Abdullah Bey
 

Abdullah Şahin

Altın Üye
Altın Üye
Kayıt
3 Nisan 2008
Mesaj
2.630
Tepki
89
@Fatih Coşkun

İyi güzel hoş bir program ama eksileri var.

**Dracula virüs temizleyici sadece autorunları siliyor kayıt defterine bulaşanları temizlemiyor. Dracula ile temizledikten sonra regeditte activexdebugger32 yazınca yine buluyor.
**Programı kurmak için .net framework istiyor ve bazen yüklemesi epey zaman alabiliyor.
**Ayrıca Dracula virüs temizleyici flash diskteki virüsü anında görmüyor. Yani bulaşmadan silmiyor bulaştıktan sonra farkediyor. İş işten geçtikten sonra bulaştıktan sonra alternatif başka programlarlada silenebilir.

Şimdi soruyorum sana :

Gerçekten de 1 numaramı :D :D :D
 
Kayıt
30 Ocak 2009
Mesaj
156
Tepki
4
bir ara beımde bılgısayarda autorun vırüsü vardı onu sılmek için baya ugrasmıstım en sonunda bende panda antıvırusle sıldım... paylasımın için tesekkurler
 

Serkan Baysal

Altın Üye
Altın Üye
Uzman Üye
Kayıt
10 Haziran 2008
Mesaj
2.204
Tepki
76
Paylaşım için teşekkürler Abdullah. Yararlı bir bilgi olmuş..
 
Yukarı Alt