- Kayıt
- 3 Nisan 2008
- Mesaj
- 2.630
- Tepki
- 89
USB flash diskler yüksek veri kapasiteleri, boyutları, taşınabilirlikleri ve farklı sistemlerde sorunsuzca çalışabilmeleri ile cüzdan, cep telefonu ve anahtarlarımızdan sonra yanımızdan hiçbir zaman ayırmadığımız temel ihtiyaçlarımızdan oldular. Hemen hemen her sistemde çalıştırılabiliyor olmaları nedeniyle de bilgisayarlar arası veri alışverişimizi USB diskler yardımıyla yapar olduk.
Hal böyle olunca eğer çok titiz değilsek, usb disklerimizi onlarca farklı bilgisayarda kulanıyor, yine bilgisayarımıza onlarca farklı diskin takılmasına izin veriyoruz. Aslında USB diskleri tehlikeli kılan da bu çok da denetimli olmayan taşınabilirlikleri. Taşınabilir medya üzerinden bilgisayara giren zararlı yazılımlar başta bilgi sızdırma, uzaktan komut koşturma ve servis dışı bırakma (DoS) olmak üzere birçok güvenlik zaafiyetine neden olabilmekteler.
Öte yandan bu zararlı yazılımların USB diskten çalışarak sisteminize zarar vermesi için bu yazılımların kullanıcı tarafından çalıştırılması gerekir. Aksi takdirde zaten kötü niyetli yazılım diskin üzerinde kalacak ve sisteme zarar vermeyecektir. Tâ ki işletim sisteminin sisteme bağlanan bir medya için AutoRun özelliği varsa durum tehlikeli bir hâl alıyor.
Autorun.inf Manipülasyonu
AutoRun işlevi, işletim sisteminin taşınabilir bir medya (CD-ROM, DVD-ROM, flash disk vb.) bağlandığında tanımlı aksiyonları doğrudan alabilme yeteneğidir. Microsoft Windows işletim sisteminden tanıdığımız bu özellik farklı işletim sistemlerinde de mevcut. İşte bu özellik sayesinde takılan bir USB disk zararlı yazılımın kendisi haline gelebiliyor.
Medyanın kök dizininde bulunan Autorun.inf dosyası işletim sistemi tarafından bağlantı yapıldığı anda okunmakta ve içerisinde belirtilen komut seti sorgusuz sualsiz çalıştırılmaktadır. Bir örnekle AutoRun özelliği aktif bir bilgisayarda senaryoyu gerçekleyelim:
Sisteme bağlayacağımız USB diskimiz Windows Explorer ile araştırılınca boş ya da zararlı bir yazılım içermiyor görünebilir. Ancak aynı diski komut satırından araştırırsak sistem dosyası olarak saklanmış bir Autorun.inf dosyası taşıdığını görürüz:
Şekil 1- Komut satırından sistem dosyalarının araştırılması
İşte bu diski sisteme bağladığımız anda eğer sistemimizin AutoRun özelliği aktif ise Autorun.inf dosyasının içinde saklı komutlar kullanıcıya sorulmaksızın işletilmektedir. Örneğimizde C: partition için FORMAT komutu çalıştırılmaktadır!
Şekil 2- Zararlı Autorun.inf dosyası içeren USB diskin neden olabileceği bir disk biçimlendirme tehditi
Bu küçük örnekle Autorun işlevinin ne denli ciddi zararlar verebileceğini gördük. Aynı şekilde Autorun.inf dosyası manipüle edilerek İnternet'teki bir istemciye bilgisayardaki verileri kaçırılabilir, gelişigüzel kod koşturulabilir ya da serviş dışı bırakma (DoS) gibi ciddi zararlar verilebilir.
Yakın zamanlarda, AutoRun işlevi manipüle edilerek oluşturulmuş bir bilgi sızdırma açıklığı tespit edilmişti. Makinaya bağlanmış olan bir zararlı USB disk, makinanın öntanımlı bir İnternet kaynağına bilgi göndermesini tetikliyordu. Eğer makine İnternet'e bağlı değilse, kaçırılacak bilgi USB bellek üzerinde tutuluyor, diskin İnternet bağlantılı bir bilgisayara bağlanması halinde toplanmış tüm bilgi İnternet kaynağına iletiliyordu.
Şimdi de sorunun temelini teşkil eden Autorun.inf dosyasına bir göz atalım:
Şekil 3- Manipüle edilmiş zararlı Autorun.inf dosyasının içeriği
Text tabanlı Autorun.inf dosyasının olmazsa olmaz parametreleri ShellExecute ve UseAutoPlay dir. ShellExecute otomatik olarak çalıştırılacak komutun işaret edildiği yerdir. Burada “format c” komutunu örnek gösterdik. Aynı şekilde herhangi bir .exe uzantılı dosya çalıştırılabilir yahut sistem komutları işletilebilirdi. UseAutoPlay parametresi de AutoPlay işleminin yapılıp yapılmayacağını belirttiği için gereklidir.
Tehlikenin işleyişini ve neden olan yapıyı anlattıktan sonra bu tehditten nasıl korunabileceğimiz konusunda fikir yürütelim.
AutoRun İşlevinin Etkisiz Hale Getirilmesi
Bu tür bir tehdite yönelik alınabilecek ve hatta alınması elzem olan birkaç aksiyon vardır. Fakat bu önlemlerin belki de başlıcası işletim sisteminin AutoRun özelliğinin tüm diskler için etkisiz/disable hale getirilmesidir.
Microsoft Windows işletim sisteminde bu işlemi “Local Computer Policy” ekranından yapıyoruz. (erişmek için Run -> gpedit.msc)
Şekil 4- Windows için Group Policy ayarları ekranı
Local Computer Policy -> Computer Configuration -> Administrative Templates -> System seçilir. Sağ panelde çıkan ayarlarda Turn Off AutoPlay seçeneği etkinleştirilir.
Şekil 5- Windows'ta Autoplay seçeneğinin politika olarak etkisiz hale gitirilmesi
USB Disk Üzerindeki Zararlı Yazılım ve AutoRun.inf Dosyalarının Silinmesi
Yazının başında belirtildiği gibi zararlı yazılım barındıran USB diskin içeriğine explorer ile bakıldığında bu dosyaları göremeyiz. Aynı şekilde komut satırından da diskin içindeki dosyalar listelendiğinde bu dosyaları görmemiz mümkün olmaz. Çünkü bu gibi bir zararlı yazılımı yayanlar, dosyaları sistem dosyası olarak diske yazarlar. Microsoft Windows için “attrib” komutu ile diskin içeriği listelenirse sistem dosyası kılığına girmiş bu zararlı dosyalar görülebilir.Bu dosyayı silmek için öncelikle dosya nitelikleri attrib komutu ile değiştirilir:
Şekil 6- "attrib" komutuyla dosya özelliklerinin değiştirilmesi
attrib –S –H –R Autorun.inf
attrib –S –H –R zararli.exe
Bu değişiklik yapıldıktan sonra dosyalar kolaylıkla silinebilir.
Alınacak Diğer Tedbirler
* Antivirüs yazılımları ve zararlılara karşı yazılımlar mutlaka kullanılmalıdır. Unutulmamalıdır ki USB diskin içindeki zararlı yazılımlar AutoRun özelliği aktif olsun olmasın tehlike arz eder ve temizlenmesi gerekir.
*AutoRun etkisiz hale getirildiği gibi AutoPlay özelliğini kullanmaktan da kaçınmalıdır.
*USB diskin takıldığı portlara—eğer çok zor durumda kalınırsa—kısıtlama getirilebilir. Çok tercih edilmemekle birlikte bazı önemli makinalarda kullanılmak durumunda kalınmaktadır. Windows işletim sistemi için aşağıdaki linkten detaylı bilgi alınabilir:
http://support.microsoft.com/kb/953252
Kaynakça
[1] NATO Incident Response Capability Bulletin 96/2008
[2] https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/222
[3] http://technet.microsoft.com/en-us/magazine/2008.01.securitywatch.aspx
[4] http://support.microsoft.com/kb/953252
[5] http://www.h-labs.org/blog/2008/05/27/usb_diskler_ve_gvenlik_problemleri.html
KAYNAK
Erdem Alparslan, TÜBİTAK-UEKAE
26.12.2008
Hal böyle olunca eğer çok titiz değilsek, usb disklerimizi onlarca farklı bilgisayarda kulanıyor, yine bilgisayarımıza onlarca farklı diskin takılmasına izin veriyoruz. Aslında USB diskleri tehlikeli kılan da bu çok da denetimli olmayan taşınabilirlikleri. Taşınabilir medya üzerinden bilgisayara giren zararlı yazılımlar başta bilgi sızdırma, uzaktan komut koşturma ve servis dışı bırakma (DoS) olmak üzere birçok güvenlik zaafiyetine neden olabilmekteler.
Öte yandan bu zararlı yazılımların USB diskten çalışarak sisteminize zarar vermesi için bu yazılımların kullanıcı tarafından çalıştırılması gerekir. Aksi takdirde zaten kötü niyetli yazılım diskin üzerinde kalacak ve sisteme zarar vermeyecektir. Tâ ki işletim sisteminin sisteme bağlanan bir medya için AutoRun özelliği varsa durum tehlikeli bir hâl alıyor.
Autorun.inf Manipülasyonu
AutoRun işlevi, işletim sisteminin taşınabilir bir medya (CD-ROM, DVD-ROM, flash disk vb.) bağlandığında tanımlı aksiyonları doğrudan alabilme yeteneğidir. Microsoft Windows işletim sisteminden tanıdığımız bu özellik farklı işletim sistemlerinde de mevcut. İşte bu özellik sayesinde takılan bir USB disk zararlı yazılımın kendisi haline gelebiliyor.
Medyanın kök dizininde bulunan Autorun.inf dosyası işletim sistemi tarafından bağlantı yapıldığı anda okunmakta ve içerisinde belirtilen komut seti sorgusuz sualsiz çalıştırılmaktadır. Bir örnekle AutoRun özelliği aktif bir bilgisayarda senaryoyu gerçekleyelim:
Sisteme bağlayacağımız USB diskimiz Windows Explorer ile araştırılınca boş ya da zararlı bir yazılım içermiyor görünebilir. Ancak aynı diski komut satırından araştırırsak sistem dosyası olarak saklanmış bir Autorun.inf dosyası taşıdığını görürüz:
Şekil 1- Komut satırından sistem dosyalarının araştırılması
İşte bu diski sisteme bağladığımız anda eğer sistemimizin AutoRun özelliği aktif ise Autorun.inf dosyasının içinde saklı komutlar kullanıcıya sorulmaksızın işletilmektedir. Örneğimizde C: partition için FORMAT komutu çalıştırılmaktadır!
Şekil 2- Zararlı Autorun.inf dosyası içeren USB diskin neden olabileceği bir disk biçimlendirme tehditi
Bu küçük örnekle Autorun işlevinin ne denli ciddi zararlar verebileceğini gördük. Aynı şekilde Autorun.inf dosyası manipüle edilerek İnternet'teki bir istemciye bilgisayardaki verileri kaçırılabilir, gelişigüzel kod koşturulabilir ya da serviş dışı bırakma (DoS) gibi ciddi zararlar verilebilir.
Yakın zamanlarda, AutoRun işlevi manipüle edilerek oluşturulmuş bir bilgi sızdırma açıklığı tespit edilmişti. Makinaya bağlanmış olan bir zararlı USB disk, makinanın öntanımlı bir İnternet kaynağına bilgi göndermesini tetikliyordu. Eğer makine İnternet'e bağlı değilse, kaçırılacak bilgi USB bellek üzerinde tutuluyor, diskin İnternet bağlantılı bir bilgisayara bağlanması halinde toplanmış tüm bilgi İnternet kaynağına iletiliyordu.
Şimdi de sorunun temelini teşkil eden Autorun.inf dosyasına bir göz atalım:
Şekil 3- Manipüle edilmiş zararlı Autorun.inf dosyasının içeriği
Text tabanlı Autorun.inf dosyasının olmazsa olmaz parametreleri ShellExecute ve UseAutoPlay dir. ShellExecute otomatik olarak çalıştırılacak komutun işaret edildiği yerdir. Burada “format c” komutunu örnek gösterdik. Aynı şekilde herhangi bir .exe uzantılı dosya çalıştırılabilir yahut sistem komutları işletilebilirdi. UseAutoPlay parametresi de AutoPlay işleminin yapılıp yapılmayacağını belirttiği için gereklidir.
Tehlikenin işleyişini ve neden olan yapıyı anlattıktan sonra bu tehditten nasıl korunabileceğimiz konusunda fikir yürütelim.
AutoRun İşlevinin Etkisiz Hale Getirilmesi
Bu tür bir tehdite yönelik alınabilecek ve hatta alınması elzem olan birkaç aksiyon vardır. Fakat bu önlemlerin belki de başlıcası işletim sisteminin AutoRun özelliğinin tüm diskler için etkisiz/disable hale getirilmesidir.
Microsoft Windows işletim sisteminde bu işlemi “Local Computer Policy” ekranından yapıyoruz. (erişmek için Run -> gpedit.msc)
Şekil 4- Windows için Group Policy ayarları ekranı
Local Computer Policy -> Computer Configuration -> Administrative Templates -> System seçilir. Sağ panelde çıkan ayarlarda Turn Off AutoPlay seçeneği etkinleştirilir.
Şekil 5- Windows'ta Autoplay seçeneğinin politika olarak etkisiz hale gitirilmesi
USB Disk Üzerindeki Zararlı Yazılım ve AutoRun.inf Dosyalarının Silinmesi
Yazının başında belirtildiği gibi zararlı yazılım barındıran USB diskin içeriğine explorer ile bakıldığında bu dosyaları göremeyiz. Aynı şekilde komut satırından da diskin içindeki dosyalar listelendiğinde bu dosyaları görmemiz mümkün olmaz. Çünkü bu gibi bir zararlı yazılımı yayanlar, dosyaları sistem dosyası olarak diske yazarlar. Microsoft Windows için “attrib” komutu ile diskin içeriği listelenirse sistem dosyası kılığına girmiş bu zararlı dosyalar görülebilir.Bu dosyayı silmek için öncelikle dosya nitelikleri attrib komutu ile değiştirilir:
Şekil 6- "attrib" komutuyla dosya özelliklerinin değiştirilmesi
attrib –S –H –R Autorun.inf
attrib –S –H –R zararli.exe
Bu değişiklik yapıldıktan sonra dosyalar kolaylıkla silinebilir.
Alınacak Diğer Tedbirler
* Antivirüs yazılımları ve zararlılara karşı yazılımlar mutlaka kullanılmalıdır. Unutulmamalıdır ki USB diskin içindeki zararlı yazılımlar AutoRun özelliği aktif olsun olmasın tehlike arz eder ve temizlenmesi gerekir.
*AutoRun etkisiz hale getirildiği gibi AutoPlay özelliğini kullanmaktan da kaçınmalıdır.
*USB diskin takıldığı portlara—eğer çok zor durumda kalınırsa—kısıtlama getirilebilir. Çok tercih edilmemekle birlikte bazı önemli makinalarda kullanılmak durumunda kalınmaktadır. Windows işletim sistemi için aşağıdaki linkten detaylı bilgi alınabilir:
http://support.microsoft.com/kb/953252
Kaynakça
[1] NATO Incident Response Capability Bulletin 96/2008
[2] https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/222
[3] http://technet.microsoft.com/en-us/magazine/2008.01.securitywatch.aspx
[4] http://support.microsoft.com/kb/953252
[5] http://www.h-labs.org/blog/2008/05/27/usb_diskler_ve_gvenlik_problemleri.html
KAYNAK
Erdem Alparslan, TÜBİTAK-UEKAE
26.12.2008