Trojanlar ve Güvenlik by Onur OKTAY!

Onur OKTAY
10-06-2006, 13:01   |  #1  
OP Yıllanmış Üye
Teşekkür Sayısı: 0
169 mesaj
Kayıt Tarihi:Kayıt: Şub 2006

İÇERİK

1- Trojan Nedir ?

2- Anti-Virüs Çözümleri

    2.1 Anti-Virüs’lerin Trojan Yakalama ve Yok Etme Oranları

Norton AV
McAfee AV
Kaspersky AV
NOD32
Bit Defender
Panda AV

3- Trojanlar

Back Orifice XP
CIA Trojanı
MoSucker
NucLear RAT
Subseven

4- Trojan Yazarları ( Script kiddies )

5- Trojan Yayma ve Bulaştırma Metodları

IRC ( Internet Relay Chat - #61514; )
P2P ( Mp3 – Video vb. )
Mesaj Yollama
Web Site
Yazılım Güvenlik Açıkları
Sosyal Mühendislik
6- Güvenlik Programlarına Bakış

1- Trojan Nedir ?

        Trojan ( Truva Atı ) iki kısımdan oluşan ve uzaktan sahibi tarafından kontrol edilerek kullanılan Casus programlara verilen genel isimdir. Bu casus programlar sayesinde işini iyi bilen hackerlar yada uzman güvenlikciler değil, bu işlere yeni başlamış uzmanlaşmamız sadece Windows kullanmasını bilen kullanıcılar dahi başkalarını yönetebilirler. Ancak gerçek hacker’lar bu Trojanları başka türlü kullaniyorlar.

Gerçek hacker dediklerimiz yani bu işi profesyonelce yapanlar öncelikle sitelere yada bilgisayarlara Trojan bulaştırıyorlar. Daha sonra bu trojanları kullanarak büyük sistem yada sitelere DOS atakları ile saldırıyorlar , siteler yada sistemlerde bu saldırılara karşı gelemediği için uzun süre yayın dışı kalıyor. Trojanlar sistemlere, bilgisayarlara girdiği zaman hep Portları kullanırlar. Yani sisteme giren bir Trojan mutlaka ama mutlaka bir Port ile çalışır ve o port’un kullanımı açar. Bu durumu asla unutmayiniz. Trojan’ın çalışma mantığı bu’dur.


2- Anti-Virüs Çözümleri

        --- Anti-Virüs Programları Trojan Yok Etme Oranları ( Performans )

Norton Antivirüs ( Symantec )

Web sitesi : www.symantec.com

Trojan Yok Etme : 8 / 6  ( Yani 8 trojandan 6’sını yok edebiliyor, Oranlama bu şekilde )

Paket Saldırı Yok Etme : 8 / 3

Genel Analiz : Norton Antivirüs programı Trojan yakalam ve silme de başarılı ancak toplu saldırılarda biraz daha başarısız bir Güvenlik programı olduğunu anlıyoruz.

McAfee Antivirüs ( Network Associates )

Web sitesi : www.mcafee.com

Trojan Yok Etme : 8 / 8

Saldırı Yok Etme : 8 / 7

Genel Analiz : McAfee Antivirüs programı, Norton Antivirüse göre daha iyi bir güvenlik sağlamaktadır. Sizin de oranlarda gördüğünüz üzere Trojan silmede tam oran saldırılarda ise 1 oran kadar düşük bir yok etme gücüne sahiptir.

KasperSky Antivirüs ( KasperSky Labs )

Web sitesi : www.kaspersky.com

Trojan Yok Etme : 8 / 8

Saldırı Yok Etme : 8 / 7

Genel Analiz : Kasperksy antivirüs programı oranlardan anladığınız üzere gayet başarılı bir güvenlik programıdır. McAfee’den bir iyi yanı ise sistemi onun kadar çok kasmamasıdır.


NOD32 Antivirüs ( ESET )

Web sitesi : www.nod32.com

Trojan Yok Etme : 8 / 8

Saldırı Yok Etme : 8 / 6

Genel Analiz : Trojan silmede çok güçlü ancak saldırılarda çok da güçlü olmayan bir güvenlik programıdır. En iyi yanı ise sistemi yormadan çalışmasıdır.

Bit Defender Antivirüs

Web sitesi : www.bitdefender.com

Trojan Yok Etme : 8 / 8

Saldırı Yok Etme : 8 / 7

Genel Analiz : Kaspersky kadar başarılı bir güvenlik programıdır.

Panda Antivirüs ( Panda Software  )

Web sitesi : www.pandasoftware.com

Trojan Yok Etme : 8 / 8

Saldırı Yok Etme : 8 / 6

Genel Analiz : Norton’dan pek farkı olmayan bir güvenlik aracıdır.

Gördüğünüz gibi Dünya’da en çok kullanılan Güvenlik programlarının Trojana ve saldırılara karşı ne kadar dirençli ve performanslı olduklarını oranlar ile anlamış olduk.


3- Trojanlar

Back Orifice XP Trojanı

Son Sürümü : BOXP

Coder ( Yazar ) : Javier Aroche

Dili : C/C++

Port : 15380

Web site : http://boxp.sourceforge.net

Özellikleri ve Yapabildikleri : Sistemi tamamen kontrol altına alabilme – http ile dosya paylaşımı açma ve dosya alıp verme – Microsoft Networking – Registry ayarlarını kontrol altına alma – DNS ayarları ile oynama Vb bir çok özelliği bulunmaktadır.

CIA Trojanı

Son Sürümü : 1.3

Coder(yazar) : Alchemist

Dili : Visual basic 5 ve 6

Port : 6333

Web site : http://cruel-intentionz.com

Özellikleri ve yapabildikleri : Firewall ve Güvenlik programlarına yakalanmaması ve devre dışı bırakması en çekici özelliğidir. Geri kalan ise normal bir Trojan’ın yapabildiklerini yapmaktadır.

MoSucker Trojanı

Son Sürüm : 3.0b.3

Coder(yazar) : Krusty

Dil : Visual basic 6

Web site : www.MoSucker.Tk

Özellikleri : Sistem olarak Windows sistemde calişiyor. Sistemdeki tüm şifreleri yolluyor ve tamamen bir kontrol sağlıyor. Mouse hareketlerini dahi takip edebilir ve yönetebilirsiniz. Yukarıdakiler ile aynı özellikleri taşıyor.


Nuclear RAT Trojanı

Son Sürüm : 1.0 Beta

Coder(yazar) : Caesar2k

Dil : C/C++

Port : 190

Web sitesi : www.NuclearWinter.us

Özellikleri : Güvenlik programlarına ve FireWaLL’lara yakalanmama. Ve geriye kalan tüm Trojan özelliklerini barındıran bir Yazilimdir.


Subseven Trojanı

Son Sürüm : 2.1.5

Coder(yazar) : MobMan

Dil :  C/C++

Port : 27374

Web Site : http://sub7.net

Özellikleri : Bu trojan diğer trojanlardan farklı olarak calişmaktadir. Bu Windows sistemlerde ama IRC network’lerde calişmaktadir. IRC Bot olarak kullanılmakta ve sistemlere ciddi zararlar vermektedir. IRC’de bu Trojanı yiyen birisi tamamen kontrolu ele vermi$ olacaktır.

4 – Trojan Yazarları

        Dökümanın başından beri Trojanlardan bahsediyoruz. Zaten dökümanın ana temel konusu Trojanlar ve Güvenliktir. Peki başımıza bunca derdi açan ve Güvenlik olarak her zaman en iyisine sahip olmamıza neden olan bu Trojanları kimler, niçin yazıyorlar ?

        Öncelikle trojan yazanlar kesinlikle Bilgisayar konusunda yani bilgisayar ve bilgisayar sistemlerinde UZMANLAŞMIŞ kişilerdir. Bu kişilerin bir çoğu Programlama dillerinden en bir tanesini UZMAN olarak bilmektedirler.

        Bu işe merak salarak başlayanlar da oluyor kendini ispat etmek için bir şeyler yapanlarda, Gruplar oluşturarak saldıranlarda oluyor, kendi başina takılanlarda. Ancak en kötüsü de bu işi para karşılığıda yapmalarıdır. Son zamanlarda herkesin bildiği üzere para yani Fidyeci Trojanlar çıkmıştır.

        Aslında temelde çoğu Trojan yazarı bu işi Hobi olarak yapsada yani Ego sunu tatmin etse de son zamanlarda Hacking ve hacker kavramlarinin evrenselleşmesinden yola çıkılarak  bu işi Para vb. gibi materyaller içinde yapanlar yaygınlaşmıştır.

        Küçük bir deneme yaptım. Bakın Trojan Yazarlarının genelde hangi dili kullandıklarını gerçekten test ederek onayladım.

Caesar2k – http://nuclearwinters.us – Trojan Yazarı ile ufak bir konuşma alıntısı;

Onur : How old are you ? ( yaşiniz kaç ? )

Caesar2k :20

Onur : What Country do you live in ?  ( hangi ülkede yaşıyorsunuz? )

Caesar2k : Brazil

Onur  : What languages can you program in ? ( hangi programlama dilini kullanıyorsunuz ? )

Caesar2k : C/C++ and Delphi 4 Years ago ( 4 Yıldan beri )

Onur : What is your favourite Trojan and why  ? ( Senin en sevdiğin trojan nedir/hangisi ? )

Caesar2k  : I think my favorite trojan is Bo2k ( Bo2k trojanini çok seviyormuş )

Onur : What Anti-Virus Program do you use ? ( hangi antivirüs programını kullanıyorsun ? )

Caesar2k : I use Kaspersky ( Kaspersky kullanıyormuş )

->> İşte gördüğünüz gibi ünlü bir Trojan’ın ünlü bir yazarı ile yapmış olduğum ufrak bir konuşmadan alıntılar. Bu konuşma daha özel ve Tüzel işlere doğru uzayıp gittiği için ben sadece sizlere ve bu dökümana yarayacak kısmını alarak paylaşmak istedim. Biz dökümana devam edelim.

Başka bir Trojan Yazarı ile Konuşmalarımız ;

Onur : Hi, What is your name ?  ( merhaba, isminiz nedir ? )

Akcom : my name is akcom ( Akcom ‘ muş ismi )

Onur : How old are you ? ( yaş kaç ? )

Akcom : 17

Onur : What country do you live in ? ( hangi ülkede yaşıyorsun ? )

Akcom : United states of America ( amerikali imiş )

Onur : What is your current occupation ( Mesleginiz nedir ? )

Akcom : Student ( Öğrenciymiş )

Onur : What languages can you program in  ? ( hangi programlama dilini kullanıyorsun ? )

Akcom  : ASM, c , C++ , c# , java , d ( 17  yaşında bu çocuk dikkat edin#61514; )

Onur : When did you first start programming ? ( Program yazmaya ne zaman başladın ? )

Akcom : At 13 or 14 ( 13 – 14 yaşlarinda )

Onur : What Antivirus Program do you use ? ( hangi anvitivirüsü kullaniyorsun ? )

Akcom : Linux

Onur : For Thanx.

Akcom : Thanx. Good. ( teşekkürler, güzel )

->> işte görüldüğü gibi Trojanların neden ve nasıl yazıldığına örnek olması amacıyla yaptığım bu konuşmadan anlamış olduk. Yani Trojan yazarları Script kiddie dediğimiz kişilerin yaşları 16 ile 25 arasinda değişmektedir. Bu adamlar kendilerini asla ama asla hacker olarak görmüyorlar.Aslında hacker’lardan daha zararlı işler yapıyorlar ancak hacker olarak tanımlanmak istemiyorlar.


5 – Trojan Yayma ve Bulaştırma Yöntemleri

        5.1 IRC ( Internet Relay Chat ) : Dünyada bilgisayar kullanıcıların internet ile ilk tanışmalarından bu yana her işte ve her şekilde kullanılan efsana bir ortamdır Chat ortamı. Bu ortamda her türlü iş döner. Ciddi adamlar da vardır ancak genel amaç sohbet etmektir. Bu ciddi adamlar genelde IRC’de uzmanla$mı$ ve kendini ispatlamiş adamlardır. Bu adamlar IRC’de ki insanlara Sosyal mesajlar vererek, yani Sosyal mühendislik ile kandırarak her şekilde bilgisayarlarına girerler ve hakim olurlar. Ondan sonra kurban olarak kullanır ve istediklerini yaparlar. Bir zamanların en ünlü Trojan yayma yolu IRC Server, Komut ve mıRC Programları, IRC Scriptleri olmuştur.

        5.2 P2P : Son zamanlarda en çok Trojan yazarlarinin başvurduğu ve trojanlarini yaymaya çalıştıkları ortamdir. Popüler yazılım isimleri ile özelliklede yeni kullanıcılara bu tür ortamlardan virüsler ve trojanlar atılamaktadır.
Örneğin : Firefox.exe gibi.

        5.3 Mesaj Yollama/Mesajlaşma Yöntemi : Anlık ileti gönderilmesine olanak veren ve son yılların gözde sohbet programlarindan olan AOL ve MSN Messenger gibi ortamlarda Trojanlar için harika bir ortamdır. Msn Messenger gibi dev bir ortama trojan yaymak demek herşeyi yapabilmek ve binlerce kişi kendine bağlamak, kurban etmek demektir.

        5.4 Web Sitesi Yoluyla Bulaştırma : Çeşitli Warez program siteleri ve Program crack/serial sitelerinin içine program ve ya serial gibi dosyalar göndererek, Trojan yaymakta oldukca kullanılan bir yöntemdir.

        5.5 Yazılım Güvenlik Açıkları : Bu kategori ise, ünlü MyDoom virüsü gibi bilgisayarlarda bulunan ünlü programlarin hatalarindan ve ya açıklarından yararlanarak yayılan ve sisteme zarar veren bir Trojan yayma yöntemidir.

        5.6 Sosyal Mühendislik : Sosyal Mühendislik aslında çok eski ve geniş bir kavramdır. Bu kavram son seneler de sıkça gündeme gelmektedir. Çünkü güvenlik, saldırılara paralel olarak gelişmektedir. Sosyal mühendislik olayinda ise asla ama asla tamamen bir saldırı söz konusu değildir. Hedef yani kurban sosyal mesajlar ile söz ile yada dil ile kandırılır ve aldatılır. Bu-nu akılca-mantıkca üstün zekalı insanlar yaparlar. Son zaman hacker’larinin bir çoğu sosyal mühendislik olayina girmişlerdir.


6 – Güvenlik Programlarına Bakış :

        6.1 Kaspersky Antivirüs : Tavsiye edilir iyi bir derecesi vardır.
        6.2 Zone Alarm Antivirüs : Tavisye edilir, iyi bir derecesi vardır.
        6.3 Agnitum Oustpost Firewall : Tavsiye edilir, iyi bir derecesi  vardır.
       

Güvenlik programları çeşitlendirebilir. Ben fazla uzatıp kafa ütülemek ve boşa laf ve yazı kalabalığı yapmak istemediğimden en iyi oran ve derecedeki programları yazmak istedim.


Evet işte geldik doküman’ın sonuna. Umarım kafanıza takılanları öğrenmiş ya-da bilmediklerini bilmişsinizdir.

Bir daha ki dökümanterimde görüşmek üzere

Yazar: Onur OKTAY ( Bu Döküman daha önce takma isim ile takıldığım Hacking/Security Gruplarında yer almıştır. İsimler arasında muamma olmasın burada gerçek adım ile yazıyorum )

Not: Chip'in Değerli Editörlerinin konu ile ilgilenip iyi yada eksik yönlerini bildirmelerini rica ediyorum.

Düzenlenmiştir.

Son Düzenleme: Onur OKTAY ~ 11 Haziran 2006 10:29
black_flood
10-06-2006, 14:00   |  #2  
black_flood avatarı
Yıllanmış Üye
Teşekkür Sayısı: 152
5,190 mesaj
Kayıt Tarihi:Kayıt: May 2006

çalışman güzel arkadaşım yalnız bir konudaha var oda olsaydı çok iyi olurdu şu başbelası spyware denen illetler ben çözüm buldum ve buldukçada paylaşıyorum formdan ulaşanlarda oldu ban ve kendiçözüm yöntemimle çok rahat çözdüm ve ayrıca o bahsedilen antivirüslerdede bir önemli farklılık var panda yazılımlarında karantina yok ve explorer başlandıcını etkileyen zararlıları tamamen temizleyip ayrıca içerdiği register kalkanı sayesinde sisteme zarar vermeyide engelliyor.buyönden nerdeyse koca piyasada elle tutulur 2 yada 3 yazılım var.artık nerdeyse trojeni bile geride bıraktı spywareler bayağıda popüler bir saldırı çözümü.
birde kaspersky vesayre piyasadaki yazılımların %98'i çalışan aktif sistem dosyaları trojen yiyince temizleyemiyor buda ayrı bir dert ve sorun dün arkadaşımda formlarda duyduğu gibi kaspersky şu bu nekadar antivirüs +antispyware yazılımı varsa doldurmuş sistemdeki trojen ve spyları temizlemek için ama hepsi kofti çıktı sadece buluyolar fakat temizleyemiyorlar haat trojenlerin biri kernel diğeride explorer.ex 'ye bulaşmıştı.panda bunların hepsini temizledi ve üstüne üstlük temizleme sonunda dosyalarda hiçbir yıpranma yoktu.symantece gelincede  o daha basit bir wormblasteri durdurup pcinin dışında tutamıyorki ve en basit trojen tabanlı virüs olan bugbear aileside teslere tabi tutulursa nortonun sadece koftik free yazılımlardan farkı olmadığıda çıkacaktır.

Son Düzenleme: black_flood ~ 10 Haziran 2006 14:07
LiL_CaT
10-06-2006, 16:59   |  #3  
Yıllanmış Üye
Teşekkür Sayısı: 0
385 mesaj
Kayıt Tarihi:Kayıt: Ağu 2005

hack içerikli sitenin ismi geçiyor.Onu kaldırırsan seviniriz.

X-BuRNeR
10-06-2006, 20:30   |  #4  
Yeni Üye
Teşekkür Sayısı: 0
45 mesaj
Kayıt Tarihi:Kayıt: Haz 2006

Türk yapımı trojanda mevcuttur.
Turkojan1-2-3 olarak serileri vardır. Sonsürüm olarak üretilen Turkojan3 1 ay süresince av lere yakalanmamıştı. Haladaha yamalarla desteklenmektedir.
Bizzat yazılımında görev yapıp ilk deneyenlerden de biri olarak bence gayet güzelbir yazılımdır.

black_flood
10-06-2006, 21:09   |  #5  
black_flood avatarı
Yıllanmış Üye
Teşekkür Sayısı: 152
5,190 mesaj
Kayıt Tarihi:Kayıt: May 2006

o trojen hikayeden başka bişeydeğil en büyük düşmanı benim onun çok yakından yazılımı takip ediyorum ve tanınmıyor diyosunuz oda hikaye hiç panda antivirüs yazılımlarını aşmayı denemiyorsunuz panda truprevent o dediğiniz havada karad yakalıyor ve üstüne üstlük yakalamasa bile o virüsün yeni sürümü çıkar çıkmaz security firmalarına postalıyorum şuana kadar birtek pandasoftware firması ilgilendi benlen ve gayette müthiş oluyor bütün gönderilen dosyaları inceliyorlar antivirüsteki açık ve buglarıda raporlayınca 15 güne kalmadan açıkları kapıyorlar virüsleri ise en geç 2 saat içinde temizliyecek signatüre hemen yayınlanıyor.nerdeyse 9 ten gerek yabancı gerek türk tabanlı lamer sitesinede üyeliğim var ve bu sayedede herzaman bir adım öndeyim çoğunuzdan.

Onur OKTAY
10-06-2006, 21:21   |  #6  
OP Yıllanmış Üye
Teşekkür Sayısı: 0
169 mesaj
Kayıt Tarihi:Kayıt: Şub 2006

Lil_cat'in uyarısı üzerine daha önce bulunduğun ve caliştiğim yani bu dökümani yazdığım zamanlar calıştığım Grubun adresi dökümandan kaldırılmıştır.

Benim burada anlatmak istediğim, Gizli bilgileri, Şifreleri, Bilgisayarları Trojanlarla tehdit edilen ve Trojanin ne olduğunu ve nasıl bulaştığını bilmeyen kullanıcılara Trojanların calişma ve yazılma mantığını anlatmak istememdir.

Türkiye'de yazılan Trojanlar ile felan kıyaslama yapmak değildir amaçım. Kim ne yazarsa yazsın, Güvenlik kişinin kendinde başlar.

Konu ile ilgili en başta Editörler ve Güvenlikten anlayan üyelerimizden yorumlar/eleştiriler bekliyorum.

Saygılarımla.

LiL_CaT
10-06-2006, 22:32   |  #7  
Yıllanmış Üye
Teşekkür Sayısı: 0
385 mesaj
Kayıt Tarihi:Kayıt: Ağu 2005

Buna benzer bir döküman bende yazmıştım.Ama seninkisi baya uzun veya benimkisi çok kısaydı.Güzel bir döküman olmuş bu konu hakkında bilgisi olmayanlar için son derece mükemmel.

viking20
10-06-2006, 23:22   |  #8  
viking20 avatarı
Yıllanmış Üye
Teşekkür Sayısı: 141
7,681 mesaj
Kayıt Tarihi:Kayıt: May 2006

güzel bir çalışma olmuş Onur arkadaşımızı kutlar tebrik eder,devamını da bekleriz ,bizler için de çok yararlı olduğu şüphesiz,yanlız yukarıda verilen trojan yakalama-temizleme yazılımlarına (ben kendisinin çok iyi bildiğinden eminim)ek keşke çok ünlü-popüler olan  diğer birkaç yazılımıdan da bahsetseydi iyi olurdu.Ben kendisinin takdirlerine bıraktığım için isim vermiyeceğim,çünkü konu kendisine ait:)saygılarımla.

Son Düzenleme: viking20 ~ 10 Haziran 2006 23:30
Onur OKTAY
11-06-2006, 10:26   |  #9  
OP Yıllanmış Üye
Teşekkür Sayısı: 0
169 mesaj
Kayıt Tarihi:Kayıt: Şub 2006
viking20
güzel bir çalışma olmuş Onur arkadaşımızı kutlar tebrik eder,devamını da bekleriz ,bizler için de çok yararlı olduğu şüphesiz,yanlız yukarıda verilen trojan yakalama-temizleme yazılımlarına (ben kendisinin çok iyi bildiğinden eminim)ek keşke çok ünlü-popüler olan  diğer birkaç yazılımıdan da bahsetseydi iyi olurdu.Ben kendisinin takdirlerine bıraktığım için isim vermiyeceğim,çünkü konu kendisine ait:)saygılarımla.
Merhabalar Viking kardeşim;

Bahsettiğin Ünlü Programları biliyorum.Ama konuyu dağıtır ve asıl amaçtan uzaklaştırır diye yazmak istemedim. Daha güzel olacağını bilseydim yazardim. Övgülerin için teşekkürler, mutlu ettin beni.

Karadavut
11-06-2006, 20:56   |  #10  
Yıllanmış Üye
Teşekkür Sayısı: 0
555 mesaj
Kayıt Tarihi:Kayıt: May 2005

Çok güzel bir çalışma olmuş.Birde firewall ile ilgili birşeyler olsaydı keşke.Paylaşımın için teşekkürler.