• Kategori: Güvenlik
  • Eyüp ÇELİK
  • Gösterim: 5978

Kurumsal Ağlarda StuxNet Virüsünü Tespit Etme

 

İlk defa Beyaz Rusya’daki anti virüs firması VirusBlokAda tarafından tespit edildiğinde, Stuxnet’in tüm dünyayı sarsacağı bilinmiyordu. Yapılan incelemelerde standart bir worm (Solucan) olmadığı anlaşılan Stuxnet’in çok büyük bir siber saldırı aracı olduğu anlaşıldı. Yapılan incelemelerde Stuxnet’i diğer wormlardan ayıran en büyük özelliğinin, 4 adet Zero Day (Sıfır Gün) saldırısını barındırdığı ve kendini gizlemek, kernel (Çekirdek) sürücülerini rahatlıkla yükleyebilmek için güvenilir firmalardan çalınmış kök sertifikalar ile sürücülerini imzalayarak yüklediği tespit edilmiş. Tüm bunlardan sonra Stuxnet bilişim dünyasının en çok tartışılan wormu haline gelmiştir.

Bu makalemde bilişim dünyasını kasıp kavuran Stuxnet virüsünün ihtimaller dâhilinde, yönetimini yaptığımız sistemlerde varlığını tespit etmeye çalışacağız. Yönetimini yaptığımız ağın büyüklüğünü göz önünde bulundurursak eğer, Stuxnet’in tüm bilgisayarlarda tek tek taranarak tespit edilmesi uzun ve yorucu bir işlem olacaktır.

eyupcelik-Stuxnet-Tespiti-01.jpg

Resim-01

Böyle uzun ve yorucu bir işlemi hiçbir sistem yöneticisi yapmak istemez. Tam da bu noktada Nmap (Zenmap) yardımcı aracı imdadımıza koşacaktır.

Gereksinimler:

1-) Nmap(Zenmap) http://nmap.org/dist/nmap-5.51-setup.exe adresinden indirebilirsiniz.

2-) Stuxnet taraması yapılacak olan bilgisayarlar.

Not: Makaleyi doğrulayabilmek adına sanal bilgisayarıma Stuxnet virüsünü bulaştırıp, makaleyi hazırladım. Test amaçlı olarak Stuxnet virüsünü isteyenlere gönderebilirim.

Nmap yardımcı aracını indirip kurduktan sonra Başlat\Tüm Programlar\Nmap\Nmap - Zenmap GUI yolunu kullanarak açın. Nmap hem Windows hem de Linux işletim sistemlerinde çalışabilen bir komut aracıdır. Zenmap, Nmap’in grafiksel kullanıcı ara yüzüdür.

eyupcelik-Stuxnet-Tespiti-02.jpg

Resim-02

Zenmap’i çalıştırdıktan sonra Resim-02 deki gibi Profile menüsünden New Profile or Command’ı seçiyoruz ya da CTRL + P tuş kombinasyonunu kullanarak yeni bir tarama profili oluşturuyoruz.

eyupcelik-Stuxnet-Tespiti-03.jpg

Resim-03

Profile Editor, Resim-03 teki gibi açılacaktır. Profile name kısmına StuxNet yazıyoruz(Herhangi bir isim verebilirsiniz). Ardından üst kısımda bulunan Scripting sekmesini tıklıyoruz.

eyupcelik-Stuxnet-Tespiti-04.jpg

Resim-04

Scripting sekmesi Resim-04 teki gibi açılacaktır. Sol tarafta bulunan scriptlerden stuxnet-detect’i aktif olarak işaretledikten sonra Save Changes butonunu tıklayarak profil oluşturmayı tamamlıyoruz. Ardından Zenmap’in ana ekranına geri dönüyoruz.

eyupcelik-Stuxnet-Tespiti-05.jpg

Resim-05

Zenmap ana ekranına geri döndükten sonra Target kısmına tarama yapacağımız ağ adresini yazıyoruz. 192.168.56.173, 192.168.56.1/24, 192.168.56.1/16 gibi. Profile kısmından oluşturduğumuz StuxNet’i seçiyoruz.

Not: Nmap’in komut modunu kullanan arkadaşlar nmap --script stuxnet-detect 192.168.56.173 komutunu girip tarama yapabilirler.

Profile kısmından StuxNet’i seçtikten sonra Scan butonunu tıklayarak taramayı başlatıyoruz. Bu işlemin bitiş süresi seçilen network aralığının büyüklüğüne bağlı olarak değişir. Her bir bilgisayar için ortalama 3 saniye sürecektir.

eyupcelik-Stuxnet-Tespiti-06.jpg

Resim-06

Host script results kısmında, tarama yaptığımız bilgisayara Stuxnet virüsünün bulaştığını INFECTED (version 4c:04:00:00:01:00:00:00) çıktısından anlıyoruz.

Şimdi aynı taramayı Stuxnet’in bulaşmadığı bir bilgisayarda deneyerek tarama çıktısını gözlemleyelim.

eyupcelik-Stuxnet-Tespiti-07.jpg

Resim-07

Resim-07 de gördüğünüz gibi 192.168.27.50 ip adresine sahip bilgisayarda Stuxnet virüsünün varlığı taranmış ve herhangi bir ize rastlanmamıştır. Bu yöntemi kullanarak, yönetimi yaptığımız sistemlerde Stuxnet virüsünü tespit edebiliriz.

Video:

http://www.youtube.com/watch?v=5dMjqjsJLcs

 

 

 

Kaynaklar:

http://www.symantec.com/business/security_response/writeup.jsp?docid=2010-071400-3123-99&tabid=2

http://secunia.com/advisories/41471/

http://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/stuxneti-ozel-yapan-ne.html

Yorum ekle


Güvenlik kodu Yenile

Back to top