STUXNET NEDİR? ——————- ALINTIDIR

STUKSNET (STUXNET)

 

 

Stuxnet, ABD ve İsrail’in, İran’ın nükleer çalışmalarını sekteye uğratmak için kullandığı solucan yazılımdır.

Haziran 2010’da varlığı açığa çıkan virüs İran’ın Buşehr ve Natanz’daki nükleer tesislerini etkilemiştir.

 

Stuxnet, endüstriyel kontrol sistemlerinin ve dış dünyaya kapalı sistemlerin de hedef olabileceğini göstermesi açısından siber güvenlik konusunda önemli bir yere sahiptir.

Bu virüsten korunmanın en etkili yolu ise işletim sisteminizi güncellemektir.[1]

 

Ülke   Etkilenen bilgisayarların oranı

İran   58.85%

Endonezya 18.22%

Hindistan  8.31%

Azerbaycan   2.57%

ABD   1.56%

Pakistan   1.28%

Diğer  9.2%

NoSurviveBilisim

 

Stuxnet’i özel yapan ne?

 

Osman PAMUK, TÜBİTAK BİLGEM

 

Stuxnet ilk defa haziran ayının ortalarında Beyaz Rusya’daki küçük bir firma olan VirusBlokAda tarafından tespit edildi.

İlk incelemeler virüsün standart bir solucan olmadığını zaten gösteriyordu fakat karmaşık yapısı yüzünden uzayan incelemeler devam ettikçe işin boyutu gittikçe değişti.

Özellikle solucanın çok karmaşık yapısı, kullandığı taktikler ve hedefi göz önüne alınınca, siber savaş adı altında yıllarca dillendirilen senaryoların aslında çok da gerçek dışı olmadığı ortaya çıktı.

Tabii ki konunun bu boyutu incelemeye değer önemli bir konu olsa da, açıklığa kavuşması gereken çok fazla iddia ve yorum farklılığı olmasından dolayı biz bu yazımızda bu iddia ve yorumlardan ziyade bu solucanı gerçekten diğer zararlı yazılımlardan farklı ve üstün kılan özellikler neler onlardan bahsetmeye çalışacağız.

Solucanı inceleyen araştırmacılar tarafından ortak olarak dile getirilen ilk gerçek şu ki, stuxnet çok karmaşık bir yapıya sahip.

Bu yüzden bu solucanın birçok farklı alandan uzmanların bir araya gelerek üzerinde uzun süre çalıştığı ve kayda değer bir bütçeye sahip bir projenin ürünü olduğu görüşü hâkim.

Yine birçok araştırmacı tarafından bu tür bir projenin basit bir suç örgütünden ziyade devlet desteğindeki bir kuruluş tarafından gerçekleştirilmiş olması daha gerçekçi gözükmekte.

 

Stuxnet kendi karmaşık yapısı içinde hâlihazırda bilinen birçok zararlı yazılım yöntemini kullanmanın yanında daha önce hiçbir zararlı yazılımda olmayan dikkat çekici birkaç özelliğe daha sahip.

Özellikle dört tane sıfır gün (zero-day) yani daha önceden bilinmeyen açıklığı beraber kullanması, kendini gizlemek için kullandığı çekirdek (kernel) sürücülerini rahat yükleyebilmek için güvenilir firmalardan çalınmış kök sertifikalar ile sürücülerini imzalaması ve en önemlisi hedef olarak sanayi ve enerji tesislerindeki fiziksel süreçleri gizlice değiştirmeye çalışması.

 Sıfır gün açıklıklarının zararlı yazılımlar tarafından kullanılması aslında yeni bir yöntem değil, fakat daha önce hiçbir zararlı yazılımın dört tane sıfır gün açıklığını birden kullandığı tespit edilmemişti.

Tek bir sıfır gün açıklığının tespit edilmesi ve farklı ayarlardaki değişik işletim sistemlerinin hepsinde düzgün bir şekilde çalışmasının sağlanması uzun bir inceleme ve test aşamasının yanında önemli bir uzmanlık gerektirmektedir.

Bulunan bir açıklığın düzgün bir şekilde kullanılması önemlidir, aksi takdirde zararlı yazılımın tespiti çok daha kolaylaşacaktır.

Bu açıdan bakıldığında dört yeni açıklığın birlikte sorunsuz olarak çalıştırılmasının ne kadar uzmanlık, inceleme ve test süreci gerektirdiği aşikârdır.

Peki, nedir bu ilk defa stuxnet tarafından kullanılan ve stuxnet’in keşfi ile bizim de haberdar olduğumuz açıklıklar:

 

  • MS10-046, Microsoft Windows Shell

 

Kısayol İşleme Açıklığı:

 

Asıl olarak işletim sistemindeki bir dizayn hatasından kaynaklanan bu açıklık sayesinde autorun açık olmasa bile bilgisayara takılan bir taşınabilir depolama aygıtındaki dosyaların ikonlarını göstermeye çalışan Windows Gezgini ve benzeri bir programın zararlı bir kodu çalıştırması sağlanabiliyor.

Stuxnet’in de asıl olarak bu yöntemle birçok yere bulaştırıldığı düşünülüyor.

Ayrıca kendini güncelleme yeteneğine sahip olan stuxnet’e bu özelliğin Mart ayında eklendiği ve daha önceden solucanın taşınabilir cihazlardaki autorun özelliği ile bilgisayara bulaştığı düşünülmekte.

 MS10-061, Microsoft Windows Yazdırma Kuyruklayıcısı Açıklığı:

Bu açıklığı kullandığı, stuxnet’in daha sonraki detaylı incelemelerinde açığa çıktı.

Bu açıklığı kullanarak stuxnet bulaşmış olduğu bir bilgisayardan diğerine atlamayı başarabilmekte.

Basitçe bu açıklık bir bilgisayara uzaktan yüksek yetkilerle dosya yüklenilmesine olanak sağlamakta.

Daha sonra da bu dosya WBEM’in bir özelliği ile çalıştırılabilmekte.

Önce şunu belirtmek gerekir ki bu açıklık yukarıdaki açıklık gibi bir taşınabilir aygıtın takılmasını gerektirmese de açıklıktan yararlanılabilmesi için gereken birçok şartın beraber bulunmasını gerektiği için kullanılabilmesi daha zor olan bir açıklık.

 

  • Ve iki tane de hak yükseltme açıklığı:
  • Stuxnet yukarıda bahsi geçen, yayılmak için yararlandığı açıklık yanında bulaştığı bir sistemde tam kontrolü elde edebilmek için kullandığı birisi XP, diğeri Vista üstü işletim sistemler için geçerli iki hak yükseltme açıklığından da faydalanmakta.

Bu açıklıklar Microsoft tarafından hâlâ kapatılmayı bekliyor.

 

Bütün bu açıklıların yanında stuxnet eski olsa da gayet etkili olan, ünlü conficker solucanının yayılmak için kullandığı MS08-67 açıklığından da yararlanmakta.

 Çekirdek rootkit yöntemleri Windows XP de olsun Windows 2003 de olsun zararlı yazılımların kendilerini virüs tespit programlarından korumak için kullandıkları en güçlü silahlardan birisidir.

Fakat 64 bit Vista ve sonrası işletim sistemleri ile gelen KMCS (Kernel Mode Code Signing ) ve Patchguard gibi koruma mekanizmaları bu tür yöntemlerin kullanılmasını büyük derecede engelledi.

Özelikle KMCS özelliği çekirdeğe yüklenecek bütün sürücülerin güvenilir sertifikalar ile imzalanmış olmasını şart koşmakta.

32 bit Vista ve üstü sistemlerde ise eskiye uyumluluğun korunabilmesi için bu korumalar tam olarak aktif hale getirilmese de güvenilir sertifikalar ile imzalanmamış çekirdek sürücülerinin çalıştırılması kısıtlanmış ve çalıştırılabildiği durumlarda da kullanıcılar uyarılmaktadır.

 Fakat bu sistemlerin güvenilir bir sertifika ile imzalanmış kötü niyetli bir yazılımı, normal bir yazılımdan ayırt etme yeteneği bulunmamaktadır.

İşte bu sebeple stuxnet çekirdek sürücüsü üreten iki tanınmış firmanın kök sertifikasını ele geçirip kendi kötü niyetli çekirdek sürücülerini imzalayarak bu korumaları sorunsuz bir şekilde aşmayı başarmaktadır.

Dikkatli bir şekilde saklanması gerektiği gayet iyi bilinen bu kök sertifikaların nasıl ele geçirildiği ilginç bir konu olarak gözükse de maalesef bu konuda yeterince bilgi mevcut değil.

 

Peki, bu kadar hazırlık ve çabanın sonucunda yapılmak istenen ne?

 

Stuxnet’in hedefi halihazırda piyasa da bulunan virüsler gibi banka veya online oyun hesap bilgilerinin çalınması,  DDOS saldırıları gerçekleştirmek veya spam mail atabilmek için zombi bilgisayar ordusu kurmak ve kiralamak değil.

Bunların hepsinden farklı olarak;  su kaynakları, petrol platformları, enerji santralleri ve diğer sanayi tesislerinin kontrolü için kullanılan SCADA (Siemens supervisory control and data acquisition) sistemlerini ele geçirip fiziksel kontrol sistemlerinin çalışmasını değiştirmek.

 

Stuxnet eğer bulaştığı bilgisayarda bir SCADA sistemi mevcutsa ilk önce mevcut projelerin kod ve dizaynlarını çalmaya çalışıyor, onun dışında asıl ilginç olan nokta ise stuxnet’in programlama yazılım ara yüzü vasıtasıyla PLC’lere (Programmable Logic Controllers) kendi kodlarını yüklemesi.

Ayrıca yüklenen bu kodlar, stuxnet’in bulaşmış olduğu bir bilgisayardan PLC’lerdeki bütün kodlar incelenmek istendiğinde dahi görülemiyor.

 Böylelikle stuxnet PLC lere enjekte edilen kodları saklayabilen bilinen ilk rootkit unvanına da sahip oluyor.

Rootkit nedir?

Rootkit bilgisayara bulaşan, çalışan işlemler arasında kendini gizleyen, kötü niyetli kişilere, uzaktan bilgisayarınızın tam hakimiyetini sağlayan tespit edilmesi oldukça zor olan  bilgisayar programıdır.

Virüsler gibi amacı sisteminizi yavaşlatmak ve yayılmak değildir.

Bilgisayarınızın kontrolünü ele geçirmeyi hedeflemektedir.

Siz farkında olmadan örneğin internete bağlıyken bilgisayarınız Rootkit yazılımlarla kontrol edilebilir, yine siz farkında olmadan Kötü niyetli sitelere girilebilir, bilgisayarınız siber saldırılarda kullanılabilir ve tüm bunlar olurken siz hiç birşeyin farkında olmayabilirsiniz.

Pek çoğu işletim sisteminin çekirdeğine kendini yerleştirdiği için, antivirüsler tarafından tespit edilmesi oldukça zordur.

Solucan Nedir?

 Bilgisayar virüsü veya bilgisayar solucanı, makineye virüs bulaştığından haberiniz olmadan bilgisayarlarda veya bilgisayar ağları aracılığıyla kendi kendine çoğalabilen kötü amaçlı bir yazılım programıdır.

Virüs veya bilgisayar solucanının birbirini izleyen her bir kopyası da kendi kendine çoğalabildiği için virüsler hızla yayılabilir.

Bilgisayar virüslerinin ve bilgisayar solucanlarının farklı türleri vardır ve birçoğu yüksek düzeyde zarara neden olabilir.

Reklamlar

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s