Eyüp Çelik

Sr. Cyber Security Expert

Sr. Network Security Expert

Sr. Malware Developer

Sr. C# Developer

Eyüp Çelik

Sr. Cyber Security Expert

Sr. Network Security Expert

Sr. Malware Developer

Sr. C# Developer

Blog Post

Kurumsal Ağlarda StuxNet Virüsünü Tespit Etme

Kurumsal Ağlarda StuxNet Virüsünü Tespit Etme

İlk defa Beyaz Rusya’daki anti virüs firması VirusBlokAda tarafından tespit edildiğinde, Stuxnet’in tüm dünyayı sarsacağı bilinmiyordu.  Yapılan incelemelerde standart bir worm (Solucan) olmadığı anlaşılan Stuxnet’in çok büyük bir siber saldırı aracı olduğu anlaşıldı. Yapılan incelemelerde Stuxnet’i diğer wormlardan ayıran en büyük özelliğinin, 4 adet Zero Day (Sıfır Gün) saldırısını barındırdığı ve kendini gizlemek, kernel (Çekirdek) sürücülerini rahatlıkla yükleyebilmek için güvenilir firmalardan çalınmış kök sertifikalar ile sürücülerini imzalayarak yüklediği tespit edilmiş. Tüm bunlardan sonra Stuxnet bilişim dünyasının en çok tartışılan wormu haline gelmiştir.

Bu makalemde bilişim dünyasını kasıp kavuran Stuxnet virüsünün ihtimaller dâhilinde, yönetimini yaptığımız sistemlerde varlığını tespit etmeye çalışacağız. Yönetimini yaptığımız ağın büyüklüğünü göz önünde bulundurursak eğer, Stuxnet’in tüm bilgisayarlarda tek tek taranarak tespit edilmesi uzun ve yorucu bir işlem olacaktır.

Resim-01

Böyle uzun ve yorucu bir işlemi hiçbir sistem yöneticisi yapmak istemez. Tam da bu noktada Nmap (Zenmap) yardımcı aracı imdadımıza koşacaktır.

Gereksinimler:

1-) Nmap(Zenmap) http://nmap.org/dist/nmap-5.51-setup.exe adresinden indirebilirsiniz.

2-) Stuxnet taraması yapılacak olan bilgisayarlar.

Not: Makaleyi doğrulayabilmek adına sanal bilgisayarıma Stuxnet virüsünü bulaştırıp, makaleyi hazırladım. Test amaçlı olarak Stuxnet virüsünü isteyenlere gönderebilirim.

Nmap yardımcı aracını indirip kurduktan sonra Başlat\Tüm Programlar\Nmap\Nmap – Zenmap GUI yolunu kullanarak açın. Nmap hem Windows hem de Linux işletim sistemlerinde çalışabilen bir komut aracıdır. Zenmap, Nmap’in grafiksel kullanıcı ara yüzüdür.

Resim-02

Zenmap’i çalıştırdıktan sonra Resim-02 deki gibi Profile menüsünden New Profile or Command’ı seçiyoruz ya da CTRL + P tuş kombinasyonunu kullanarak yeni bir tarama profili oluşturuyoruz.

Resim-03

Profile Editor, Resim-03 teki gibi açılacaktır. Profile name kısmına StuxNet yazıyoruz(Herhangi bir isim verebilirsiniz).  Ardından üst kısımda bulunan Scripting sekmesini tıklıyoruz.

Resim-04

Scripting sekmesi Resim-04 teki gibi açılacaktır. Sol tarafta bulunan scriptlerden stuxnet-detect’i aktif olarak işaretledikten sonra Save Changes butonunu tıklayarak profil oluşturmayı tamamlıyoruz. Ardından Zenmap’in ana ekranına geri dönüyoruz.

Resim-05

Zenmap ana ekranına geri döndükten sonra Target kısmına tarama yapacağımız ağ adresini yazıyoruz. 192.168.56.173, 192.168.56.1/24, 192.168.56.1/16 gibi. Profile kısmından oluşturduğumuz StuxNet’i seçiyoruz.

Not: Nmap’in komut modunu kullanan arkadaşlar nmap –script stuxnet-detect 192.168.56.173 komutunu girip tarama yapabilirler.

Profile kısmından StuxNet’i seçtikten sonra Scan butonunu tıklayarak taramayı başlatıyoruz. Bu işlemin bitiş süresi seçilen network aralığının büyüklüğüne bağlı olarak değişir. Her bir bilgisayar için ortalama 3 saniye sürecektir.

Resim-06

Host script results kısmında, tarama yaptığımız bilgisayara Stuxnet virüsünün bulaştığını INFECTED (version 4c:04:00:00:01:00:00:00) çıktısından anlıyoruz.

Şimdi aynı taramayı Stuxnet’in bulaşmadığı bir bilgisayarda deneyerek tarama çıktısını gözlemleyelim.

Resim-07

Resim-07 de gördüğünüz gibi 192.168.27.50 ip adresine sahip bilgisayarda Stuxnet virüsünün varlığı taranmış ve herhangi bir ize rastlanmamıştır. Bu yöntemi kullanarak, yönetimi yaptığımız sistemlerde Stuxnet virüsünü tespit edebiliriz.

Kaynaklar:

http://www.symantec.com/business/security_response/writeup.jsp?docid=2010-071400-3123-99&tabid=2

http://secunia.com/advisories/41471/

http://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/stuxneti-ozel-yapan-ne.html

Related Posts
Write a comment