22 Ocak 2014

Tuzak sistemlere takılmış saldırganlara ait ayak izleri

Posted by: Gökhan ALKAN 22 Ocak 2014
Bu yazıda http://www.securityfocus.com/infocus/1876 adresinde yayınlanan makale temel alınmıştır. Hazırlık aşamasında; SSH sunucu sistemi için tuzak sistem kurularak, sisteme gerçekleştirilen sızma denemelerinin detaylı analizi gerçekleştirilmiştir. Kurulan SSH tuzak sistemi yaklaşık bir ay kadar canlı olarak gözlemlenmiştir. Bu bir aylık süreç içerisinde sisteme erişim için denenen kullanıcı adları, şifreleri, kullanıcı adı/şifre ikilisi ve son olarak hangi ülkelerden erişim denemelerinin gerçekleştirildiği incelenmiştir.

SSH ( Secure Shell ) iki ağ cihazı arasında verinin güvenli bir biçimde iletilmesini sağlayan protokolün ismidir. Bu protokolün açık kaynak kod olarak Linux/Unix sistemlerde de kullanılan hali ise OpenSSH’dir. OpenSSH ile ilgili daha fazla bilgi içinhttp://www.openssh.com/ adresine başvurulabilir.
Kurulan SSH tuzak sistem ile sisteme erişim sağlamak için yapılan denemelere ait detaylar incelenerek, SSH sunucu sistemleri için mevcut tehditler ele alınmaya çalışılmıştır. Makalenin son bölümünde ise SSH tuzak sistemlere başarılı bir şekilde erişim gerçekleştiren kullanıcıların, sistemler üzerindeki kayıt bilgileri incelenmiştir.

Toplam Yetkisiz SSH Erişimi

SSH tuzak sisteminin canlı olduğu süre içerisinde toplam olarak 9366 kullanıcı adı, şifre denemesi ile sisteme sızma girişimi gerçekleştirilmiştir. Daha öncede belirtildiği üzere bu denemeler SSH tuzak sistemin canlı olduğu bir aylık süre içerisinde gerçekleştirilen verileri içermektedir.

En Çok Denenen Kullanıcı Adları ve Şifreleri

Şekil 1’de görüldüğü üzere sisteme sızmak için en çok tercih edilen kullanıcı adı root olmuştur. Linux/Unix sistemlerde en yetkili kullanıcının root kullanıcısı olduğu göz önüne alındığında, sisteme gerçekleştirilen sızma denemeleri için tercih edilen ve edilecek kullanıcı adının root seçilmesi muhtemel görünmektedir. Bu noktada SSH sunucu servisi için alınabilecek güvenlik önlemlerinden bir tanesi, root kullanıcısının sisteme direkt giriş yapmasına izin vermemek olmalıdır. Önce sisteme yetkisiz bir kullanıcı olarak oturum açılmalı ve ardından root kullanıcı kimliğine bürünülmesi sağlanmalıdır. Bu şekilde sisteme root kullanıcı kimliği ile sızma denemeleri de önlenmiş olacaktır.


Şekil 1 En çok denenen 10 kullanıcı adı
Yine aynı şekilde en çok denenen şifreler ise Şekil 2’de görülmektedir. Buradan da görüleceği üzere seçilecek şifrelerin kolay tahmin edilemeyecek olmasına dikkat edilmesi gerekmektedir.


Şekil 2 En Çok Denenen 10 Şifre
En Çok Denenen Kullanıcı Adı/Şifre İkilisi


Daha öncede belirtildiği üzere sisteme sızmak için en çok tercih edilen kullanıcı adı olarak root seçilmiştir. Bu bağlamda sisteme sızmak için denenen en çok kullanılan kullanıcı adı/şifre ikilisi root kulanıcısı için olacaktır. Bu durum Şekil 3’de gösterilmiştir.


Şekil 3 En Çok Denenen Kullanıcı Adı/Şifre İkilileri
Sisteme sızmak için gerçekleştirilen kullanıcı adlarının, sistemde var olan kullanıcılara oranı ise %68 olarak göze çarpmaktadır. Bunun için alınabilecek önlemlerden bir tanesi kullanıcılar için kabuk ortamının sisteme oturum açmasını engelleyecek şekilde yapılandırılması, eğer kullanıcı sistemde kullanılmıyor ise kaldırması şeklinde olmalıdır.


Tablo 1 Sistem Kullanıcıları İçin Yetkisiz Erişim Deneme Sayıları

Denemelerin Ne Kadarı Botlar Tarafından Gerçekleştirildi ?

SSH tuzak sisteme gerçekleştirilen toplam 9366 demeden 2 tanesi gerçek sisteme sızma denemesi olarak tespit edilmiştir. Bu orandan da görüleceği üzere denemelerin çok büyük bir kısmı otomatik araçlar tarafından gerçekleştirilmiştir. Bu tarz otomatik tarama araçları ile gerçekleştirilen sızma denemelerini önlemek için alınabilecek önlemlerden bir tanesi de SSH servisinin hizmet verdiği ön tanımlı port numarasının değiştirilmesi olmalıdır.

Denemelerin En Çok Gerçekleştirildiği Ülkeler

Kurulan tuzak sistemin Amerika Birleşik Devletleri lokasyonlu olduğu göz önünde bulundurulacak olursa, en çok sızma denemesi sırası ile Amerika Birleşik Devletleri, Çin ve Mısır’dan gerçekleştirilmektedir. Bu duruma ait istatiksel ve yüzdesel bilgiler Tablo 2 ve Şekil 5’ de gösterilmektedir.

Tablo 2 Yetkisiz Erişim Denemelerinin Gerçekleştirildiği Ülke İsimleri ve Deneme Sayıları

Şekil 4 Yetkisiz Erişim Denemelerinin Gerçekleştirildiği Ülke İsimleri ve Deneme Yüzdeleri

Bir Saldırının Ayak İzleri

SSH tuzak sistemine başarılı bir şekilde erişim sağlayan kullanıcıların, sistem üzerinde kullandıkları komutlar incelenmiş ve olası senaryolar üzerinde durulmuştur. Sisteme erişim sağlayan kullanıcıların ilk olarak en çok denedikleri komutun wget olduğu gözlemlenmiştir. wget, ftp, lynx, curl vb. gibi komut satırından çalışan, uzak sistemlerden dosya temin etmek için kullanılan komutlar yardımı ile sistem üzerinde zararlı kod çalıştırarak yetkili kullanıcı haklarına sahip olunmaya çalışılmıştır. Yine bunun yanında uname, uptime ve ps gibi komutlarla sistem çalışma durumu , sistem üzerinde çalışan süreçler ve çekirdek hakkında bilgi toplanmaya çalışılmıştır.

NOT: Bu makalenin en guncel surumune http://www.galkan.net/2014/01/ssh-tuzak-sistemler-ve-bir-saldirinin-ayak-izleri.html adresinden erisim saglanabilir.
Makalelerin kötüye kullanım kullanıcının sorumluluğundadır. | networkpentest.net. Blogger tarafından desteklenmektedir.