iwystic

Veteran
Katılım
27 Ağu 2019
Konular
290
Mesajlar
4,889
Çözümler
491
Tepkime puanı
10,784
RC Point
0
caldim.png

Merhaba değeri RC üyeleri,
bu konumda sizlere 0day exploit kavramı hakkında kafanızda net bir bakış açısı oluşturmaya çalışacağım.


4dKDtQ.png

- Bildiğiniz üzere "Exploit" kavramı bir sistemin zaafiyetinin sömürülmesi anlamına gelmekte ve exploitlerin çeşitleri bulunmaktadır.
- 0day, Remote, Local şeklinde 3 gruba exploitleri ayırmaktayız.
- Remote exploitler, uzaktan yapılabilen sömürülmelere denilir.
- Local exploitler, sistem içerisinde sizin yetkinizi arttırmaya yarayan exploitlerdir.
- 0day exploitler ise, bulunan bir zaafiyetin internete yüklenmesi sonucu birçok saldırganın o zaafiyeti sömürmesidir.


4dKDtQ.png

Adım adım şu şekilde anlatabiliriz:

- Sistemde veya uygulamada öncelikle zaafiyet tespiti yapılır.
- Zaafiyet testip aşamasından sonra zaafiyete uygun exploit yazılır.
- Exploit ücretli veya ücretsiz bir biçimde internete yüklenir.
- Uygulamanın veya sistemin yöneticisi bu exploitin verdiği hasarların farkına varıp zaafiyeti kapatarak sistemini veya uygulamasına güncelleştirme paketi ekler.
Bu şekilde de exploit artık etkisiz hale gelmiştir.


1607681532707.png

4dKDtQ.png

Bir zaafiyet bulunduğu vakit şahıs bunun önem derecesinde göre bunu ücretlendirebilir ve diğer korsanların satışına sunabilir.
Kafanızın karışmaması açısından "0day" ismiyle özdeşmiş olan o popüler sitede birçok dolandırıcılık olayı yaşanmıştır.
0day kavramı o siteden ayrı tutulmalıdır.
Satışa sunulmayan exploitler ise yaygın olarak exploit-db, cxsecurity gibi insanların exploitlerini yayınladığı ortak platformlarda paylaşılır ve bu zaafiyet birçok kişi tarafından hızlıca sömürülür.


4dKDtQ.png

0day exploitlerin önemi günümüzde büyüktür. Örnek vermek gerekirse, 2017'de wordpress 4.7.0 ve 4.7.1 sürümlerinde yayımlanan content injection exploiti ile wordpress web sitelerinde adminlerin girdiği içerikleri admin olmadan girebilme zaafiyeti bulunmuştu.

1607681227299.png


4dKDtQ.png

67.000 web sitesi sadece exploiti yazan kişi tarafından hacklenmiştir ki, exploit çok kısa süre içerisinde yayımlanıp ve başkaları tarafından geliştirildi ve otomatik bir araca dönüşmüştür. Biz de zamanında payımıza düşeni almıştık.
Tabii bu sebeple 0day exploitler hack faaliyeti gerçekleştiren insanlar tarafından takip edilmeli, değerlendirilmeli ve geliştirilmelidir.

1607680990887.png


4dKDtQ.png

0day exploitlerinin etkisinin yüksek olmasının bir diğer sebebi de, yayımlanan exploitler geliştirilmeye ve düzenlenmeye çok müsaittir.
Çünkü, komplike ve yoğun modül yapıları ile çalışmazlar. Yukarıda verilen örnekte; "Content Injection" exploiti, sadece hedef web sitesini hacklemek için paylaşıldı;
ancak bundan saatler sonra bu işlemi toplu şekilde hedef listenizi tarayıp yapabilen birçok araç geliştirildi.
Bu sayede 67.000 ile başlayan sayılar zone-h'ın bir süre yoğun notify alması sebebi ile dahi bant genişliğini karşılayamamasından, kısa bir süre kapanmasına neden oldu.


4dKDtQ.png

Bu exploitlerin, güncelken takip edilmesi önemli bir husustur. Vakti geçmiş exploit güncel olduğu halinden etkisini daha da yitirecektir.
Yapılan araştırmalar, sistemde bulunan exploitlerin "0day" olduktan sonra ortalama 28 gün içerisinde zaafiyetin ortadan kaldırıldığını söylemekte.
Bu tabii ki sistemin zaafiyetini kapatacak kişinin bu işi ne kadar ertelediğine göre her hedefte değişkenlik gösterecektir; ancak şöyle bir durum var ki, zaafiyeti ortadan kaldıran yeni paket yayınlandığı zaman bu paketi kullanıcıların çoğu indirmemiş olabilmektedir.
Bu sebeple eski 0day exploitler dahi günümüzde değerlendirilebilmektedir.


4dKDtQ.png

0day exploit satışları "Dark Web"den veya "yeraltı forumlarında" dönmektedir. Yükleyen şahıslar genellikle ya sürekli bu satışı yapan bir gruptur, ya da bu satışın yapıldığı ortamda kendi exploitini satmak isteyen şahıstır.
İlk seçenekte gruplar bunları şahıslara hiçbir güven ortamı olmadan satar ki, birçok dolandırıcılık örneği bu şekilde yaşanabilir.
Örnek veriyorum; elimde Instagram şifre sıfırlama exploiti var ve ben bunu 10.000$'a kendi web sitemde insanların kripto para ile satın alabilmesi için yayımladım.
Bu durumda alacak kişilerin exploit ve ücret hakkında hiçbir güvencesi bulunmaz ve asıl dolandırıcılık olayı bu şekilde yaşanır.
Diğer satış yönteminde ise, bir "escrow" yani aracı ortaya konulur ve aracı ücreti güvende tutar. Teslim edilip çalıştığı takdirde ücret, satıcıya verilir.

1607680490754.png


4dKDtQ.png

0day exploit satın alınır mı?

0day exploitlerin satıldığı, ticaretinin döndüğü ortamlar güvenilir değildir. Yapmanız gereken exploit satın almak yerine exploit keşfetmektir.
Zaten ücretsiz yayınlanan exploitleride kendiniz geliştirebilir ve değerlendirebilirsiniz. Ben hiç satın almadım ve tavsiye de etmiyorum.
4000$ verip parası boşa giden insanlar gördüm. Public; yani ücretsiz şekilde herkesin erişimine sunulmuş 0day exploitleride işinize yarayacaktır.

4dKDtQ.png


Public 0day exploitlerin bir çoğunda dork yok, biz mi yazacağız?

Exploit kavramında dork olması şart değildir.
Sadece tek bir sisteme uygulanmış exploit dahi o sitelerde yayınlanabilir ve haliyle bunların dork'u da olmayacaktır.
Örneğin, Joomla gibi yaygın bir altyapı için bir exploit gördüğümüzü; ancak bunun dorkunun olmadığını gördük.
Bu durumda ise dorku kendimiz exploitin zaafiyeti nasıl sömürdüğü senaryosuna bakarak elde edeceğiz.
Örnek verecek olursak;
"/index.php?option=com_gmapfp&controller=editlieux&t mpl=component&task=edit_upload"

Bu exploit Joomla'nın Component GMapFP J3.5/J3.5F versiyonlarında çalışan, çok basit bir html upload exploitidir. Elimizde bunun dorkunun olmadığını varsayarak, exploiti incelediğimizde urlde "com_gmapfp" içeriğini görüyoruz. Bu demektir ki, bu URL'yi içeren web sitelerin de bu zaafiyeti değerlendirebiliriz. Böylece, inurl:com_gmapfp ile dorkumuzu yazdığımız zaman 0day exploitimize ait dorku elde etmiş olduk.
Basitçe bu şekilde anlatabilirim.
Senaryolar exploite göre değişkenlik gösterebilmekte.

1607679519427.png

4dKDtQ.png

Şöyle bir konu da var ki, her 0day exploitin mükemmel olmadığı gerçeği.
Çok az kullanılan bir scriptin "SQL Injection" veya "Reflected XSS" zaafiyeti dahi bu sitelerde yayınlanabilmekte.
Büyüğü küçüğü olmaz şeklinde birçok zaafiyet sürekli yüklenmektedir.
Sizin hangi exploitin işinize yarayabileceğini sizler exploite uygun aramalar yaparak kendiniz bulmanız gerekmektedir.
Yukarıda anlattığım şekilde hedef yelpazenisin genişliğini öğrenmeniz gerekebilir.


4dKDtQ.png

İyi Forumlar
 
Üst