Tahribat.com Forumları
Hertürlü Web tabanlı Saldırı Taktik ve Stratejileri
Siber Savaş NSA'in Equationapt Saldırısı

Yazar 0x656e (3) anonim6918524 (1) ArduouS (2) BlackApple (2) canerator (1) Ccaglayan (1) Fatih54 (1) FOXXLY (1) GodKlaus (1) HoLyCat (1) HolyOne (1) Iruretta (1) Jilet_Boris (1) kafkafkaf (1) krypt (2) kvasir (2) Lightsaber (1) pcdoktor636 (1) Prometheus (1) S0KR4T3S (1) SeRDaR (1) SerYolcu (1) YasamaK (1) Gösterim 10 50 75 100
Ağ ve Veri Güvenliği     Hertürlü Web tabanlı Saldırı Taktik ve Stratejileri     Web sitesi Güvenliği, DOS - DDOS Saldırıları...     Bilgisayar Güvenliği - Backdoorlar     Virüs - Trojan - Keylogger - BotNet     Skype - Mirc - Irc - Icq - Mail Güvenliği     Bilişim Güvenliği     Hesaplar / Üyelikler     Domain - Hosting - Reseller - Dedicated Server - Virtual Server - IRC Shell - Seedbox     İnternet Güvenliğine Giriş Programlama     C#, Asp.Net, .Net Core     C - C++     Delphi - Pascal     Visual Basic - Basic - PicBasic ve Türevleri     Java     Android - IOS Programlama     Mobil Programlama     Asp - Php - Cgi - Perl     Assembly - Reverse Engineering     Html - CSS - XML - JavaScript - Ajax     Database - Veritabanı     Python     Grafik - Animasyon - Flash - 3D Modelleme     Webmaster ve Yazılım Geliştiriciler     Google / Yandex / Bing ve Servisleri     Programlama Genel     Programlamaya Giriş Bilgisayar ve Teknoloji     Microsoft Windows Ailesi İşletim Sistemleri     Yapay Zeka     Linux ve Diğer İşletim Sistemleri     Donanım & Driver     Network - İnternet     Elektronik / Embedded / Mobil Cihazlar     Kriptoparalar & Blockchain     Fotografçılık ve Digital Fotograf Makineleri - Video Kameralar     Cep Telefonları, Gsm Operatörleri ve Mobil İnternet     Oyunlar     Yazılımlar / Diğer Programlar     Bilgisayarla İlgili Diğer Konular İnternet     Download / Dosya Paylaşım     Bilgisayar ve Internet Teknolojileri İle İlgili Video / Resim / Flash Paylaşım     İnternet Siteleri     Sosyal Ağlar Genel     Genel     Gündem - Güncel Konular     Derin Konular     Bilim Teknik Teknoloji     Müzik & Sinema & Tiyatro & Kitap & Televizyon & Seminerler & Edebiyat     Eğitim & Ödev & Bilimsel Döküman     E-Book     İş - Güç, E-Ticaret, Alışveriş     Hukuk & Muhasebe & Sigorta Soru - Cevap     Ulaşım Araçları ve Seyahat     Vukuatlar     Geyik & Teknoloji İle İlgili Olmayan Video / Resim / Flash Paylaşım Tahribat.com Konuları     Tahribat.com Programları®     Tahribat.Com - Açık Kapılar Önünde     Tahribat.Com - Sosyal Etkinlikler     TahriDepo

Siber Savaş NSA'in Equationapt Saldırısı

1. 19/Nis/15 22:47 Kısayol Şikayet Özel Mesaj
   Jilet_Boris
   
   

   Kayıt Tarihi: 04/Mart/2009
   

   kvasir bunu yazdı

   SeRDaR bunu yazdı

   Benim merak ettiğim firmware ye sızan virüs nasıl yazılabiliyor  bu çok tehlikeli bir olay nasıl müdehale ediliyor
   
   bunun nasıl mümkün olduğunu olabileceğini yazılımcı arkaşlardan bilgisi olan varsa bizim anlayacağımız dilden anlatırsa sevinirim. 
   bilgilenmiş oluruz 

   linkteki dökümandan aklımda kaldığı kadarıyla sadece harddisk üreticisinin bildiği komutlar var firmware'da, işin ilginç yanı zaten bu zararlının bu komutları bilmesi.

   Fiber optik kablolara midm yapabilecek kadar manyak bir teşkilat sadece nsa, bu komutları ele geçirmiş olmaları çok zor olmasa gerek. Kimi sitelerde NSA'nın sipariş edilen Cisco cihazları önce kendilerine yöneltip yazılımını değiştirdikleri sonra da gitmesi gereken yere gönderdiklerini yazmış.

   Alıntı yap
2. 19/Nis/15 22:48 Kısayol Şikayet Özel Mesaj
   HoLyCat
   
   

   Kayıt Tarihi: 03/Ekim/2009
   

   Site gitmeden öncede yazmistim.

   klasik reklamdan baska birsey degil.

   Bir tarafta karalanan markalar var.

   Diğer  tarafta ben bu markalarin boyasini cikardim diyen yazilim firmasi var.

   cok kafa karistiran bir durum.

   ---

   🆃🅰🅷🆁🅸🅱🅰🆃.🅲🅾🅼
   Alıntı yap
3. 19/Nis/15 22:50 Kısayol Şikayet Özel Mesaj
   Fatih54
   
   

   Kayıt Tarihi: 16/Ağustos/2012
   

   Converting the ranges to their respective countries (except for 64.38.3.50, which is the only specific IP mentioned) we get the following TOP 3 countries that will NOT be exploited: 1. Jordan 2. Turkey 3. Egypt This means that the attackers have taken special care not to infect users visiting from certain ISPs in these countries.

    

   Burası ciddi anlamda kafamı kurcalamaya başladı. Düşünceleri olan söylesin merak içindeyim.

   Alıntı yap
4. 19/Nis/15 23:09 Kısayol Şikayet Özel Mesaj
   nick6
   0x656e
   
   

   Kayıt Tarihi: 19/Mayıs/2012
   

   Fatih54 bunu yazdı

   Converting the ranges to their respective countries (except for 64.38.3.50, which is the only specific IP mentioned) we get the following TOP 3 countries that will NOT be exploited: 1. Jordan 2. Turkey 3. Egypt This means that the attackers have taken special care not to infect users visiting from certain ISPs in these countries.

    

   Burası ciddi anlamda kafamı kurcalamaya başladı. Düşünceleri olan söylesin merak içindeyim.

   eger sogru anlamissam zaten bu ulkelerden istedikleri gibi veri alabildikleri icindir.

   Alıntı yap
5. 20/Nis/15 01:05 Kısayol Şikayet Özel Mesaj
   inside
   anonim6918524
   
   Banlanmış Üye
   
   

   Kayıt Tarihi: 16/Temmuz/2005
   

   kvasir bunu yazdı

   SeRDaR bunu yazdı

   Benim merak ettiğim firmware ye sızan virüs nasıl yazılabiliyor  bu çok tehlikeli bir olay nasıl müdehale ediliyor
   
   bunun nasıl mümkün olduğunu olabileceğini yazılımcı arkaşlardan bilgisi olan varsa bizim anlayacağımız dilden anlatırsa sevinirim. 
   bilgilenmiş oluruz 

   linkteki dökümandan aklımda kaldığı kadarıyla sadece harddisk üreticisinin bildiği komutlar var firmware'da, işin ilginç yanı zaten bu zararlının bu komutları bilmesi.

   Mevcut firmware'ın incelenmesi ve osiloskop/logic analyzer yardımıyla hiç dokümantasyon olmasa da komutlar ortaya çıkarılabilir. Sistem kompleks ise haliyle harcanan zaman da artar ancak temelden başlayıp yukarıya doğru ilerlenebilir. Zaten kullanılan çoğu microcontroller benzer bir şekilde işliyor. HDD'lerin (teknolojisine bağlı olarak) genel işleyişi de aynı şekilde. Ayrıca I2C, SMBus, vb. belli başlı protokoller var.
   
   Aşağıdaki linkte görüleceği üzere IDA Pro'nun geliştiricisi olan Hex-Rays'te çalışan bir amca 5 yıl oturmuş ve koskoca Intel Management Engine üzerinde muazzam bir reverse engineering çalışması yapmış ve pek çok şeyi ortaya çıkarmış.

   https://recon.cx/2014/slides/Recon%202014%20Skochinsky.pdf

   Firmware güncellemesi konusunda da update yazılımının kullandığı driver'ın izlediği yol izlenebilir ya da aktarılan data, logic analyzer ile incelenip karşı tarafın hangi üslupla konuşulduğunda anladığı ortaya çıkarılabilir. 12 yıl öncesi düşünüldüğünde bir embedded sistemin doğru düzgün bir güvenliğinin olacağını sanmıyorum. O dönem en popüler yazılımlarda bile yoktu. Hatta bugün dahi çoğu embedded sistemde güvenlik yok. Zira embedded sistem ancak kendi işini yapabilecek güçte iken bir de uçuk hacking çalışmalarını düşünüp güvenlik overhead'i bindirmek istemiyorlar. Çok gerekiyorsa genelde bu da ek donanımla, self-destruction metodlarıyla hallediliyor.
   
   Firmware konusunda bahsedildiği üzere çok fazla donanım spesifik detaylar var. Reverse Engineering çalışmasının yanında her üretici için farklı firmware'lar yazmak ve programlayıcı malware'a kadar oluşturmak, işin profesyonelliği bir yana çok fazla zaman alacak bir işlem. Arkasında bir kurumun/şirketin olduğu belli.

   Ama bu zararlı firmware yazılan HDD'lerin kullandığı controller'lar aynı üreticiden midir, mimarisi benzer midir, instruction set'i nedir vs. buna bağlı olarak yapılacak iş de o kadar ortak hale getirilip kısaltılabilir. Sonuçta belli başlı konularda çalışan donanım üreticileri var, bunun yanında belli başlı standartlar var. Bir de bu firmware büyük ihtimalle 0'dan yazılmak yerine mevcut firmware'a yapılan patchler ile değiştirilmiş, zararlı kod ile birleştirilip (sistemin update edilebilir olması sebebiyle yeterli alan olduğunu varsayıyorum) sistemin imza kontrolüne uygun şekilde düzenlenip gönderilmiştir.

   Bir diğer konu, bu firmware bütün olanakları sağlıyor mu, yani orjinal olan firmware'da çok nadiren gerçekleşen hatalarda çalışacak olan rutinler bunda da var mı? Yoksa gözardı mı edildiler? Strict kontroller üzerine zaman harcamayıp en basit halleriyle geçilmiş olabilir. Ayrıca, belli durumlarda çalıştırılacak algoritmalar da belli olduğundan tekrar aynı şeyi keşfetmelerine de gerek yok. Bu da harcanan zamanı kısaltır.

   Neyse, öyle ya da böyle sağlam, şapka çıkartılacak türden bir çalışma. Üzerinden geçen yıl da hesaba katıldığında emeği geçen dedeleri tebrik ederim.

   ---

   λ
   Alıntı yap
6. 20/Nis/15 03:07 Kısayol Şikayet Özel Mesaj
   kafkafkaf
   
   

   Kayıt Tarihi: 18/Ağustos/2007
   

   Konuya hakim olmamakla beraber aklıma felaket komplo teorilerini getiriyor

   1- Üretici Firma kaynaklı olabilir,

   1a- Firma yönetimi ister; yazılımcılar ekler

   1b- Firmanın haylaz yazılımcısı 14yıl sürecek küçük bir şaka yapar

    

   2- NSA gibi bir kurumun yada İntel gibi bir şirketin dışarıdan müdahalesi ile olur

   2a- Daha işin başında firmware'e kod gömülür

   2b- İnternet ağını elinde bulunduran Şirket yada Kurumlar tarafından güncellemeler sayesinde yapılır

   2c- Henüz açığa çıkmamış başka bir donanımın firmware yazılımı ile yapılır ve suç harddisk üreticisine kalır

    

   3-Firmware yazılımının compile aşamasında derleyici tarafından yerleştirilir

    

   4-Tüm dünya çok salaktır ve birtane zeki heykır tüm harddisklere yerleşecek bir virüs yapar

    

   Hangisi olursa olsun kendimi salak yerine konulmuş gibi hissediyorum...

   ---

   http://emorcraft.blogspot.com.tr/
   Alıntı yap
7. 20/Nis/15 07:06 Kısayol Şikayet Özel Mesaj
   YasamaK
   
   Banlanmış Üye
   

   Kayıt Tarihi: 29/Ağustos/2010
   

   Bence o firmalara sızdılar ajanlar o arada kaynattılar her şeyi

   ---

   SEVİŞİRKEN EN ZEVKLİ OLAN ŞEY.. tamam, dikkatinizi çektim. ne kadar meraklısınız böyle şeylere terbiyesizliğin lüzumu yok yani :D (, sessizce öldürüyor.)
   Alıntı yap
8. 20/Nis/15 09:59 Kısayol Şikayet Özel Mesaj
   Böcüklerin Efendisi
   krypt
   
   

   Kayıt Tarihi: 05/Mart/2004
   

   O değilde FireX hocam geri gelmen çok şukela oldu. Adam gibi bilgi alabiliyoruz artık hiç değilse.

   ---

   while (1<2)
   Alıntı yap
9. 14/Haz/15 21:31 Kısayol Şikayet Özel Mesaj
   pcdoktor636
   
   

   Kayıt Tarihi: 12/Ocak/2010
   

   Equation group tarafından yazılmış duqu 2.0 için teknik rapor kaspersky tarafından yayınlandı.

   https://securelist.com/files/2015/06/The_Mystery_of_Duqu_2_0_a_sophisticated_cyberespionage_actor_returns.pdf

    Aynı grubun yediği diğer boklar için:

   https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf

   Özellikle ikinci pdf'i kesinlikle tavsiye ederim.

   Edit: ilk postta zaten verilmiş ikinci pdf :P

    

    

   pcdoktor636 tarafından 14/Haz/15 21:36 tarihinde düzenlenmiştir
   Alıntı yap

Cevapla