KoçSistem SOC ekibi tarafından hazırlanan aylık bültendir

1. NO.10•Temmuz2016
Editör:ÖzgeÇELİK
KoçSistemSecurityOperationCenter
www.kocsistem.com.tr
HaziranAyında
KayıtlaraGeçenAtaklar
HAZİRANAYINAAİT

2. BilgisayaryazılımıbağlamındaTruvaatı(Trojan)
zararlı program barındıran veya yükleyen
programdır.Terim klasik Truva Atımitinden
türemiştir. Truva atları masum kullanıcıya
kullanışlıveyailginçprogramlargibigörünebilir
ancakyürütüldüklerindezararlıdırlar.
TTruvaatlarınınikitürüvardır.Birincisi,kullanışlı
birprogramınbirhackertarafındantahribata
uğrayıpiçinezararlıkodlaryüklenipprogram
açıldığındayayılan cinsi.Örnekolarakçeşitli
havadurumuuyarıprogramları,bilgisayarsaati
ayarlama yazılımlarıve paylaşım programları
(p2p)verilebilir.Diğertürü ise bağımsızbir
prprogram olup başkabirdosyagibigörünür.
Örneklemekgerekirseoyunveyakalıpdosyası
gibikullanıcıyıaldatmayayönelikbirtakımyön-
lendirici karışıklık ile programın harekete
geçirilmesineihtiyaçduyulmaktadır.
Truvaatlarıdiğerkötücülyazılımlar,bilgisayar
virüsleri ve bilgisayar solucanı gibi kendi
başlarına işlem yapamazlar.AynıYunanların
planlarının işleyebilmesi için atın Truvalılar
tarafından içerialınmasıgerektiğigibiTruva
atlarınınzararlılığıdakullanıcınınhareketlerine
bağlıdır. Truva atları kendilerini kopyalayıp
dağıtsalardağıtsalarbileherkurbanınprogramı(Truvayı)
çalıştırmasıgerekir.BuyüzdenTruvaatlarının
zararlılığı bilgisayar sistem açıklarına veya
ayarlarınadeğiltoplum mühendisliğininbaşarılı
uygulamalarınabağlıdır.
Son2ayiçerisinde,proofpoint’inaraştırmalarına
göre,Kanadalıonlinebankakullanıcılarınıhedef
alan onlarca veya binlerce mesajdan oluşan
geniş kapsamlı çalışmalar gözlemlendi.Bu
kampanyaların kurbanların bilgisayarlarına
trojankurmakiçinönceliklevirüslüMicrosoft
Word belgelerikullandığıve bunun yanında
zararlı yazılımlara yönlendiren linklerin de
kullanıldığıtespitedildi.
Kanada’yıKanada’yıhedefleyene-postatabanlıvirüslerve
kimlikhırsızlığıyapanörgütlerçokfazlayaygın
değilken,bu örgütlerin hacmive çeşitliliği
artıyorgibigözüküyor.Bütünbankatrojanlarının
ortaknoktası,özelolarakinternetbankacılığı
kullanıcılarının birikimlerini çalmak üzerine
dizaynedilmişolması.Zararlıyazılımdanetkile-
nennenkişilerinhesaplarınabuyazılımaktifkengiriş
yapmalarıdurumunda hesaplarından yüksek
miktarda para çalınmasıihtimalinin yüksek
olduğugözlemlenmiştir.Trojanlarfarklıbanka-
lardaçalışmaküzereyapılandırılmış,budurum
hem ülkeyeözgühedeflemelerihem detrojanı
dağıtmak için kullanılan bu e-postalarıalan
şirketlerinyerinitespitetmeyeyardımcıoluyor.
Özellikle Kanada finans sektöründeki tüm
müşterilerihedefleyen Ursnif,Dridex,Kronos,
Zeus,Gootkit,veVawtrakolmaküzere6trojan
ailesitespitedilmiş.USveUK’deDridextek
başınaenaz40milyonzararasebepolmuştur.
Detaylıbilgiyeburadanulaşabilirsiniz.
Truvaatlarınezararlarverebilir?
-Bilgisayarınızıuzaktaerişimeaçabilirler,
-Elektronikpostagönderebilirler,
-Verilerinizibozabilirler,
-Ağgeçitlerinesaklanabilirler,
-Ağdosyayüklemesisteminebulaşabilirler,

3. Bu programlardan bazıları virüs koruma
programıbarındırmasınarağmeniçindekivirüs
korumasıçokdagüçlüdeğildir.
İlkgiriştesürekliadresdeğiştireninternetsite-
lerinegirmeyin,
SSvchost32.exe, svhost.exe, back.exe,
systems.exe,explorer.exedosyalarınıaslaelle
güncellemeyin.Bu dosyalarWindowsişletim
sisteminin temeldosyalarıdır.İşletim sistemi
kendisigünceller.
Vemutlakabilgilerinizinyedeğinialın.
-Güvenlikyazılımınızıdevredışıbırakabilirler,
-Hizmetdışısaldırısıuygulayabilirler,
-İnterneterişiminizezararverebilirler.
SaldıSaldırgankişilersadecezevkiçnyadadahaçok
önemliamaçlaruğrunabilgisayarınızaerişmek
isteyebilirler. İşte kötü niyetli kişilerin
bilgisayarınızdaaradıklarındanbirkaçı:
-Alanadıkaydıyadainternetüzerindenyapılan
alışverişlerdekullanılankredikartıbilgileriniz,
--E-posta,interneterişimi,site üyeliklerinin
şifreleri,
-Gizlidökümanlar,
-Bilgisayarınızdakayıtlıe-postaadresleri,
-Gizlitasarımveresimler,
-Video,ses,yazışmalargibiözelgörüşmeleriniz.
EnEnkötüsüisebilgisayarınızıhack,spamgibiyasa
dışıişlemleriçin kullanmaları,bilgisayarınızı
zombie haline getirmeleridir.Bu durumlarda
saldırıyauğrayanlarıngözündesuçlusizolur-
sunuz.
Nasılkorunmalı?
-Webvemailfiltrelemeuygulayın,
-Güvenmediğinizelektronikpostalarıaçmayın,
-Antivirüsyazılımlarıkullanmayagayretgöste-
rin,
-İşletimsisteminizigünceltutun,
-PeertopeerveyayerelağıpaylaşanKazaa,
Limewire,AresveGnutellagibiprogramların
kullanımının kısılmasıfaydalıolur.Çünkü bu
programlargenelliklevirüsveyatruvaatıgibi
programlarının yayılması konusunda
korumasızdırlar.
“TruvaAtı”-https://tr.wikipedia.org/wiki/Truva_at%C4%B1_

4. “IBM X-ForceInteractiveSecurityIncidents” http://goo.gl/Yxgc5
13Haziran
Amerika’damilyonlarcakullanıcıyaaituser/pass
bilgisiDarknetağındaP2Pbağlantıüzerinden
satışaçıkarıldı.Sızdırılan51.000.000 kayıtların,
2013yılınaaitemailvezayıfMD5hash’lerini
içerdiğidüşünülüyor.
14Haziran14Haziran
-BirJaponseyahatacentasıisim,adres,e-posta
ve pasaport numaralarını içeren 7.930.000
sayıdakullanıcıverilerinin;birsunucuyayapılan
phishingsaldırısısonucu,yetkisizerişimesahip
birkullanıcıtarafındansızdırıldığınıbildirmiştir.
--Birbaşkahükümettarafındandesteklendiği
düşünülensaldırganlar,birAmerikansiyasipar-
tisininağınasızarakgizlidosyavesiyasibilgileri
e-postavemesajlaşmatrafiğiniinceleyerekele
geçirdi.
1Haziran
İspanya’dahacktivistler,binlerceİspanyolpolise
ait; içinde kimlik numarası, email adresi,
şifrelerin yer aldığı önemli kişisel verileri
yayınladılar.
6Haziran
-- Rusya tabanlı sosyal ağın milyonlarca
kullanıcısınaaituser/passbilgisiDarknetağında
satışaçıkarıldı.100.000.000verininsızdırıldığı
olay,2012yılındaolduğudüşünülüyorve e-
postaadresleriileenkripteedilmemişşifreleri
içeriyor.
- Amerika’da bir güvenlik araştırmacısı,
uluslararası çapta öğrencilere eğitim
danışmanlığı veren bir firmanın MongoDB
veritabanımotorunaerişimimümkünkılanbir
konfigürasyonhatasıkeşfetti.21.000sızdırılan
verinin içeriğinde öğrencilerin pasaport
detaylarının,kendisininvemisafirolduğuailenin
önemlibilgilerininbulunduğubildirildi.önemlibilgilerininbulunduğubildirildi.
8Haziran
Amerika’da popüler bir torrent forumunda,
hizmet sağlayıcısındakibir başka müşteriye
yapılansaldırıdagerçekleştirilenkullanıcıyetki-
sinin yükseltilmesisonucu veriaçığıortaya
çıkmıştırve385.000kayıtsızdırılmıştır.
9Haziran
UK University öğrencilerinin ve çalışanlarının
user/passvekişiselbilgilerininbulunduğu,2.47
GBlıkverisızdırıldı.

5. “NationalVulnerabilityDatabase”https://goo.gl/ZtmN76
CVE-2016-3227
SummaSummary:Use-after-freevulnerabilityinthe
DNSServercomponentinMicrosoftWindows
Server2012GoldandR2allowsremoteattack-
erstoexecutearbitrarycodeviacraftedre-
quests,aka"WindowsDNSServerUseAfter
FreeVulnerability."
Published:6/15/20169:59:29PM
CVSSSeverity:v3-9.8CRITICAL v2-10.0
HIGH
Özet:
BuzafiBuzafiyetDNSSunusuna,saldırgankişi
tarafındanözelyapılmışisteklergönderilerek
uzaktankodçalıştırılmasınaolanak
sağlamaktadır.WindowsServer2012ve
WindowsServer2012R2sürümlerinde
rastlanılmıştır.Microsofttarafındanhenüzher-
hangibirgüncellemeyadageçiciçözüm
yayınlanmamıştıyayınlanmamıştır.
Detaylıbilgiiçin:
https://technet.microsoft.com/library/security/
ms16-071
CVE-2016-2141
SummaSummary:JGroupsbefore4.0doesnotrequire
theproperheadersfortheENCRYPTandAUTH
protocolsfromnodesjoiningthecluster,which
allowsremoteattackerstobypasssecurityre-
strictionsandsendandreceivemessages
withintheclusterviaunspecifiedvectors.
Published:6/30/201612:59:00PM
CVSSSeverity:v3-9.8CRITICAL v2-7.5
HIGH
Özet:
JBossuJBossuygulamasunucularındaoluşanzafiyette,
uzakkullanıcılarınauthenticationyaparakhedef
sistemlerüzerindegüvenlikkısıtlamalarını
bypassetmelerineizinvermektedir.Budabil-
gilerinifşaedilmesine,sahtee-postagönde-
rilmesineveyadahaileriatakyapılmasına
olanaksağlamaktadır.RetHattarafından
updaupdateyayınlanmıştır.
Detaylıbilgiiçin:
https://access.redhat.com/errata/RHSA-
2016:13(28,29,30,31,32,33,34,45,46,47,74)
BUNUBİLİYORMUYDUNUZ?
BilgisayarınızdaBilgisayarınızdaanlıkgörüntüveyauyarılargöstermek,klavyenizivefarenizikontroletmekisteğiniz
dışındaCDsürücünüzüveyabilgisayarınızıaçıpkapatmakgibiişlemleremaruzbırakanTrojanHorse
tipiyazılımlar,2015yılındaTürkiye’de%30artışgöstermiştir.Düşükveortadeneyimlibilgisayar
kullanıcılarınınbirçoğutruvaatlarınıdavirusolarakbilmektedir.Truvaatıvirusdeğildirveviruslerden
farklıprensiplerleçalışırlar.Viruslerkendibaşlarınagörünmez,birprogram yadadosyaiçerisindeyer
alırlar.Birbilgisayarlardandiğerinebulaşmasıbudosyaveyaprogramlarıntaşınmasıylaolur.Genellikle
içerisineiçerisine gömülü olduklarıprograma zararvermezler.fakatprogramların çalıştırılmasıhalinde
içerisindekiviruslerişletim sistemine,yazılımlaraveenderolarakdagörülsededonanımazararver-
mektedir.

6. Webfiltrelemeyönetim hizmetikapsamında;
•İnternetwebsitelerineerişim içerikfiltreleme
yapılması,
•Bantgenişliğiyönetimi;IPvekullanıcıyagöre
bantgenişliğikısıtıyapılması
•İnterneterişimlerininzamanagörekısıtlanması
••Kullanıcıların active directory kimlik
doğrulamasıyaparakerişimlerininsağlanması
•Müşteriyeinterneterişimraporlarının(kullanıcı
bazlı,erişilensiteler)sunulmasısağlanmaktadır.
DediDedike olarak sağlanabilen Web filtreleme
yönetim hizmeti, müşterinin sahip olduğu
dedike URL filtreleme cihazının KoçSistem
tarafından yönetilmesi ve raporlanması ile
sağlanır.Güvenlikduvarıüzerindeekfonksiyon
olarakverilecekwebfiltrelemedebuhizmet
kapsamındadeğerlendirilecektir.
WWeb filtreleme cihazıkurulmuş ve düzgün
olarakçalışırdurumdaolmalıdır.Müşterisistemi
yönetimealmaöncesiKoçSistem tarafındange-
reklitestlerden geçirilirve ancak yeterliliği
onaylandıktansonrayönetimealınır.
WWeb filtrelemecihazının donanım veyazılım
üreticibakımlarıalınmışvesözleşmesüresince
aktifolmalıdır.İlgililisanslarıaktifolmalıdırve
yenilemelerimüşterisorumluluğundadır.
PPaylaşımlıolarakdasağlanabilenhizmet,Koç-
Sistem tarafından sağlanacak URL filterleme
lisansıylamüşterininsahipolduğusanalsunucu
ortamıüzerindensağlanır.
Webfiltrelemecihazınınçalışacağısanalsunucu
ortamıylailgilitüm donanım veyazılım üretici
bakımlarıalınmışvesözleşmesüresinceaktif
olmalıdır.İlgililisanslarıaktifolmalıdırveyenile-
melerimüşterisorumluluğundadır.

7. Ditaş & KoçSistem İşbirliği Giderek
Güçleniyor!
DenizDeniz taşımacılığı sektörünün önde gelen
firmalarındanDitaş,sahipolduğugemilerinde
kaptan vemürettebatlarınadahakolay,hızlı,
kesintisizhizmetvermekveçalışanlarınınsefer
sırasında,gerekdışdünyailegereksekontrol
merkezleriile güvenliiletişim kurabilmelerini
sağlamak amacıyla 3 yılboyunca 7/24 Log
Yönetimi,Yönetimi,NetworkGüvenlikveWANOptimiza-
syonu hizmetlerinde KoçSistem’itercih etti.
Ayrıca,DitaşGenelMüdürlükofisinindeIPS,
FirewallveNACgibibütünGüvenlikveNetwork
Yönetimini gerçekleştireceğimiz bu projede
paylaşımlı hizmetlerimizle beraber, Ditaş’ın
hedeflediği dijital dönüşüm sürecinde yol
arkadaşıolacağız.Sadece karada değil,de-
nizlerdedehizmetvermeyedevamediyoruz.
IBM ileYolaDevam
IBM ileASLişortaklığımızı1yıldahauzattık.Bu
kapsamda,hizmetverdiğimizmüşterilereIBM
QRadar ürünlerini çok avantajlı koşullarla
sağlamayadevamedeceğiz.