Başarısız Bir Hack Öyküsü
Posta kutuma gelen Phishing (yemleme) mesajları genelde İstanbul Emniyet Müdürlüğü Bilişim Suçları Şube Müdürlüğü‘ne ihbar ediyorum. Özellikle bankadan gönderilmiş gibi görünen bir yemleme / olta mesajı alırsanız, mutlaka ihbar ediniz.
Geçenlerde posta kutuma Mynet e-kart servisinden gönderilmiş gibi görünen mesajın içeriği şöyleydi:
“Nazlı Yiğitoğlu size bir e-kart gönderdi”
Üstü açık bir Jaguar XK‘ya sahip olmadığım sürece, tanımadığım bir hatunun bana e-kart göndermesi ihtimalinin sıfırın altında olduğunun farkındayım. Bu yüzden bu tip mesajların Phishing olduğunu ilk bakışta anlayabilirim.
Hemen VMWare sanal makinemi çalıştırıp, hacker / lamer arkadaşın mesajda verdiği bağlantıyı takip ettim. Tahmin ettiğim gibi e-kart görünümünde ve Flash ikonuna sahip bir EXE dosyasına ulaştım.
RegMon, FileMon, TCPView araçlarımı çalıştırıp EXE dosyasını sanal makinemde çalıştırdığımda;
- Yazılımın kendisini aşağıdaki dizine kopyaladığını:
%windir%\system32\wins\setup\msmgrs.exe
- Otomatik çalıştırılmak için Registry kaydı girdiğini
- 213.193.4.18 adresine FTP protokolu ile bağlantı yaptığını
tespit ettim ve casus yazılımın ne amaca hizmet ettiğini anlamak için onu Disassemble etmeye karar verdim.
Ne var ki arkadaş EXE Compressor kullandığından String Table bilgisine ulaşamadım. Ama aşağıda görülen sıkıştırılmamış karakter dizisiden bunun bir Keylogger olduğu anlaşılıyordu.
Şimdi bu hacker / lamer arkadaşın yaptığı, makinedeki klavye girdilerini kaydederek belirli aralıklarla bir FTP sunucusuna yüklemekti. Dolayısıyla casus yazılım, FTP sunucusuna girdilerini gönderebilmek için bir USER / PASS kullanıyordu.
EXE dosyası sıkıştırılmış olduğu için kullanıcı adı ve şifreye ulaşamadım. UPX ile sıkıştırıldığını tahmin ettiğim dosyayı yine UPX ile Decompress etmeye çalıştıysam da başarılı olamadım.
B Planını uygulamaya koyarak, WireShark paket izleme aracı ile yazılımın TCP paketlerini izlemeye aldım ve programın ilk bağlantı teşebbüsünde FTP kullanıcı adı ve şifresini ele geçirdim.
Casus yazılımın FTP sunucusuna bağlandığımda ise manzara korkunçtu! Sayamadığım kadar kişinin tüm özel yazışmalarını içeren yaklaşık 8000 kayıt vardı ve bu kayıtlar eş zamanlı olarak güncelleniyordu.
Makine adları arasında YAZI-ISLERI, OGRENCI-ISLERI, LAB-1, LAB-2 gibi isimlerin ağırlıkta olması, programın yazarının can sıkıntısından ne yapacağını şaşırmış bir üniversite öğrencisi olması ihtimalini kuvvetlendiriyordu.
Bir amme hizmeti yapmak adına FTP bilgilerini değiştirerek tüm kayıtları sildim ve lamer arkadaşa şuradaki notu bıraktım.
Hırsıza yol göstermek gibi olmasın ama lamer arkadaşa acizane tavsiyelerim şunlar olacaktır:
- Kayıtları FTP protokolü yerine HTTP / POST ile gönderirsen olası bir güvenlik duvarına yakalanmazsın ve sunucunu kimse ele geçiremez.
- Gelen veriyi sunucu tarafında makine adlarına göre ayırarak bir veritabanına kaydet ki okunabilirliği kolay olsun.
- Yazılım şirketlerine keylogger yutturmaya kalkmamalısın.
. www.2adam.com.tr
Bu...
ava gidip avlanmış
Hehe
bu arkadaş banada aynı maili atmış!zaten linki tıkladığımda altta yönlendiği görülen http://www.freewebtown.com sitesinden arkadaşı bende takip ettim.tebrik ederim sizi iyi bir çalışma ve yazı.arkadaş birde e kartı gönderen kız adına facebook açmış(yada zaten öyle biri varmış).kız hoşta bir kız
.erkeklere uyarı kanmayın ve bu e kartı yemeyin!milletin işi gücü kalmamış.
unutmadan şunu da yazayım arkadaşın ip adresi de şu: 88.246.152.195
çoluk çocukla uğraşıyoruz ya
IP adresine göre bulunduğu mevki İstanbul / Anadolu Yakasıymış…
Nazlı Yiğitoğlu’nun Facebook profilini ben de gördüm. Profil, bence lamer kişisi tarafından açılmışa benzemiyor. İsim ve soyad benzerliği olabilir…
Nazlı Yiğitoğlu’nun lamer kişisi olma ihtimali zaten hiç yok. Değil keylogger yazmak; iki satır kodu bir araya getirebilen bir hatun görmedim şimdiye kadar…
Ahaha, yapmışssın yine yapacağını. TXT’e bittim zaten.
eXorcist:
iki satır kodu bir araya getirebilen bir hatun görmedim şimdiye kadar…
Şuna bir bak istersen: http://images.google.com.tr/images?hl=tr&q=Jade+Raymond&btnG=G%C3%B6rsellerde+Ara&gbv=2
Assassin’s Creed oyununun programcısı…
Ya erkek arkadaşlarına yaptırmıştır ya da oradan buradan arakladığı kodları;
- “Yaaa maaykıılll bi baksanaaaee buffer overflow diyooooo buuuueeeee
”
- “Kompayll etimmm ama çalışimyuuu
(((”
benzeri kadınsılıklarla çevresindeki erkeklere yaptırmış olma ihtimali yüksektir.
Kadınları beceriksiz olmakla itham etmiyorum. Kadınlardan çok iyi birer senaryo, roman, şiir yazarı olabilir.
Hatta kadınların içsel zekaları daha ağır bastığından sanatsal yönden verimlilikleri erkeklerden daha fazla olabilir.
Ne var ki elektronik eşyalardan ve üzerinde düğmeler bulunan bütün aletlerden uzak dursunlar. Otomobil dahil…
Yapma şimdi…
Jade Raymond dışında ki tüm kadınlara ne dersen de ama Jade Raymond’a deme 
Sıkı bir hayranıyım :S Bundan 1 yıl öncesine kadar bir Fan sitesi açmıştım ona. Kendi hakkında o kadar bilgi, resim, video vs. topladım ki tüm zamanım Jade Raymond’u düşünmekle geçiyordu. İnanın Jade Raymond’ın arkadaşlarından daha fazla tanıyor oldum onu 
Ubisoft’un Assassin’s Creed resmi forum sayfasında geçirdiğim vakitlerse cabası…
Assassin’s Creed oyununun proje lideri olan birisine nsl bunları diyorsun anlayamıyorum…
Murat abi yarıldım notu okuyunca ya
Helal olsun valla.
Burdan tüm alımlı kızlara sesleniyorum. Yormayın bu erkekleri artık yaa. Çok ayıp yapıyorsunuz.
sayın arkadaşlar bu konu biraz sapmış gibi görünüyor
bu mesaj banada geldi silinemiyen bir dosyaydı fakat silmeyi becerdim üstelik antivirüs firmalarıda boş durmamış hemen 2 gün içinde antivirüs yazılımınıda internette yayınlamış. işte adresi:
http://www.incodesolutions.com/threats2/System32Rootwinssetupmsmgrsexe.php
NAZLI YİĞİTOĞLU : Selam muradım, ben bana pas vermediğin o zavallı kızım, pas vermediğinle kalsa gene iyi bide beni bütün millete madara ettin.
neyseki siteye bıraktıgın o mesajı aldımda biraz olsun içim rahatladı.
şu yazıyı kaldır buradan programı geliştirelimde fifty fifty kırışırız, kırışmakla kalmaz bide kırıştırırız
zouahhahahaha
Heheehe, süpermiş elinize sağlık.
“Biz Bu İşi Böyle Yaparız.” hesabı
Şu Nazlı Yiğitoğlu meselesi ne ya Murat usta?
İşin kötüsü, Nazlı Yiğitoğlu diye aratınca ikinci çıkan yer burası oluyor
hadi gene iyisin kız
meşhur oldun sayemizde
hacker nazlı seni
zouhaha
ben turkiyeden coder hacklemeye calisan adam salagin biriymis insan kendi sıkıstırma programiyla sıkıstırır
Bu arada client,server,sıkıstırma programı, vb. kodların source kodlari satilir
beni taniyan tanir site hacklerken hexbooter bilgisayar hacklerken A R E S ‘im
Bana bir kilo RAR decompiler versene Ares…
guncel Eset olmasına ragmen garanti internet (şirket hesabımızdan ) kredi kartı ödemesi yapılarak 5.000 tl bilgimiz dışında alındı
Bilgisayarda bu dosyayı buldum !!!
Msmgrs
Öncelikle geçmiş olsun. Belki yapmışsınızdır ama hiç zaman kaybetmeden gerekli yasal işlemleri başlatın. Takibat sonucunda mutlaka yakalanırlar.
Kesinlikle yasal yolları kullanın
bilgisayarınızdaki hiç bir dosyayı silmeyin, bir image programı ile yedeğini alın başka bir hdd ye ve konuyu bilişim suçlarına götürün.
Ayrıca bankaya karşıda dava açabilirsiniz. Her ne kadar sizlerin hatası olsada bankanında yükümlü olduğu şeyler var be bunlardan sorumlu tutulabiliyorlar.
Bu aralar bilişim suçları kitaplarını okuyorumda oradan biliyorum. Mutlaka yasal süreci kullanın
selam arkadaşlar,
peki ESET bile işe yaramıyorsa ne yapacağız? Bu dosya bende de varmış. tesadüfen tespit ettim. kendim sildim ve bende de eset (nod32) nin hemde yeni versiyonu var.
neyi kullanacağız peki arkadaşlar? tavsiyeniz var mı ?
Evet var. İnternete bağlı ve başka hiçbir amaçla kullanılmayan Saf ve temiz bir windows yada linux ( nhiçbir program yüklenmemiş driverlar hariç tabi ) işini sorunsuzca görür.