hack 4 career - 2018 (w/c)script hata ayıklaması · gibi gözünü karartmış olanlara...

1

Hack 4 Career - 2018

(WC)script Hata AyıklamasıBy Mert SARICA on January 1st 2018

Okuyanlarınız Man In The Proxy blog yazıma konu olan bir internet bankacılığı zararlı yazılımını hedef sisteme indirmek ve ccedilalıştırmakamacıyla zararlı bir JScript dosyası (Flash-2017js) kullanıldığını anımsayacaklardır O yazıda okunaklı olmayan (encoded) bu JScriptdosyasının Zararlı JavaScript Analizi başlıklı yazımda olduğu gibi internet tarayıcısı ile basit bir şekilde analiz edilemediğine yer vermiştimBunun sebebi ise JScript dosyasının ccedilalışma esnasında ActiveX ve WScript kullanımına ihtiyaccedil duymasıydı (ldquoWScript is not definedrdquoldquoActiveXObject is not definedrdquo) Internet tarayıcısı ile Jscript dosyasının analiz edilemediği kimi durumlarda hem Visual Studiolsquodan hem deuumlcretsiz suumlruumlmuuml olan Visual Studio Expresslsquoten faydalanabilirsiniz

2

Wikipedialsquoya goumlre Microsoft Windows Script Host (WSH) (eski adıyla Windows Scripting Host) Microsoft Windows işletim sistemineoumlzellik accedilısından BATCH dosyalarına kıyasla ccedilok daha fazlasını vadeden bir betik otomasyon teknolojisidir Birden fazla betik(JScript VBSscript) dosyasını desteklemesi en oumlnemli artılarından birisidir Not olarak VBS hata ayıklaması iccedilin ayrıca VbsEditisimli araccediltan da faydalanabileceğiniz yeri gelmişken soumlyleyeyim

Bu gibi durumlarda JScript dosyasını hızlıca analiz edebilmek iccedilin ilk olarak Visual Studiorsquoda Tools -gt External Tools menuumlsuuml altındaMicrosoft tarafından belirtilen hata ayıklama parametrelerini tanımlamalısınız Ardından analiz etmek istediğiniz JScript dosyasını VisualStudiorsquoda accediltıktan sonra Tools menuumlsuuml altından daha oumlnce tanımladığınız Wscriptrsquoi seccedilerek JScript dosyasını kolayca analiz etmeyebaşlayabilirsiniz

3

4

Yazıma konu olan Flash-2017js isimli JScript dosyasını adım adım hata ayıklama ile analiz etmeye başladığımızda kodun yorum satırlarının(comment) başındaki ve karakterleri sildiğini goumlrebiliyoruz

5

6

Daha sonra script uumlzerinde yer alan gizlenmiş verileri sırasıyla ccediloumlzen ddfddfdcccbcaf() ve acfabbfabdd() fonksiyonları hemen dikkatimiziccedilekecektir Eğer amacımız hızlıca gizlenmiş olan verilerin ccediloumlzuumllmuumlş haline ulaşmak ise bu durumda acfabbfabdd() fonksiyonunun sonundayer alan return komutuna kesme işareti (breakpoint) koymamız durumunda gizlenmiş verilerin ccediloumlzuumllmuumlş haline kolay ve hızlı bir şekildeulaşabiliyoruz

7

Analizin sonuna doğru yaklaşırken Jscript dosyası tarafından httphighetavexyzgete14phpff1 adresine bir istek goumlnderdildiğini ve herdefasında web sunucusundan doumlnen yanıtın farklı (Server-side polymorphism) olduğunu goumlrebiliyoruz ||| değerinden oumlnceki sayısal değerigizlenmiş veriyi ccediloumlzmede de kullandığını oumlğrendikten sonra yukarıda bahsettiğim fonksiyonlar tarafından ccediloumlzuumllen verinin diske 0c03exe(md5 dcfb9cab318417d3c71bc25e717221c2) adı altında kayıt edildiğini ve ardından ccedilalıştırıldığını goumlrebiliyoruz Sonuccedil olarak analizadına internet tarayıcılarının yetersiz kaldığı kimi durumlarda zararlı JScript VBScript kodlarını Visual Studio hata ayıklaması sayesindehızlıca analiz ederek aklınızdaki sorulara yanıt bulabilirsiniz

Bir sonraki yazıda goumlruumlşmek dileğiyle herkese guumlvenli guumlnler dilerim

Not

bull Bu yazı ayrıca Pi Hediyem Var 12 oyununun ccediloumlzuumlm yolunu da iccedilermektedir

The post (WC)script Hata Ayıklaması appeared first on Siber Guumlvenlik Guumlnluumlğuuml

8

Yazıcı Deyip GeccedilmeyinBy Mert SARICA on February 1st 2018

Aylar oumlnce eşimin ihtiyaccedil duyması uumlzerine satın almak iccedilin bir yazıcı (printer) arayışı iccediline girdim En son 15 yıl oumlnce evinde yazıcıbulunduran biri olarak e-ticaret sitelerini gezerken yazıcı fiyatlarının fiyat ve performans accedilısından geccediltiğimiz yıllara oranla ccedilok daha makulseviyelere gelmiş olması beni sevindirdi ldquoİnsanoğlu doyumsuzdurrdquo soumlzuumlnuumln hakkını vererek ucuz olsun tarayıcısı da olsun fotokopi deccedilekebilsin Wi-Fi desteği de olsun mobil cihazdan ccedilıktı da rahatlıkla alınabilsin derken karşıma HP firmasının DeskJet 3630 All-in-Oneyazıcısı ccedilıktı ve 200 TLrsquoye satın aldım

Eşimin ldquokurcalama bozacaksınrdquo haklı isyanlarına aldırış etmeden evimin yerel ağına dahil edeceğim bu yeni cihaza hızlıca goumlz atmayakarar verdim HP Easy Start uygulaması sayesinde 5 dakika gibi bir suumlrede mevcut Wi-Fi ağımın parolasını uygulamaya girerek yazıcıyıkablosuz ağıma kısa bir suumlrede dahil edip kurulumu hızlıca tamamlayabildim Kurulum adımlarında guumlvenlik namına dikkat edilmesigereken hususlara guumlccedilluuml youmlnetim arayuumlzuuml parolasının belirlenmesine dair herhangi bir youmlnlendirme goumlremedim Halbuki bu yazıcı Wi-Fi cihazların kendi aralarında veri alışverişi yapabilmesine de olanak sağlayan Wi-Fi Direct teknolojisine de sahipti Yazıcının kurulumbelgelerine baktığımda yuumlksek guumlvenlik seviyesi iccedilin Wi-Fi ayarının otomatikten manuele değiştirilmesi gerektiği soumlylense de nasılyapılacağına dair kullanıcıya herhangi bir bilgi verilmiyordu

9

Yazıcı uumlzerindeki Wireless ve Information tuşlarına bastığımda Wi-Fi Direct parolasının 12345678 olduğunu oumlğrendim İşin uumlzuumlcuuml yanı isebu kadar basit bir parolanın kurulum esnasında kullanıcı tarafından değiştirtilmesi ccedilok zor olmasa gerekirdi Malumunuz aldığı bir cihazıefendi gibi kullanmak yerine kurcalamayı tercih eden biri olarak aklıma takılan ldquoPeki Wi-Fi Direct iccedilin varsayılan olarak kullanılan bu parolanasıl koumltuumlye kullanılabilirdi rdquo sorusuna yanıt aramaya başladım

10

Zaman zaman nuumlfus kağıtlarıyla işlem yapılan abone merkezlerinden noterlere kadar iş merkezlerinin ve iş hanlarının yoğun olduğuboumllgelerde bu yazıcının ve tarayıcısının aktif olarak kullanıldığını bir hayal edelim Yetkilinin goumlrevlerinden biri de işlem esnasındamuumlşteriden aldığı nuumlfus kağıtlarını taratmak olsun Peki art niyetli bir kişi yazıcıya Wi-Fi Direct uumlzerinden 12345678 parolası ile bağlanıphali hazırda başarıyla tamamlanmış bir tarama işlemine ait goumlruumlntuuml dosyasını yazıcıdan indirebilir mi Bu sorunun yanıtı ne mutlu ki hayırccediluumlnkuuml yazıcı indirilen goumlruumlntuuml dosyasının 2 defa indirilmesine izin vermiyor ve muhtemelen de belleğinden siliyor

Peki bu art niyetli kişi yazıcının durumunu web servis uumlzerinden takip etse ve bir tarama işlemi başladıktan tamamlandıktan hemen sonra 1tarama işlemi de kendi başlatsa ve goumlruumlntuuml dosyasını indirse kimin ruhu duyar Hele bir de bunu Python ile kodladığı bir araccedil ile RaspberryPi uumlzerinde ccedilalıştırırsa işin renginin ne denli değişeceğini az ccedilok tahmin edebiliriz Raspberry Pi tarafı ile ilgili bir ccedilalışma yapmasam daPython ile HP Scanner Thief adında ufak bir araccedil geliştirip bunu koumltuumlye kullanmanın pratikte ne kadar kolay olabileceğini goumlsterme vefarkındalık yaratma adına hızlıca bir ccedilalışma yapmaya karar verdim

HP Scanner Thief aracının temel olarak yaptığı tarayıcının durumunu kontrol etmek iccedilin eSCLScannerStatus sayfasına istekte bulunmakve JobUuid değeri daha oumlnceki değerden farklı ise eSCLScanJobs sayfasına tarama işlemini başlatma isteği goumlndermek ve ardından oluşandokuumlmanı eSCLScanJobs[uuid]NextDocument sayfasından indirmekti

11

HP Scanner Thief aracı sayesinde eğer tarayıcı uumlzerinde bir işlem gerccedilekleştirildiyse ve 20 saniye iccedilinde taranan belge yazıcıdan fizikselolarak alınmadı ise dokuumlmanın dijital olarak ccedilalınması muumlmkuumln olabiliyor bu nedenle youmlnetim arayuumlzuumlnden varsayılan Wi-Fi Directparolasının guumlccedilluuml bir parola ile değiştirilmesi buumlyuumlk oumlnem taşıyor

Bu yazıdan ve ccedilalışmadan ccedilıkarmamız gereken ders guumlnuumlmuumlzde alacağımız cihazları sadece fiyat ve performans accedilısından değil guumlvenlikaccedilısından da değerlendirip satın aldıktan sonra uumlreticinin bize sunmuş olduğu kolay kurulum adımları araccedilları ile yetinmeyip guumlvenliğini(guumlccedilluuml parola gereksiz servislerin kapatılması vs) sağladıktan sonra cihazı ev veya iş ağımıza dahil etmek olacaktır

12


The post Yazıcı Deyip Geccedilmeyin appeared first on Siber Guumlvenlik Guumlnluumlğuuml

Et tu CPCR-505 By Mert SARICA on March 1st 2018

Yeni yeni sunum davetleri almaya başladığım 2012 yılının başında ilk iş olarak kendime kablosuz bir sunum kumandası almaya kararvermiştim Fiyat amp performans accedilısından beni uumlzmeyecek bir tane ararken Codegen CPCR-505 sunum kumandası ile karşılaşıp hemen satınalmıştım Emektar sunum kumandam ile geccedilmiş yıllarda ccedilok sayıda keyifli sunumlara imza atmış olsam da kendisinin Bruumltuumls gibi beniarkadan hanccedilerleyebileceğini oumlğrenmem meğer yıllar sonra ortaya ccedilıkacak ve bu yazıya konu olacakmış

13

Kablosuz sunum kumandası ile sunum yaparken veya sunum yapan birini izlerken aklımı zaman zaman şu soru kurcalardı ldquoSunumuizleyenlerden birisi sunum kumandasını uzaktan hackleyerek sunumu sabote edebilir mi rdquo ldquoMert sen biraz fazla Mr Robot dizisi izlemişsingalibardquo diyenleriniz olduğunu duyar gibi olsam da geccediltiğimiz guumlnlerde bunu oumlğrenmek iccedilin emekter sunum kumandamı yakından incelemeyekarar verdim

Sunum kumandasının uumlreticisi olan Codegen firmasının web sitesini incelediğimde bu kumandanın 24 GHz frekans bandında ccedilalıştığınet olarak ifade edilmişti Kablosuz klavye ve farelerin de bu frekansta ccedilalıştığını Casus Fare başlıklı blog yazım iccedilin yapmış olduğumaraştırmalardan az ccedilok bildiğimden dolayı detaylı bilgi toplama adına USB alıcının iccedilini accedilmakla işe koyuldum

14

15

Alıcının iccedilini accediltığımda karşıma nRF24LU1PA 24 GHz alıcı-verici ccedilip ccedilıktı Ccedilipin uumlreticisi olan Nordic Semiconductorrsquoun web sitesindebu ccedilipe ait olan belgeye baktığımda 125 RF kanal desteği AES şifreleme desteği ve frekans atlamasına sahip olması ilk dikkatimi ccedilekennoktalar oldu

16

2015 yılında Black Hat Guumlvenlik Konferansılsquona gitmişken satın aldığım ve RF Duumlnyası ve Guumlvenlik Duumlnyası blog yazımda da kullanmışolduğum HackRF One cihazı sayesinde sunum kumandası ile bilgisayarıma taktığım USB alıcısının arasındaki haberleşmeyi HDSDRprogramı yardımı ile izlemeye başladım

17

Sunum kumandası frekans atlalaması yaptığı iccedilin veri paketlerini nasıl yakalayıp ccediloumlzeceğim uumlzerine hindi gibi duumlşuumlnuumlrken Bitcrazersquoin Wikisayfasında tam da aradığım konuyu işleyen bir yazı ile karşılaştım Yazıda belirtilenleri harfi harfine uygulayarak sunum kumandası ile alıcıarasındaki fare hareketlerinden sunum kumandasındaki ccedileşitli butonlara (ses yuumlkseltme azaltma vs) basılınca oluşan ccedileşitli veri paketlerini(adres boyut veri) kolayca elde edebildim

Sıra veri paketlerini sunum kumandasının alıcısına goumlndermek iccedilin hangi aygıtla cihazla bu işi gerccedilekleştireceğime karar vermeye gelmiştiHali hazırda elimde bulunan Arduino Uno R3 ve NRF24L01+ 24GHz alıcı verici moduumll ile bu işi gerccedilekleştirebilirdim Bill Gates bir

18

roumlportajında ldquoHer zaman en tembel insanları işe alırım ccediluumlnkuuml tembeller ccedilok karışık işleri bile en kısa yoldan yaparlarrdquo derken benikastetmiş olsa gerek ki Arduino moduumll ve kablolarla şimdi kim uğraşacak diye hayıflanırken aklıma Casus Fare başlıklı blog yazımdakullandığım CrazyRadio PA USB aygıtı geldi Python kuumltuumlphanesi sayesinde işletim sistemi farketmeksizin 5 satırlık bir kod ile istediğimalıcıya dilediğim veri paketini goumlndermem oldukccedila kolay olacaktı scan_channels() fonksiyonu sayesinde aşağıdaki kod ile 50-70 arasındakikanallara (frekans atlama sebebiyle 50-70 arası kanallara goumlndererek veri paketinin alıcıya ulaşma şansını arttırdım) ses yuumlkseltme komutuiccedileren veri paketini goumlnderdim ve başarıya ulaştım )

import crazyradio r = crazyradioCrazyradio() rset_data_rate(rDR_2MPS) AlcVerici adresi rset_address((0x27 0x79 0x70 0x1D 0x86)) Ses yuumlkseltme komutu print rscan_channels(50 70 [0x020xE90x000x000x03])

Tabii ses arttırarak veya azaltarak bir sunumu sabote etmek pek de muumlmkuumln olamayacağı iccedilin sunum kumandasının normalde goumlndermediğiancak sunumun kumandasının alıcısının desteklediği gizli komutları deneme yanılma (brute-force) youmlntemi ile tespit etmeye karar verdimBunun iccedilin de aşağıdaki Python kodunu yazdım

import crazyradio import time r = crazyradioCrazyradio() rset_data_rate(rDR_2MPS) rset_address((0x27 0x79 0x70 0x1D 0x86)) def bruteforce() i = 0 while i

19

Ccedilok geccedilmeden sunum kumandasnda var olmayan ancak sunum kumandasnn alcsnn destekledii ve ekran parlakln azaltmaya yarayan aadaki komutu kefettim Crazy Radio PA USB aygt ile bu komutu alcya birden fazla goumlnderdiimde ekran parlaklna okumay oldukccedila zorlatracak seviyeye kadar indirebildim ki bu gerccedilekten bir sunumu sabote etmek iccedilin yeter ve artard )

[2 111 0 0 3] Ekran parlakln arttryor [2 112 0 0 3] Ekran parlakln azaltyor

Sunum kumandasnn alcsna ayet Casus Fare blog yazsnda olduu gibi klavye tu basma komutlar da goumlnderebilinirse durumun gerccedilek anlamda sistem guumlvenliine tehlikeye atacak bir boyuta gelebileceini de goumlz oumlnuumlnde bulundurarak sunum kumandam bu ccedilalma sonunda emekli ederek ifreli haberleen bir sunum kumandas aramaya koyuldum

Bunun gibi 24 GHz (ISM band) frekans bandnda ifresiz gerccedilekleen benzer tuumlm haberlemelerde (misal dronelar olabilir) bu tuumlr veya benzeri guumlvenlik zafiyetlerinin ortaya ccedilkabileceini de goumlz oumlnuumlnde bulundurmanz hatrlatarak bir sonraki yazda goumlruumlmek dileiyle herkese guumlvenli guumlnler dilerim

The post Et tu CPCR-505 appeared first on Siber Guumlvenlik Guumlnluumluuml

Android Hata AyıklamasıBy Mert SARICA on March 31st 2018

Yıllar iccedilinde Android işletim sistemi yuumlkluuml mobil cihazların pazar payının bir hayli yuumlkselmesi teknoloji meraklıları kadar zararlı yazılımgeliştiricilerinin de dikkatini ccedilekmeyi başardı Oumlyle ki guumlnuumlmuumlzde Windows işletim sistemi kullanıcıları nasıl zararlı yazılımlara karşı ilaveguumlvenlik yazılımları kullanma zorunluluğu hissedip guumlnluumlk işleri arasında aldıkları sıradan bir e-postada yer alan bir bağlantı adresine (link)tıklamadan oumlnce 40 kere duumlşuumlnmek durumunda kalıyorlarsa Android işletim sistemi kullanıcıları da benzer bir paranoya iccedilinde guumlnlerinigeccedilirmeye başladılar Nitekim haksız olduklarını soumlylemem oldukccedila guumlccedil oumlzellikle bankacılık zararlı yazılımlarının gelişimini hem işi hem deoumlzel ilgisi nedeniyle yakından takip eden bir guumlvenlik araştırmacısı olarak son aylarda karşılaştığım zararlı yazılımlar beni bir hayli şaşırtıyor

20

Şoumlyle doumlnuumlp 2012 yılında yayımlamış olduğum Android Zararlı Yazılım Analizi başlıklı blog yazıma baktığımda o zamanlar Android işletimsistemi iccedilin geliştirilmiş olan zararlı yazılımları analiz etmenin ccedilok da zor olmadığını guumlnuumlmuumlze kıyasla statik analizin zararlı yazılımlarıanaliz etmede tek başına yeterli olabildiğini goumlruumlyorum Guumlnuumlmuumlzde ise işin rengi git gide değişip işler zararlı yazılım analistleri iccedilin hergeccedilen guumln daha da karmaşık bir hal alıyor

İlk olarak ~2 yıl oumlnce goumlruumllen ve hem Bakır EMRElsquonin yazısına hem de benim Android Anti Anti-Emulator başlıklı blog yazıma konu olmuşolan ccedilağrı dinleme ve SMS mesajlarını okuma oumlzelliklerine de sahip zararlı yazılımın guumlncel suumlruumlmuuml ile geccediltiğimiz aylarda karşılaştığımdakullanıcı arabiriminin (UI) yıllar iccedilinde geldiği nokta beni fazlasıyla şaşırttı

Kullanıcı arabirimi bir kenara uygulamanın kaynak kodunda okunaklı olmayan karakter dizilerinin (strings) ccedilalışma esnasında oumlzel birfonksiyon ile XOR işleminden geccedilirilerek ccediloumlzuumlluumlyor olması ve ayrıca bazı oumlnemli değerlerin (ip adresi tor adresi vs) AES şifrelemealgoritması ile şifreli bir şekilde saklanıp yine benzer youmlntemde farklı bir fonksiyon ile ccedilalışma esnasında (run-time) ccediloumlzuumlluumlyor olmasıfonksiyon isimlerinin IıIIIııII gibi isimlerle adlandırılmış olması statik analize karşı zararlı yazılım geliştiricisinin azmini ortaya koyuyorduldquoAzmi goumlruumlyorum ve arttırıyorumrdquo dedikten sonra her ne kadar karakter dizilerini ve şifrelenmiş değerleri statik analiz ile ccediloumlzmek zor daolsa pratikte muumlmkuumln olsa da ccedilok daha zor durumlarla karşı karşıya kalındığında hangi youmlntemlerden araccedillardan faydalanılabileceğine buyazıda yer vermek istedim

Windows zararlı yazılımlarını analiz ederken statik analizin yetersiz olduğu noktalarda dinamik kod analizi ve x64dbg IDA Pro gibi araccedillarher daim kurtarcımız olsa da mevzu bahis Android işletim sistemi olduğunda araccedillar ve yetenekleri sınırlı olabiliyor Her ne kadar CasusTelefon başlıklı blog yazımda IDA Pro ile dinamik kod analizi yaptığıma yer vermiş olsam da perde arkasında IDA Prorsquonun Android hataayıklaması (debugging) konusunda stabil olmaması yer yer goumlccedilmesi beni analiz esnasında oldukccedila zorlamıştı

21

Geccediltiğimiz aylarda Fortinetlsquoin guumlvenlik araştırmacılarından biri olan Axelle APVRILLErsquonin Android zararlı yazılım analizini konu alanbir sunumuna bakarken Code Inspect adındaki bir araccedil dikkatimi ccedilekti Daha oumlnce boumlyle bir ticari aracın varlığından haberdar olmamış biriolarak elimin altındaki bu zararlı yazılım uumlzerinde denemeye karar verdim Jadx aracı ile gerccedilekleştirdiğim statik analizde şifreli değerlerinResources dosyasında yer aldığını ve şifre ccediloumlzme işleminin ise comandroidmobileYardimcilari sınıfında yer alan iIIiiIIiiI fonksiyonundagerccedilekleştiğini tespit ettim

22

CodeInspect aracı ile mobilsubeapk dosyasını accedilıp comandroidmobileYardimcilari sınıfında yer alan iIIiiIIiiI fonksiyonu kesme noktasıkoyup GenyMotion oumlykuumlnuumlcuumlsuuml (emulator) uumlzerinde hata ayıklama (debugging) yapmaya başladıktan kısa bir suumlre sonra bu fonksiyon ilegerccedilekleştirilen AES şifrelemesinin anahtarını IV (initialization vector)rsquoyi şifreli verileri ve ccediloumlzuumllen verileri (tor adresi gibi) kolaylıkla eldeedebildim

23

24

Kıssadan hisse guumlnuumlmuumlz Android zararlı yazılımlarını accedilık kaynak kodlu uumlcretsiz araccedillarla analiz etmek her geccedilen guumln daha da zorlaşırkenkullanımı IDA Prorsquodan ccedilok daha kolay ve oldukccedila stabil ccedilalışan CodeInspect gibi ticari araccedillar sayesinde parayı veren duumlduumlğuuml kolaylıklaccedilalabiliyor ve hayattaki analizdeki en değerli şey olan zaman yanınıza kar kalıyor Ticari hata ayıklama aracı satın alma konusunda benimgibi goumlzuumlnuuml karartmış olanlara CodeInspectrsquoin muadili betik desteği de olan JEB aracına da bir goumlz atmalarını da tavsiye ederim


The post Android Hata Ayıklaması appeared first on Siber Guumlvenlik Guumlnluumlğuuml

MetaStrike OperasyonuBy Mert SARICA on May 1st 2018

21112017 tarihinde saat 1616rsquoda Tuumlrkiyersquode bulunan 19 bankanın toplam 535 ccedilalışanına AnnaYaskoprofixkievua e-posta adresindenChanges to the terms başlığına sahip ekinde Swift Changesrtf dosyası bulunan bir e-posta goumlnderildi ve ccediloğu bankanın kullanmış olduğuguumlvenlik sistemleri tarafından ya silindi ya da karantinaya alındı

25

Guumlvenlik sistemlerinde ccedilok sayıda alarma yol accedilan bu şuumlpheli e-posta incelendiğinde başlıkta ve ekindeki dosyada Swift kelimesiningeccedilmesinin yanısıra alıcı listesinde (To) yabancı banka ccedilalışanlarının da dahil olduğu tam 952 kişinin yer alıyor olması ve e-postanın iletigoumlvdesinde (body) herhangi bir metnin yer almaması şuumlpheleri fazlasıyla arttırıyordu E-postanın başlık bilgileri incelendiğinde goumlnderenSMTP sunucusunun gerccedilekten de ProFIX firmasına ait olması ilk olarak bu kurumun hacklenmiş olabileceğine işaret ediyordu Kim buProFIX diye ufak bir araştırma yapıldığında 29 uumllkede 250lsquoden fazla banka ile ccedilalışan 2013 yılından bu yana ise Belarus ErmenistanGuumlrcistan Ukrayna ve Moldovyalsquoda hizmet veren bir SWIFT iş ortağı olduğu anlaşılıyordu

Swift Changesrtf dosyası incelendiğinde ise bu dosyanın iccedilinde Microsoft Office 2007rsquoden 2016rsquoya kadar tuumlm suumlruumlmlerini etkileyen birzafiyeti (CVE-2017-11882) istismar eden bir istismar kodu olduğu ortaya ccedilıktı 14 Kasımlsquoda Microsoft tarafından yaması yayınlanan GitHub

26

uumlzerinde ise 20 Kasımlsquoda istismar kodu yayınlanan bir zafiyet 21 Kasımlsquoda Tuumlrkiyersquodeki 19 bankaya siber saldırı gerccedilekleştirmek amacıylahacklendiği duumlşuumlnuumllen ProFIX isimli bir SWIFT iş ortağı uumlzerinden gerccedilekleştiriliyordu

Bulmacının kayıp parccedilalarını birleştirdikccedile ortaya zamanlaması muazzam senaryosu amatoumlrce ((To kısmında 952 kişinin olması iletigoumlvdesinde metin olmaması vs) kurgulanmış bir siber saldırı girişimi ccedilıktı 952 e-posta adresinin nereden ve nasıl temin edildiği sorusunatam olarak yanıt bulunamasa da sosyal medya uumlzerinde siber guumlvenlik uzmanlarından Huzeyfe OumlNAL ve Furkan CcedilALIŞKANlsquoın tespitlerinegoumlre 25 Eyluumll tarihinde Pastebin sitesinde yer alan bir liste baz alınmıştı 952 e-posta adresi ile Pastebinrsquode yer alan bu liste karşılaştırıldığındae-posta adreslerinin ccedilok buumlyuumlk bir oranının bu liste ile oumlrtuumlşuumlyor olması guumlvenlik uzmanlarını doğrular nitelikteydi

27

22 Kasım tarihinde Carbon Black firmasının blog sayfasında bu siber saldırının oumlzet teknik detaylarına IOCleri ile birlikte yer verildi 30Kasım tarihli FireEye iSight istihbarat raporuna bakıldığında bu grubun 2016 yılından bu yana 19 uumllkedeki finansal kurumları Cobalt Strikesızma testi yazılımı ile hedef alan Cobalt grubu (diğer bir adıyla MetaStrike) olduğu anlaşılıyordu 8 Aralık tarihinde ise Palo Alto Networksfirmasının blog sayfasında bu defa istismar kodunun teknik detaylarına yer verildi

Swift Changesrtf dosyası ccedilalıştırılır ccedilalıştırılmaz Microsoft Officersquoin Microsoft Equation Editor bileşenindeki yığın tabanlı bellek taşması(stack buffer overflow) zafiyetini istismar ederek 1386823412wwexe paylaşım adresi uumlzerinden wexe dosyasını ccedilalıştırıyordu ŞayetWindows SMB protokoluuml uumlzerinden ilgili adrese bağlanamıyor ise ve işletim sistemi uumlzerinde WebClient servisi ccedilalışır durumda ise budurumda WebDAV protokoluuml uumlzerinden tanımlı vekil sunucu (proxy) ayarlarını da dikkate alarak bağlanmaya ccedilalışmaktaydı Bu durum daistismar edilen hedef sistemin ilgili adrese erişip zararlı kodu ccedilalıştırma ihtimalini fazlasıyla arttırıyordu

28

Son zamanlarda gerccedilekleştirilen siber saldırılarda zararlı RTF dosyalarının sıklıkla kullanılıyor olması sebebiyle bu yazı ile şuumlphe duyulanbir RTF dosyasının hızlı bir şekilde nasıl analiz edilebileceğine Swift Changesrtf dosyası oumlzelinde yer vermek istedim Zararlı RTFdosyalarının koumltuuml emellerini gerccedilekleştirebilmeleri iccedilin OLE nesnelerinden faydalandıklarını bildiğimiz iccedilin Didier Stevens tarafındangeliştirilen RTFDump aracı ile kısa bir suumlrede zararlı koda ulaşmak muumlmkuumln olabiliyor

rtfdump aracına -aE parametresi vererek RTF iccedileriğini ASCII olarak goumlruumlntuumllediğimde ilgili OLE nesnelerini bulmak samanlıkla iğnearamaktan farksız olduğu iccedilin -f O parametresi ile sadece OLE nesnelerini listeledim Ardından 7 13 19 ve 25 dizilerine tek tek -s ve -H(hex ccedilıktısı) parametreleri ile baktığımda 7 dizide istismar kodu iccediline goumlmuumlluuml olan ip adresine ve Palo Alto Networksrsquoun yazısına da konuolan WinExec fonksiyonunun adresine (0x430c12) statik olarak ulaştım

29

30

31

Dinamik kod analizi ile de doğrulamak iccedilin ise oumlncelikle Windows Debugging Tools ile gelen Global Flags Editor uumlzerinde bir ayarlamayapmam gerekti Swift Changesrtf dosyası Microsoft Office Word ile accedilıldıktan sonra Microsoft Equation Editor bileşenine ait eqnedt32exeprogramını istismar ettiği iccedilin eqnedt32exe programı accedilılır accedilılmaz x64dbg hata ayıklayıcının devreye gireceği şekilde ayarladım Winexecfonksiyonun adresine kesme noktası koyup adım adım geriye gidip fonksiyon ccedilıkışlarına da kesme noktası koyarak kısa suumlrede ret2libcyoumlnteminden faydalanan istismar koduna ulaşmış oldum

32

Sonuccedil olarak siber saldırı girişimi hazırlanan e-postanın tahminimce aceleye gelmesi (To kısmında 952 kişinin olması ileti goumlvdesindemetin olmaması vs) ve sıfırıncı guumln zafiyeti yerine genele duyurulan bir istismar kodunun (bu sayede guumlvenlik uumlreticileri imzalarını hızlıcaguumlncelleyebildiler) kullanılması sayesinde bildiğim kadarıyla Tuumlrkiyersquodeki herhangi bir bankada başarıya ulaşamadı İstismar kodunungenele accedilık olarak yayınlanmasından 1 guumln sonra bankalarımıza gerccedilekleştirilen bu siber saldırı bankalarımızı finans kurumlarımızı hedefalan grupların ne kadar hızlı bir şekilde organize olup hareket etmesi gelecekte benzer girişimlere dikkat edilmesi gereken hususlara dairoumlnemli ipuccedilları veriyor Yazıma son noktayı koymadan oumlnce bu ve benzeri siber saldırı girişimlerinin başarıya ulaşmasını zorlaştırma adınafinans kurumlarının iccedil ağdan internete doğru WebDAV kullanımını engellemelerinde fayda olacağına inanıyorum


Not Kurum iccedilinden internete doğru WebDAV bağlantısını kontrol etmek iccedilin Explorer uumlzerinden livesysinternalscom adresine gitmeyideneyebilirsiniz

The post MetaStrike Operasyonu appeared first on Siber Guumlvenlik Guumlnluumlğuuml

Hırsız Dostu AlarmBy Mert SARICA on June 1st 2018

Kimi zaman caydırıcı olmalarıyla kimi zaman da hayat kurtarmalarıyla hırsızların baş duumlşmanı olan alarmlar nasıl olur da hırsız dostuolabilirler Yine kendime yeni bir yazı konusu ccedilıkarmak amacıyla meraklı goumlzlerle mağazaların reyonlarına baktığım bir guumlnde iki farklımağazadaki benzer bir hırsız alarmı dikkatimi ccedilekti Alarmların kutularına baktığımda her ikisinin de kızıloumltesi (IR) kablosuz bağlantıteknolojisinden faydalandığı anlaşılıyordu

33

34

35

36

Ccediloğunlukla TV klima vb kumandaları ile hayatımızda yer alan benim gibi lise yıllarında arkadaşları ile tenefuumlslerde Snake oyununuoynayanlar iccedilin ise farklı bir yeri olan bu teknolojinin alarmlarda kullanılması beni oldukccedila şaşırttı Şaşırtmasının sebebi ise Arduinooobaşlıklı yazımda olduğu gibi IRrsquode kullanılan sinyallerinkodların kolay bir şekilde kopyalanabilmesiydi

Bildiğiniz uumlzere evdeki uydu alıcınızın (misal Digituumlrk) kumandası birguumln bozulur ise aynı işleve dış goumlruumlnuumlşe sahip bir benzerini (universalkumanda) Kadıkoumlyrsquoden 10-20 TL karşılığında kolay bir şekilde temin edebiliyorsunuz Bunun kolay olmasının sebebi ise pek tabii yukardabahsettiğim uumlzere IR sinyallerinikodlarının kolay bir şekilde kopyalanabilir olmasıdır

37

Normal şartlarda RF duumlnyasında guumlvenli bir şekilde haberleşen alarm kilit sistemlerinde (misal araba kilitleri) değişken (rolling) kodkullanıldığı iccedilin bir sinyali kopyaladıktan sonra sonsuz defa o kilidi alarmı accedilmak iccedilin kullanamaz (replay) satın aldığınız bir kumanda ilediğer kilitleri olduğu gibi accedilamaz alarmları devre dışı bırakamazsınız Guumlvenli bir şekilde haberleşmeyenlerde ise RF Duumlnyası ve Guumlvenlikbaşlıklı blog yazımda olduğu gibi biraz uğraşmanız gerekebilir

IR duumlnyasında ise değişken kodlar kullanılmadığı iccedilin akla ilk gelen soru ldquobir alarm ne kadar guumlvenli olabilirrdquo oluyor IR teknolojisindenyola ccedilıkarak bu soruya yanıt bulmak iccedilin ilk olarak aynı alarmdan iki tane alırsam birinin kumandası ile diğerinin alarmını devre dışıbırakmak muumlmkuumln olabilir mi sorusuna yanıt aramaya başladım Kutusundan ccedilıkardığım ikinci alarmın kumandası ile birinci alarmı devredışı bırakmam kutusunu zor accedilmam sebebiyle en fazla 2 dakika suumlrduuml )

38

39

Hırsızımız high-tech bir hırsız olsaydı Arduino ile bunu gerccedilekleştirmesi pratikte ne kadar zor olurdu sorusuna yanıt aradığımda ise IR alıcıve verici ile IR kodlarını kopyalamak ve daha sonra hedef alıcıya goumlndermek iccedilin IRLib2 isimli Arduino kuumltuumlphanesinden faydalanarak kısabir suumlrede bu alarmı devre dışı bırakabileceğini de oumlğrenmiş oldum

40

41

Sonuccedil olarak piyasada bulduğunuz her alarmın guumlvenliğinizi sağlayacağına koumlruuml koumlruumlne inanıp satın almadan oumlnce muhakkak arka plandakullandığı teknoloji ile ilgili bilgi edinmeye bakın Bir sonraki yazıda goumlruumlşmek dileğiyle herkese guumlvenli guumlnler dilerim

The post Hırsız Dostu Alarm appeared first on Siber Guumlvenlik Guumlnluumlğuuml

Hayaller Pineapple Hayatlar GL-AR150By Mert SARICA on July 2nd 2018

Evlerimiz başta olmak uumlzere hemen hemen artık hayatın her alanında kullandığımız karşılaştığımız kablosuz internet (wifi) hizmetleribir o kadar da art niyetli kişilerin ilgisini ccedilekmektedir Kahvenizi yudumlayıp haber okumak iccedilin sıklıkla uğradığınız kafelerden birininuumlcretsiz kablosuz internet hizmetine bağlanmaya ccedilalıştığınızda bu defa art niyetli kişinin cihazına (Evil Pi yazısı ilginizi ccedilekebilir) bağlanıyorolabilirsiniz Her sene katılmaktan izlemekten buumlyuumlk bir keyif aldığınız IstSec Siber Guumlvenlik Konferansılsquonda izleyicilerden birinin amacı

42

aşağıda olduğu gibi (2017 yılındaki konferansta ccedilekilmiştir) sizinkinden farklı olabilir ) Ağına duumlşuumlrduumlğuuml kablosuz internet kullanıcılaruumlzerinden iccedil ağa sızmak iccedilin bilgi toplamaya ccedilalışan sızma testi uzmanının amacı ise ccedilok ccedilok daha farklı olabilir

43

44

Mevzu bahis sızma testi olduğunda eminim bir ccediloğumuzun aklına gelecek ilk uumlruumln Wifi Pineapple olacaktır Tabii aklımıza geldiğigibi elimize gelse dediğimizde de yuumlksek fiyatı sebebiyle uzun yıllardır siber guumlvenlik araştırmacıları meraklıları olarak hayallerimizisuumlslemekten oumlteye gidemiyordu Guumlnlerden bir guumln Twitter takipccedililerim arasında yer alan Doğukan UCcedilAK Twitter uumlzerinden aşağıdakimesajı goumlnderdikten sonra Wifi Pineapple alamayanlar iccedilin hayalleri gerccedilekleştirmek iccedilin işe koyulmaya karar verdim

Mesaja konu olan web sayfasını ziyaret ettikten sonra ilk iş olarak DealeXtreme sitesinden yaklaşık 75 TLrsquoye GL-AR150 model mini routersatın almaya karar verdim

45

GL-AR150 elime ulaştıktan sonra ilgili GitHub adresinden GL-AR150 iccedilin oumlzel olarak oluşturulmuş WiFi Pineapple Nanodonanımyazılımını (firmware) indirip kurduktan ve usb bağlantı noktasına WiFi sızma testlerinin vazgeccedililmezi olan TL-WN722N adaptoumlruumlnuumlbağladıktan sonra WiFi ağlarını denetlemek iccedilin oumlnuumlmde bir engel kalmamış oldu

46

47

WiFi Pineapple Nano yuumlkluuml GL-AR150rsquonin doğru bir şekilde ccedilalışıp ccedilalışmadığını kontrol etmek iccedilin ise bu blog yazısını yazarkenkonuşlandığım Starbucksrsquota basit bir test yapmaya karar verdim 38 dakikalık bir testin sonucunda GL-AR150rsquonin etrafta tespit ettiği tuumlmWiFi erişim noktalarını (access point SSID) başarıyla ccediloklayabildiğini teyit edebildim

48

49

Testler esnasında ldquoucuz etin yahnisi yavan olurrdquo soumlzuumlnuuml hatırlatacak bir tecruumlbem olmamış olsa da zaman iccedilinde guumlvenlik araştırmalarındakullandıkccedila bunu ccedilok daha net goumlreceğim Bu yazının Wifi Pineapple Nano alacak buumltccedilesi olmayan siber guumlvenlik araştırmacıları meraklılarıiccedilin faydalı olacağını inanarak bir sonraki yazıda goumlruumlşmek dileğiyle herkese guumlvenli guumlnler dilerim

The post Hayaller Pineapple Hayatlar GL-AR150 appeared first on Siber Guumlvenlik Guumlnluumlğuuml

Biletix VakasıBy Mert SARICA on August 1st 2018

27 Haziran 2018 tarihinde Biletix firması sosyal medya hesapları ve web sitesi uumlzerinden bir guumlvenlik duyurusu yaptı Bu duyuruda 23Haziran 2018 Cumartesi guumlnuuml Ticketmaster İngiltere firmasına dış kaynaklı hizmet sunan Inbenta Technologies tarafından sağlanan vemuumlşteri destek hizmetleri iccedilin kullanılan uumlruumln uumlzerinde koumltuuml amaccedillı bir yazılımı tespit edildiği yer alıyordu Inbentarsquonın bu uumlruumlnuumlnuumln tuumlmTicketmaster International web sitelerinde (Tuumlrkiye de dahil) kullanılmış olması sebebiyle de bazı muumlşterilerinin kişisel verilerine ve oumldemebilgilerine tanımlanamamış uumlccediluumlncuuml kişiler tarafından izinsiz olarak erişilmiş olabileceği belirtilmiş ve ayrıca yaptıkları incelemelere goumlreolaydan sadece bilet alma girişiminde bulunan veya bilet satın almış olan İngiltere tuumlketicilerinin bir kısmının etkilenmiş olabileceğini tespitettikleri belirtilmişti Son olarak da İngilterersquodeki muumlşterilerinden Şubat 2018 ve 23 Haziran 2018 tarihleri arasında ve diğer uluslararasımuumlşterilerinden Eyluumll 2017 ila 23 Haziran 2018 tarihleri arasında bilet almış veya almayı denemiş olanların bu durumdan etkilenmişolabilecekleri soumlyleniyordu

50

Aktif olarak buumlnyelerinde izleme ve muumldahale yapan analistlerden oluşan bir Siber Guumlvenlik Merkezirsquone sahip olan kurumlar Biletixrsquotedoğru gitmeyen birşeyler olduğunu Nisan ayı gibi kullandıkları guumlvenlik teknolojilerinin uumlrettiği alarmları sayesinde oumlğrendiler ) Mayıs ayıitibariyle antiviruumls yazılımlarına gelen guumlncelleme ile Biletix uumlzerinden bilet almaya ccedilalışan son kullanıcılar ise web sitesine goumlmuumlluuml olanhttpticketmastertrinbentacomchatassetsjsinbentajs1503669126 dosyası iccedilin zararlı yazılım uyarısı ile karşılaşmaya başladılar

51

52

Merak kediyi oumllduumlrmeden olayın perde arkasını oumlğrenmek iccedilin zararlı kod iccedileren javascript dosyasına ulaşıp analiz etmek iccedilin işe koyulmayakarar verdim inbentajs dosyasının zararsız suumlruumlmuumlnuuml httpticketmastertrinbentacomchatassetsjsinbentajs adresinden indirip okunaklı(beautified) hale getirdikten sonra VirusTotalrsquodan indirdiğim zararlı kod iccedileren inbentajs dosyası ile kıyasladığımda 18927 satır itibariylezararlı kod ortaya ccedilıkıverdi Zararlı JavaScript Analizi başlıklı yazımda olduğunun aksine bu defa gizlenmiş javascript kodunu sanalsistemimdeki internet tarayıcısı ile ccediloumlzmek (deobfuscate) yerine daha hızlı ilerleyebilme adına IlluminateJs web uygulaması ile ccediloumlzmeyekarar verdim

53

54

Javascript kodunu okunaklı anlaşılır hale getirdikten sonra 2 satırda yer alan hxxpswebfotcemejsformjs web adresi hemen dikkatimiccedilekti Bu adresi Google arama motorunda arattığımda ise ilk olarak 19 Kasım 2017 tarihinde VirusTotalrsquoa akismetjs adı altında yuumlklenip 16antiviruumls yazılımı tarafından tespit edilen okunaklı olmayan inbentajs dosyasının okunaklı bir suumlruumlmuuml gibi goumlruumlnuumlyordu

55

56

inbentajs dosyasında yer alan zararlı javascript kodunun nasıl ccedilalıştığını dinamik olarak analiz edebilmek iccedilin Biletixrsquoin web sitesinegirip sanal sistemimdeki internet tarayıcısı uumlzerinde simuumllasyonunu yapmaya karar verdim Zararlı kodun son satırını incelediğimde bukodun payment kelimesini iccedileren herhangi bir sayfada devreye girdiğini oumlğrendiğim iccedilin oumldeme sayfasına ilerlemek ve simuumllasyonumugerccedilekleştirmek iccedilin goumlzuumlme Shakirarsquonın konserini kestirdim Konser bileti alma işleminin son sayfasına (payment) geldiğimde ise zararlıjavascript kodunu Chrome internet tarayıcısının DevTools aracı ile internet tarayıcım uumlzerinde ccedilalıştırıp sanal sistemim uumlzerinde dinamikolarak analiz etmeye başladım

57

58

Zararlı javascript kodunu peyderpey analiz ettikccedile zararlı kodun oumldeme sayfasındaki forma girilen tuumlm kredi kartı bilgilerini sayfada yer alandiğer bilgilerle birlikte Satın Al butonuna bastıktan sonra hxxpswebfotcemejsformjs adresine goumlnderecek şekilde tasarlandığını goumlrduumlmBunun uumlzerine Fiddler aracını ccedilalıştırıp oumldeme sayfasına geccedilersiz kart bilgilerimi girip Satın Al butonuna bastığımda hxxpswebfotcemejsformjs adresine herhangi bir verinin goumlnderilmediğini farkettim Bunun sebebini oumlğrenebilmek iccedilin Javascript kodunda yer alan try ampcatch kod bloğundaki catch kısmına hata ayıklama amacıyla hatayı ekrana yazdıran ufak bir kod yazdığımda btoa() fonksiyonu kullanılarakBase64 kodlama şeması ile gizlenmeye ccedilalışan ccedilalıntı verideki Tuumlrkccedile karakterlerin hataya yol accedilmasına ve hxxpswebfotcemejsformjsadresine goumlnderilememesine kısaca yuumlzlerce belki de binlerce Biletix Tuumlrkiye muumlşterisinin kredi kartı bilgilerinin duyuruda belirtilen suumlreboyunca ccedilalınamamasına yol accedilan faydalı bir hata olduğunu oumlğrenmiş oldum )

59

60

Sonuccedil itibariyle Inbenta firmasını hackleyenlerin bu zararlı kodu 2017 yılından beri akismetjs gibi farklı isimler altında da kullandığınıgoumlruumlyoruz Biletix vakasına baktığımızda ise şayet zararlı kod tespit edildikten sonra Biletix Tuumlrkiye tarafından zararlı adresin sayfalardankaldırılması dışında oumldeme sayfasında bu kodun ccedilalışmamasına youmlnelik oumlzel bir ccedilalışma yazılım değişikliği yapılmadıysa yazıya konu olandonelerden ve simuumllasyondan yola ccedilıkarak Biletix Tuumlrkiye muumlşterilerinin kredi kartı bilgilerinin zararlı javascript kodu tarafından bu hatasebebiyle belirtilen tarih aralığında ccedilalınamamış olduğunu buumlyuumlk bir mutlulukla varsayabiliriz )

Inbenta oumlrneğinde olduğu gibi 3 parti firmalar uumlzerinden gelebilecek siber saldırılardan korunmanın kesin bir youmlntemi olamasa da websitenize 3 parti siteler uumlzerinden eklediğiniz javascript dosyalarının iccedileriğinin değişip değişmediğini kontrol eden ve şuumlpheli değişikliklerdesizi anında haberdar eden NormShield Sucuri gibi guumlvenlik ccediloumlzuumlmlerinden de faydalanabilirsiniz


The post Biletix Vakası appeared first on Siber Guumlvenlik Guumlnluumlğuuml

Black Hat USA 2018By Mert SARICA on August 26th 2018

Sevgili işverenim Akbanklsquoın ve youmlneticilerimin destekleri ile 2 yıl aradan sonra yeni bir Black Hat USA seruumlveni iccedilin 3 Ağustos sabah saat0500rsquoda yolculuk iccedilin hazırlanmaya başladım Akbank sponsorluğunda (ilk fotoğrafa dikkat )) başlayan ilk uccedilak yolculuğunun ardındanSan Francisco aktarmalı olarak Las Vegasrsquota konferansın gerccedilekleşeceği Mandalay Bay oteline vardığımda Tuumlrkiye saati ile saat 2300olmuş ve jet lag olmamak iccedilin tam 17+ saat uyumamış olmanın verdiği yorgunlukla tam anlamıyla pestilim ccedilıkmıştı Seyahat oumlncesindeTuumlrk Lirasırsquonın aşırı değer kaybetmesi ile Amerikan Dolarırsquonın 511 TLrsquoye kadar yuumlkselmesi nedeniyle hayatımın en pahalı soğuk suyunu(5$ 25 TL) otele vardığımda iccedilerek hızlıca ayıldım )

61

4 Ağustos sabahı saat 1000rsquoda başlayacak olan 2 guumlnluumlk The Security Automation Lab eğitiminin heyecanı ile guumlne erken başladım İlkiş olarak Black Hat kayıt alanına gidip yaka kartımı ve kayıt esnasında verilen Black Hat ccedilantasını aldıktan sonra hızlıca eğitim alacağımsınıfın yolunu tuttum Yolda giderken de her zaman olduğu gibi sizler iccedilin bol bol fotoğraf ccedilekmeyi ihmal etmedim )

62

63

64

65

66

67

68

Daha oumlnce almış olduğum tekik eğitimlere goumlre oldukccedila hafif olan 2 guumlnluumlk bu eğitim boyunca guumlvenlik otomasyon platformu olarakkullanılan Evolve platformu uumlzerinde tehdit istihbaratı toplamaktan sistem uumlzerinde tespit edilen bir zararlı yazılıma muumldahaleye kadarbir ccedilok senaryonun uygulamasını gerccedilekleştirdik Entegrasyon adına manuel gereksinimi ccedilok olsa da oumlzellikle IBMrsquoin Resilient gibi birguumlvenlik otomasyon platformu satın alacak buumltccedilesi olmayan kurumların Evolve platformuna goumlz atmalarını eğitimden edindiğim tecruumlbeyeistinaden soumlyleyebilirim

69

Oumlnceki yıllarda olduğu gibi Black Hat USA ile ilgili olarak orada bulunduğum suumlre boyunca Twitter ve LinkedIn sosyal medya hesaplarımdanmerak edenler iccedilin bol bol paylaşımda bulunmaya gayret ettim Tabii bu paylaşımlara istinaden biri veya birileri de ldquobizi_black_hat_e_goturrdquomesajı ile bloguma DoS saldırısı yaptığı da goumlzuumlmden kaccedilmadı Her daim okurları ve takipccedilileri iccedilin imkanları dahilinde hediye ccedilekilişleriyapan birinin imkanı olsa emin olun Black Hatrsquoe uccedilak kaldırırdı ama maalesef imkansızlıklar )

70

Konferans guumlnuuml gelip ccedilattığında accedilılış konuşması iccedilin 2016 yılındaki ana balo salonu yerine bu defa kendimi Mandalay Bayrsquoin 12000kişilik etkinlik merkezinde buldum 12000 kişilik etkinlik merkezi dolar mı diye biran olsun kendi kendime yanılgıya duumlşsem de accedilılışkonuşmasına dakikalar kala boş koltuk sayılarını seccedilmekte oldukccedila zorlandım Accedilılış konuşmasını yapmak iccedilin her zaman olduğu gibi ilkolarak sahneye Jeff Moss ardından da Googlersquoın Project Zero muumlduumlruuml Parisa Tabriz ccedilıktı Parisa Tabriz konuşması esnasında geccediltiğimiz ayhayata geccedilen ve HTTPS olmayan sitelerin Chrome internet tarayıcısı tarafından guumlvensiz olarak etiketlenmesinin internet guumlvenliği adınabaşarıya ulaştığından bahsetti Benzer şekilde Project Zerorsquonun 90 guumlnluumlk zafiyet yayınlama politikasının (90 day disclosure policy) da baştauumlreticiler tarafından memnuniyetsizlikle karşılandığını ancak Googlersquoın bu konuda geri adım atmaması sayesinde tespit ettikleri zafiyetlerin98rsquoinin 90 guumln iccedilinde uumlreticiler tarafından giderildiğini belirtti Dileyenler muazzam accedilılış videosunu aşağıdan accedilılış konuşmasınıntamamını ise buradan izleyebilirler

Geccediltiğimiz yıllarda olduğu gibi yine paralelde ilgimi ccedileken ccedilok sayıda sunum olması sebebiyle Black Hat USAlsquoin mobil uygulamasıuumlzerinden hangi sunumlara katılacağıma karar vermekte guumlccedilluumlk ccedilektim

71

72

Ccediloğu sunumun sunum dosyası yayınlandığı iccedilin her bir sunuma ayrı ayrı değinmeden her birinini ayrı ayrı incelemenizi tavsiye edebilirimİlk guumlnuumln en ccedilok beğendiğim sunumlarını sıralayacak olursam

bull Zararlı yazılım analizi alanında da ccedilalışmaları ile tanınan Amanda Rousseaulsquonun geliştirip tanıttığı disassembler aracını iccedileren FindingXori Malware Analysis Triage with Automated Disassembly sunumu

bull Guumlvenlik Enstruumlmanlı Sistemi (safety instrumented system) hedef alan ilk zararlı yazılım olarak tarihe geccedilen Triton hakkında detaylıbilgilerin yer aldığı TRITON How it Disrupted Safety Systems and Changed the Threat Landscape of Industrial Control SystemsForever sunumu

bull Donanım yazılımlarına (firmware) gerccedilekleştirilen ccedileşitli saldırı youmlntemlerini ve tekniklerini konu alan Remotely Attacking SystemFirmware sunumu

73

bull Microfostrsquoun sesli asistan uygulamasının koumltuumlye kullanımını goumlzler oumlnuumlne seren Open Sesame Picking Locks with Cortana sunumu

bull İsrailli guumlvenlik araştırmacısının air gap denilen yerel ağlara ve internete bağlı olmayan sistemlerden (faraday kafesindeki de dahil)nasıl veri sızdırılabildiğini ccedilok sayıda youmlntemle goumlsterdiği The Air-Gap Jumpers sunumu

74

Sunumlar arası yine her Black Hatrsquote olduğu gibi hıncahınccedil kalabalığın arasında 3 farklı katta gerccedilekleştirilen sunumlara ulaşabilmek iccedilinepey ccedilaba sarfettim Sunumlardan arda kalan zamanlarda da yine guumlvenlik duumlnyasının buumlyuumlk uumlreticilerinin yer aldığı Business Halllsquoaguumlvenlik araccedillarının tanıtıldığı meşhur Black Hat Arsenallsquoe Black Hat ağına gerccedilekleştirilen siber saldırıları izleyen Black Hat NOC odasınakitapccedilısına ve pek tabii ki okurlarım takipccedililerim iccedilin duumlzenleyeceğim hediye ccedilekilişi iccedilin Black Hat mağazasına ccedilam sakızı ccediloban armağanıhediyeler almak iccedilin uğradım )

75

76

77

78

79

80

81

82

83

84

85

İkinci guumln ise yine aynı yoğunlukta ve tempoda kaldığı yerden devam etti İkinci guumlnuumln en ccedilok beğendiğim sunumları ise

bull Son yıllarda oldukccedila popuumller olan yanıltma (deception) teknolojilerinin nasıl tespit edilip atlatılabileceğini konu alan Real EyesRealize Real Lies Beating Deception Technologies sunumu

bull Sesli doğrulamatanıma sistemlerinin makine oumlğrenmesi (machine learning) ile nasıl atlatılabildiğini goumlsteren Your Voice is MyPassport sunumu

86

bull Devlet destekli siber saldırılarda kullanılan Stealth Mango ve Tangelo isimli mobil casus yazılımların analizini konu alan StealthMango and the Prevalence of Mobile Surveillanceware sunumu

bull Sızma testlerinde sıklıkla kullanılan meşhur mimikatz aracının geliştiricisi Benjamin Delpylsquoin gerccedilekleştirdiği DCShadow saldırısıile Active Directoryrsquoi ele geccedilirmeye imkan tanıyan So I became a Domain Controller sunumu

87

bull Windows Defenderrsquoın antiviruumls oumlykuumlnuumlcuumlsuumlnuumln (emulator) derinlemesine analinizin yer aldığı Windows Offender ReverseEngineering Windows Defenderrsquos Antivirus Emulator sunumu

Emek ve zaman harcanarak gerccedilekleştirilen guumlvenlik araştırmalarını konu alan birbirinden faydalı değerli sunumları atmosferi ve anıları ilebeni oldukccedila tatmin ve memnun eden bir Black Hat USA konferası daha geride kaldı 2016 yılındaki blog yazımın sonunda Cherokee Jeeprsquoihackleyerek uumlnlerine uumln katan Charlie Miller ve Chris Valasek ile olan fotoğrafıma yer vermiştim Bu yazının kapanışını da siber guumlvenlikcamiasının yakından tanıdığı F-Secure firmasının CROrsquosu Mikko Hyppoumlnen ile olan fotoğrafım ile son vermek istedim

3-8 Ağustos 2019rsquoda Black Hat USArsquode goumlruumlşmek hayaliyle (totem) herkese guumlvenli guumlnler dilerim

88

89

90

91

The post Black Hat USA 2018 appeared first on Siber Guumlvenlik Guumlnluumlğuuml

Balkuumlpuuml TespitiBy Mert SARICA on September 3rd 2018

Yaklaşık bir yıl oumlnce Tuzak Sistem ile Hacker Avı ccedilalışmamın planlarını yaparken duumlşuumlk etkileşimli mi yoksa yuumlksek etkileşimli mi (highinteraction) bir balkuumlpuuml sistemi kullanmalıyım ikileminde kalmıştım Aralarındaki temel farka bakıldığında duumlşuumlk etkileşimli olan gerccedilekbir sistemi servisi simuumlle ettiği iccedilin kurulumu youmlnetimi ve guumlvenliğini sağlamak goumlrece daha kolay diyebiliriz Yuumlksek etkileşimli olanabakıldığında ise işin iccedilinde gerccedilek canlı bir sistem olduğu iccedilin kurulumu ve youmlnetimi zahmetliyken guumlvenliğini sağlamak ise izolasyonsebebiyle bir o kadar zorlaşıyor

Youmlnetim goumlzuumlyle değerlendirdiğinizde duumlşuumlk etkileşimli balkuumlpuuml sistemlerinin kullanımı kulağa ccedilok daha pratik gelebiliyor olsa da balkuumlpuumlsistemlerini kullanmanın ana amacı siber saldırganları bu sistemlere ccedilekerek kullandıkları taktikleri teknikleri ve proseduumlrleri (TTP)oumlğrenmek olduğu iccedilin yuumlksek etkileşimli sistemlerin saldırganlar tarafından tespit edilmesi pratikte ccedilok daha zor olabiliyor 6 ay boyuncaccedilalışan tuzak sistemimi hackleyen onlarca siber saldırganın davranışlarını izlediğimde ccediloğu siber saldırgan sistemin tuzak bir sistem olmaihtimaline karşı oumlzel kontroller gerccedilekleştirmemişti dolayısıyla yuumlksek etkileşimli yerel balkuumlpuuml sistemlerini sıkılaştırmak iccedilin ccedilok da ccedilabasarfetmenize gerek kalmayabilir

Bakıldığında duumlşuumlk etkileşimli balkuumlpuuml sistemlerini tespit etmek iccedilin saldırganların Nmap aracı ile bir basit bir tarama gerccedilekleştirilmeleriyeterli olabiliyor bu nedenle balkuumlpuuml sistemini canlı sistemlerin yanına yerleştirmeden oumlnce tanınmaz hale getirmek kullanan bireyler vekurumlar iccedilin buumlyuumlk oumlnem taşıyor Kimi zaman siber saldırganlardan oumlnce USOM zafiyet barındırdığı gerekccedilesi ile internet servis sağlayıcısıile bu sistem oumlzelinde iletişime de geccedilebiliyor )

92

Balkuumlpuuml sistemi denilince ccediloğu kişinin aklına Dionaea gelecektir Dionaea yukarıdaki ekran goumlruumlntuumlsuumlnden de goumlruumlleceği uumlzere varsayılan(default) olarak kurulduğunda Nmap tarafından kolaylıkla tespit edilebilmektedir Dionaearsquoyı tanınmaz hale getirmek iccedilin ise internetteufak bir araştırma yaptığınızda eskiden yeniye ccedilok sayıda kaynağa (1 2 3) ulaşabiliyorsunuz Oumlrneğin MSSQL servisini simuumlle edenDionaearsquoyı tanınmaz hale getirmek iccedilin dionaeamssqlmssqlpy dosyasındaki rVersionTokenTokenType parametresinin 0x00 olan değerini0x01 yaptığınızda Nmap artık 1433 bağlantı noktasında ccedilalışan Dionaearsquoyı tespit edememektedir Dionaea zafiyet barındıran servislerisimuumlle ettiği (low interaction) iccedilin bu kaynaklarda yer alan bilgiler ışığında tanınmaz hale gelen Dionaearsquoyı siber saldırgan goumlzuumlyle tespitetmek pratikte aslında ne kadar kolay bunu araştırmaya karar verdim

Dionaearsquoyı kurmakla zaman kaybetmemek iccedilin Deutsche Telekom tarafından geliştirilen ve uumlzerinde Dionaea da dahil olmak uumlzere ccediloksayıda balkuumlpuuml sistemi bulunduran T-Pot balkuumlpuuml sanal sistemini kurdum Dionaea gibi ufacık tefecik bir balkuumlpuuml sisteminin MSSQLservisini (TDS protokoluuml) tam anlamıyla simuumlle edemeyeceğini duumlşuumlnerek işe 1433 bağlantı noktasından başlamaya karar verdim

93

94

Bir MSSQL sunucusu ile bir istemcinin uygulama seviyesinde haberleşebilmesi iccedilin TDS (Tabular Data Stream) protokoluumlnuuml kullanmasıgerekmektedir TDS protokoluuml ile MSSQL sunucusuna giriş (login) yapabilmek iccedilin ezelden beri muumlmkuumln olan iki tuumlr giriş youmlntemibulunmaktadır Birincisi kullanıcı adı ve parola ile giriş ikincisi ise windows doğrulama (NTLM) youmlntemi ile giriştir Normal şartlardaTDS protokoluumlne goumlre kullanıcı adı ve parola ile giriş yapmaya ccedilalıştığınızda MSSQL sunucusundan gelen yanıtta jeton olarak (token)LOGINACK_TOKEN (0xAD) windows doğrulama youmlntemi ile giriş yapmaya ccedilalıştığınızda ise jeton olarak SSPI TOKEN (0xED) olmasıgelmesi gerekmektedir ancak Dionaea her iki istek iccedilin de aynı sonucu doumlnmektedir )

Windows doğrulama isteğine Microsoft SQL 2008 Server Express suumlruumlmuumlnden doumlnen yanıt

95

Windows doğrulama isteğine Dionaearsquodan doumlnen yanıt

Durum boumlyle olunca Python ile pymssql kuumltuumlphanesinden de faydalanarak hızlıca bu farkı tespit edebilen dionaea_detectorpy adında basitbir araccedil hazırladım Bu araccedil sayesinde Nmaprsquoin tespit edemediği Dionaea bal kuumlpuuml sistemini basit bir kontrol ile tespit ederek art niyetlikişilerin pratikte bunu ne kadar basit bir şekilde tespit edebileceklerini oumlğrenmiş oldum

96

97

Kıssadan hisse balkuumlpuuml sistemi kullanmadan oumlnce yuumlksek ve duumlşuumlk etkileşimli balkuuml sistemlerinin artılarını ve eksilerini baştan sonadeğerlendirip siber saldırganlar tarafından tespit edilmesi zor olanını tercih etmeniz veya zorlaştırma adına mevcut sistemler uumlzerindedeğişiklikler yapmanız sizin veya kurumunuzun yararına olacaktır


Not Ekran goumlruumlntuumlleri T-Pot 1610 suumlruumlmuumlne ait olsa da dionaea_detectorpy aracının T-Potrsquoun son suumlruumlmuuml olan 1710 suumlruumlmuuml ile gelenDionaearsquoyı da başarıyla tespit edebildiği teyit edilmiştir

The post Balkuumlpuuml Tespiti appeared first on Siber Guumlvenlik Guumlnluumlğuuml

Sponsorlu DolandırıcılıkBy Mert SARICA on October 1st 2018

Siber guumlvenlik duumlnyasında olan biteni Twitterrsquodan takip ettiği iccedilin bir goumlzuuml Twitterrsquoda olan bir guumlvenlik araştırmacısı olarak 2018 Ağustosayı itibariyle Twitterrsquoda karşıma banka muumlşterilerini hedef alan sponsorlu oltalama (phishing) reklamlarının ccedilıkmaya başladığını farkettimBaşlarda bu tweetleri sadece Twitterrsquoa bildirmekle yetinsem de takipccedililerimden gelen mesajların sayısının artması ve bu reklamların Ekimayına kadar suumlrduumlğuumlnuuml goumlruumlnce bu konuyla yakından ilgilenmeye karar verdim

98

99

100

101

102

103

104

105

Oltalama tweetlerinden birinde yer alan bağlantı adresini takip ettiğimde dolandırıcıların muumlşterinin internet bankacılığına giriş esnasındakullandığı kullanıcı adını parolasını sms ile goumlnderilen doğrulama kodunu ve ardından da para transferinde kullanılan sms doğrulamakodunu ccedilaldıklarını goumlrduumlm

106

107

108

Ccediloğunuz gibi benim de Twitterrsquoda bu sponsorlu oltalama reklamlarını goumlrduumlkccedile aklıma aşağıdaki bazı sorular ve yanıtları takıldı

109

bull Twitter aylardır birbirine fazlasıyla benzeyen şikayet bildirimlerine konu olan bu oltalama reklamlarını engellemeye youmlnelik nasılbirşey yapamaz

bull Oltalama tweetleri iccedilin kullanılan hesapların bazıları nasıl olur da yıllar oumlnce oluşturulmuş olabilir

bull Birbirine benzeyen bu oltalama tweetleri nasıl tespit edilebilir

Sorulara teker teker yanıt aramaya koyulduğumda kendi kendime ilk soruya yanıt bulmam muumlmkuumln olamasa da Twitterrsquoın bu oltalamareklamları karşısında bu kadar ccedilaresiz (belki de vurdumduymaz) kalmasına oldukccedila şaşırdığımı soumlyleyebilirim İkinci sorunun yanıtınıbulmaya geldiğimde oltalama iccedilin kullanılan hesapların eski tarihli olmasının muhtemel sebebi Twitterrsquoın buradaki yardım sayfasındabelirttiği uumlzere kullanıcı adının değiştirilmesine imkan tanımasıydı Bu bilgiden yola ccedilıkarak oltalama tweetleri iccedilin kullanılan bu hesaplarınkuvvetle muhtemel hacklendiğini ve dolandırıcıların amaccedilları doğrultusunda kullanıldığını soumlyleyebiliriz Sıra son soruya oltalamatweetlerinin nasıl tespit edileceğine yanıt bulmaya geldiğinde ccediloğu mesajda ortak olan kelimelerden (ŞANSLI KİŞİ KATILIM YAPANYUKARIDAK) yola ccedilıkarak Optik Karakter Tanıma (OCR) teknolojisi ile bu tweetleri tespit etme konusunda bir ccedilalışma yapmaya kararverdim

Ccediloğu banka muumlşterisinin karşılaştığı bu oltalama tweetlerini bankaların resmi Twitter hesapları ile paylaştığını goumlrduumlkten sonra aracı hızlıcaaklımda tasarlamaya başladım Aracın temel olarak yapması gerekenler Twitterrsquoda banka isimlerini aramak tweetlerde paylaşılan resimleriindirmek OCR ile analiz etmek ve ldquoŞANSLI KİŞİ KATILIM YAPAN YUKARIDAKrdquo kelimelerini tespit etmesi durumunda e-posta ileuyarmaktı Uydurduğum ldquoDuumlşuumlnmek kodlamanın yarısıdırrdquo soumlzuumlnden yola ccedilıkarak Python ile bu aracı kodlamaya başladıktan kısa bir suumlresonra Tweepy isimli Python kuumltuumlphanesinden faydalanarak geliştirdiğim Phishing Tweet Detector aracı ortaya ccedilıktı

Aracı ccedilalıştırdıktan kısa bir suumlre sonra bir Twitter kullanıcısının banka ile paylaştığı oltalama tweeti bu araccedil tarafından tespit edilmiş vekurumların vatandaşların bu tuumlr dolandırıcılarla muumlcadele edebilmesine yardımcı olabilme adına ortaya koyduğum bir fikrim daha başarıylahayata geccedilmiş oldu )

110

111

Yazıma son noktayı koymadan oumlnce dolandırıcılarla muumlcadele iccedilin oltalama mesajları ile karşılaşanların bunları en kısa suumlrede bankalarınabulunduğu sosyal ağ platformuna bildirmelerinin (Tweetrsquoi bildir gibi) ccedilok ama ccedilok oumlnemli olduğunun altını ccedilizmek isterim

112

113

114

115


The post Sponsorlu Dolandırıcılık appeared first on Siber Guumlvenlik Guumlnluumlğuuml

MatruşkaBy Mert SARICA on November 1st 2018

Her daim oumlruumlmcek hislerinin peşinden koşan bir guumlvenlik araştırmacısı olarak hislerim uzun zamandan beri beni Gmail hesabımın Spamklasoumlruumlne dikkat etmem konusunda uyarıyordu 2006 yılından bu yana aktif olarak Gmail kullanan biri olarak 13 yıl iccedilinde e-posta adresiminNijeryarsquodan Papua Yeni Ginersquoye kadar birccedilok coğrafyadaki istenmeyen e-posta goumlnderen niyeti bozuk kişilerin (spammers) e-posta listelerinegirdiği konusunda şuumlphem bulunmuyordu

Guumlnlerden bir guumln yine spam klasoumlruumlne goumlz atığımda kendimi ccedilok yakışıklı bir film yıldızı gibi hissetmemi sağlayan ccedilok sayıda istenmeyen e-posta olduğunu goumlrduumlm ) Bu e-postalardan yola ccedilıkarak zaman iccedilinde Gmail hesabıma gelip spam klasoumlruumlne duumlşen ekinde zararlı dosyalarbulunan e-postaların sayısı ve bu zararlı dosyaların tuumlruuml (casus yazılım gibi) hakkında bilgi sahibi olmak iccedilin neler yapabileceğimi duumlşuumlnmeyebaşladım Kısa bir suumlre sonra Python ile spam klasoumlruumlne gelen e-postaları izleyen ve e-postaların ekindeki dosyaları bir kum havuzu (sandbox)sistemine yuumlkleyen bir program hazırlamaya karar verdim

Kum havuzu servisi olarak zararlı yazılım analizinde sıklıkla kullandığım ve her daim sonuccedillardan memnun kaldığım arka planda Falconkum havuzu sistemi bulunan Hybrid Analysislsquoi kullanmaya karar verdim Tabii Hybrid-Analysisrsquoin APIrsquosine tespit edilen dosyaları otomatikolarak yuumlkleyebilmek iccedilin kısıtı bulunmayan bir API anahtarı gerekiyordu Neyse ki guumlvenlik araştırmacılarına bunu uumlcretsiz vermelerisayesinde API anahtarına kısa bir suumlrede sahip olabildim

116

Python ile Spam Analyzer isimli bir araccedil hazırlayıp hayata geccedilirdikten kısa bir suumlre sonra bu araccedil Spam klasoumlruumlnde ekinde POdocx isimlişuumlpheli bir dosya keşfetti

117

Spam Analyzer aracı Gmail API uumlzerinden Gmail hesabınıza client_secretjson dosyasında yer alan bağlantı bilgileri ile (GoogleAPI Consolelsquodan da client_secretjson dosyasını indirebilirsiniz) bağlanarak Spam klasoumlruumlndeki tuumlm e-postaları okur ekindekidosyaları attachments klasoumlruumlne kopyalar ve ardından bu dosyaları Hybrid-Analysis sistemine yuumlkler Yuumlklediği tuumlm dosyalarınbilgilerini hashestxt dosyasında saklar Bu dosyaları Hybrid-Analysisrsquoe yuumlkledikten 1 saat sonra ise ilgili Hybrid-Analysis raporunuve dosyanın zararlı olup olmadığı bilgisini yine hashestxt dosyasına yazar

POdocx dosyasını ilk olarak pestudio aracı ile analiz etmeye başladığımda ZoneAlarm dışında herhangi bir guumlvenlik yazılımının bunuşuumlpheli olarak tespit edemediğini goumlrduumlm Dosyayı yaması guumlncel olmayan Microsoft Office 2010 ile accedilıp Fiddler aracı ile izlediğimdeoumlncelikle winwordexe tarafından kısaltılmış hali httpurlz[]fr6uQM uzun hali http23[]249[]161[]109ace olan web adresindensvchdoc dosyasının indirilip ccedilalıştırıldığını ardından da svchexe tarafından httpjopittex[]zapto[]orgwindows adresinden svchost32vbsdosyasının indirilmeye ccedilalışıldığını goumlrduumlm

118

119

POdocx dosyasını Notepad++ ve rtfdumppy araccedilları ile analiz etmeye devam ettiğimde Microsoft Wordrsquoun frameset oumlzelliğinin koumltuumlyekullanılarak (sızma testlerinde de kullanılmaktadır) CVE-2017-8570 zafiyetinin istismar edildiğini goumlrduumlm

120

121

Confuser aracı ile ile kodları gizlenmiş (obfuscation) olan svchexe tarafından indirilip ccedilalıştırılan svchost32vbs dosyası ise ASProtect ilekorunan profileexe dosyasını httpwww[]bluesw[]netwp-adminuser adresinden Public klasoumlruumlne svchostexe adı altında indiripccedilalıştırıyordu

122

123

x64dbg hata ayıklama aracı ile svchostexe (profileexe) programını analiz ettiğimde ise ana zararlı yazılım olan Remcos RAT zararlı yazılımıMatruşka bebeği gibi nihayet ortaya ccedilıkmış oldu

124

Matruşka Rus yapımı bir oyuncak bebek tuumlruumlduumlr Ahşap el yapımı olan bebekler ortasından accedilıldığında başka bir bebek ccedilıkar onuaccediltığınızda yine başka bir bebek ccedilıkar Tek anne figuumlruumlnuumln iccedilerisinde iccedil iccedile yerleştirilmiş beş veya yedi bebekten oluşur


125

Not


The post Matruşka appeared first on Siber Guumlvenlik Guumlnluumlğuuml

Mini Tehdit İstihbaratıBy Mert SARICA on December 3rd 2018

Siber Guumlvenlik Merkezleri tarafından kurumlara gerccedilekleştirilen hedefli siber saldırıları tespit etmenin ve engellemenin oumlneminin yuumlksekolduğu guumlnuumlmuumlzde basit bir kontrol ile tespit edilebilen duumlşuumlk etkileşimli bir balkuumlpuuml sistemi (Bkz Balkuumlpuuml Tespiti) maalesef kurumlar iccedilinkaynakları tuumlketen atıl bir sistem olmaktan oumlteye gidemiyor Halbuki kolay bir şekilde kurup youmlnetebileceğimiz amacına hizmet edebilenbir balkuumlpuuml sistemi yeri geldiğinde SIEM ile entegre edilerek kurumumuz iccedilin oldukccedila değerli bir mini siber tehdit istihbarat servisi olarakda kullanılabilir

Bu ev yapımı mini istihbarat servisi ile ayrıca kurumların hangi basit şifreler ile hangi servisler protokoller uumlzerinden hacklendiğini hangiuumllkelerin siber saldırganlara ev sahipliği yaptığını bulmak da muumlmkuumln olabilirdi Tuzak Sistem ile Hacker Avı ccedilalışmamda olduğu gibi evimdekonumlandıracağım bu sistemin hem basit bir şekilde siber saldırganlar tarafından tespit edilememesi hem de kısıtlı zamanımı ccedilalmamasıadına kolay youmlnetilebilmesi gereksinimlerimin başında geliyordu

Bu konu uumlzerine yeteri kadar duumlşuumlnduumlkten ve taşındıktan sonra accedilık kaynak kodlu ccedileşitli servisleri modifiye edip bu servise yapılan hatalıgiriş denemelerini (failed login attempt) istediğim şekilde kayıt altına alan bir sistem oluşturmaya karar verdim Hangi servisler olacağınakarar vermek iccedilin ise guumlvenlik uzmanları dışında bir o kadar da art niyetli kişiler tarafından da sıklıkla kullanılan ncrack ve THC-Hydraaraccedillarının destekledikleri protokollere goumlz atmaya karar verdim ve guumlnuumln sonunda ssh ftp http postgresql protokollerinde karar kıldımDaha sonra Mini-PC uumlzerine kurduğum XenServer sanallaştırma sistemi uumlzerine iki tane sanal Ubuntu işletim sistemi kurdum Ubuntulardanbirine bu denemeleri kayıt altına alan loginmon isimli aracı bir diğerine loginmon aracının kayıtlarını (log) analiz etmek amacıyla SplunkCommunity suumlruumlmuumlnuuml kurdum

126

Tabii oumlnuumlmdeki en buumlyuumlk engellerden biri bu protokolleri kullanan sunucu bileşenlerinin (sshd postgresql vsftpd gibi) hatalı girişdenemelerinde kullanılan parolaların accedilık (clear-text) olarak kayıt altına almalarıydı bu sebeple her bir sunucu bileşeninin kaynak kodunateker teker muumldahale etmeye başladım

Oumlncelikle openssh-72p2 paketini indirip auth-passwdc dosyasını daha sonra postgres-100 paketini indirip srcbackendlibpqauthcdosyasını ve ardından da vsftpd-303 paketini indirip preloginc ve loggingc dosyalarını parolaların accedilık halini kayıt edecek şekildedeğiştirdim ve derledim

127

128

129

Son olarak ise web sunucusunun ana klasoumlruumlnde oluşturduğum indexphp dosyasının yapılan hatalı giriş denemelerini kayıt altına almasınısağladım

130

131

Python ile geliştirdiğim loginmon isimli aracı da saat başı varlog klasoumlruuml altında yer alan ve accedilık halde saklanan parolaları hatalı girişdenemesi yapan kullanıcı adları ip adresleri ve tarihler ile alıp Splunkrsquoa goumlnderecek şekilde hazırladım

132

Yaklaşık 1 ay sonunda Splunk uumlzerinde biriken ~500000 kayıt uumlzerinde gerccedilekleştirmiş olduğum analizde sistemime gerccedilekleştirilendeneme yanılma ve soumlzluumlk saldırılarının en ccedilok Ccedilinlsquoden gerccedilekleştirildiğini en fazla saldırı alan servisin SSHD olduğunu kullanıcı adıolarak en ccedilok root parola iccedilin ise 1234 ile deneme yapıldığını oumlğrenmiş oldum

133

134

135


The post Mini Tehdit İstihbaratı appeared first on Siber Guumlvenlik Guumlnluumlğuuml

Introduction

(WC)script Hata Ayıklaması

Yazıcı Deyip Geccedilmeyin

Et tu CPCR-505

Android Hata Ayıklaması

MetaStrike Operasyonu

Hırsız Dostu Alarm

Hayaller Pineapple Hayatlar GL-AR150

Biletix Vakası

Black Hat USA 2018

Balkuumlpuuml Tespiti

Sponsorlu Dolandırıcılık

Matruşka

Mini Tehdit İstihbaratı

2

Wikipedialsquoya goumlre Microsoft Windows Script Host (WSH) (eski adıyla Windows Scripting Host) Microsoft Windows işletim sistemineoumlzellik accedilısından BATCH dosyalarına kıyasla ccedilok daha fazlasını vadeden bir betik otomasyon teknolojisidir Birden fazla betik(JScript VBSscript) dosyasını desteklemesi en oumlnemli artılarından birisidir Not olarak VBS hata ayıklaması iccedilin ayrıca VbsEditisimli araccediltan da faydalanabileceğiniz yeri gelmişken soumlyleyeyim

Bu gibi durumlarda JScript dosyasını hızlıca analiz edebilmek iccedilin ilk olarak Visual Studiorsquoda Tools -gt External Tools menuumlsuuml altındaMicrosoft tarafından belirtilen hata ayıklama parametrelerini tanımlamalısınız Ardından analiz etmek istediğiniz JScript dosyasını VisualStudiorsquoda accediltıktan sonra Tools menuumlsuuml altından daha oumlnce tanımladığınız Wscriptrsquoi seccedilerek JScript dosyasını kolayca analiz etmeyebaşlayabilirsiniz

3

4


5

6


7



Not



8




9


10




11



12





13



14

15


16


17



18





19








20





21


22


23

24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


3

4


5

6


7



Not



8




9


10




11



12





13



14

15


16


17



18





19








20





21


22


23

24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


4


5

6


7



Not



8




9


10




11



12





13



14

15


16


17



18





19








20





21


22


23

24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


5

6


7



Not



8




9


10




11



12





13



14

15


16


17



18





19








20





21


22


23

24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


6


7



Not



8




9


10




11



12





13



14

15


16


17



18





19








20





21


22


23

24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


7



Not



8




9


10




11



12





13



14

15


16


17



18





19








20





21


22


23

24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


8




9


10




11



12





13



14

15


16


17



18





19








20





21


22


23

24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


9


10




11



12





13



14

15


16


17



18





19








20





21


22


23

24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


10




11



12





13



14

15


16


17



18





19








20





21


22


23

24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


11



12





13



14

15


16


17



18





19








20





21


22


23

24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


12





13



14

15


16


17



18





19








20





21


22


23

24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


13



14

15


16


17



18





19








20





21


22


23

24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


14

15


16


17



18





19








20





21


22


23

24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


15


16


17



18





19








20





21


22


23

24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


16


17



18





19








20





21


22


23

24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


17



18





19








20





21


22


23

24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


18





19








20





21


22


23

24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


19








20





21


22


23

24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


20





21


22


23

24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


21


22


23

24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


22


23

24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


23

24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


24






25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


25



26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


26



27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


27



28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


28



29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


29

30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


30

31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


31


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


32







33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


33

34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


34

35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


35

36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


36



37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


37



38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


38

39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


39


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


40

41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


41





42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


42


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


43

44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


44



45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


45


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


46

47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


47


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


48

49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


49





50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


50


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


51

52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


52


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


53

54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


54


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


55

56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


56


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


57

58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


58


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


59

60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


60







61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


61


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


62

63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


63

64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


64

65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


65

66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


66

67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


67

68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


68


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


69


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


70



71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


71

72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


72





73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


73



74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


74


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


75

76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


76

77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


77

78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


78

79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


79

80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


80

81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


81

82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


82

83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


83

84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


84

85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


85




86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


86



87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


87




88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


88

89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


89

90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


90

91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


91






92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


92



93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


93

94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


94



95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


95



96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


96

97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


97







98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


98

99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


99

100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


100

101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


101

102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


102

103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


103

104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


104

105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


105


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


106

107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


107

108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


108


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


109







110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


110

111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


111


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


112

113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


113

114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


114

115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


115







116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


116


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


117



118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


118

119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


119


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


120

121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


121


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


122

123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


123


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


124



125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


125

Not







126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


126



127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


127

128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


128

129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


129


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


130

131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


131


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


132


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


133

134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


134

135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


135



Introduction



Et tu CPCR-505





Biletix Vakası

Black Hat USA 2018



Matruşka


hack 4 career - 2018 (w/c)script hata ayıklaması · gibi gözünü karartmış olanlara...

Documents