Sahte işe alım uzmanları, kötü amaçlı kodlama sınavıyla havacılık ve uzay çalışanlarını tuzağa düşürdü
(welivesecurity.com)- İspanyol bir havacılık ve uzay şirketinin çalışanları, LinkedIn’de Meta işe alım uzmanı kılığına giren Lazarus tarafından hedef alındı; işe alım testi gibi görünen dosyaları şirket cihazlarında çalıştırmalarıyla ilk sızma gerçekleşti
- Kötü amaçlı görevler
Quiz1.exeveQuiz2.exeolarak iletildi; “Hello, World!” ve Fibonacci dizisi çıktısından sonra ISO imajı içindeki ek payload’ların kurulumu tetiklendi - Sızmadan sonra DLL side-loading ile NickelLoader, miniBlindingCan ve yeni RAT LightlessCan dağıtıldı; ESET bunu yüksek güvenle Operation DreamJob bağlantılı Lazarus faaliyeti olarak nitelendirdi
- LightlessCan, BlindingCan’in ardılı gibi görünüyor;
ipconfig,net,ping,systeminfo,scgibi Windows komut işlevlerini RAT içinde taklit ederek konsol çalıştırma izlerini azaltıyor - Saldırının amacı siber casusluktu; komutların gömülü olması ve yalnızca kurban cihazlarında şifre çözülecek şekilde tasarlanan yürütme korkulukları, gerçek zamanlı tespiti ve olay sonrası adli analizi daha da zorlaştırdı
LinkedIn işe alım tuzağıyla başlayan ilk sızma
- Lazarus, İspanyol bir havacılık ve uzay şirketinin birden fazla çalışanıyla LinkedIn Messaging üzerinden temas kurdu
- Saldırgan, Facebook, Instagram ve WhatsApp’ın ana şirketi Metanın işe alım uzmanı gibi davrandı
- İşe alım sürecinin bir parçasıymış gibi C++ programlama becerisini kanıtlama talebi kullandı
- Kurban, üçüncü taraf bir bulut depolamaya yüklenmiş
Quiz1.isoveQuiz2.isodosyalarını indirdi ve içlerindeki çalıştırılabilir dosyaları şirket cihazında çalıştırdıQuiz1.exe: “Hello, World!” çıktısı veren basit bir görev gibi gizlendiQuiz2.exe: girilen değerden küçük en büyük elemana kadar Fibonacci dizisini yazdıran bir görev gibi gizlendi- İki çalıştırılabilir dosya, normal konsol uygulamaları gibi girdi ve çıktıyı işledikten sonra ek kötü amaçlı payload’ların kurulumunu başlattı
- İlk payload, ESET’in NickelLoader adını verdiği bir HTTP(S) indiricisiydi
- NickelLoader, saldırganın istediği programları kurban bilgisayarının belleğine dağıtabiliyor
Lazarus’a atıf gerekçeleri ve Operation DreamJob
- ESET, İspanya’daki bu saldırıyı yüksek güvenle Lazarus’a, özellikle de Operation DreamJob ile ilişkili faaliyetlere bağladı
- Kötü amaçlı yazılım, altyapı ve hedefler önceki Lazarus kampanyalarıyla örtüşüyor
- LinkedIn temasından sonra işe alım testi gibi gizlenen kötü amaçlı dosyaların çalıştırılmasını sağlama yöntemi, Operation DreamJob’dan bu yana Lazarus’un kullandığı bir taktik
- 2022’de Hollanda’daki vakada görülen ara yükleyici ve BlindingCan ailesi arka kapısının yeni bir varyantı gözlemlendi
- Araçlarda AES-128 ve 256 bit anahtarlı RC6 şifreleme kullanıldı; bu yöntem Amazon temalı kampanyada da kullanılmıştı
- Saldırgan, 1. aşama C&C sunucusunu doğrudan kurmak yerine güvenliği zayıf veya bakımı ihmal edilmiş mevcut web sitelerini ele geçirerek kullandı
- Havacılık ve uzay şirketlerinin bilgi birikimini çalma hedefi, Lazarus’un uzun vadeli hedefleriyle uyumlu
- BM raporları, Kuzey Kore bağlantılı APT gruplarının hassas teknolojilere ve havacılık-uzay bilgisine erişmek için havacılık ve uzay şirketlerine saldırdığını ele alıyor
Sızma sonrası araç yapısı
- NickelLoader çalıştırıldıktan sonra saldırgan, kurban sistemine iki tür RAT dağıttı
- miniBlindingCan: Lazarus aracı olarak bilinen BlindingCan arka kapısının işlevleri azaltılmış bir varyantı
- LightlessCan: Daha önce herkese açık şekilde belgelenmemiş yeni bir RAT
- Yürütme zinciri, farklı karmaşıklıktaki birden fazla aşamadan oluşuyor; dropper’lar ve loader’lar nihai RAT çalıştırılmadan önce yerleştiriliyor
- Dropper, gömülü payload içeriyor ve dosya sistemine yazmasa bile doğrudan bellekten yükleyip çalıştırabiliyor
- Loader, gömülü şifreli dizi olmadan payload’ı dosya sisteminden yüklüyor
- Başlıca dosyaların çoğu, meşru çalıştırılabilir dosyanın kötü amaçlı DLL yüklediği DLL side-loading yapısında
PresentationHost.exe+mscoree.dll: truva atına dönüştürülmüş NppyPluginDll tabanlı, NickelLoader’ı iletiyorcolorcpl.exe+colorui.dll: LibreSSL 2.6.5 tabanlı, miniBlindingCan’i iletiyorfixmapi.exe+mapistub.dll: Notepad++ için Lua plugin 1.4.0.0 tabanlı, LightlessCan’i iletiyortabcal.exe+HID.dll: Notepad++ için MZC8051 3.2 tabanlı, LightlessCan’i iletiyor
LightlessCan’in başlıca özellikleri
- LightlessCan, Lazarus’un HTTP(S) RAT’i BlindingCan’in ardılı gibi görünüyor; mevcut sürümün dahili sürüm numarası
1.0 - En fazla 68 komutu destekleyecek şekilde yapılandırılmış; mevcut sürümde bunlardan 43’ünün işlevi uygulanmış durumda
- Kalan komutlar yer tutucu biçiminde bulunuyor ancak gerçek işlevleri yok
- Paylaşılan komutların sırası büyük ölçüde korunduğu için BlindingCan kaynak kodu tabanlı gibi görünüyor
- En büyük değişiklik, birçok yerleşik Windows komutunun işlevlerini RAT içinde taklit etme yöntemi
- Uygulanan komut örnekleri arasında
ipconfig,net,netsh advfirewall,netstat,ping,reg,sc,tasklist,wmic process call create,nslookup,schtasks,systeminfo,arp,mkdirgibi komutlar var - Önceki Lazarus saldırılarında bu komutların, saldırgan sistemde tutunma noktası elde ettikten sonra konsolda defalarca çalıştırıldığı vakalar görülmüştü
- Bu yaklaşım, orijinal konsol yardımcı programlarını dikkat çekecek şekilde çalıştırmadan işlemleri RAT içinde yaparak EDR gibi gerçek zamanlı izleme ve olay sonrası dijital adli analiz araçlarının tespitini zorlaştırıyor
- Uygulanan komut örnekleri arasında
- ESET, LightlessCan geliştiricisinin Windows’un temel yardımcı programlarını taklit etmek için kapalı kaynak ikili dosyaları tersine mühendislik etmiş olma ihtimalini güçlü görüyor
- Wine projesinde de çeşitli program uygulamaları var; ancak LightlessCan’in taklit ettiği bazı işlevler Wine uygulamalarından farklıydı veya Wine’da yoktu
NickelLoader sızma zinciri
- NickelLoader, enfekte sistemde çalışan bir HTTP(S) indiricisi ve daha sonra Lazarus payload’larını iletmek için kullanılıyor
- Kurban quiz çalıştırılabilir dosyasını elle çalıştırdığında
PresentationHost.exeotomatik olarak çalışıyor ve aynıC:\ProgramShared\yolundaki kötü amaçlımscoree.dllside-load ediliyormscoree.dll, 2011’de devre dışı kalan General Python Plugins DLL for Notepad++ projesininNppyPluginDll.dlldosyasının truva atına dönüştürülmüş hâli- Meşru
mscoree.dllexport’larını ve özgünNppyPluginDll.dllexport’larını içeriyor; kötü amaçlı kodCorExitProcessexport’unda bulunuyor
- Gömülü şifreli dizinin şifresini çözmek için üç adet 16 karakterlik anahtar kelime gerekiyor
- Üst süreç adı
PresentationHost - İkili dosyaya hard-code edilmiş dahili parametre
9zCnQP6o78753qg8 - Komut satırından iletilen harici parametre
‑embeddingObject - Üç anahtar kelime bayt düzeyinde XOR’lanarak AES-128 şifre çözme anahtarı oluşturuluyor
- Üst süreç adı
- NickelLoader, 5 harfli 4 komutu tanıyor
abcde: olağan uzun sleep gecikmesi olmadan hemen sonraki komutu istiyoravdrq: alınan arabellek içindeki DLL’i yüklüyor ve hard-code edilmişinfoexport’unu çalıştırıyorgabnc: alınan arabellek içindeki DLL’i yüklüyordcrqv: kendisini sonlandırıyor
- ESET, 5 harfli komut yapısından ABD’deki 5 sentlik madeni paranın takma adı olan “nickel”ı çağrıştırdığı için bu payload’a NickelLoader adını verdi
miniBlindingCan yürütme zinciri
- NickelLoader’ın indirip çalıştırdığı payload’lardan biri miniBlindingCan
- BlindingCan RAT’in basitleştirilmiş bir sürümü ve ilk olarak Eylül 2022’de Mandiant tarafından AIRDRY.V2 adıyla raporlandı
- Yüklemede
C:\ProgramData\Adobe\konumunda çalışan meşrucolorcpl.exeve kötü amaçlıcolorui.dllkullanılıyorcolorui.dll, 64 bit kötü amaçlı bir DLL ve VMProtect ile obfuscate edilmiş- Binlerce export içeriyor;
LaunchColorCplsonraki aşamanın çalıştırılmasını yönetiyor
- Dropper, çalışmanın başında analizden kaçınma özellikleri kullanıyor
- PEB yapısındaki
BeingDebuggeddeğerini kontrol ederek anti-debugging uyguluyor - Sandbox ortamı tespitinden kaçınmak için anti-sandbox teknikleri kullanıyor
- Üst sürecin
colorcpl.exeolup olmadığını açıkça kontrol ediyor; değilse hemen sonlanıyor
- PEB yapısındaki
- Nihai payload’ın şifresini çözmek için üst süreç adı, dropper dosya adı ve harici komut satırı parametresinin birleştirilmesiyle oluşan uzun dize XOR anahtarı olarak kullanılıyor
- Örnek sonuç dize:
COLORCPL.EXECOLORUI.DLL669498484488D3F22712CC5BACA6B7A7
- Örnek sonuç dize:
- miniBlindingCan, BlindingCan’e benzer komut işleme mantığına sahip ancak işlevleri büyük ölçüde azaltılmış
- Sistem bilgisi gönderme, iletişim aralığını güncelleme, yapılandırma gönderme ve güncelleme, dosya indirme ve şifre çözme, iletilen shellcode’u çalıştırma gibi işlevleri destekliyor
- Şifresi çözülen yapılandırma 9.392 bayt ve en fazla 260 wide character boyutunda 5 URL içeriyor
LightlessCan basit yürütme zinciri
- LightlessCan’in basit zinciri,
C:\ProgramData\Oracle\Java\konumunda çalışan meşrufixmapi.exeve kötü amaçlımapistub.dllkullanıyor mapistub.dll, Notepad++ için Lua plugin 1.4’ün truva atına dönüştürülmüş bir DLL’i- Meşru Windows
mapi32.dllexport’ları kopyalanmış FixMAPIexport’u sonraki aşamanın şifre çözme ve yükleme işlemlerinden sorumlu- Diğer export’lar, herkese açık MineSweeper örnek projesinin meşru kodlarıyla doldurulmuş
- Meşru Windows
- Bu dropper’da kalıcılık zamanlanmış görev üzerinden ayarlanmış
- ESET, bu göreve ilişkin ayrıntıların sınırlı olduğunu, ancak üst sürecin
%WINDOWS%\system32\svchost.exe -k netsvcs -p -s Schedulegibi göründüğünü belirtti
- ESET, bu göreve ilişkin ayrıntıların sınırlı olduğunu, ancak üst sürecin
- Gömülü verinin şifresini çözmek için üç anahtar kelime kullanılıyor
- Üst süreç adı
fixmapi.exe - Dahili parametre
IP7pdINfE9uMz63n - Komut satırı harici parametresi
AudioEndpointBuilder - Anahtar kelimeler bayt düzeyinde XOR’lanıyor ve sonuç 128 bit AES anahtarı oluyor
- Üst süreç adı
LightlessCan karmaşık yürütme zinciri ve yürütme korkulukları
- Daha karmaşık LightlessCan zinciri; meşru uygulama, ilk dropper, tam dropper, ara dropper, yapılandırma dosyası, sistem bilgisi dosyası, ara loader ve nihai LightlessCan RAT’e uzanıyor
- İlk dropper,
C:\ProgramData\Adobe\ARM\konumunda çalışan meşrutabcal.exetarafından side-load edilen kötü amaçlıHID.dllHID.dll, Notepad++ için 8051 C compiler plugin projesininMZC8051.dlldosyasının truva atına dönüştürülmüş hâliHidD_GetHidGuidexport’u sonraki aşamanın drop edilmesinden sorumlu
- İlk şifre çözme aşamasında üç anahtar kelime gerekiyor
- Üst süreç adı
tabcal.exe - Dahili parametre
9zCnQP6o78753qg8 %WINDOWS%\system32\thumbs.dbdosyasının içeriği olanLocalServiceNetworkRestricted- Üç değer XOR’lanarak 128 bit AES anahtarı oluşturuluyor
- Üst süreç adı
- Oluşturulan tam dropper, InternalName kaynağı olarak
AppResolver.dlldeğerine sahip ve iki şifreli veri dizisi içeriyor- 126 baytlık küçük bir dizi ve 1.807.464 baytlık büyük bir dizi içeriyor
- Küçük dizinin şifresi 256 bit anahtarlı RC6 ile çözülüyor ve
C:\windows\system32\oci.dllileC:\windows\system32\grpedit.datyollarını üretiyor - Büyük dizinin şifre çözme sonucu LightlessCan, ara dropper ve
%WINDOWS%\System32\wlansvc.cplyoluna drop edilen 14.948 baytlık şifreli yapılandırma dosyasını içeriyor
- Tam dropper, enfekte sistemi tanımlayan çeşitli özellikleri
%WINDOWS%\System32\4F59FB87DF2Fkonumuna kaydediyor- Değerler çoğunlukla
Computer\HKLM\HARDWARE\DESCRIPTION\System\BIOSkayıt defteri yolundan alınıyor SystemBIOSDate,SystemBIOSVersion,SystemManufacturer,SystemProductNameve disk denetleyicisi altındakiIdentifierdeğeri dahil- Bu değerlerin birleştirilmiş dizesi, dosya sistemindeki şifreli
grpedit.datdosyasının şifresini çözmek için gerekiyor
- Değerler çoğunlukla
- Bu yapı yürütme korkulukları olarak işliyor
- Payload’ın yalnızca hedeflenen kurban bilgisayarında şifresinin çözülmesini sağlıyor ve güvenlik araştırmacılarının farklı cihazlarında şifre çözmeyi zorlaştırıyor
Tespit kaçınma ve analiz etkisi
- LightlessCan, saldırı sonrası aşamalarda sık kullanılan Windows komut satırı programlarının çalıştırma izlerini büyük ölçüde azaltabiliyor
- Komut işlevlerini dahili uygulamalarla değiştirerek özgün konsol yardımcı programlarını çalıştırmaktan kaçınıyor
- Komut geçmişi log’larında ve gerçek zamanlı tespitte gözlemlenebilir izler azalıyor
- Saldırı zincirinin genelinde birden fazla savunma atlatma tekniği birleştirilmiş
- DLL side-loading
- VMProtect obfuscation
- Dinamik Windows API çözümleme
- Gömülü payload’lar
- Yansıtmalı DLL injection
- Process injection
- Debugger ve sandbox’tan kaçınma
- Dosya sisteminde şifreli araçlar ve yapılandırmalar
- C&C iletişimi de analiz ve tespiti zorlaştıracak şekilde tasarlanmış
- LightlessCan ve miniBlindingCan, C&C ile iletişim için HTTP/HTTPS kullanıyor
- C&C trafiği AES-128 ile şifreleniyor
- Trafik kodlamasında base64 kullanılıyor
- LightlessCan ayrıca veri sızdırma işlevine sahip ve verileri C&C sunucusuna çıkarabiliyor
IoC ve MITRE ATT&CK özeti
- Başlıca ilk dosya IoC’leri
C273B244EA7DFF20B1D6B1C7FD97F343201984B3:%TEMP%\7zOC35416EE\Quiz1.exe, “Hello World” meydan okuması gibi gizlenen ilk dropper38736CA46D7FC9B9E5C74D192EEC26F951E45752:%TEMP%\7zOCB3CC96D\Quiz2.exe, Fibonacci dizisi meydan okuması gibi gizlenen ilk dropperC136DD71F45EAEF3206BF5C03412195227D15F38:C:\ProgramShared\mscoree.dll, NickelLoader dropper’ıE61672B23DBD03FE3B97EE469FA0895ED1F9185D: NickelLoader HTTPS indiricisi
- Başlıca LightlessCan ilişkili dosya IoC’leri
0F33ECE7C32074520FBEA46314D7D5AB9265EC52:%ALLUSERSPROFILE%\Oracle\Java\mapistub.dll, LightlessCan dropper’ıC7C6027ABDCED3093288AB75FAB907C598E0237D:mapistub.dlltarafından drop edilen LightlessCanE18B9743EC203AB49D3B57FED6DF5A99061F80E0:%ALLUSERSPROFILE%\Adobe\ARM\HID.dll, karmaşık zincirin ilk dropper’ı3007DDA05CA8C7DE85CD169F3773D43B1A009318:%WINDIR%\system32\grpedit.dat, karmaşık zincirde drop edilen LightlessCan247C5F59CFFBAF099203F5BA3680F82A95C51E6E:%WINDIR%\system32\oci.dll, ara dropper
- C&C, ele geçirilmiş meşru siteleri kullanıyor
bug.restoroad[.]comhurricanepub[.]comturnscor[.]commantis.quick.net[.]plwww.radiographers[.]orgkapata-arkeologi.kemdikbud.go[.]idbarsaji.com[.]mxwww.keewoom.co[.]krkerstpakketten.horesca-meppel[.]nlkittimasszazs[.]hunrfm[.]lk
- MITRE ATT&CK açısından sosyal medya keşfi, spearphishing bağlantısı ve hizmetleri, kötü amaçlı dosyanın kullanıcı tarafından çalıştırılması, zamanlanmış görevler, DLL side-loading, yürütme korkulukları, komut geçmişi log’lamasının zayıflatılması, web protokolü C&C, simetrik şifreli kanal ve C2 kanalı üzerinden veri sızdırma gibi tekniklerle eşleştiriliyor
1 yorum
Hacker News yorumları
Evden yapılan bir LeetCode ödeviyle sızmaları akıllıca olmuş
Apple yazılımı geliştiriyorum; Xcode projeleri oldukça derinlere girebiliyor. Apple, indirilen bir projeyi açarken uyarı gösteriyor ama bunu ev ödevi sanınca insan çoğunlukla görmezden geliyor
Çevrimiçi ödevlerin de sıkıntılı erişim izinleri isteme ihtimali var ve bu hedeflerin şirketin kritik varlıklarına epey yüksek erişimi olma olasılığı da büyük. Elbette kimse iş aramak için şirket kaynaklarını kullanmaz, ama bunun oldukça sık yaşandığını söylerseniz buradaki herkes hassas tepki verir
Bir aday kendi projesinin REPL’ini bile açamadı; uğraşıp durduktan sonra “keşke şirket bilgisayarını kullansaydım” diye mırıldandı. Kişisel bilgisayarında en temel çalıştırma bile olmuyorsa, ödevi şirket bilgisayarında yaptığı anlamına geliyordu
1996’da kişisel e-posta adreslerinin bugünkü kadar yaygın olmadığını hesaba katmak gerek, ama yine de acemi bir hataydı. Uzun zamandır şirket bilgisayarında kişisel iş yapılmaz ilkesine uyuyorum, ancak bu yaygın bir tutum değildi
Mükemmel bir çözüm olmayabilir, ama tüm build adımlarının sandbox içinde çalıştığı bir modda projeyi açabilmek iyi olurdu. Başarısız olursa ne yapmaya çalıştığına bakarsınız
Açıkçası çoğu iş arkadaşımın aynı düzeyde durum tespiti yaptığını sanmıyorum
İnsanların mevcut şirket ekipmanıyla ev ödevi, headhunter e-postaları ve başka şirketlerle mülakat telefonları yaptığını her gördüğümde şaşırıyorum
Bunu yaptığını söyleyen çok kişi var ama anlamıyorum. Olası sonuçları çok fazla. Fazla hevesli bir yönetici, sırf öğrendiği için kişisel bağlantılarını kullanarak gelecekteki işverenimi beni işe almamaya ikna etmişti
Etik dışı ya da yasa dışı olsa bile bunlar gerçekten oluyor; büyük teknoloji şirketlerinde de aynı. İş arama faaliyetinin ayrıntılarını işverenle gönüllü olarak paylaştığını düşününce tuhaf geliyor. İş ve özel hayat din-devlet ayrılığı gibi ayrılmalı değil mi diye düşünüyorum
Yazılım geliştiriciler ve dizüstü bilgisayar alabilecek durumdalar. Benim karıştırarak kullandığım en uç nokta, küçük, hafif ve Bluetooth’lu şirket dizüstüsüyle bulaşık yıkarken zararsız YouTube videoları izlemek. Eskiden ara sıra ofiste çıktı almak için de kullanırdım
Riskin büyük olduğuna ve yapılmaması gerektiğine tamamen katılıyorum; ama insanlar derin düşünmez ya da sürekli tetikte olmazsa gayet yaşanabilir
Neden gereksiz risk eklenir anlamıyorum. Belki de o gerilimi seviyorlardır
Kurbanın işlevi C++ ile yeniden oluşturması gerektiği bahanesiyle .exe dosyası mı göndermişler? Birinden .exe dosyası aldığınız anda bunun bir saldırı olduğu ya da en azından gönderen kişinin inanılması güç derecede teknik açıdan yetersiz olduğu güçlü bir işaret olmalı
Gerçi Windows 95 dönemini yaşamış biri olduğum için böyle düşünüyor da olabilirim. Bazı derslerin her nesilde yeniden öğrenilmesi gerekiyor gibi
Garip bir test istenip de “o zaman yapmam” diyen kaç kişi olduğunu bilemeyiz. Günümüzde uygulamaları sandbox’ta çalıştırmak epey kolayken bunu yapmamak aptallık. Sandboxie ücretsiz ve her zaman çalışacağı garanti değil, ama başarılı olabilirdi; en azından tuhaf davranışları görünür kılma olasılığı yüksekti. Windows Pro’da da bir süredir yürütülebilir dosyaları sandbox’ta çalıştıran sağ tık menü seçeneği vardı
Başlığı görünce ilk başta IDE üzerinden bulaşma sandım. “Bu projenin yazarına güveniyor musunuz?” gibi soruların olmasının bir nedeni var; VS Code’da ise Git ayarları hilesiyle istemden önce kod çalıştırmak bile mümkün
Program çalıştırırken dikkatli olurum, ama bir işe alımcı kodlama ödevini Git deposundaki tamamlanmamış proje biçiminde gönderirse “kod çalıştırmaya izin ver” düğmesine basma olasılığım yüksek. Özellikle uzaktan mülakatta kodu canlı izleyip “probleme yaklaşımını göreceğim” derlerse daha da olası. Bu saldırı şu an çok temel, ama ilk bulaşmayı zamanında tespit etmeyi zorlaştırmak hiç de zor değil
İndirilen ya da ekli yürütülebilir dosyayı çalıştırmaya ikna etmek basit ama hâlâ etkili görünüyor. Daha kötü niyetli ve etkili yöntem, “ödev” projesinin bulunduğu bir GitHub deposuna yönlendirip, kurban kendi çözümünü test ederken saldırganın istediğini yapan ele geçirilmiş bir pakete referans vermesini sağlamak olurdu
Sıradan bir script kiddie olmadıklarını biliyorum, ama karşı saldırı denesem nasıl tepki verirlerdi merak ediyorum. Bana .exe verip çalıştırmamı söylerlerse çalıştırmam; hex editöründe açıp incelerim. “hello world” ya da Fibonacci üreteci olduğu iddia edilen bir dosya beklenenden çok daha büyükse ya da şifrelenmiş gibi görünen veri veya obfuscation girişimleri içeriyorsa çalıştırmam
Kaynağı kilitleyip ayrıntıları adaydan adaya değiştirebilirseniz, internete konmuş çözümler işe yaramaz
Devlet programları için danışmanlık yaparken özgeçmişimi bilinçli olarak internete koymadım.
Bir casusun işine yarayacak erişim yetkilerim yoktu ama bazı anahtar kelimelere bakınca öyle görünebilirdi. LinkedIn’de anahtar kelime aramasına takılan herkese spam gönderen işe alımcılar gibi.
Her türlü güvenlik olayını bildirmem gerektiğini biliyordum; temkinli bir bürokrasi olayı ele alırken sözleşmemin ve gelirimim kesilebileceğini düşünüyordum. Bu yüzden çevrim içi özgeçmişimi kaldırdım ve rastgele bir hırsızın yanlışlıkla iş dizüstü bilgisayarımı çalmasını önlemeye yönelik tedbirler de aldım.
Artık o işi bıraktığım için herkes gibi LinkedIn’de Junior Python Leetcode Hazing Engineer tarzı işe alım spamlerinin keyfini çıkarıyorum.
Bazı pozisyonlarda veya sektörlerde istihdam durumunu kamuya açık etmemek, hedefli saldırıları önlemek için sıradan bir güvenlik önlemi olabilir. Gerçek dünyadan düşünürsek, CIA ajanları yabancı ülkelerde üzerinde CIA damgası olan kartvizitler dağıtmaz.
Ben de benzer şekilde bazı kişilerin nerede çalıştığımı bilmemesini tercih ederim ama mevcut işyerinden bahsetmeyen eski bir özgeçmişi çevrim içi bırakmanın sorun olmayacağını düşünüyorum. İK sorumlusundan da adımın herkese açık “ekibimiz” sayfasına asla konmamasını istemiştim.
Yan etkisi olarak, hedefli saldırılara yanıt yöntemlerini ve phishing e-postası örneklerini gösteren zorunlu kurumsal güvenlik eğitimlerinde her seferinde gülüyorum. Şimdiye kadar sızma testi firmasının denemeleri dışında tek bir hedefli phishing bile almadım.
Hangi aptal şirket ekipmanıyla kişisel iş yapar ki, diye düşünüyorum.
Yoksul insanlardan değil, kendi kişisel ekipmanını alacak kadar parası olanlardan bahsediyorum.
Kişisel bilgisayarım, video oyunları da çalıştırabilen bir tür ısıtıcı; bu yüzden varsayılan olarak onu kullanmıyorum. Üçüncü bir cihaz alacak durumum var ama o parayla daha iyi şeyler yapabilirim.
Elbette şirketin güvenlik kurallarına uymaya çalışıyorum. Şirkete güveniyorum. Tarayıcı çerezlerimi emanet edemeyeceğim bir şirkette çalışmak istemem. Yaşadığım yargı bölgesinde yasalar da benden yana. Şirket hoşlanmadığı bir şeyi şirket dizüstü bilgisayarında yaptım diye beni işten çıkaramaz; çok geçerli bir gerekçesi olması gerekir.
Üniversite stajyeriyken ve çok daha yoksulken ben de aynı şeyi yapmıştım.
Oturum açmıyorum; iş dizüstü bilgisayarıyla film izlemek gayet keyifli.
Bu olayda kurban bir havacılık-uzay şirketinde çalışıyordu. O sektörden bazı insanları tanıyorum; hepsi akıl almaz derecede uzun saatler çalışıyor. Üstelik İspanyol bir şirket olduğu için günde 10 saatten fazla çalışmak normal kabul ediliyor olabilir.
Biraz farklı bir konu ama Kuzey Koreliler devlet çalışanı olana kadar internete neredeyse hiç erişemiyorsa Lazarus/HIDDEN COBRA’nın nasıl bu kadar sofistike bir devlet destekli saldırgan olabildiğini merak ediyorum.
Modern güvenlik araştırmalarına, açık kaynak projelere, programlama materyallerine ve gerçekten yayılan kötü amaçlı yazılımlara erişim olmadan üstün bir hacker kuşağı yetiştirmek zor olmaz mı? Belki de güvenlik duvarını aşanları yakalayıp onlara birimlerde iş teklif ediyorlardır.
Ayrıca hacker’ları nasıl eğittiklerini düşündüğünü de merak ediyorum. React nightly build ile yapılacaklar uygulaması yapmayı öğretmekle olacak iş değil. Muhtemelen Ethernet ve TCP/IP stack’ini yapan insanlardan daha iyi ezberlemişlerdir ve tersinden de okuyabilirler; bu bile pek çok şeyi hacklemek için yeter.
Gıda, elektrik vb. pek çok şeyin kıt olduğu bir ülkede bu çok imrenilen bir meslek. Daha fazlasını öğrenmek isterseniz Lazarus Heist podcast’ini dinleyebilirsiniz.
Bölgemizdeki 300 personel tedarik firmasından yalnızca 23’ünün gerçekten hizmet olarak yasal şekilde faaliyet gösterme izni olduğundan şaşırtıcı değil.
Hangisinin sahte, hangisinin gerçek olduğunu doğrulamaya çalışmak, çoğu şirketin ve adayın pek çekmek istemeyeceği bir ip.
Sahte işe alım dolandırıcılığı da var. Çalışana cazip bir yan hak ve ücret paketi sunup onu şirketten koparıyorlar; ardından rakip firma verileri çıkarıyor ve deneme süresi bitmeden, genellikle 6–10 ay içinde kişiyi işten çıkarıyor. Çeşitli kötü niyetli aktörler abartılı vaatlerle birlikte enfekte PDF’ler de yayıyor.
Dikkatli olmak gerek; 86Box, Bochs/kvm gibi salt okunur backing image ve oturumları destekliyor: https://github.com/86Box/86Box/releases
Apple M1 dizüstü bilgisayarlarda da çalışıyor ama yavaş.
Bu tür kötü şeyler gerçekten oluyor.
2019’da merkez ofisin sağladığı ücretsiz Wi‑Fi üzerinden dizüstü bilgisayarım hacklendi ve tüm SSH anahtarlarımı değiştirmek zorunda kaldım.
“İki kötü amaçlı çalıştırılabilir dosya… ilki Hello World projesi… ikincisi ise girdi değerinden küçük en büyük elemana kadar Fibonacci dizisini yazdırıyor” denmesi, bir şeylerin ters gittiğinin ilk işareti olmalıydı.
Meta olsaydı LeetCode medium veya hard ile başlardı.
Bu web sitesinin güvenliği harika.
Sayfa içeriğini kaydırırken ok tuşlarını kullanmayı engellemişler. Kesinlikle klavye üzerinden gelen bilinmeyen bir saldırı vektörü yüzünden. Müthiş.