Çin, geçmiş yıllarda İnternet politikalarına gelince dikkate değer bir küresel ilgi kazandı; “Baidu” Çin Büyük Güvenlik Duvarı , homebrew Çin İşletim Sistemi (COP) ve daha birçok kendi arama motoru tanıtımı olup olmadığını .
Gelişmelerle birlikte Çin, uzun süredir ürünlerinde arka kapıdan şüpheleniyor : Xiaomi ve Star N9500 akıllı telefonlar en iyi örneklerdir.
Şimdi, Çin İnternet Servis Sağlayıcıları (İSS’ler) ağ trafiği üzerinden Reklamları ve Kötü Amaçlı Yazılımları enjekte ettiklerinden ötürü yakalandılar. Üç İsrailli araştırmacı, Çin’in önde gelen ISS’lerinin , Asya’nın en büyük ağ operatörleri olan China Telecom ve China Unicom adlı ağ trafiğinde yasa dışı bir içerik enjeksiyonu uygulamasına giriştiklerini ortaya çıkardılar .
Çin ISP’leri, müşterinin ağ trafiğini yalnızca önemsiz reklamlarla değil, bazı durumlarda da ziyaret ettikleri web sitelerinde kötü amaçlı yazılım bağlantılarıyla kirletmek için birçok vekil sunucu kurmuştu.
Bir İnternet kullanıcısı, bu Çince ISS’lerin altında bulunan bir etki alanına erişmeye çalışırsa, sahte paket rogue ağ yollarını ayrıştırmak için kullanıcının tarayıcısını yeniden yönlendirir. Sonuç olarak, müşterinin yasal trafiği, İSS’lerden yararlanan kötü amaçlı sitelere / reklamlara yönlendirilir.
Kötü Amaçlı Yazılım ve Reklamlar Nasıl Enjekte Edilir?
Gelen araştırma makalesi başlıklı ‘Ağ Operatörleri tarafından Sitesi Hedefli Yanlış İçerik Enjeksiyon,’ İsrail araştırmacılar taktik şimdi çekirdek ISS’ler genişledi ettiğini yazdı – İnternet şirketleri bu küresel ISP geri kalanı ile bağlantı kenar ISS’ler.
Bu İSS’ler, belirli kullanıcı URL’leri için ağ trafiğini izleyen ve son kullanıcılar ister istemez müşterileri olsun olmasın, değiştirmeye çalışan özel sunucular kurdu.
Enjeksiyon Yöntemleri:
ISP’ler tarafından meşru trafiğe sızmak için çeşitli yöntemler benimsenmiştir. Onlardan bazıları:
1- Bant dışı TCP Enjeksiyonu
ISP’lerin reklamları enjekte etmek için ağ paketlerini değiştirdiği geçmişten farklı olarak, ağ operatörleri sahte paketleri düşürmeden sahte paketler gönderir.
İlginç olarak, ağ paketlerinin durdurulması veya yeniden yazılması yerine, HTTP yanıt paketlerinin klonlanması, ISP’ler tarafından, enfeksiyonu kopyalamak için benimsenmiştir. ISP yasal trafiği klonlar, klonu değiştirir ve her iki paketi de istenilen yere gönderir.
Sonuç olarak, tek bir istek için üretilen 2 paket yanıtı vardır. Bu nedenle, yasal paketi paketin sonuna kadar ulaşırken, paketi kazanmak için sahte dövme şansı vardır.
Klonlanan trafik her zaman meşru olandan önce son kullanıcılara ulaşmayacağından, enjekte edilen trafiğin tespit edilmesi daha zordur.
Ancak netsniff-ng ile yapılan ciddi bir analiz, sahte paketleri yok ederdi.
2) HTTP Enjeksiyonu
HTTP, TCP’yi aktarımı olarak kullanan, durum bilgisi olmayan bir istemci-sunucu protokolüdür. TCP sadece başlangıç paketini kendi alıcısıyla kabul edip ikincisini atarken, sahte paketi ilk etapta alma şansı vardır; enfeksiyon meydana gelmişse.
Burada, kullanıcı HTTP Durum Numarası 200 (Tamam) yerine HTTP Durum Numarası 302 (Yönlendirme) ile bir yanıt alabilir ve diğer yasal olmayan bağlantılara yeniden yönlendirilebilir.
Rogue Paketleri Nasıl Tanımlanır?
1) IP Tanımlama
IP kimlik değeri, her bir paket gönderildikten sonra ardışık olarak artan bir sayaç içerir.
Sahte paket, yasal bir paket olarak maskelenen bir istek yaptıktan sonra hemen döner. Ancak her paketteki zaman damgası, haydut paketini ortadan kaldırmak için yeterli kanıt sağlayacaktır.
Sahte paket, kimlik değeri ile diğer tüm paketlerin tanımlama değerlerinin ortalaması arasındaki en büyük mutlak değere sahip olan pakettir.
2) TTL (Yaşanacak Toplam Zaman)
Alınan her paket, gönderici tarafından, iletim sırasında paket tarafından kapsanan atlama sayısını hesaplayan bir başlangıç değeri içerir.
Paket farklı sayılarda atlama sayısıyla alınırsa, o zaman açık ve yasadışı olanlar arasında bir çizgiyi açıkça çizer.
Sahte paket, TTL değeri ile diğer tüm paketlerin ortalama TTL değerleri arasında en büyük mutlak farka sahip olanıdır.
3) Zamanlama Analizi
Edge ağının girişindeki izleme sistemleri tarafından yakalanan paketdeki zaman damgası, genliği anlayacaktır.
Görünen zaman yakınlığına sahip veri paketi, meşru paketlerin sahte paketlerden eşsiz varış zamanı ile farklılaşmasını sağlayacaktır.
Enfeksiyon Gruplarının Listesi
Genel olarak, 14 farklı İSS’lerin kötü amaçlı geçmişe sahip olduğu tespit edilmiş ve bunların 10’u Çin’den, 2’si Malezya ve 1’i Hindistan ve ABD’den gelmektedir.
Aşağıdaki enjeksiyon grupları ve özellikleri şunlardır:
1. Hao – Kullanıcıyı hao123.com’un kendisine yönlendirdi, ancak kullanıcıları enfekte etmek için bir HTTP 302 yanıt mekanizması kullanıyordu.
2. GPWA – Kumar’in asıl web sitesi, trafiği akıllıca “qpwa” ya yönlendiren başka bir web alanına yönlendirilmişti (bazen, halk, ‘q’ ve ‘g’ arasındaki farkı bulamazdı).
Sahte içerik, kullanıcı tarafından orijinal olarak talep edilenle aynı adı taşıyan bir kaynağa başvuran bir JavaScript içerir, ancak sahte kaynak bir Romen vatandaşına kayıtlı qpwa.org adresinde bulunur.
3. Duba Group – Bu gruptaki enjeksiyonlar, bir web sitesinin orijinal içeriğine, kurbanın duba.net alanındaki bir bağlantıdan bir yürütülebilir dosyayı indirmesini isteyen renkli bir düğmeyi ekler.
Yürütülebilir, çeşitli antivirüs sağlayıcıları tarafından zararlı olarak işaretlenir.
4. Mi-img – Bu enjekte edilmiş oturumlarda, bir Android cihazı gibi görünen istemci, bir uygulamayı indirmeye çalışır. Yönlendirilen yanıt, bir BotScout aramasıyla tanımlanmış çevrimiçi bir bot veritabanına gider.
5. Sunucu Silindi – Bu grupta, enjeksiyonlar yasal yanıtla aynıydı, ancak HTTP üstbilgisinin “Sunucu” nın orijinal değeri değiştirildi.
Saldırı Arkasındaki Güdü
Hem reklam ajansları hem de İSS’ler, kullanıcının trafiğini ilgili sitelere yönlendirerek yararlanır.
Bu uygulama, reklam gelirlerinde ve diğer kârlarda reklamverenlere ve İSS’lere yapılan bir artışı işaretleyecektir.
Araştırmaları sırasında, araştırmacılar çok miktarda Web trafiği kaydettiler ve bu teknikle ilgili olarak 400 civarında enjeksiyon olayı tespit ettiler.
Bu olayların çoğu, Çin ve uzak doğu ülkelerinde ISP’lerle gerçekleşti; trafik, Batı ülkelerinden kaynaklanmış olsa da, Çin’de barındırılan bir web sitesine erişen bir Alman kullanıcısı, trafiği reklamlarla veya kötü amaçlı yazılımlarla enjekte edilmesine de duyarlı.
Nasıl Azaltılır?
Bu tür uygulamalarda yer alan şirketler, kullanıcılara İnternet’i bağlayan son ağ sağlayıcıları olan İnternet İSS’leri olduklarından, İnternet sağlayıcılarını değiştirebilirler.
Bununla birlikte, bu sorunla mücadele etmenin en basit yolu, web sitesi operatörlerinin hizmetlerine yönelik HTTPS’yi desteklemesidir, çünkü kullanıcılara bulaşan tüm web siteleri SSL’sizdir.
Kötü amaçlı URL’leri sağlayan siteler SSL Shield tarafından korunmuyor ve bu da onları yasadışı şeyleri yürütmek için savunmasız hale getiriyor.
Bu nedenle, HTTPS tabanlı web sitelerinin kullanımı bu tür saldırıları engelleyecektir, bu nedenle kullanıcılara yalnızca SSL sitelerine bağlı kalmaları önerilir.
Yasa dışı içeriği sunmak ya da kalabalığı nakit paraya çevirmek, halkın teknolojiye olan güvenini kaybetmesine yol açacaktır.