TTWEB Virüsü Nedir ? Nasıl Temizlenir ?

Eski modemlerdeki DNS kaydını değiştiren TTWEB virüsü nasıl bulaşıyor ? Virüsten Kurtulmak için neler yapılmalı ? Makalemizde bu soruları cevaplıyoruz.

Geçtiğimiz günlerde birçok kullanıcı internete girmek istediğinde karşısında TTNET’in renklerini hatta adını taklit eden ve bilgisayarlarına “TTWeb” adında bir yazılım indirmelerini isteyen bir sayfa ile karşılaştı. Bu sayfanın TTNET ile en ufak bir alakası yok, kullanıcıları kandırmayı amaçlıyor. Binlerce kullanıcıyı etkileyen bu zararlı nasıl bulaşmıştı peki?

CSRF Açığı

CSRF (Cross-site request forgery), Türkçe’ye kabaca “Siteler Arası İstek Sahteciliği” olarak çevrilebilir. Saldırgan herhangi bir web sitesinde sıradan bir bağlantının altına, modeminizdeki DNS adresini değiştirebilecek bir kod yerleştirebiliyor. Örneğin webde gezinirken bir foroğrafı görmek için tıkladığınızda aslında modeminizdeki DNS adresini değiştirmiş oluyorsunuz. Saldırganlar ufak bir kod ile modeminizdeki DNS adresini, sizi zararlı web sitelerine yönlendirmek amaçlı özel olarak hazırlanmış başka bir DNS sunucusunun adresi ile değiştirilebiliyor.

Olayı biraz daha basite indirgemek için şu senaryoya bir göz atalım:

1. Yeni bir ADSL modem aldık ya da bir servis sağlayıcı bize bir ADSL modem verdi.
2. Modemin ayarları yapılmış durumda ve bizim tek yapmamız gereken şey kablo bağlantılarını yapıp internete girmek.
3. Modemi kullanan tek kişi biz olduğumuzdan varsayılan modem giriş şifresini değiştirmiyoruz.
4. Artık internette dolaşmaya başlıyoruz. Facebookta arkadaşımızın paylaştığı bir gönderiye tıklıyoruz ve bu bağlantı aslında modemimizdeki DNS sunucusunu değiştiriyor.

Peki bu nasıl oldu ? 

1. Tıkladığınız bağlantının ucunda aslında zararlı bir kod vardı ve bu kod devreye girdi.
2. Söz konusu kod modem arabirimine bağlanarak DNS adresini değiştirdi.

Peki nasıl oldu da modem arabirimindeki DNS adresi bu kadar kolay değiştirebildi ? Bunun nedeni aslında çok basit: Servis sağlayıcılar tarafından verilen modemlerde genellikle standart kullanıcı adı ve şifre kullanılmakta. Hattı bazı servis sağlayıcılar kablosuz ağ için bile bütün müşterilerine aynı şifreyi atamış durumda. Saldırgan halihazırda modem arabirimine girmek için kullanılan kullanıcı adının admin, şifrenin de servis sağlayıcı firma ismi olduğunu biliyor. Artık tek  yapması gereken bunu bir kod haline getirmek. Burada da da JavaScript devreye giriyor. Çok detaya girmeyeceğim fakat tek bir JavaScript dosyası ve üç satır kod ile saldırganlar modeminizdeki DNS adresini değiştirebiliyor. Merak edenler için bu blog yazısı iyi bir kaynak olacaktır.

Uzaktan Yönetim

“Ben internette çok dikkatliyim. Bugüne kadar bilgisayarıma hiç virüs bulaşmadı ama nasıl olduğunu bilmiyorum, bana da TTWEB virüsü bulaştı” diyorsanız olayın çok daha vahim bir boyutundan bahsetmemizde fayda var. TTNET, Superonline ve D-SMART gibi birçok servis sağlayıcı, kullanıcılara daha iyi hizmet verebilmek için kampanya dahilinde hediye ettikleri modemlerde uzaktan erişimde kendilerine özel, sadece kendi erişimlerine açık IP adreslerini açık bırakıyorlar. Kullanıcı herhangi bir sorun yaşadığında İnternet Servis Sağlayıcı (ISS), uzaktan modeminize bağlanıp ayarları değiştirebiliyor.

Ücretsiz dağıtılan modemlerin varsayılan kullanıcı adını ve şifresini bilen saldırganlar, kullanıcı şifreyi değiştirmediyse ya da kolay bir kullanıcı adı ve şifre kombinasyonu kullanıyorsa söz konusu yüzbinlerce cihaza ICMP kullanılarak ping taraması yapıyor ve cevap veren IP adreslerine HTTP üzerinden saldırıyor. Akabinde de modemin içerisindeki DNS adresini değiştirip kullanıcıyı zararlı sitelere yönlendirebiliyor.

Modeminizdeki DNS adresi değiştirildiğinde siz adres satırına girmek istediğiniz siteyi dahi yazsanız o site yerine başka bir siteye yönlendirilebiliyor ya da sitenin sahte olan birebir kopyası ile karşılaşabiliyorsunuz. TTWEB olayında saldırganlar tecrübesiz kullanıcıları TTNET’e aitmiş gibi gözüken bir siteye yönlendiriyor ve buradan da zararlı yazılımı indirmelerini talep ediyor. Söz konusu zararlı yazılım tarayıcılara bulaşarak her türlü kişisel bilgilerinizi çalabiliyor. Yine modemdeki DNS adresi değiştiğinden bir banka sitesine girmek istediğinizde modem söz konusu sorguyu Servis Sağlayıcı’ya ait DNS’ye değil, saldırganın yerleştirdiği DNS’ye soruyor ve sonuç olarak kendinizi bankanın web sitesine birebir benzeyen bir sitede buluyorsunuz. Burada da banka bilgilerinizi kolayca saldırganın ellerine teslim etmiş olabiliyorsunuz. Sonuçta ne servis sağlayıcınızın ne de modem üreticinizin burada sonradan müdahale etmek dışında yapabileceği bir şey yok. Dikkatli olmazsanız ve önlem almazsanız zarar gören siz oluyorsunuz.

Hangi modemler risk altında ?

Aslında burada sadece ISS’ler tarafından dağıtılan modemler değil, kendi aldığınız modemler de söz konusu saldırılara açık. Zira kimse modeminin giriş şifresini değiştirmiyor. Hatta daha da vahimi AirTies’ın birçok modelinde modem arabirimine giriş şifresi dahi yok! Yani bilgisayarınıza uzaktan erişimi olan bir saldırgan, ya da kablosuz ağ şifrenizi ele geçirmiş olan birisi, elini kolunu sallayarak modeminizdeki DNS adresini değiştirip sizi her daim zararlı web sitelerine yönlendirebilir.

Söz konusu saldırıdan etkilenebilecek modemler özellikle de güncel olmayanlar. Daha da ayrıntıya inmek gerekirse Broadcom ve Trendchip’in eski yongalarını kullanan, 2010 öncesi üretilen bazı modemler. Yeni modemler ise bu tür saldırılara karşı korunmuş durumda. Yine de söz konusu CSRF açığına sahip modemler üretmiş olan firmalar şu şekilde: D-Link, Micronet, Motorola, Netopia, Tenda, TP-Link, ZyXEL. Modeminizin etkilenip etkilenmediğini öğrenmek için modem üreticinizin çağrı merkezini arayabilirsiniz. Modem markanızın internet sitesinden servis bilgilerini bulabilirsiniz.

TP-Link söz konusu açık tespit edilir edilmez modemler için gerekli Firmware güncellemelerini piyasaya sürmüş. Fakat varsayılan modem şifresini bile değiştirmeyen kullanıcılardan modemlerine Firmware güncellemesi yapmalarını istemek, lise öğrencisinden V2 roket tasarlamasını istemek gibi bir şey. Zaten bu yüzden teknik servis ve destek hatları var, yaygın servis desteği olan bir marka modeminiz varsa hemen destek alın ya da aşağıdaki adımları uygulayın:

Çözüm ?

• Modeminizi Resetleyin: Öncelikle söz konusu değiştirilmiş DNS adresinden kurtulmak için modeminizi fabrika ayarlarına sıfırlamanız gerek. Sıfırlamadan önce ISS tarafından size verilen kullanıcı adı ve şifrenizi not edin zira modeminizi tekrar kurarken bunlara ihtiyacınız olacak.
• Modem arabirimine şifre koyun: Mutlaka ama mutlaka modeminizin arabirimine giriş için bir şifre belirleyin. Özellikle de AirTies sahipleri modem şifresi belirlemeli. Ayrıca modemin fabrika çıkış şifresini de değiştirin ve aklınızda kalacak bir şifre belirleyin. Mesela ev telefonunuz.
• Firmware Güncellemesi Yapın: Modeminizin marka veya modeli ne olursa olsun, mutlaka üreticinizin web sitesine girip Firmware güncellemenizi yapın. Özellikle de modeminiz 2010 öncesi üretim tarihine sahip ise mutlaka ama mutlaka Firmware güncellemesi yapın! Aksi takdirde tekrar bu zararlıya maruz kalacaksınız!
• Üreticinizden Bilgi Alın: Markalar Türkiye’de satış sonrası çağrı merkezi ve teknik servis tarafında epey yatırım yapmakta. Modem üreticilerinin çağrı merkezleri de bu gibi konularda sizlere yardımcı olabilir. Çağrı merkezinden modeminiz için güncelleme bilgilerini alabilirsiniz.
• İnternetinizi paylaşmayın: Eğer internetinizi paylaşıyorsanız, komşunuzun bilgisayarına bulaşan bir virüs de modem arabiriminize girip DNS ayarınızı değiştirebilir. Bu bağlamda internetinizi komşunuz ile paylaşmayınız.
• DNS adresinizi elle girin: Modeminizi resetlemeyi bilmiyor ya da geçici bir çözüm arıyorsanız DNS ayarınızı elle yapın. 195.175.39.39 ve 195.175.39.40 DNS adresini kullanabilirsiniz. Bunlar Türk Telekom DNS adresleridir.
• Yeni Modem Alın: Eğer modeminiz için Firmware güncellemesi yoksa yeni bir modem almak zorundasınız. Bu hem söz konusu saldırıyı ortadan kaldıracak hem de internete daha yeni ve daha hızlı standartlarda bağlanmanızı sağlayacaktır.

Son olarak Ulaştırma, Denizcilik ve Haberleşme Bakanlığının ağ ekipmanları konusunda tanımladığı yaşam ömrünün 5 yıl olduğunu da ekleyelim.

Yardım mı lazım ?

Modeminiz için Firmware güncellemesi var mı, varsa nasıl yapacaksınız ya da yeni modem alırken nelere dikkat etmelisiniz ? Tüm bu sorularınızı Technopat Sosyal’e üye olup Ağ Donanımları altında konu açarak sorabilirsiniz.