Bitcoin Forum
December 13, 2024, 01:17:21 AM *
News: Latest Bitcoin Core release: 28.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1] 2 »  All
  Print  
Author Topic: Cryptohopper - Paranıza hoplarlar! Gerçek HACK hikayesi  (Read 691 times)
tesla80 (OP)
Member
**
Offline Offline

Activity: 448
Merit: 89

Full Stack Engineer


View Profile
March 05, 2018, 03:01:50 PM
Last edit: April 14, 2018, 10:12:31 AM by tesla80
Merited by teramit (2), varanvaran (2), twiifm (2), EFS (1), mhanbostanci (1), bobita (1), goraset (1), Zz (1), grolll (1), PHI1618 (1), oli123123 (1), MorpheWQ (1), CTRLX (1), srknbyr (1), Egosmaster (1), entr (1), Rhego (1), kingofrogues07 (1)
 #1

Merhabalar,

Dikkat : Zaten üye misiniz? - Hemen başka bir bilgisayar yada mobil cihazdan e-mail ve borsa şifrelerinizi değiştirin, bilgisayarın internetini kesin ve okumaya devam edin.

Önemli bir güvenlik konusu için bu başlığı açmak istedim.
Bu foruma üye olduktan sonra gördüm ki burada sınırlı internet bilgisi ile yatırım yapan arkadaşlarımız var.

Gerçek bir hack örneği üzerinden giderek, ne yapmamanız gerektiğini açıklamaya çalışacağım.
Eminim tecrübeli arkadaşların da bu konuda söyleyecek sözü vardır.

Konuya geçecek olursak;

Cryptohopper-com bir al-sat bot sitesi olarak lanse ediliyor ve yeni gelenler için 1 ay ücretsiz kullanım imkanı sunuyor.
Fakat bunun altında gerçekten iyi niyet yok, aksine tüm paranızı çalmak için bir düzen kurulmuş.
Sonuçta da eğer hacker seviyesinde birisi değilseniz, paranızı çaldırdıktan sonra dahi bu siteden şüphelenmezsiniz.

Adım 1:
Siteye meraklı bir şekilde üye olanlar al-sat için borsa API keylerini veriyor ve botun ayarlarıyla oynayıp sabaha 2x 10x yapacaklarını düşünmeye başlıyor.
Oysa bu sitenin amacı bot hizmeti sunmak değil, sizin bilgisayarınıza sızıp, borsa şifrelerinizi ele geçirip paranızı çalmak.

Adım 2:
Site normal bir bot sitesi gibi görünürken, arkada çalışan scriptler bilgisayarınıza 1 tane dosya yüklüyor. Bu dosya trojan diye tabir ettiğimiz, bilgisayarınıza uzaktan erişim imkanı sağlayan bir virüs.
Hiç bir antivirüs veya güvenlik yazılımı bunu algılamıyor, çünkü bilinen bir virüs yazılımı değil.
Yüklenen dosya Start/Başlat > Startup/Başlangıç kısmına konumlandırılıyor ki bilgisayar her başladığında o da çalışsın.

https://i.hizliresim.com/lONJ1Q.png
Dosya adı : winsvc.exe - Teamviewer iconu ile gelen bu dosya sanki windowsa ait bir dosya gibi isimlendirilmiş fakat öyle değil.
Bu dosyayı web sayfasındaki scriptler yükleyebiliyor fakat hemen çalıştıramıyorlar, o yüzden Startup/Başlangıç kısmına konumlandırılıyor ki, Windows bir dahaki açılmada bu dosyayıda sessizce çalıştırsın.

Adım 3:
Tabii ki bir daha windows açıldığında kurban hemen Cryptohopper sitesine girip botunun ne kadar kazandığını görmek ister.
Sitenin scriptleri winsvc.exe dosyasının yüklendiğini ve kurbanın bilgisayarında çalıştığını algılıyorlar (eğer exe kendisi bildirim yollamaya kalksa hemen antivirüs tarafından enselenirdi) ve sitenin adminine bir uyarı maili gönderiyorlar.

Adım 4:
Sitenin admini, IP numarasını bildiği bu bilgisayara winsvc.exe nin açtığı port üzerinden bağlanıp bir klasör yüklüyor.
Klasör adı : SWF Frame Renderer

https://i.hizliresim.com/RnpmOZ.png

Bu klasör Adobe klasörünün altına konumlandırılmış, sanki Adobe firmasının bir programı gibi görünüyor.
Tabiki bu programı da hemen çalıştırırsa antivirüs yakalar o yüzden Startup/Başlangıç içine bir kısayol oluşturuyor;

https://i.hizliresim.com/lONJ1Q.png
Kısayol adı : usvc32.lnk
Kısayol hedefi:
Code:
C:\Windows\System32\cmd.exe /C start "%appdata%\Adobe\SWF Frame Renderer\" "%appdata%\Adobe\SWF Frame Renderer\swfrenderer.exe"
Yani sessizce swfrenderer.exe dosyasını çalıştır diyor.
swfrenderer - Birkaç amaca hizmet eden bir keylogger, şifre çalıcı. Klavyeden girilen her harfi inceliyor ve 2FA keyleri dahil hangi programa hangi veriler girildiyse hepsini logluyor ve yanındaki dosyalara yazıyor.

Adım 5:
Chrome browser ı altına bir dosya yerleştirip kurbanın giriş yaptığı sitelerin şifrelerini, önceden kayıtlı duran şifreleri çalmak ve bir sonraki pishing adımı için bilgisayarı hazırlamak için işlemler yapılıyor.

chrmstp.exe - Bu dosyanın modifiye edilmişini bilgisayardaki Chrome tarayıcısındakiyle değiştiriyorlar.
Dosya :
Code:
c:\program files (x86)\Google\Chrome\Application\58.0.3029.81\Installer\chrmstp.exe
Bu dosya ile tüm web şifrelerini çalacakları gibi, aynı zamanda SMS ve 2FA korumalı olan Gmail, Hotmail, Yandex, Binance, Poloniex, Bitfinex, Bittrex, Gdax gibi sitelerdeki şifreleri de ele geçirecekler.

Bu adımlar tamamlandıktan sonra aksiyon başlıyor;

Adım 6:
Kurban bilgisayarı kullanırken ve özellikle Cryptohopper sitesinin sayfalarında gezinirken birden Chrome browser kapanıyor!
Tekrar açtığında ise bu Chrome o Chrome değil! Varsayılan beyaz görünümde ve tüm açık tabları ve şifreleri herşeyi unutmuş şekilde geliyor.
Tabiiki kurban hemen e-mail, borsa veya girdiği diğer sitelere giriş yapmaya başlıyor.
Verileri girdikçe keylogger tarafından bu bilgiler kopyalanıyor.
Yeni Chrome da başka bir özellik daha var; Örneğin mail adresine girmek için gmail.com yazıp enter a basıldığında adres çubuğunda gmail.com görünüyor ama arkada gmail görünümlü farklı bir sayfaya yönleniyor.
Kurban o sayfaya şifresini giriyor, sonra SMS geliyor, SMS kodunu giriyor ve bam, hacker ile birlikte gmail hesabına giriş yapmış olunuyor!
Sonra Binance yada diğer borsa sitesine giriş işlemi de yine aynı şekilde kopyalanıyor.

Adım 7:
Loglanan e-mail ve borsa şifreleri ile birlikte Google Authenticator bilgileri de hackerın eline geçiyor. Hacker kendine kurbanın Google Authenticator uygulamasını kuruyor.

Binance login:

https://i.hizliresim.com/oONGDR.png
Gmail login:

https://i.hizliresim.com/1JZ1z5.png

Adım 8 - SON:
Hacker, e-mail sitesinde borsadan gelecek maillerin inboxa düşmemesi için kural oluşturuyor. (eğer görülürse iptal edilir diye)

Borsadaki tüm coinleri satılıyor.

https://i.hizliresim.com/4aV7dp.png

BTC olarak withdraw sekmesinden başka bir hesaba transfer ediyor.

https://i.hizliresim.com/z0p88O.png

1.3BTC - 60 bin TL civarı para buhar oldu gitti.

-------------------------------------

Bu olayda da görüldüğü gibi, bedava bitcoin fare kapanında olur.

Pishing ile nasıl 2FA yı geçtikleri konusunda detaylı yazı : https://www.wandera.com/blog/bypassing-2fa/
Güvenlik için altın öğütler : https://steemit.com/binance/@czbinance/securing-your-trading-account

Nasıl temizlenir?
Nasıl temiz tutulur?
En kesin çözüm o bilgisayarı komple formatlamaktır. Eğer başınıza geldiyse zaten bunu yapmanız önerilir. Bazen bilgisayarı formatlamak o kadar kolay olmaz, zira başka yazılımlar lisanslar vardır...
Şimdi gelelim böyle bir virüs topluluğunu bilgisayardan nasıl silebileceğinize;
Aynı zamanda böyle birşey başınıza gelmeden de bunu yapmanız önem arz ediyor.
Öncelikle böyle bir şüpheniz varsa, elinize kağıt kalem alıp kafanızdan karmaşık bir şifre türetin (örnek : 2@!!xCj%!45pG+21_) ve kağıda yazın.
Başka bir cihazdan (o bilgisayardan değil), hesaplarınızın şifresini bu şifre ile değiştirin fakat şifrenin sonuna da o hesabınızın birkaç harfini yazın ki her şifre farklı olsun.

Aşağıdaki dosyaları kontrol edin, bilgisayarınızda varsa silin:
c:\users\<kullanıcı>\AppData\Roaming\Adobe\SWF Frame Renderer\swfrenderer.exe
c:\programdata\ntuser.pol
c:\users\<kullanıcı>\AppData\Roaming\2.exe
c:\program files\Common Files\Microsoft Shared\OFFICE16\LICLUA.EXE
c:\program files\Common Files\Microsoft Shared\OFFICE16\Office Setup Controller\pkeyconfig.companion.dll
c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
c:\program files (x86)\Google\Chrome\Application\58.0.3029.81\Installer\chrmstp.exe
Bu klasördeki dosyalardan şüpheli olanları yada tümünü silin:
c:\Users\<kullanıcı>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Virüs temizlemede faydalı yazılımlar :
Buradaki sıraya göre çalıştırıp tarama yapmanız önerilir.
Ve evet sadece birkaçı ile taramak yetmez.
RKill - https://www.bleepingcomputer.com/download/rkill/
TDSKiller - https://usa.kaspersky.com/downloads/tdsskiller
AVG Removal Tool - https://www.avg.com/en-gb/utilities
AdwCleaner - https://toolslib.net/downloads/finish/1/
FRST - https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
JRT - https://www.bleepingcomputer.com/download/junkware-removal-tool/
ComboFix - https://www.bleepingcomputer.com/download/combofix/
RogueKiller - https://www.bleepingcomputer.com/download/roguekiller/
Chrome Cleanup Tool Download - https://www.bleepingcomputer.com/download/chrome-cleanup-tool/
Malwarebytes Anti-Ransomware - https://www.bleepingcomputer.com/download/malwarebytes-anti-ransomware/
Malwarebytes Anti-Rootkit - https://www.bleepingcomputer.com/download/malwarebytes-anti-rootkit/
Malwarebytes Anti-Malware - https://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
CCleaner - https://www.bleepingcomputer.com/download/ccleaner/
Microsoft Security Essentials - https://www.microsoft.com/en-us/download/details.aspx?id=5201

Antivirüs kullanın:
Tavsiye BitDefender Internet Security
30 Gün deneme sürümünü kurup bilgisayarınızı temizleyebilirsiniz.

Akıllı telefonunuza da antivirüs kurun:
Yine BitDefender kurup tarayabilirsiniz.

Kripto işleri için en güvenli ortam nasıl oluşturulur?
- Tüm hesaplarda 2FA, SMS ve diğer tüm özellikleri aktif edin
- Withdraw zorlaştırıcı önlemler alın
- Günde onlarca defa borsalara login olmayın
- Bilgisayarlarınızı kullanmadığınız zaman kapatın
- Paranızı birden fazla borsaya yayın
- Her borsa için ayrı bir mail adresi kullanın
- Her hesap için tamamen farklı bir şifre kullanın
- Şifre kaydetme seçeneğini kapatın
- Chrome kullanmayın, Firefox yada Opera kullanın
- Kripto işleri için ayrı bir browser kullanın
- Browserda hiç bir eklenti bulundurmayın
- Browserı bir tema ile kullanın, özelleştirin, rengiyle oynayın şekliyle oynayın, sonra farklı birşey gördüğünüzde kolayca farkedebilirsiniz.
- Borsaya yada e-maile girmeden önce bilgisayara bir virüs taraması yapın
- Bedava şeyler vadeden sitelere girmeyin
- Kimseye Bitcoininiz olduğunu söylemeyin
- Kripto işlemleriniz için şifreli bir VM (Virtual Machine) kullanın : Linux olması önerilir
- Windows bilgisayarınızda 2 kat daha dikkatli olun
- Bilgisayarınıza kurduğunuz yazılımlara dikkat edin
- Kripto işlemleri için kullandığınız yazılımları açık kaynak olanlardan seçin
- Belli sürelerle şifrelerinizi periyodik olarak değiştirin (Örneğin sonlarına birkaç karakter ekleyin)
- Şifre saklamak için kağıt kullanabilirsiniz, şifreleri bilgisayarda bir txt ye yazıp bırakmayın
- Eğer txt lerde şifre saklamak istiyorsanız, bu dosyaları WinZip ile şifreli olarak sıkıştırıp saklayın. Dosyayı da bir USB flash da tutmanız önerilir
- Girdiğiniz sitelerin adreslerine ve güvenlik sertifikalarına dikkat edin (adres çubuğundaki anahtar simgesi)
- Telefonunuzu jailbreak yada root yapmayın. Orjinal işletim sistemiyle temiz bir şekilde kullanın
- Virüs temizleme yazılımlarını periyodik olarak veya her şüphede tekrar çalıştırıp tarama yapın
- Sadece kripto para değil, bankadaki paranızın da aynı yöntemle çalınabileceğini sık sık hatırlayın

Önemli tavsiye : burada anlatılanları anlayacak kadar bilgisayar bilgisine sahip değilseniz, lütfen borsalardan uzak durun.


Cyber Security, Mobile Security, Web/Desktop/Embedded Programming, Electronics, M2M, IoT
oguzhangazi
Member
**
Offline Offline

Activity: 308
Merit: 10


View Profile
March 05, 2018, 03:37:26 PM
 #2

Uyarılar yöntemler için çok teşekkürler. çok dikkat etmek gerek bunlara yazı uzun insanların bir çoğu okumuyacaktır belkide. meritim olsa meriti verdim zaten 1 tane vermişlerdi .
onurgozupek
Hero Member
*****
Offline Offline

Activity: 1342
Merit: 602


In #Bitcoin me trust


View Profile WWW
March 05, 2018, 04:01:13 PM
 #3

Benim başıma böyle bir iş gelse, ben bilgisayarı temizlemekle uğraşmam, doğrudan üzerine kezzap döküp.... Şaka şaka, başka bir disk ya da USB ve hatta mümkünse CD'den işletim sistemini tekrar kurar, kurulum aşamsında diski en az 2-3 kere formatlardım.

Windows yerine Linux ya da MacOS kullanmak tabi ki %100 çözüm değil ancak bir nebze daha güvende olmanıza yardımcı olabilir.

Ama en güzel tavsiyeyi yine mesajı yazan vermiş.

Bu olayda da görüldüğü gibi, bedava bitcoin fare kapanında olur.
Monkey1
Hero Member
*****
Offline Offline

Activity: 868
Merit: 500



View Profile
March 05, 2018, 04:56:05 PM
 #4

Hiç bir bota veya bot sitesine güvenmem . İki tane virus koruması kullanıyorum , şifrelerimde çok zor fakat yinede risk altındayım .

            ▄▄█████▄▄
         ▄▄███████████▄▄
      ▄▄█████████████████▄▄
   ▄▄███████████████████████▄▄
 ▄█████████████████████████████▄
█████████████████████████████████
█████████████████████████████████
████████▀▀  ▀██▀       ▀▀████████
███████  ▄████  ███████▄  ███████
███████ █████  ██████████ ███████
███████ ██████████  █████ ███████
███████  ▀███████  ███▀   ███████
████████▄▄        ██   ▄▄████████
█████████████████████████████████
█████████████████████████████████
 ▀█████████████████████████████▀
   ▀▀███████████████████████▀▀
      ▀▀█████████████████▀▀
         ▀▀███████████▀▀
            ▀▀█████▀▀




.THRIVING CRYPTOCURRENCY..
.MARKET WITH CRYPTOBONDS..

▄▄▄▄  ▄▄▄ ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ ▄▄▄  ▄▄▄▄
████
██
██
██
██
██
██
██
██
██
██
██
██

INITIAL COIN OFFERING
SEPTEMBER 30

    ██
    ██
    ██
    ██
    ██
    ██
    ██
    ██
    ██
    ██
    ██
██████
         ▄▄████████▄▄
     ▄████████████████▄
   ▄███▀▄▄▄▄▄▄▄ ▀███████▄
  █████ ███████ █▄▀███████
 ██████ ███████ ███▄▀██████
▐██████ ███████▄▄▄▄▄▄ █████▌
▐██████ █▄▄▄▄▄▄▄▄▄▄▄█ █████▌
▐██████ █▄▄▄▄▄▄▄▄▄▄▄█ █████▌
 ██████ █▄▄▄▄▄▄▄▄▄▄▄█ █████
  █████ █▄▄▄▄▄▄▄▄▄▄▄█ ████
   ▀███▄▀▀▀▀▀▀▀▀▀▀▀▀▀▄██▀
     ▀████████████████▀
        ▀▀████████▀▀

...READ THE....
.WHITEPAPER.



        ▄▄████████▄▄
     ▄████████████████▄
   ▄████████████████████▄
  ███████████████▀▀  █████
 ████████████▀▀      ██████
▐████████▀▀   ▄▄     ██████▌
▐████▀▀    ▄█▀▀     ███████▌
▐████████ █▀        ███████▌
 ████████ █ ▄███▄   ███████
  ████████████████▄▄██████
   ▀████████████████████▀
     ▀████████████████▀
        ▀▀████████▀▀
TWITTER
FACEBOOK
MEDIUM
REDDIT
GITHUB
SLACK
twiifm
Hero Member
*****
Offline Offline

Activity: 784
Merit: 500



View Profile
March 05, 2018, 10:39:47 PM
 #5

Her şeyi anladım ama Google Authenticator nasıl hackerlerin eline geçiyor? Kod 15 saniye de bir falan değişiyor ve kişi 1 kere Google Authenticoru girdi ve hesaba aynı anda sızdı diyelim.. Kendine withdrawal yapması için 1 kere daha o koda ihtiyacı olacak o kod nereden sağlanıyor?
bdivrik
Sr. Member
****
Offline Offline

Activity: 812
Merit: 262



View Profile
March 05, 2018, 11:09:03 PM
 #6

keylerinizi güvenliği kesin olmayan bir siteye verip hack hikayesi diyorsunuz
bunu neresi hack.trojan yedirmeye çalışmıyor baya bildiğin trojani yemek için gayret göstermişsin adamların emek harcamasına bile gerek kalmamış.
canlark
Jr. Member
*
Offline Offline

Activity: 94
Merit: 1

“Decentralized Transportation Economy”


View Profile
March 06, 2018, 08:34:35 AM
 #7

Uyarı için çok teşekkürler. Bu alanda yeni olan ve bu tür tuzaklara düşebilecek insan sayısı oldukça fazla. Çok dikkatli olmalıyız. Bir işlem yapmadani bir siteye üye olmadan önce orası hakkında kısa bir internet araştırması yapmak faydalı olacaktır.

Join Helbiz Mobility System Pre-Sale
● Peer-to-Peer Wheel Rentals ●
 visit: https://www.helbizcoin.io/
MorpheWQ
Legendary
*
Offline Offline

Activity: 1288
Merit: 1110



View Profile
March 06, 2018, 09:06:14 AM
 #8

Cryptohopper-com milleti soyuyor deyip geçmektensen en ince detayına kadar anlattığınız için teşekkür ederim. Hırsızın düşünce şeklini ve teknik olarak nasıl yapılabildiğini biliyor olmak biz kullanıcılar için çok önemli bir şey. Ellerinize sağlık.
mhanbostanci
Legendary
*
Offline Offline

Activity: 3290
Merit: 1550



View Profile WWW
March 06, 2018, 09:33:42 AM
 #9

Öncelikle geçmiş olsun.
Ayrıntıları ile durumu anlatmış olmanız gerçekten önemli.
Konuya yabancı arkadaşların bilgilenmesi açısından değerli bir post olmuş.
Ben kullanıcılara Linux kullanmayı tavsiye ediyorum bu nedenle.
varanvaran
Legendary
*
Offline Offline

Activity: 1124
Merit: 1019


Bitcoin Trader


View Profile
March 06, 2018, 04:30:37 PM
 #10

güzel bir yazı olmuş ellerine sağlık bilmeyen arkadaşlara yol göstermiş oldun en azından.

brciso135246
Jr. Member
*
Offline Offline

Activity: 372
Merit: 1


View Profile
March 06, 2018, 04:46:23 PM
 #11



Önemli tavsiye : burada anlatılanları anlayacak kadar bilgisayar bilgisine sahip değilseniz, lütfen borsalardan uzak durun.



Bu kısım şuanda bana daha çok uyuyo sanki  Grin

Neyse işi öğrenene kadar Bounty kasmaya devam.Teşekkürler bilgiler için.
tesla80 (OP)
Member
**
Offline Offline

Activity: 448
Merit: 89

Full Stack Engineer


View Profile
March 07, 2018, 01:35:15 PM
Merited by Blacknavy (1)
 #12

Merhabalar,

Öncelikle ilginiz için teşekkür ederim, inanın bu bilgiler için hiç bir beklentim yok.
Arkadaşımızın başına gelen beni derinden üzdü, nasıl bir insan böyle bir hırsızlık yapabilir aklım almıyor. Çaldığı paraları yemek nasip olmasın inşallah.

İki mesaja cevap vermek istiyorum;

keylerinizi güvenliği kesin olmayan bir siteye verip hack hikayesi diyorsunuz
bunu neresi hack.trojan yedirmeye çalışmıyor baya bildiğin trojani yemek için gayret göstermişsin adamların emek harcamasına bile gerek kalmamış.
Merhaba, malesef siz de konuyu anlamayanlar arasına giriyorsunuz. API Key lerin bir siteye verilmesinde büyük bir sakınca yok, withdraw izni verilmemiş şekilde API keyini verip al sat botunu denemek istemiş sadece. Burada bir problem yok. En fazla düşen bir coini satın alıp zarar ettirebilir o kadar.
Trojanı yemek için gayret göstermemiş, aksine öyle bir kumpas kurulmuş ki, en bilgili insan bile kolayca yakalanabilir. Sakın ha kendinizi çok bilgili sanmayın, benim başıma gelmez demeyin. Dünya şampiyonu yüzücülerin çoğu denizde boğularak ölmüşler, bunu unutmayın.

Her şeyi anladım ama Google Authenticator nasıl hackerlerin eline geçiyor? Kod 15 saniye de bir falan değişiyor ve kişi 1 kere Google Authenticoru girdi ve hesaba aynı anda sızdı diyelim.. Kendine withdrawal yapması için 1 kere daha o koda ihtiyacı olacak o kod nereden sağlanıyor?
Merhaba, bu konuyu derinlemesine araştırdık, son 3 günüm bununla ilgili Binance borsasıyla yazışarak geçti. Malesef şimdilik sistemlerinde bir açık olduğunu kabullenecek birisi çıkmadı. Yakında detaylı bir ispat göndererek bir güncelleme ile problemi düzeltmelerini rica edeceğim. Tabii arkadaşımızın parasını geri vermeyecekleri kesin.
Google Authenticator uygulamasını kendisine nasıl kurduğunu buldum, altında ciddi bir iş yatıyor. Bu da gösteriyor ki, bu alemde güvenlik diye birşey yok!
Arkadaşımız bilgisayarında Binance desktop uygulamasını kullanıyor, siteye girmiyormuş. Tam olayın yaşandığı gün binance-trader.exe iki tane exception (hata vermiş). Bu hataları Start/Administrative Tools/Event Viewer altından bulduk ve detaylı inceledik. İşimiz bu olduğu için bunu farkedebildik, normal bir vatandaşın bunu bulabilmesi imkansız gibi birşey.
Binance kendi exe sini .Net dilinde yazmış, .Net ile yazılan (C# yada visual basic .Net) uygulamalar tam anlamıyla güvenli değiller, zira kod derlenirken direkt makine kodu olarak derlenmiyor, CLI adında bir ortak dile çevriliyor. Exe nin içinde ilk sektörde gerçek makine dili barındıran bir başlangıç kodu var, bu kod CLI dilini, bilgisayarda yüklü olan .Net framework kütüphanelerine yorumlattırıp (bir nevi derlettirip) bir exe gibi çalıştırıyor. Yalnız burada bir problem var, CLI dilini başka programlar C# yada VB.Net dillerine geri çevirebiliyorlar. Örneğin Reflector, ILSpy, JustDecompile gibi programlar .Net de yazdığınız exe yi alıp size .sln projesini tüm kodlarıyla beraber dönüştürebiliyor. Burada firmalar yazılımlarını güvenli kılmak için .Net Reactor gibi lisanslı programlar satın alıp, exe yi bu programla geri çevrilemez hale getirmeye çalışıyorlar. Bu programlar kodun içinde bazı dosyaları şifreliyor, sonra şifre çözme rutinleri ekleyip runtime da şifreyi çözüyor ve en önemlisi obfuscation dediğimiz, fonksiyon ve değişken isimlerini anlamsız karakterlerle değiştirme işlemini gerçekleştiriyor. Faydası ise örneğin Get_2FA_Phrase(String username) adlı bir fonksiyonun adını _llz(String x) haline getiriyor olması, yani kodu geri çevirip okuduğunuzda program napıyor anlamıyorsunuz ama Debug etmenize engel değil!
Tabii ki kodun içindeki programlama diline bağlı atomik kelimeler (for, while, if, break, return..) olduğu gibi kalıyor yada bunlar için de definition yaratıp bunları da değiştiriyor ama o definition da erişilebilir olduğu için bir text editörde replace all yapıp geri getirilebilir.
Şimdi bunları neden anlattığıma gelirsek; hacker binance-trader.exe yi decompile etmiş, debug etmişe ve 2FA program akışının hangi RAM adreslerini kullandığını tespit etmiş, RamMap benzeri programlarla RAM haritasını inceleyerek 2FA Recovery Phrase i nerede tuttuğunu öğrenmiş diye düşünüyorum. Çünkü Event Viewer da verdiği hatadaki adres bir RAM adresi ve aynı işlemleri biz tekrarladığımızda, web servisten veri çeken bir yere ulaşıyoruz. Bu da demek oluyor ki binance-trader.exe dosyası 2FA yı doğrulamak için Google Authenticator API sine 2FA Phrase i (yani kullanıcının kimlik numarasını) ve şu anda girdiği kodu göndermek zorunda ve bu 2FA Phrase bilgisini kendi web servisinden çekiyor. İşte hacker bu anda RAM de tutulan bu bilginin adresini bildiği için direkt okuyor ve kendine kurduğu Google Authenticator uygulamasına 2FA Phrase i yazarak artık binance ın 2FA adımını aşabiliyor, istediği kadar withdraw yapabiliyor. Zaten olayda 2 tane withdraw işlemi var. Yani 2FA yı kesin olarak geçmiş.

Ortada bir gerçek var ki, çalınan para, transfer edildiği cüzdanlarda hala duruyor ve kayıtları aşağıda;
btc.com/1Ej5hfcqJqt178wcLWBocPXec9ZoacktG8
btc.com/1DwYL4MRNEMFvx6dCQFzEgFaZ2457naEez

binance-trader.exe, web sitesinden çok daha güvenli ama onu bile kırmışlar. Web sitesi ise bir çok tuzak için müsait. Aslında Binance bu uygulamayı .Net yerine Qt de yazsaydı işler farklı olabilirdi.

Bir diğer senaryo, örneğin hesapta SMS de aktif olsaydı, yine parayı çalacaktı çünkü girişte SMS VEYA 2FA dan birisi seçiliyor, ikisi birlikte sorulmuyor. Bu da aslında hem SMS hem 2FA aktif edildiği zaman güvenliğinizi 2 kat tehlikeye atıyor, hacker telefonu ele geçiririrse YADA 2FA yı aşarsa giriş yapabiliyor, yani ihtimaller arttı!

Sonuç olarak adamlar güvenlik falan tanımıyor. Yaptıkları virüsleri antivirüs programları algılamıyor, firewall lar engellemiyor..

Bunu yapanın sadece bir tane site olduğunu sakın düşünmeyin, artık youtube da bir video izlerken bile altta çıkan reklamın içinde çalışan javascript kodu sizin bilgisayarınıza envai çeşit virüs yüklüyor olabilir.
Sizin paranız olduğunu öğrendiyse artık kaçacak yeriniz yok.

Eğer online bot yada benzer servislere API key verecekseniz, asıl kullandığınız borsanınkini vermeyin, mesela Binance kullanıyorsanız, Poloniex de bir hesap açın ve oraya minimal bir miktar aktarın, Poloniex API keyini verin ki birileri hesabınızdaki tüm parayı görmesin.
Tüm paranızı da tek borsada tutmamaya çalışın. Birini çalsalar diğeri kalır en azından.

İnternette binlerce haber var, o kadar çok BTC hırsızlığı yaşanıyor ki, günde binlerce kişinin parasını çalıyorlar. Hemde bu kişilerin bazıları ciddi bilgisayar programcıları falan ama yine de kurban oluyorlar.

Biraz olsun sizi tedirgin edebildiysem ne mutlu.
Ana başlıkta anlatılan kontrolleri yapmayı unutmayın, belki siz de biryerden virüs kapmış olabilirsiniz.

Cyber Security, Mobile Security, Web/Desktop/Embedded Programming, Electronics, M2M, IoT
MorpheWQ
Legendary
*
Offline Offline

Activity: 1288
Merit: 1110



View Profile
March 07, 2018, 02:15:02 PM
 #13

Anlayana kadar okudum yazdıklarınızı. Birincide çözmek biraz zor oldu benim için Smiley
Vardığım sonuç ise durum epey sıkıntılı. Birden çok borsa kullanıyoruz, botlarımız çalışıyor, sağa sola transfer yapıyoruz. Her ne kadar anonim kalsak da bir yerde gerçek kimliğimizle de varız. Aklıma gelen tek çözüm tüm yumurtaları aynı sepete koymamak ve windowstan uzak kalmaya devam etmek.
Blacknavy
Legendary
*
Offline Offline

Activity: 1218
Merit: 1291


View Profile
March 07, 2018, 02:15:56 PM
 #14


Binance 2FA kırsalar dahi, mail adresimde 2FA var kısacası bu tuzaktan şu şekilde kurtulursunuz eğer Binance'nin 2FA'larına ulaşılabiliyorsa yani veri çekilen yere gidilebiliyorsa birde mail adresinize 2FA kurun, withdrawal confirm onayı mailinize düşecek, izniniz olmadan asla withdrawal yapılamayacak kısacası diğerine oranla 10x güvenlik sağlayacağını düşünüyorum, üstüne birde ledger gibi fiziksel cüzdanları kullanırsanız bitcoinclip virüsü dışında başka bir virüse denk gelmeniz şu an için neredeyse imkansız.. tam bir güvenlik sağlanamaz ama %99'a kadar sağlanabilir.
tesla80 (OP)
Member
**
Offline Offline

Activity: 448
Merit: 89

Full Stack Engineer


View Profile
March 07, 2018, 08:20:38 PM
Last edit: March 07, 2018, 08:42:16 PM by tesla80
 #15

Merhabalar tekrar,

Binance da açık olduğunu söylemiştim, haberler gelmeye başlamış.
3 Gündür benim yazdıklarıma "olmaz öyle şey" gibi cevaplar veren binance şu an withdraw ları kapattı ve sisteminde hata arıyor!

https://www.reddit.com/r/BinanceExchange/comments/82ou1d/binance_sold_all_my_alt_coins_at_market_rate/
https://thenextweb.com/hardfork/2018/03/07/binance-accidentally-selling-users-cryptocurrency-bitcoin/

Quote
We are investigating reports of some users having issues with their funds. Our team is aware and investigating the issue as we speak.
Please remain patient and we will provide an update as quickly as possible.

Quote
We are investigating reports of some users having issues with their funds. Our team is aware and investigating the issue as we speak.
As of this moment, the only confirmed victims have registered API keys (to use with trading bots or otherwise). There is no evidence of the Binance platform being compromised.
Please remain patient and we will provide an update as quickly as possible.
Withdrawals are temporarily disabled at this time.

Binance CEO su açıklama yapmış
https://twitter.com/cz_binance/status/971454040704872448

------------

Binance 2FA kırsalar dahi, mail adresimde 2FA var kısacası bu tuzaktan şu şekilde kurtulursunuz eğer Binance'nin 2FA'larına ulaşılabiliyorsa yani veri çekilen yere gidilebiliyorsa birde mail adresinize 2FA kurun, withdrawal confirm onayı mailinize düşecek, izniniz olmadan asla withdrawal yapılamayacak kısacası diğerine oranla 10x güvenlik sağlayacağını düşünüyorum, üstüne birde ledger gibi fiziksel cüzdanları kullanırsanız bitcoinclip virüsü dışında başka bir virüse denk gelmeniz şu an için neredeyse imkansız.. tam bir güvenlik sağlanamaz ama %99'a kadar sağlanabilir.
Merhaba, hack olayını yaşayan arkadaşımızın Gmail hesabı da 2FA ile korumalıydı, bilgisayarında antivirüs vardı vb vb... Yani siz kendinizi güvende zannetmeyin bence.

Cyber Security, Mobile Security, Web/Desktop/Embedded Programming, Electronics, M2M, IoT
kingofrogues07
Member
**
Offline Offline

Activity: 140
Merit: 13


View Profile
March 07, 2018, 11:10:04 PM
Merited by tesla80 (1)
 #16

Güzel yazı olmuş teşekkürler. Çözmesi zor bir hack yöntemi detaylar mükemmel açıklanmış öneriler çok başarılı. Tek başına VM de çalışan bir linux bile kurtarır aslında ama hiçbirimiz uğraşmıyoruz işte. Kuş kadar meritimden verdim ama yazı çok daha fazlasını hak ediyor.
CTRLX
Hero Member
*****
Offline Offline

Activity: 910
Merit: 503



View Profile
March 07, 2018, 11:55:23 PM
 #17

Detaylı anlatımınız için teşekkürler fakat ben şu an için Google 2FA'nın kırılabileceğini düşünmüyorum.. Bu işin içinde başka bir iş var, arkadaşın söylediği gmail'de 2FA olursa hacklemeleri çok daha zor olur sorun muhtemelen binance kaynaklı bir açıktan kaynaklanıyor.
anarquia
Member
**
Offline Offline

Activity: 154
Merit: 15


View Profile WWW
March 08, 2018, 02:05:24 AM
 #18

Ben 1,5 aydır ve 2 arkadaşım da 2 haftadır bu botu kullanıyoruz. Uzman değilim ama ortalamanın üzerinde bir bilgisayar kullanıcısıyım. Bilgisayarımda söylediğiniz dosyalara dair hiçbir kalıntı bulamadım. Mail adresimin ve borsa hesabımın geçmiş loglarına baktım farklı bir ip den hiç giriş yapılmamış. Aynısı arkadaşlarım için de geçerli onlarda da sorun yok. Bota sinyal sağlayanlardan bir kişi (coindicator.io) türk. Kendisi uzman bir yazılımcı. Bu durumu kendisine ilettim. Bakalım kendisi nasıl bir yorumda bulunacak

cabsav
Legendary
*
Offline Offline

Activity: 2912
Merit: 1150


View Profile
March 08, 2018, 06:28:28 AM
 #19

Botu kendiniz yazmadıysanız kullandıgınız zaman yazan kişinin insafına kalmış oluyorsunuz. Bu piyasa hacklenmeye cok uygun ve elverişli bir dunya. O yüzden hacklerın bu aleme her gecen gun daha fazla ilgi gösterdiği zaten apacık ortada.
tesla80 (OP)
Member
**
Offline Offline

Activity: 448
Merit: 89

Full Stack Engineer


View Profile
March 08, 2018, 09:00:51 AM
 #20

Detaylı anlatımınız için teşekkürler fakat ben şu an için Google 2FA'nın kırılabileceğini düşünmüyorum.. Bu işin içinde başka bir iş var, arkadaşın söylediği gmail'de 2FA olursa hacklemeleri çok daha zor olur sorun muhtemelen binance kaynaklı bir açıktan kaynaklanıyor.
Merhaba, hiç internette bunu aradınız mı? İnançtan öte birşey yapın ve bunu internette arayın, ne kadar çok 2FA mağduru olduğuna kendiniz şaşıracaksınız. Google 2FA Pishing ile geçiliyor hem de ruhunuz bile duymadan, browser bile doğru web adresini gösteriyor.
Quote
Pishing ile nasıl 2FA yı geçtikleri konusunda detaylı yazı : https://www.wandera.com/blog/bypassing-2fa/

Ben 1,5 aydır ve 2 arkadaşım da 2 haftadır bu botu kullanıyoruz. Uzman değilim ama ortalamanın üzerinde bir bilgisayar kullanıcısıyım. Bilgisayarımda söylediğiniz dosyalara dair hiçbir kalıntı bulamadım. Mail adresimin ve borsa hesabımın geçmiş loglarına baktım farklı bir ip den hiç giriş yapılmamış. Aynısı arkadaşlarım için de geçerli onlarda da sorun yok. Bota sinyal sağlayanlardan bir kişi (coindicator.io) türk. Kendisi uzman bir yazılımcı. Bu durumu kendisine ilettim. Bakalım kendisi nasıl bir yorumda bulunacak
Merhaba, rahatlığınıza hayran kaldım. Belki sıra gelmedi belki de efora değecek kadar fund ınız yok. Size hemen uzaklaşmanızı ve verdiğim programlarla bilgisayarı elden geçirmenizi öneriyorum. Dosya isimleri birebir aynı olacak diye bir kaide yok, her kullanıcıya farklı dosyalar yüklüyor olabilirler.

Bu arada Binance dünkü saldırıyı pishing diye geçiştiriyor, o kadar 2FA nasıl aşılmış onunla ilgili tek bilgi vermemişler.

Cyber Security, Mobile Security, Web/Desktop/Embedded Programming, Electronics, M2M, IoT
Pages: [1] 2 »  All
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!