Babana Bile Güvenme

  • 2 minute read

For English, click here.

Günümüzün imza tabanlı teknolojilerinden biri olan Antivirüs yazılımlarına körü körüne güvenmekte, onların da birer yazılım olduğunu ve her yazılım gibi onların da hataları, zafiyetleri olabileceğini çoğunlukla göz ardı etmekteyiz. Halbuki Antivirüs dediğimiz yazılımlar aslında belli bir imza setine göre (sezgisel tarama hariç) hedef dosyaları incelemekte ve doğası gereği hedef dosya üzerinde yapılan basit değişikliklerden (misal kodlama/encode, paketleme) sistem üzerinde yapılan daha karmaşık değişikliklere (misal tasarımsal hataları istismar etme) kadar çeşitli yöntemler ile çoğu zaman kolaylıkla atlatılmaktadırlar. Çoğunlukla kodlama ile atlatma yöntemlerine sıkça rastladığımız bu günlerde tasarımsal veya mimari hatalardan, zayıflıklardan faydalanarak atlatma yöntemlerine çok sık rastlanmamaktadır.

Geçtiğimiz günlerde zararlı bir yazılım analizi gerçekleştirirken Mcafee VirusScan Enterprise Antivirus yazılımında raporlamadan zararlı yazılım tespitine kadar iki önemli noktada tutarsız sonuçlar üretmesine neden olan bir hata,zafiyet keşfettim. Yaptığım incelemeler neticesinde bu hatanın/zafiyetin, antivirus yazılımında bulunan ayrıştırıcının (parser) dosyaları incelerken özel bir satırı dikkate almasından kaynaklandığını düşünüyorum.

Hataya neden olan bu gizemli satır nedir diye soracak olursanız, HTTP protokülüne ait bir başlık (content-disposition ve filename) ile ZIP dosyasının başlığının (header) birleşiminden oluşan bir satır olduğunu söyleyebilirim;
Content-Disposition: inline; filename=setup.exe….PK…….. 

Normalde web ile ilişkili dosyaları (misal html) bu şekilde ayrıştırmasını beklediğimiz Antivirus yazılımı her ne hikmetse incelediği tüm dosyalarda da bu gizemli satırı dikkate alarak dosya üzerinde inceleme gerçekleştirmektedir. Durum böyle olunca da bu gizemli satırı kullanarak zararlı bir yazılımı bu antivirüs yazılımından kaçırmak, hatalı aksiyon raporu üretmesini (sildim dediği bir zararlı yazılımı aslında silememesi) sağlamak ve durum raporunda sahte dosya ismi göstermesini sağlamak mümkün olmaktadır.

Bu hatanın, zafiyetin istismar edilebileceği senaryolardan bazılarının üzerinden kısaca geçecek olursak;

  • Örneğin internetten temin ettiğimiz o meşhur Aurora istismar kodunun başına bu sihirli satırı ekleyip taratacak olursak antivirus yazılımı tarafından tespit edilemediğini görebiliyoruz.

  • Bunun dışında iki adet zararlı yazılım ile gerçekleştirebileceğimiz başka bir senaryoda ise zararlı yazılımlardan bir tanesi  Contagio Malware Dump sitesinden temin ettiğimiz APT_1104statment.pdf zararlı PDF dosyası diğeri ise Honeypot sistemi üzerinden temin ettiğimiz ve Blackhole istismar kiti tarafından kullanılan 55993.jar zararlı JAR (CVE-2012-0507) dosyası olsun. Her iki dosyayı da ayrı ayrı bu antivirus yazılımı ile taratacak olursak antivirus yazılımın başarıyla bu zararlı yazılımları tespit ettiğini görebiliyoruz ancak sihirli satırı JAR dosyasının başına ekledikten ve iki dosyayı tek bir zip dosyası haline çevirdikten sonra taratacak olursak sadece 55993.jar dosyasının tespit edildiğini diğer dosyanın ise tespit edilemediğini görebiliyoruz. Ayrıca her ne kadar antivirüs yazılımı bize 55993.jar dosyasının silinmiş olduğunu söylemiş olsa da zip dosyasının içine baktığımızda aslında dosyanın birebir orada olduğunu görebiliyoruz.

    • Son olarak Contagio Malware Dump sitesinden temin ettiğimiz APT_1104statment.pdf zararlı PDF dosyasının başına sihirli satırımızı koyacak ve filename kısmına istediğimiz değeri belirtecek olursak tarama sonucunda zararlı yazılımın adının dosya adından farklı olarak görüntülendiğini ve raporlandığını görebiliyoruz.

    Özellikle istismar kitlerinin (exploit kits) sıfırıncı gün zafiyetlerini istismar ettiği, güçlü gizleme (obfuscation) yöntemlerine başvurarak kendilerini imza tabanlı saldırı tespit ve zararlı yazılım tespit teknolojilerden başarıyla gizleyebildiği şu günlerde, yazılımlarda yapılan bu tür basit hatalar da, kullanıcıların kolaylıkla kandırılmasına ve zararlı yazılımların sistemlere daha kolay bulaşmasına imkan tanıyabilmektedir. Tavsiyem sadece ve sadece istemci sistemlerinde çalışan imza tabanlı teknolojilere güvenmek yerine ilave olarak ağ trafiğinin gözlenmesine yönelik modern teknolojilerden de (kum havuzu analizi gerçekleştirebilen ağ güvenlik izleme cihazları) faydalanılması olacaktır.

    Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim…

    image_pdfShow this post in PDF formatimage_printPrint this page
    Total
    0
    Shares
    Tweet 0
    Share 0
    Share 0
    Share 0
    Share 0
    Related Tags

    Mert is a well-known and respected Cyber Security Researcher, Speaker and Blogger. He has been living and pursuing his career in the United States with an Alien of Extraordinary Ability visa (EB-1A), an employment-based green card, since October 2022.

    As of February 2023, Mert has been working at SOCRadar® Extended Threat Intelligence as the Head of Security Research & Operations. SOCRadar is a cybersecurity company committed to democratizing threat intelligence and providing superior cybersecurity solutions to thousands of companies in hundreds of countries. SOCRadar's mission is to provide organizations of all sizes with the tools to counter cyber threats.

    In his current position, Mert has been advising the CEO on strategic decisions that align with the company's mission, objectives, and overall goals.

    He has often overseen strategic initiatives by working closely with various departments, such as product development, sales, and marketing. Also, he has been managing the day-to-day operations of the Security Analyst, Support, and Professional Services teams to ensure efficiency, quality, service, and cost-effective management of resources.

    In addition, he has been driving innovation across the product by promoting new ideas and features.

    Besides that, he has been managing, mentoring, and supporting a cadre of threat researchers, threat hunters, security analysts, and technical content writers who research cyber threats, vulnerabilities, and trends.

    From October 2020 to September 2022, Mert demonstrated his expertise as an Executive Vice President / CISO of IT Security & Risk Management Group which incorporates Cyber Defense Center, Cyber Security Technologies, Cyber Security Architecture, Information Security & Risk Management teams (40 HCs) at Intertech. Intertech is an Information Technology subsidiary of DenizBank, owned by Emirates NBD

    From January 2018 to September 2020 as the Vice President, Mert was responsible for the management of Akbank's Cyber Defence Center (CDC) which incorporates Vulnerability Management, Threat Detection, Threat Response & Intel, and Security Engineering teams. (26 HCs)

    From 2007 to 2017 Mert was responsible for performing and managing penetration tests, malware analysis, security incident detection, and response as a Technical Lead in the Threat & Vulnerability Management team at IBTech. (Information Technology subsidiary of QNB Finansbank)

    From 2014 – 2016 Mert instructed Malware Analysis course in Cyber Security Graduate Program at Bahcesehir University.

    In 2003 Mert’s career journey began by discovering a security vulnerability on the e-portal web application of the Yeditepe University where he was studying at that time. After sharing his findings with the executives of the university, he was awarded an achievement grant and recruited as an Ethical Hacker. Mert graduated from Yeditepe University, Information Systems and Technologies in 2006 and Yeditepe University, Master of Business Administration program in 2010.

    From the beginning of 2011, Mert spoke at more than 30 technical cyber security conferences. In addition, he was invited as a guest speaker to more than 40 universities to share his cyber security career journey and his profession “Ethical Hacker” to the students as a role model.

    5 comments

    1. Öncelikle değerli bilgiler için teşekkür ederim. Kabul bu yöntem virüslerin kuluçkalaması için bir yöntem ama execute olduklarında hafızaya açılırken ki denetleme mekanizmasından kurtulmak için bundan daha parlak bir yöntem bulamadıktan sonra pekte bir manası yok diye düşünüyorum. Kaldı ki neredeyse tüm anti-malware üreticileri (hipsler dahil) kendi exclusion rule’larını gayet erişilebilir registry key’leri veya basitçe encode edilmiş file’lar içerisinde barındırarak yine zararlı yazılımlara barınabileceği özgür alan sağlamaktalar.Yine buna en iyi örnek sizinde incelediğiniz mcafee’nin policy tabanlı exclusion’lar için aşağıdaki gibi kolayca erişilip zararlının kuluçkalamak istediği platform için senaryosunu kurmasına yardımcı olan key’i olabilir.

      HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\Configuration\Default\ExcludedItem_0=”3|15|C:\\users\\username\\desktop\\”

      Zaten her halükarda sisteme dışarıdan browser tabanlı olarak bulaşmak isteyen zararlı payload’ını sisteme konaklatmak için ayrıca şifrelenmiş ve sizinde kod örneklerinizde üstüne basa basa belirttiğiniz PK (data compression algoritmasını geliştiren Philip Katz’dan gelir) compression yöntemlerini kullanmaktalar. Ancak bu adımlardan sonrası için temiz olan ve amacı bu compression payload’ı memory’ye açarak execute etmek isteyen kod’a karşı günümüz kalitesini ispatlamış antivirüslerinin sezgisel algılama özelliklerinin bir okuyucunuz olarak gayet yeterli olduğu kanısındayım.

      Değerli bilgileriniz için tekrar teşekkürlerimi sunar iyi çalışmalar dilerim.

      Reply

      1. Merhaba,

        Sezgisel algılama yöntemleri fazlasıyla hatalı sonuç (false positive) ürettiği için varsayılan olarak çoğunlukla bu tür yazılımlarda kapalı gelmekte ve bu nedenden ötürü kolay kolay devreye alınamamaktadır. Buna ilaveten hafızaya açmak yerine hafızadan ilgili zararlı yazılımı çalıştırarak denetleme mekanizmaları günümüzde rahatlıkla aşılmaktadır. (Bkz: http://securityxploded.com/memory-execution-of-executable.php)
        Yazıda da belirttiğim gibi zaten çeşitli yöntemler ile AVler aşılabilirken bu tür basit hatalar işleri daha da kolaylaştırabilmekte, yeni kapılar açmaktadır.

        Reply

    2. Bence bu basit gibi görünsede önemli bir nokta. Ne yazık ki modern güvenlik anlayışına göre her katman kendi güvenliğinden sorumlu olacağından KaraCahil’e katılmıyorum. istismar tekniğine göre güvenlik politikaları oluşturmak doğru bir yaklaşım değil.

      Niye derseniz; her istismar sözkonusu olduğu sisteme göre değişkenlik gösterecektir. Örneğin siz yalnızca bir makinada çalışma yapıyorsanız AV’in taramada kaçırdığı bir virüs çalışma zamanında hafıza üzerinde AV tarafından tespit edilebilecek iken, karantina/kontrol amaçlı kullanılan bir sistemde dosya taramasından geçen zararlı iç ağdaki bir makinada çalıştırılıyor olabilir. Her durumda “nasıl olsa çalışma anında bu zararlının tespiti yapılır” düşüncesi bir başka sistem ve şartda FAIL etmenize neden olabilir. AV’ün var olma amacı tespittir. Bunu bir şekilde yapamıyorsa bu bir zafiyettir. Etkisi az ya da çok.

      Reply

      1. Zaten normal tarama ile çalıştırma esnasıda taramanın ayrı olmasının amacı katmanlı güvenlik ve zaten 2. Katmanda tespit edilir dersek o zaman ya 1. Katmanı ortadan kaldırmak gerekir ya da diğer AV yazılımlarında olduğu gibi tespit etmesi ve de tespit edip sildim dediğinde gerçekten silmesi gerekir, beklenir.

        Reply
    Leave a Reply

    Your email address will not be published. Required fields are marked *

    You May Also Like
    Read More

    e-Devlet Hacklendi mi?

    If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
    Read More
    0
    0
    0
    0
    0
    Read More

    WhatsApp Dolandırıcıları

    If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
    Read More
    0
    0
    0
    0
    0
    Read More

    LinkedIn Dolandırıcıları

    If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
    Read More
    0
    0
    0
    0
    0
    Read More

    e-Devlet Hesaplarımızı Nasıl Hackliyorlar?

    If you are looking for an English version of this article, please visit here. Başlangıç 25 Ekim 2023 günü saat 11:46’da e-Devlet uygulamasından ve e-posta adresime gelen uyarılardan e-Devlet Kapısı hesabıma üst üste birden fazla defa yanlış parola ile giriş yapılmaya çalışıldığı için hesabımın bir saatliğine geçici olarak kullanıma kapatıldığını…
    Read More
    0
    0
    0
    0
    0