Zemana Blog

TDL / TDSS Serisi – Analiz ve Temizlik

noreply@blogger.com (Emre TINAZTEPE) — Fri, 06 Jan 2012 00:13:00 +0000

Geçen yazıda söz verdiğim gibi bu yazıyı TDL’in analizine ayırıyorum. Öncelikle nereden çıktı şimdi TDL Analizi sorusuna cevap olarak : yeni projemizde en ileri seviye rootkitleri dahi temizlememiz gerekiyor. İşimiz gereği yeni çıkan rootkitleri derinlemesine inceliyor ve Ar-Ge olarak gerekli tüm detayları kayıt altına alıyoruz. Yeni projenin bir çok parçasını bitidrikten sonra şimdi de sıra Storage Stack ile ilgili olan kısımlara gelmişti ki, ekip şefimiz ile konu hakkında detaylı bir görüşme yaptık ve TDL 3 ve 4’den başlamaya karar verdik. Bu yazıda temizlik için izlediğimiz adımları sizlerle paylaşacağım. İşlemin bazı yerlerinin Zemana Ar-Ge Bünyesinde kalması gerektiğinden bazı yerleri üzeri kapalı geçeceğim fakat özünde izlenmesi gereken adımları anlamak çok da zor olmasa gerek.
Öncelikle TDL’in özelliklerinden bahsedeyim :
- Şimdiye kadar görülen en kompleks ve stabil enfektör.
- Windows’un KPP korumasını atlatan ilk zararlı (Mekanizmayı anlattığımda gözlerinize inanamayacaksınız)
- Genel maksatlı bir downloader olduğu gibi bilgisayarınızı tamamen köleleştiren ve bu işlemlerin neredeyse tamamını Kernel Moddan icra eden bir zararlı.
- Dünya genelinde 5-6 Milyon’a yakın bilgisayarı enfekte ettiği tespit edilmiş.
Aşağıdaki grafiğe bakacak olursanız, 2010’daki % 600 lük artış dikkatinizi çekecektir. Zararlının 10 kişilik bir ekip tarafından yazıldığı düşünülüyor ve AntiVirüslerden daha hızlı güncelleniyor

Konuya girecek olursam, ekip şefimiz iki adet sample gönderdi. Enfeksiyon mekanizmaları birbirlerine benzer olan
1. 03E059756CEAD6186B2E386FC2F8A023 hashli TDL3 örneği.
2. 4A052246C5551E83D2D55F80E72F03EB hashli TDL4 örneği.
Daha önceden okuduğum analizlerde Botun özellikle sanal makine avcısı olduğunu biliyordum. Bu yüzden özel olarak hazırladığımız sanal makinelerle test etmek istedim. Eğer test başarısız olsaydı, lab ortamında çalışan makinelerimize “DEBUG MODE OFF” imajlarından birisini yükleyip ile deneyecektim fakat bu genellikle çok zahmetli bir iş. Çünkü, enfekte edilen makinenin devamlı olarak LiveKD / DD ile snapshotunu almak zorunda kalıyorsunuz ve geriye dönmek istediğinizde ise maalesef FOG Server sizi epey bekletiyor. Neyseki TDL3 sanal makinamı tespit edemedi
Zararlının çeşitli analizlerini bulmanız mümkün fakat hangi versiyonunun ne yaptığından ziyade, bizim için önemli olan yeni üründe kullanılacak Jenerik Temizleme Mekanizması. Dolayısıyla rutin prosedürlerin çoğunu uygulayıp emin olmak istedim.
Zararlıyı çalıştırıp DbgView’a baktığımda aşağıdaki görüntüyü gördüm. Karşımda bulunan adamların kesinlikle sağlam bir mizah anlayışları olduğu kesindi
Düşünün, bulaştığınız makinelere bir debug print yapıyorsunuz ve “Uzay Yolu”ndan replikler gösteriyorsunuz. Aslında bir nevi meydan okuma da diyebiliriz. Bu arada TDL den ilk küfrümü de yemiş oldum

Her zaman yaptığım şeyi yaptım ve !chkimg komutu ile ntoskrnl.exe yi kontrol ettim. Uppsss, 6 baytlık bir değişiklik, fakat maalesef bunlar DebugView programının nt!DebugPrint fonksiyonunda yaptığı patchlerdi

İkinci adım olarak servis tablosuna, Global Descriptor Tablosuna ve LDT’ye baktım. Biliyorum fazla paranoyağım ama karşımdaki ekip cidden profesyonel bir ekip, dolayısıyla emin olmak çok önemli. Herneyse, paranoya adımlarını geçip, Sistem callbacklere baktığımda 0xf887b6ae adresinde 1 tane Create Process Callback olduğunu tespit ettim. İşte bu güzel haberdi. lm ile modül listesine baktığımda bu adreste geçerli bir modül olmadığını gördüm.
!pool 0xf887b6ae komutu ile adresin base’ine göz attıktan sonra artık hedef aralığım belirliydi.

Elde olanları sıralayacak olursam, şimdilik sadece bir adet Callbackimiz ve gizli bir sürücümüz bulunuyordu.
Dolayısıyla temizliğin ilk safhasına başlamış bulunuyordum. Bu noktada ilk iş CallBack rutini sistemden kaldırmaktı.
Genel mantık PspCreateProcessCallback dizisinin içerisinden, bu callback adresine sahip fonksiyonu silmektir. Fakat tecrübelerime dayanarak pek güvenli bir yöntem olduğunu söyleyemem çünkü bu derece profesyonelce yazılmış bir virüsün normal olarak bir watchdog timer’ı olmaması garip olur. Dolayısıyla, temizlik esnasında daha jenerik bir yöntem kullanmalıydım ve zararlı herşey yolunda zannederken aslında callbackinin çalışmaması gerekmekteydi. Bunun için PsRegisterProcessCreateNotify rutini analiz etmeye başladım. Kodun içerisinde bulunan dizilere IDA’dan referanslara baktığımda CreateThread apisi dikkatimi çekti. Kodu disasm ettiğimde karşıma çıkan manzara aşağıdaki gibiydi :

Bu arada bu tekniği bulmak için epey uğraştımı da itiraf ediyorum, fakat hem güvenilirlik hem de stabilite açısından ekip arkadaşlarım tarafından da epey takdir gördüğünü söylemeliyim. Teknik ne derseniz, register ettiğimiz CallBack rutini siledebilirdim ve bunu programımıza otomatik olarak yaptıran bir kod bloğu da yazabilirdim fakat daha önce de belirttiğim gibi, bunu yapmam rootkit’i kızdırabilirdi (belki de ilerleyen versiyonlarda) ve kedi köpek savaşı başlardı.
Kod parçasına dikkat ederseniz, PspCreateThreadNotifyRoutineCount adında bir Global değişken kontrol ediliyor ve bunun değeri SIFIR ise 805d0483 adresine atlanıyordu. Bu adres ile şu anda bulunduğum adres arasına baktığımda zaten işin en önemli kısımlarının buralarda gerçekleştiğini, yani notification rutinlerin bu alanda çağırıldığını gördüm. Dolayısıyla temizlik esnasında bu değeri sıfırlarsam, rootkit sistemde aktif olduğunu zannedecek fakat aslında OS tarafından çağırılmayacaktı
Önce windbg ile kontrol ettim, sembolün adresine
ed nt!PspCreateThreadNotifyRoutineCount 0, komutunu vererek makineyi çalıştırdım ve hiç bir problem yaşamadım.
Otomasyon programına bunu hemen ekleyip crash vs. ihtimaline karşı tekrar test ettim, canavar gibi çalışıyordu
Sonraki aşama enfekte edilen sürücüyü bulmaya gelmişti. Okuduğum analizlerden Storage Stack’da en dipte bulunan SCSI Miniport sürücüsünün enfekte edildiğini biliyordum.

En altta benim sistemimde olması gereken vmscsi.sys ya da Windows 7 sistemimde LSI_SAS sürücüleri olması gerekirken 0x82261a38 adresinde “İsimsiz” bir sürücü yerleşmişti. Tespitte kullanılabilecek jenerik bir yöntem daha diyerek yola devam ettim. DriverType değeri de SIFIR, elde var iki

DeviceObject’in sürücüsüne baktığımda Major Fonksiyonların tamamının kancalanmış olduğunu gördüm. Belki de DeviceObject komple değiştirilimişti?? Eğer sadece fonksiyonlar kancalandıysa, bu fonksiyonları nereden bulacaktık?? soruları kafamda dönmeye başladı. Bu noktada direk yazı tahtasına geçtim ve düşünmeye başladım. Tabii bu arada TeamViewer’lar havada uçuşuyor
Bu noktada 3 sorunumuz var :
1. Gerçek DeviceObject’in adresi nerede ?
2. Gerçek DeviceObject’i bulduktan sonra, handlerların adresini değiştirmeye müteakip, TDL’in watchdog thread’i enfeksiyonu restore etmek için bizimle savaşacak. Ne yapmalıyız ?
3. İlk sorunu hallettikten sonra, enfekte edilmiş Driver’ı bulabiliriz fakat NTFS.sys’nin üzerinden geçmeden C:\Windows\System32\drivers\mouclass.sys gibi bir dosya yolunu diskte bulunan Cluster / Sector adresine nasıl çevireceğiz ??? Bu NTFS dosya sisteminin yaptığı şeyleri tamamen kod ile yapıp doğru offsete ulaşmak anlamına geliyordu. Neden mi? Aşağıdaki şekilde DOSYA YOLU diye bir kavramdan anlayan ilk sürücü NTFS.sys’dir. Onun aşağısına indiğinizde DOSYA YOLU kavramı kaybolur ve herşey yerini Sector – Cluster – LCN gibi kavramlara bırakır. Rootkit en alttaki atapi.sys’ye bulaşıyordu ve bu sürücü Diske IN – OUT yapan sürücü olduğu için iş gitgide zorlaşıyordu , yani sözün bittiği yerdeydik

NT Mimarisi ile ilgili undocumented bir çok manevra yapabilirdim fakat, ticari bir üründen söz edildiğinde biraz durmak gerekiyor, ne kadar undocumented işlem yaparsam BSOD ile karşılaşma ihtimalim o kadar artacaktı o yüzden enine boyuna düşünüp gerekli çizimleri tahtaya yaptıktan sonra kolları sıvadım.
Cevap 1 :
Sanal Makineyi enfeksiyon öncesi haline getirip gerçek device objectin adresini aldım ve sistemi enfekte sisteme döndürdükten sonra bu adresi hafızada aramaya başladım. 0x82261a38 adresindeki VMSCSI device’ının adresi el mahkum hafızada saklanacaktı.

s 80000000 L?7fffe000 82 26 1a 38
komutu ile tüm hafızada gerçek device object’in adresini aradım. Karşıma 100’den fazla entry çıktı. Dolayısıyla bir değerlendirme yapmak için bu kadar hafıza adresini incelemem gerekiyordu.
Analizde en önemli şey TEKRARLAYAN HAREKETLERDEN KAÇINMAKTIR! Ayrıca bu gibi bir durum mutlaka ileride de işime lazım olacaktı. Bu yüzden PyKD ile küçük bir Python scripti yazmanın uygun olacağını düşündüm ve Visual Studio’da küçük bir script yazdım. Script device object’den driver object’e gidip sürücü geçerli mi değil mi bunu tespit edecekti.

Script, 2 tane adresin geçerli olduğunu tespit etti. Bu adreslerden ilkine baktığımda Rootkit tarafından yaratılan DriverObject’in içerisinde saklı olduğunu gördüm. Saklama yöntemine baktığımda hemen TDL 4 ile karşılaştırdım, ikisi de aynı yere saklanmıştı, adresi cebe atarak devam ettim.
Cevap 2 :
Watchdog ile savaşmak gerçekten zor bir iş. Başlangıçta korktuğum şey, rootkit tarafından oluşturulan threadi durdurmak veya sonlandırmak mavi ekrana yol açar mı acaba diye düşündüm fakat korktuğum olmadı. Öncelikle temizlenmesi gereken kancaya bir breakpoint yerleştirdim ve TDL beni yine güldürdü. Aşağıdaki ekran görüntüsüne bakarsanız, zararlı bana olayın farkında olduğunu anlatmaya çalışıyordu.
Açıkça rootkit onu uyuşturmaya çalıştığımın farkındaydı

Bu çıktıyı veren adresi NOPlamak benim için jenerik bir çözüm sayılmazdı. Ayrıca müşterilerin bilgisayarlarında rahatlıkla mavi ekrana yol açabilirdi. Dolayısıyla başka birşeyler yapmam gerekiyordu. Aklıma ilk gelen yöntem sanal makineyi tek CPU ile çalışacak şekilde ayarlamak ve Irql’yi DISPATCH_LEVEL’e çıkartarak en dipteki sürücüye okuma isteklerini göndermekti. Bu sayede, rootkit’in koruyucu threadinin çalışmasına müsade etmeden gerçek veriyi okuyabildim. Peki birden fazla CPU varsa o zaman ne yapacaktık? Bu durumda da her CPU’ya bir adet DPC gönderdikten sonra tüm CPU’ları kilitleyip üzerinde çalıştığımız CPU’dan okuma işlemini gerçekleştirebilirdik. Bunda da herhangi bir sorun yaşamadım.
Cevap 3 :
İşin en zevkli kısmı bu noktada başlıyordu. Geçtiğimiz ay yazdığım MFT Parser ile diski taramaya başladım. Önce ReadFile apisiyle drivers klasöründe bulunan tüm sys dosyalarının CRC32 hashlerini aldım, sonra da MFT Parser ile aynı klasörü listeleyerek kendi driverımıza bir önceki adımda bahsettiğim adımları icra etmesi için IOCTL’ler göndererek dosyaların DATA Attribute’lerini okudum. Müteakiben aldığım verilerin tekrar CRC32 hashlerini alarak bir önceki ReadFile’dan gelen sonuçlarla, yeni sonuçları karşılaştırdığımda mouclass.sys dosyasının hashlerinin tutmadığını farkettim. Bu şu anlama geliyordu : Rootkit bu dosyayı enfekte etmiş ve sistemi taramaya çalıştığımda bana dosyanın orijinal halini döndürmeye çalışıyordu.
Aşağıdaki resimde program tarafından hesaplanan disk offsetini sürücüye göndermem ile artık NTFS.sys sürücüsünü ve altındaki tüm driverları bypass ederek direk olarak disk erişimi yapabiliyordum.

TDL4 de bir önceki versiyondan farklı olarak BootSector enfeksiyonu gerçekleştiriliyordu. Aslında temel olarak baktığınızda MBR Enfeksiyonunu temizlemek, az önce bahsettiğim sürücüyü temizlemekten çok daha kolay çünkü MBR nin disk offseti belli ve NTFS dosya sistemi ile uğraşmadan direk olarak hedefe gidebiliyorsunuz. TDL4 de zorlayan tek şey, rootkit’in Kernel Debugger DLL’si üzerinde yaptığı değişiklikleri bypass etmek oldu. Cidden çok güzel bir manevra ile bağlantıyı kopartmışlar, fakat elinizde fonksiyon prologlarının yedeği varsa, TDL4 ile de eski versiyonu gibi rahatça savaşabilyorsunuz. Bunun için yapmanız gereken tekşey zararlıyı çalıştırmadan önce .writemem komutu ile apilerin prologlarının yedeklerini almak!
Sonsöz :
Epey uzun bir yazıdan sonra rootkit ile ilgili bir kaç şey söylemek istiyorum.
TDL ailesini incelemek benim için gerçekten çok zevkliydi, şunu rahatlıkla söyleyebilirim : Bu rootkiti her kim yazıyorsa, gerçekten tam bir Kernel KungFu Ustası! Fakat temizleme yöntemi geliştirirken, aklıma gelen birçok “Acaba” var.
En basitinden, watchdog timer’a IO işlemi yaptırsalardı, timerı sonlandırmam veya durdurmam benim için çok tehlikeli olurdu. Ya da çok merak ettiğim, bir sonraki versiyonda Debugger ile Debuggee arasındaki bağlantıyı kopartmak yerine, Kernel Debugger Message Buffer’ı modifiye ederler mi? Bu arada, bu yazıda public ettiğimiz Callback Bypass yöntemini bir sonraki versiyonda görecek miyim ve daha bir çok soru…
Hoşçakalın!

Social Media App Uninstaller

noreply@blogger.com (Emre TINAZTEPE) — Thu, 05 Jan 2012 16:40:00 +0000

Zamanla, sosyal medya platformlarımıza eklediğimiz ve farklı farklı izinler verdiğimiz uygulamaların, neredeyse bilgisayarlarımıza kurduğumuz uygulamalar kadar olduklarını biliyor muydunuz? Bugün bulduğum bir site bunların hepsini kaldırabilecek linkleri tek biryerde toplamış. Önceden yüklemiş olduğunuz uygulamalara baktığınızda şaşıracaksınız.

Detaylı bilgi için http://mypermissions.org/ adresine bakabilir ya da aşağıdaki bağlantılara tıklayabilirsiniz.

İlerde tekrar bu uygulamarı kaldıramanız gerebileceğinden bu blog post’u favorilerinize eklemenizi tavsiye ederim

Siber Güvenlik Konferansı & Özel Diltaş Eğitim Kurumları Güvenlik Semineri

noreply@blogger.com (Emre TINAZTEPE) — Sun, 01 Jan 2012 16:12:00 +0000

Merhaba,

22 Aralık’da düzenlenen Siber Güvenlik Konferansı’nda Stratejik Danışmanımız, Sayın Prof. Dr. Mete GÜNDOĞAN Siber Silah Endüstrisi ve Türkiye adlı sunumu gerçekleştirdi. Sunumu ciddi derecede ilgi gördü ve sunum sonrasında sorulan sorulardan, katılımcıların da durumun ciddiyetinin farkında olduğu rahatça anlaşılabiliyordu.

Ayrıca, geçtiğimiz hafta Zemana Sponsorluğunda Özel Diltaş Eğitim Kurumlarında İnternette Kişisel Güvenlik Semineri adlı bir seminer düzenlendi. Seminerde okul öğrencilerinden M.Çağrı TEPEBAŞILI, güvenlik tehditleri ve korunma yöntemleri konularına değindi.

Ülkemizde Güvenlik Bilincinin Yerleşmesine katkıda bulunan bu tür faaliyetlere bundan sonra daha fazla ağırlık vereceğiz.

Bir sonraki blog yazısı Trojan Downloader – TDL (Stuxnet ve Duqu kadar kompleks bir zararlı) analizi üzerine olacak, hafta içerisinde detaylı incelemeyi okuyabileceksiniz, meraklılarına duyurulur

Zemana Profesyonel Servisler

noreply@blogger.com (Emre TINAZTEPE) — Tue, 20 Dec 2011 22:05:00 +0000

Merhaba,

Zemana Profesyonel Servisler, 21 Aralık 2011 tarihi itibariyle hizmete açılmıştır.

Sunduğumuz hizmetler :

- Malware Analiz / Ters Mühendislik

- Kaynak Kodu Analizi

- Uygulama Zafiyet Testleri

Detaylı bilgi için Anasayfamızdan Servisler menüsüne tıklayabilirsiniz.

Servis talepleriniz için her sayfanın altında bulunan talep formalarını kullanabilir ya da services@zemana.com adresine mail atabilirsiniz.

Karamanın Koyunu

noreply@blogger.com (Emre TINAZTEPE) — Sun, 18 Dec 2011 15:21:00 +0000

Merhabalar,

Cuma günü elime gelen sample feedleri otomasyon analize tabii tutmakla meşgulken küçük bir arkadaşımız dikkatimi çekti. Detaylı inceleme sonunda “Karamanın Koyunu” dedirten bu zararlı ile ilgili bir şeyler karalamanın iyi olacağını düşündüm.

Hikaye şöyle :

Bildiğiniz gibi her gün 10.000 lerce yeni malware örneği türüyor ve bunların arasında sıradan malwareler çoğunlukta olduğu gibi gayet yetenekli canavarlar da mevcut. Otomasyon sonrası “Alçak Sürünme” (Low Profile) yapanlara odaklanmak her zaman çok daha etkili oluyor. Şöyle ki, her gün gelen sampleların %95’ı çalışır çalışmaz en kötü ihtimalle 45 sn. sonra maharetlerini gösterirler. Esas dikkat edilmesi gereken çalıştırılmasına rağmen kayda değer bir şeyler yapmayanlara odaklanmak. Bu tip zararlılar da ya deşifre rutinlerini çalıştırmak için belirli bir zamanı bekliyorlar, ya da saldırı için gerekli ortam ve koşullar oluşmadığı için çalışmıyorlar. Söz konusu zararlı da aynen bu karakterde bir dosya.

Program aşağıda gördüğünüz gibi popüler bir video downloader gibi görünüyor.

Şirket içerisinde kullandığımız otomasyon yazılımı, yukarıda gördüğünüz programa, davranış kuralları listesinde bulunan bir hareket gerçekleştirmediği için herhangi bir uyarı vermedi, ben de uzun periyot testi için işaretleyip geçecekken, ekibimizden Yordan Bey telefon etti. Tabii sanal makine bu esnada açık. 15 - 20 dakika sonra analiz makinasına geri döndüğümde, windbg ile yapmam gereken bir incelemeyi hatırladım ve sanal makineye Windbg attach etmek istediğimde başarısız olduğumu gördüm. Benden önce windbg zaten sanal makineye bağlanmıştı.

Ben windbg’ı açmadıysam, geriye tek seçenek kalıyordu, bu da “Masum görünen programımız bir şekilde sisteme rootkit yükleme çalışıyordu” ve bunu tespit eden yazılımımız sanal makineyi incelemem için Windbg’ı otomatik attach etmişti. İlk işim sanal makinenin snapshotunu alarak teste devam etmek oldu. Sürücünün yüklenmesine müsade edip, sistem çekirdeğini incelediğimde gördüğüm manzara ntfs.sys sürücüsünün IRP READ handlerının inline kancalanmış olduğuydu. Ayrıca laboskopia scriptleri ile sistem callbacklerine baktığımda zararlı sürücünün, bir tane “Process Create Callback” register ettiğini farkettim.

İlk işim Process Create Callback rutinin görevini incelemek oldu. IDA ile rutini incelediğimde gördüğüm : iexplore.exe yani Internet Explorer’ın çalışmasını monitor eden küçük bir kod bloğu oldu. iexplore.exe çalıştığında kernel moddan user moda “flash9.ocx” adında bir dll enjekte ediyor ve her send requestin bu dllden geçmesi için socket fonksiyonlarını buraya yönlendiriyordu. Bunu görür görmez galiba banker bir trojan ile karşı karşıyayım dedim. Fakat emin olmak için DriverMon ile yakaladığım sürücüyü IDA ile açmanın daha iyi olacağını düşündüm.

Sistemde yüklü olan sürücünün base adresi ile IDA’ya yüklediğim sürücüyü REBASE ederek realtime bir görüntü elde ettikten sonra, sürücüyü incelemeye başladım. Manzara işin aslında düşündüğüm gibi olmadığını anlamama yetti

Yazarın encryption konusunda pek de iyi olmadığını söylemeden geçemeyeceğim, küçük bir ida scripti ile 15 – 20 dakika içerisinde XOR ve ROL kullananan birinci layerı hallettim. İkinci layer da sadece XOR kullanıyordu.

Flash9.ocx’in yaptığı tek şey, internet explorer’ın adres alanında her requesti takip ederek request gönderilmeden önce IP\meeting.aspx? sunucusuna username=base64(”dosya adı”) şeklinde bir request göndermekti. IP adresine baktığımda sunucunun çalışmadığını gördüm, ayrıca malc0de gibi sistemlerden ipyi kontrol ettiğimde herhangi bir sonuca ulaşamadım. Belli ki saldırgan bizden önce davranmış ve işini bitirmişti.

Kod içerisinde dosya adı gönderildiğini görünce uzun süre bir çeşit arka kapı açabilecek bir kod aradıysam da bulamadım. Bu da sistemde başka bir trojanin kullanıldığını kanıtlıyordu. Yani dosyaları bulan ve sunucuya isimlerini gönderen bileşen ile dosyaların sistemden alınmasını sağlayan bileşenler ayrı uygulamalar. Peki ne bu dosya isimleri derseniz :

Yukarıda gördüğünüz görüntü, sürücünün NTFS.sys’ye yerleştirdiği hookun içerisinden aldığım bir parça. Kodun inline assemblerda yazıldığı gayet açık. Maksadı ise ntfs diskte erişilmeye çalışılılan dosyaların uzantılarını kontrol ederek temp klasöründe bu dosyaların RC4 ile şifreli birer kopyalarını oluşturmak, kopya oluştururken diske erişmek yerine gelen bufferı şifreleyerek kullanması da ayrıca dikkate değer. Kodu detaylı incelediğimde gördüğüm şuydu : sistemde oluşturulmuş bir section objectte yeni yazılan dosya adlarını (temp klasörü), iexplore.exe’de çalışan dll, her request esnasında kontrol ediyor ve bu dosyaların isimlerini shared sectiondan silerek base64 ile şifreli bir şekilde sunucuya gönderiyor. Dolayısıyla karşımızda bir çeşit kritik bilgi hırsızı var diyebiliriz.

Peki neden böyle dolaylı bir tutum sergilendiği merak ediyorsanız benim tahminim : eğer hedef bir şirketse, ki bence kesinlikle öyle, muhtemelen saldırgan iç işleyiş ile ilgili detaylı bilgi sahibi ve DLP / IDS / IPS gibi bir sistem olduğunu bildiği için bu şekilde bir yaklaşım izlemiş. Asıl merak ettiğim, temp klasörüne kaydedilen dosyaların sistemden nasıl alındığı? Ayrıca eğer ayrı bir bileşen ile dosya gönderimi yapılmadıysa, firma içerisinde saldırganla ortak çalışan bir personelin olma ihtimali nedir?

Yalnız Kurt Pentagon’da Birinci!

noreply@blogger.com (Emre TINAZTEPE) — Fri, 09 Dec 2011 22:17:00 +0000

Can YILDIZLI (LoneWolf), Amerikan Savunma Bakanlığı Siber Suçlar Merkezinin her sene düzenlediği oldukça geniş bir alana hitap eden ve her biri ciddi uzmanlık isteyen 23 daldaki yarışmada, en yakın rakibine 1200 puan fark atarak birinci oldu!

Yarışmanın detaylarına bakacak olursanız yalnızca bilgi değil, yetenek gerektiren bir çok dalın olduğunu rahatlıkla görebilirsiniz. Can YILDIZLI, bir çok yarışmanın aksine, yalnızca hazır toolları kullanarak değil, yarışmacıların kendi toollarını geliştirmesi gereken alanları da olan DoD Cyber Crime Challenge’ı, 1400’den fazla ekibe karşı TEK KİŞİ tamamladı.

Zemana Ekibi olarak kendisini yürekten tebrik ediyor, yakında RPI’de başlayacağı doktorasında başarılar diliyoruz!

İşte Konular :

100 - Windows Registry Analysis
101 - File Hash Identification
102 - File Signature Analysis
103 - Creation of Affidavit for search Seizure Warrant
104 - Hot Spot Surveillance
200 - File Data Examination
201 - STEG Level 2
202 - Password Cracking
203 - VMWare Memory Analysis
300 - Network Trap and Trace
301 - Encrypted Device Image
302 - Shadow Volume Win7 Registry Analysis
303 - Unallocated Recovery Challenge
400 - Shadow Volumes Analysis
401 - STEG Level 4
402 - Encrypted Drive Recovery
500 - Language Identifier and Translator Tool Development
501 - Imaging the Android OS - Tool Development
502 - MFT File Reader
503 - Text String Search Tool Development
504 - Data Recovery from HPA as a Universal Tool or Manufacturer Tool Development
505 - Data Recovery from Unmarried TPM Hard Disk Tool Development
506 - VSC Parser Tool Development

SCADA Exploit - Celil ÜNÜVER / SignalSEC

noreply@blogger.com (Emre TINAZTEPE) — Fri, 02 Dec 2011 12:14:00 +0000

Merhabalar,

Son günlerde gittikçe önem kazanan SCADA sistemleri ile ilgili yeni bir açık SignalSEC ekibinden Celil ÜNÜVER tarafından tespit edildi.

Zemana Ekibi olarak kendisini tebrik ediyoruz.

Uzaktan kod çalıştırmayı sağlayan açık hakında detaylı bilgi için aşağıdaki videoyu izleyebilirsiniz.

Piracy it's a crime

noreply@blogger.com (Emre TINAZTEPE) — Tue, 15 Nov 2011 07:30:00 +0000

Bir araba,televizyon yada DVD salonundan bir DVD çalmayız ama korsan film indirmeninde hırsızlık olduğunu bilmek lazım.

You wouldn't steal a television
You wouldn't steal a movie
Downloading pirated films is stealing, stealing is against the lan.

Zero-day keylogger

noreply@blogger.com (Emre TINAZTEPE) — Thu, 10 Nov 2011 07:21:00 +0000

İspanyalı bir programcı, anti-keylogger programlarını test etmek istemiş ve testte kullanacağı keylogger'in %100 zero-day olabilmesi için bu keylogger'i kendisi en baştan yazmış ve Zemana dahil bir kaç program ile test etmiş ve birinci gelen biz olmuşuz.

Test sayfasının Google translate ile çevirilmiş haline buradan oluşabilirsiniz.

Sizde programcı mı sınız? Buna benzer birşey demek isterseniz ve sonuçları bizimle paylaşırsanız seviniriz.

50 Licenses for Zemana AntiLogger and AntiMalware from Softpedia

noreply@blogger.com (Emre TINAZTEPE) — Thu, 03 Nov 2011 07:51:00 +0000

You will have to post one smart comment here in order to get a license for both products.

AntiLogger + Windows 8 Developer Preview

noreply@blogger.com (Emre TINAZTEPE) — Wed, 19 Oct 2011 05:17:00 +0000

Merhabalar,

Son testlerimizi de yaptık. AntiLogger 32 bit ve 64 bit Windows 8’in Developer Preview sürümünde sorunsuz çalışıyor. İşte ekran görüntüleri :

Bu arada küçük bir ipucu da vermek istiyorum : yeni projenin arabirimini Windows 8’in Metro Arabirimi tarzında tasarlıyoruz

Güvenli günler

AntiLogger x64 Desteği + Windows 8

noreply@blogger.com (Emre TINAZTEPE) — Tue, 11 Oct 2011 07:07:00 +0000

Merhabalar,

Microsoft’un 64 bit sistemlerde başlattığı Kernel Patch Protection koruması bir çok güvenlik firmasını zor duruma sokmuştu. Zararlılar tarafından kullanılan metodların implementasyonunu engellediği gibi, karşı tedbirlerin alınmasını da engelleyen PatchGuard ile ilgilli gerekli Ar-Ge çalışmasını tamamlayarak AntiLogger’ın 64bit sürümüne Anti-Keylogger ve Anti-ClipboardLogger korumalarını ekledik. Son sürümümüzde iki modül de aktif durumda. Sırasıyla tüm modülleri aktive edeceğiz.

Ayrıca AntiLogger’ın Windows 8 testlerini de başarıyla geçtiğini söylemeden geçemeyeceğim

Sürüm notları için http://www.zemana.com/tr/whatsnew.aspx adresini ziyaret edebilirsiniz.

Güvenli günler…

Method For “Detecting Grandchild Processes Spawned By Malware”

noreply@blogger.com (Emre TINAZTEPE) — Fri, 16 Sep 2011 22:46:00 +0000

Hi,

I analyzed a creature trying to spawn new processes for survival and thought of a new technique.
During my tests, I successfully detected “Grandchild Processes Spawned by Malware”.

Let me first talk about the problem :

“We have a creature named MalDaddy and he wants to raise a child (MalChild) to survive and divide his evil activities in order to attract less attention. There is even a grandchild (MalGrandchild) and even a great-grandchild…”

Technically, we can detect the parent process of a spawned process with the help of the “InheritedFromUniqueProcessId” value in the EPROCESS structure.

1: kd> dt nt!_EPROCESS

…
+0x260 Job : Ptr64 _EJOB
+0x268 SectionObject : Ptr64 Void
+0x270 SectionBaseAddress : Ptr64 Void
+0x278 Cookie : Uint4B
+0x27c UmsScheduledThreads : Uint4B
+0x280 WorkingSetWatch : Ptr64 _PAGEFAULT_HISTORY
+0x288 Win32WindowStation : Ptr64 Void
+0x290 InheritedFromUniqueProcessId : Ptr64 Void

We can detect the parent process of a newly-created process by checking this field (of course, there are easier ways).

The Windows Internals book says:

“Processes whose parents aren’t alive are left-justified (as is Explorer.exe in the preceding example) because
even if a grandparent process exists, there’s no way to find that relationship. Windows
maintains only the creator process ID, not a link back to the creator of the creator, and
so forth.”

Following the link backwards, it is possible to detect relationships between processes. This is what ProcessExplorer does.

What if a spawned process (MalChild) clears this field in kernel mode or spawns a new process (MalGrandchild)? What if the MalChild process terminates and only MalDaddy and MalGranchild continue to execute?

Here is what i suggest :

Fact 1: Each process has a Handle Table

Fact 2: Each handle holds a pointer to its Object.

Fact 3: Each inherited handle has the same index in the handle table as MalDaddy’s handles and would be inheritable.

Assumption :

Malware spawns processes with at least one handle flagged with “Inherit Handle”.

My answer to the problem is enumerating MalDaddy’s handle-table’s “Inherited Handles” and testing those indexes against running processes. This way we can easily detect processes with the same parent with accuracy. It is unlikely to see two different processes with the same objects indexed with the same offset in their handle tables.

Safe days…

Bilgi Güvenliği Platformları ve Güvenlik Bilinci

noreply@blogger.com (Emre TINAZTEPE) — Thu, 15 Sep 2011 23:53:00 +0000

Merhabalar,

Bu yazımızda Bilgi Güvenliği platformlarının, bilgisayar kullanıcılarına sunduğu hizmetler ve Güvenlik Bilinci oluşturulmasında sağladığı faydalardan bahsedeceğim.

Bilgi hırsızlarının “Underground” olarak adlandırdıkları, yüzlerce tartışma, bilgi alışveri ve satış platformları her geçen gün artıyor. Hacker'lar her saniye yeni teknikler geliştirmek için çabalarken, gündelik hayatımızın bir parçası olan bilgisayarlarımızla iletişimimizde karşılaşabileceğimiz riskler de hızla artıyor. An geliyor, “Bilinçli bir bilgisayar kullanıcısı” sadece dikkati sayesinde hayati öneme sahip bilgilerini zararlı yazılımların eline geçmekten kurtarabiliyor. Ya da, tehditlerin etkilerine maruz kalmış bilinçli bir kullanıcı, okuduğu temel bilgilerle AntiVirüs yazılımlarına ihtiyaç duymadan bilgisayarını temizleyebiliyor

Mailinize gelen ya da bir arkadaşınızın gönderdiği üzerinde Skype ikonu bulunan bir dosyanın gerçekten orijinal skype dosyamı yoksa, virüslü bir dosya olup olmadığını sadece üç tıklama ile öğrenebileceğinizi (Sağ tıklama / Dijital İmzalar / Ayrıntılar) ya da kullanıcı adı ve şifrenizi girmek üzere olduğunuz gayet orjinal görünen bir facebook sayfasının gerçekten facebook (ya da facebok) olup olmadığını farketmeniz, sizi başlangıçta 1-0 avantajlı konuma getiriyor.

Bilgi güvenliği adına yazılmış küçük birkaç makale ya da yazının bile kullanıcılara ciddi derecede koruma sağladığı artık şüphe götürmez bir gerçek. Dünyada bu tip platformlara gittikçe daha da fazla rağbet edilirken, ülkemizde de aynı amacı güden platformlar günden güne zenginleşiyor. Uzun zamandır kaliteli içeriği ile hizmet sunan www.doctus.org ve yeni açılan www.trsec.net ve www.bilisimplatformu.com bu platformlardan yalnızca üçü.

Özellikle www.doctus.org zengin “Bilişim Odaklı” içeriğinin yanında Güvenlik alanında adından dünyaca söz ettirmiş bir platform. Çok kısa bir süre önce TrendMicro’nun tavsiyeleri arasında yer almayı başarmış ender güvenlik platformlarından birisi olan Doctus, özellikle Güvenlik ile ilgili sorun yaşayan kullanıcılarına, tecrübeli forum üyeleri ile gayet kaliteli bir hizmet sunuyor. Paylaşılan bilgi de cabası… Bazen saatlerce arayarak bulamayacağınız bir çok sorunun çözümünü ya da sisteminize bulaşmış bir zararlının nasıl temizlendiğini Doctus’a girerek anında bulmanız mümkün.

Hatta, söz konusu sistemlerde sizden istenen raporları göndermeniz durumunda, bilgisayarınızda zararlı olup olmadığını dahi tespit edebilme imkan kabiliyetine sahip olduklarını da belirtmeden geçemeyeceğim. www.trsec.net de aynı amaçla ve (sanıyorum) tamamen güvenlik maksatlı kurulmuş yeni bir platform. Eminim, ülkemizdeki kullanıcılara Doctus kadar faydalı olacaktır. Benzer şekilde www.bilisimplatformu.com da, bu maksatla kurulmuş ve aynı zamanda HijackThis alanında faliyet gösteren platformalardan birisi. Üç platforma da başarılar diliyoruz!

Zemana olarak, tüm bilgisayar kullanıcılarına bu maksatla kurulmuş olan platformlara üye olmayı ve arada bir yazılan faydalı bilgilere göz atmalarını tavsiye ediyoruz. Daha öncede belirttiğim gibi, “Güvenlik Bilinci Yüksek” bir kullanıcının karşılaştığı bir tehdit, küçük gibi görünen bir fare tıklaması yerine, “Çok ucuz numara” dedirtecek küçük bir tebessüme dönüşebilir.

Önemli olan, az da olsa Güvenlik Bilincine sahip olmamız.

Güvenli günler…

Dikkat Bomba Var!

noreply@blogger.com (Emre TINAZTEPE) — Thu, 08 Sep 2011 15:44:00 +0000

Geçtiğimiz yıllarda, “Bomba Var” ihbarları yüzünden birçok işletme ve kurumun boşaltıldığını, sokakların kapatıldığını hatta trafiğin durdurulduğunu duyanlar olmuştur. Artık devir değişti…

Artan Siber Dolandırıcılık teknikleri ile tek bir email/telefon sonucunda dünyaca ünlü firmalar, bir anda tüm işlerini bırakıp hattın diğer ucundaki sesin doğru mu yoksa yalan mı söylediğini araştırmaya başlayabiliyorlar.

Bu tip bir ihbar geçtiğimiz günlerde GlobalSign firmasına epey pahalıya patladı. İhbarlar üzerine GlobalSign firması bir süreliğine Dijital Sertifika üretimini durdurdu. Sebebi ise, benzer şekilde Dijital Sertifika sağlayıcısı Diginotar firmasına yapılan saldırıydı. Firmaya yapılan saldırı ile yüzlerce sahte Sertifika üretildiği ve özellikle İran merkezli 300.000 Google hesabının Man In The Middle tekniği ile dinlendiği düşünülüyor. Saldırıyı gerçekleştiren Comodo Hacker adlı şahsın da Türk olduğunun düşünüldüğünü belirtmeden geçemeyeceğim

Norton Cybercrime Report’da , 24 ülkede 24.000 kişi ile yapılan araştırma sonucunda karaborsada satılan uyuşturucunun hacmi toplam 288 Milyar Dolar iken, dünya genelinde siber saldırıların sebep olduğu maliyetin 388 Milyar Doları bulduğu belirtiliyor. Araştırmalara göre dünyadaki yetişkinlerin %65’i en az bir kere Siber Saldırılardan nasibini almış.

Siber Dünya her geçen gün daha büyük tehditlerle karşılaşırken, çok ama çok dikkatli olmamız gerekiyor. Havalimanlarında, internet kafelerde, halka açık internet kullanılan tüm ortamlarda gözlemlediğim : maalesef ülkemizde hala yeterli bir bilincin oluşmamış olması. Her ne kadar, basit bir Facebook ya da Windows Live hesabı olsa da, dijital dünyada adınızın karışacağı saldırıların tahmin edemeyeceğiniz kadar büyük boyutları olabilir. Unutmayın, dijital kimliğiniz her geçen gün nufüs cüzdanınıza bir adım daha yaklaşıyor!

Umarız bu tip saldırılarla, ülkemizde de karşılaşmayız…

Güvenli günler…

* Resim www.it-networks.org sayfasından alıntıdır

Trend Micro Deep Security

noreply@blogger.com (Emre TINAZTEPE) — Wed, 24 Aug 2011 16:47:00 +0000

Trend Micro bilindiği üzere güvenlik alanında en köklü firmalardan birisi, özellikle bir çok platforma hitap etmesi ve güçlü altyapısı ile tanınan bir firma olan Trend Micro, Türkiye’de de ciddi çalışmalara imza atması ile öne çıkıyor.

Dün, Trend Micro Akdeniz Bölge Müdürü Ercan AYDIN Bey ile akşam yemeğinde Trend Micro’nun güvenlik dünyasına kattığı yenilikçi çözümler ve Zemana & Trend Micro işbirliği hakkında keyifli bir sohbet etme fırsatı bulduk.

Yemekte, Trend Micro’nun dünyada ilk olma özelliği taşıyan TM Deep Security adlı ürünü hakkında Ercan Bey’den aldığımız detaylı bilgi ile zamanında Blogumuzun yazarlarından Erkan ARNAUDOV’un yapmış olduğu bir hatayı düzeltmemiz gerektiğini düşündük. Erkan, geçen sene yayınlamış olduğu blog yazısında Trend Micro Deep Security’den öyle etkilenmiş olacak ki

“Umarim sadece PR’dan ibaret değildir” şeklinde istemeden yanlış bir yorum yapmış. Sebebi de teknojinin ciddi manada low level bileşenler içermesi ve aynı zamanda da çok yenilikçi olması.

Ercan Bey’den aldığımız bilgi ile Sanallaştırma alanında dünyada ilk olma özelliği taşıyan Deep Security teknolojisinin VMWare ile yapılan işbirliği sonucunda geliştirildiğini, hatta ve hatta Türkiye’nin öncü kuruluşları tarafından da kullanıldığını teyit ettik.

Bu vesile ile hatamızı düzeltirken, Trend Micro’nun başarılarının devamını diliyoruz.

Online Banking Security Test June 2011

noreply@blogger.com (Erkan Arnaudov) — Fri, 10 Jun 2011 07:17:00 +0000

MRG, yeni bir bağımsız güvenlik testi yayınladı ve bu sefer gerçekten çok iyi bir sonuç sergilemişiz ve özellikle x64 sistemlerde. Bu başarıyı, Anti-SSL korumamıza borçluyuz çünkü testlerde kullanılan zararlı, MITB(Man-in-the-Browser) metodu ile çalışıyormuş.

“How does financial malware work? If we look at the two most common types, Zeus and SpyEye, we can see that theyboth use what is called a Man in the Browser attack, or MitB attack. With these attacks the malware infects the browser/browser memory and then makes use of legitimate resources available to the browser such as BHOs, etc. In the case of SpyEye, once inside the browser, it hooks the TranslateMessage, send, HttpSendRequestA, HttpSendRequestW and InternetCloseHandle APIs and can therefore capture any username or password sent via the browser.”

Zemana, kuruluşundan(2007) bu yana, Anti-SSL koruması üzerinde çalışıyor ve bunun meyvalarını almak bizi çok mutlu etti.

“Encrypting “keystrokes” and virtual keyboards will offer no protection against sophisticated financial malware like SpyEye – or indeed, as this report shows, our simulator.”

Her fırsatta, keylogger yönteminin artık casus yazılımlarda öncelikli olarak kullanılmadığından bahsediyoruz.

“Out of all twenty-seven applications on test, only three were able to protect the system under all conditions, these being Zemana AntiLogger, Quaresso Protect On Q and Trusteer Rapport. An interesting feature of all three of these is that they protected the system silently, never asking for any user input and with no significant impact on system performance.”

Sonuç olarak içinde Kaspersky,Norton gibi çok büyük oyuncularında olduğu, 17 güvenlik yazılımı arasında testi geçmeyi başaran 3 programdan biri oluyoruz.

MRG'nin tam raporuna buradan ulaşabilirsiniz.

Zemana AntiLogger & Hitman Pro Bundle

noreply@blogger.com (Erkan Arnaudov) — Fri, 27 May 2011 06:23:00 +0000

Zemana Antilogger is an easy-to-use antihacker application that is complementary to your existing antivirus software. It is designed to improve your security and provide protection against the latest zero-day spyware, rootkits, Trojans, viruses, bots, and adware; Hitman Pro is designed to clean up those hard-to-remove infections that may be hiding deep inside your system. With Hitman Pro, you can scan and remove malicious threats to your computer in matter of minutes, so you can surf anywhere and free your PC from malware.

For one week only, you can take advantage of this security bundle and save 47 percent off of the MSRP price. Regularly priced at $53.95, you can get this bundle for just $29, only on CNET's Download.com.

http://download.cnet.com/8301-32471_4-20065517-10391713.html

Türkçe bir programlama dili ve Win32 geliştirme ortamı

noreply@blogger.com (Erkan Arnaudov) — Thu, 26 May 2011 09:58:00 +0000

Türkçe research sayfalarında gezinirken, tesadüfen Alp Güleç isimli bir proagramcının tek başına geliştirmiş olduğu FireX isminde bir programa denk geldim. Başlıktanda anlaşılabileceği üzere, program aslında bir native win32 program geliştirme aracı ve kendine özgü olan bir programlama dili, IDE ve Linker kullanıyor.

Programın yapılış amacının sadece deneysel oluşuna rağmen, gayet yeterli bir IDE’ye sahip, eylemler dahil tanımlayabildiğiniz bir dil sayıpısı ve çok başarılı bir linker.

Doğru bilgiye sahip bir çok kişi, programa baktığında, bunda ne var bunu bende yapabilirdim diyebilir ancak bu türde bir proje için kesinlikle “evdeki hesap çarşıya uymaz” diyebiliriz çünkü projeye başlandığında önceden öngörülmemiş bir çok aksaklık ve çözülmesi gereken problemler ile karşılaşılır. Ve yine bu nedenlerden dolayı bu projeye “vay be” diyecek çok az kişi çıkar, işte bu yüzden bizde bu blog da “vay be” deyip, Alp’ın bu göstermiş olduğu motivasyonu desteklemek istedik.

Alp; gerçekten helal olsun sana, ben ve ekibimim motivasyonuna hayran kaldık ve seni tebrik ediyoruz.

Eğer bu yazımızdan haberdar olursan, sana bir kaç tavsiyede bulunmak isteriz.

Web tasarımı, kesinlikle senin işin değil, özellikle, sitende, projeye ait dokümantasyonu ufacık alanda okumak çok zor oldu, bu yüzden siteni WordPress tarzı bir sisteme geçir.
Bu projeye ait tek bir satır kod daha yazmak istemeyeceğini tahmin ediyoruz ancak bu kadar bitirmişken az biraz daha uğraşıp mantıksal operatörler desteği verki en azından MD5 hesaplaması gibi işlemler yapabilelim.
GetProcAddress ve LoadLibrary apileri ile fonksyon tanımlanabilinmesine izin verki Win32’den tam anlamıyla yararlanılıp program yazılabilsin.
Programda sürüm bilgisi ekle ve birde Hakkında kısmı koy ve buradan sitene link ver.
Sitene, Linkedin profilini koy.

Bu yukardaki yazdıklarımız, zaten gelişmiş bu proje için çok zamanını almayacaktır ama duyulma oranı x100 artacaktır.

Zemana & RevenueWire Partnership

noreply@blogger.com (Erkan Arnaudov) — Wed, 25 May 2011 07:22:00 +0000

E-Ticaret’in öncülerinden olan RevenueWire ile ortaklık kurduk ve bu bağlamda ürünlerimizi bazı bölgelerde onların uzantısı olan SafeCard üzerinden satacağız ve aynı zamanda yine onların bir kolu olan AffıliateWire bayi kanalı üzerindeki tüm bayileride ürünlerimizi yüksek komisyon oranları ile pazarlayabilecek.

Yapılan bu ortaklığın, hem bizim için hem RevenueWire için hemde bayileri için hayırlı olmasını diliyoruz.

Daha fazla bilgi için tıklayınız.

Strengthen Your Firewall and Anti-Virus Software with Zemana Anti-Malware

noreply@blogger.com (Erkan Arnaudov) — Fri, 20 May 2011 09:08:00 +0000

Zemana Information Technologies has released Zemana Anti-Malware 2011, an innovative Windows application that provides an additional layer of protection to a Windows computer that may have a firewall and anti-virus software already installed. Zemana has partnered with SurfRight, and incorporated SurfRight's proven Hitman Pro 3 technology into Zemana Anti-Malware.

No anti-virus software provides 100 percent protection against every virus, trojan, rootkit, worm, spyware, and adware infection. Until Zemana Anti-Malware was released, it wasn't safe or practical to install more than one malware protection application on a computer. In the past, running multiple security programs resulted in slow-downs, crashes, and less security than running a single protection application.

Zemana Anti-Malware was designed to be used in conjunction with other malware-fighting programs. In fact, Zemana Anti-Malware works with multiple anti-virus vendors to dramatically increase security, stability, and protection. Zemana Anti-Malware can run from a USB drive, CD/DVD, or any drive on your LAN. It scans a typical computer in about five minutes.

Zemana Anti-Malware examines every file, and determines if it is safe, malicious, or unknown. For each unknown file, Zemana Anti-Malware's unique Scan Cloud processes the suspicious file against five separate commercial anti-virus products, and determines if it is safe or malicious. Instead of relying upon the judgment of a single anti-malware vendor, Zemana Anti-Malware provides a second opinion from a panel of "experts," a collection of widely-respected professional protection products.

Whether you're a business person who needs assurances that your PC is safe, a network administrator who is responsible for the safety and stability of dozens or hundreds of servers and workstations, a computer consultant who wants to ensure that your customers' PCs are virus-free, or a home user who wants protection from the dangers that the kids download from the Internet, Zemana Anti-Malware has the tools that you need.

Zemana Anti-Malware 2011 runs under Windows 7/Vista/XP and costs $19.95(US) for a single-user license. You can download a fully-functional 30-day trial version from http://zemana.com/.
# # #
Editorial Evaluation Copy Available on Request

Banking Trojan’lar ve AntiLogger

noreply@blogger.com (Erkan Arnaudov) — Tue, 17 May 2011 08:42:00 +0000

CHIP dergisinin bu ay Almanyada çıkan sürümü, banking trojan’lar (Zeus,SpyEye) ve AntiLogger’a geniş çaplı yer verdi, Almanya’da bulunan okurumuz varsa derginin bu sayısını almasını ve okumasını tavsiye ederiz.

Linux Ubuntu ve Windows 7 keylogger’a karsi

noreply@blogger.com (Erkan Arnaudov) — Thu, 12 May 2011 08:05:00 +0000

Alttaki vidolarda, Ubuntu ve Windows 7’de kısıtlı kullanıcı hesabında keylogger çalıştırılıyor ve admin hesabından klavye ile birşeyler girilip, keylogger’in bunları kaydedip edemediği test ediliyor ve Ubuntu çuvallıyor.

Her fırsatta Linux kernel’inin, session yönetiminde hiç güvenli olmadığını söylerdik ve herzaman ufak tartışmalar olurdu, ama fırsat bulup bunu ispatlayacak poc yazmamıştık, bu vidolar konuya açıklık getirmiş oldu.

Zemana Anti-Malware (Yeni Ürün)

noreply@blogger.com (Erkan Arnaudov) — Fri, 29 Apr 2011 08:31:00 +0000

SurfRight ile anlaşma yaptık ve Hitman Pro’yu kendi markamız altında “Zemana Anti-Malware” olarak, Zemana güvencesi ve desteği ile kullanıcılarımızla buluşturuyoruz, umarız her iki tarafa da hayırlı olur.

Daha fazla bilgi için tıklayınız.

NOT: Hitman Pro’nun ve dolayısı ile Zemana Anti-Malware’in Türkçe çevirisini langturk.com’ten Umut Bey yapmış, burdan kendisine sonsuz teşekkür ederiz ve Umut bey’in, Hitman Pro hakkında yazdığı yazıyıda sizinle paylaşmak isteriz: http://www.langturk.com/hitman-pro-guvenlik-yazilimi/

Sahte Comodo SSL Sertifikası

noreply@blogger.com (Erkan Arnaudov) — Wed, 30 Mar 2011 19:13:00 +0000

23 Mart’ta, Microsoft,Google,Mozilla ve Skpe gibi internet omurgalarını oluşturan firmaların domainleri için Comodo CA(Certificate Authority) tarafından sahte SSL sertifikası oluşturuldu.

Bu tarihten beri İnternet’in ana gündem maddesi olmaya devam eden bu konu hakkında sizlere, soru cevap şeklinde bir yazı hazırladık.

Tam olarak hangi domain’ler için sertifika oluşturuldu?
login.live.com
login.yahoo.com
login.skype.com
mail.google.com
www.google.com
addons.mozilla.org

Bu durum, biz son kullanıcıları nasıl etkileyebilir?
Hava limanında yada benzer halka açık bir noktada Internet’e bağlanıyorsanız, Hotmail,Skype,Gmail yada Yahoo şifreleriniz saldırganların eline geçebilir.

Bu saldırı ile bilgisayarımıza virüs bulaştırabilirler mi?
Evet

Google dahil bu sitelere girmessek, yinede bilgisayarımıza virüs bulaşabilirmi?
Evet çünkü bu servislerin desktop uygulamarı , otomatik güncellemeleri, bu domainler üzerinde yapıyorlar. Ve saldırganlar otomatik güncellemelere virüs koyabilirler.

addons.mozilla.org sertifikasındaki amaç nedir?
Buradaki firmaların çoğunun uygulamaları (Windows Update,MSN,Skype vs) son sürümlerinde, otomatik güncellemelerde sadece SSL bağlantısına güvenmiyorlar aynı zamanda indirilen kodun(exe,dll vs) dijital sertifikasınıda kontrol ediyorlar ve eğer dijital sertifika doğrulanamassa, kod çalıştırılmıyor. Ancak Mozilla Firefox, eklentilerini güncellerken dijital sertifika kontrolü yapmıyor çünkü bu eklentilerin çoğunun zaten sertifikası olmuyor. Saldırganlar büyük ihtimalle bunu hesaplayıp addons.mozilla.org’u aldı.

Firefox kullanmıyorsam genede bilgisayarıma zararlı yüklenebilirmi?
Yüksek ihtimalle evet, örneğin Skype 4.0 öncesi sürümlerinde otomatik güncellemelerde, güncellenen kodun sertifikasını kontrol etmiyor.

Nasıl bir önlem almam gerekli?
Tarayıcılarınızı güncelleyiniz.

Tarayıcımı neden güncellemem gerekiyor, CRL yada OCSP’nin aktif olması yeterli değilmi?
CRL ve OCSP, çalışma mantıkları olarak aynılar, ikisininde çalışma prensibi, sunucudan gelecek cevab üzerine kurulu. Kısacası bu türde bir atak için bu protokoller yetersiz. (DEFCON 17’de Moxie’nin SSL üzerine yaptığı sunumu izleyenler “Magic OCSP response code = 3”’i biliyorlardır. İzlemeyenlerede şiddetle tavsiye ediyorum.

Bu konu internete nasıl düştü?
Chrome kaynak kodlarını düzenli olarak takip eden bir programcı, Chrome’un yeni çıkan sürümünde bir sertifika kara listesi eklendiğini farkediyor ve seri numaralarından takip edip buluyor.

Olay olduğu gibi kullanıcılar neden haberdar edilmedi?
Bizde bilmiyoruz

Saldırganlar Comodo’nun gizli root anahtarını mı ele geçirdiler?
Comodo’nun verdi bilgiye göre hayır, İran’lı saldırganlar Comodo’nun bayilerinden birinin, uzaktan CA yönetim şifrelerini ele geçirmişler ve otomatik olarak imzalamışlar.

CA’lar bayilerine imzalama yetkisi veriyorlarmı?
CA’larin işleyişi konusunda hiç bir bilgimiz yok. Belkide sadece Comodo yetki veriyordur, öyleyse bile bu olaydan sonra devam edeceklerini sanmıyoruz.

Root anahtarı çalınmış olsa ne olurdu?
Çok kötü olurdu, tarayıcılar bu sefer Comodo kök sertifikasını blacklist yaparlardı ve binlerce Comodo imzalı siteye girilemezdi.

Microsoft yada Mozilla’nın, Comodo kök sertifikasını tarayıcılarından çıkartma ihtimali varmı?
Comodo root anahtarını bile kaptırmış olsa bunu yapacaklarını hiç zannetmiyoruz çünkü onlarında tarihlerine bakıldığında, benzeri olaylar, onlarında başına gelmiştir.

Comodo’ya neden bukadar yükleniliyor başka bir CA’nın başına bu gelemez mi?
Comodo’nun kurucusu, kendini dünyaya ispatlamış bir Türk(Melih Abdülhayoğlu) ve bu pastada Comodo’nun parçası iyice büyüdü, çekemeyen çok fazladır ve fırsat bulmuşken yükleniyor olabilirler.

Hackerlar 2001 yılında VeriSign’dan, sahte Microsoft imzası almışlardı. VeriSign açıklaması ise “Human Error” olmuştu. İlgili sertifikayı buradan download edip inceliyebilirsiniz.

Peki siz neden VeriSign kullanıyorsunuz?
Çünkü Microsoft, henüz kernel driver’lar (sys) için Comodo sertifikasını kabul etmiyor, ancak yakın zamanda bu değişecektir ve muhtemelen ozaman bizde Comodo ile imzalarız.

İran devletinin konu ile ilgisi olabilir mi?
Comodo’ya göre evet. Bize göre’de evet çünkü Arap ülkelerinin karışık olduğu bir zamana denk geliyor, hatırlarsanız Mısır, olayların çıktığı dönem, İnternet trafiğini kontrol etmek istemişti ve edemeyince Internet erişimini tamamen kapatmıştı. Bunu gören İran, önceden hazırlanmak istemiş olabilir. Ve alınan domainler içinde finansal kurumların olmayışıda bu tezi güçlendiriyor.

Türkiye’nin, popüler tarayıcılarda ön tanımlı CA’sı var peki İran’ın yok mu?
Yok.

Bir hacker’in, olayı, üstüne aldığı söyleniyor bu doğru olabilir mi?
Evet, olayı tek başına gerçekleştirdiğini iddia eden İran’lı bir hacker var, İnternet’te paylaştıklarına göre Comodo sunucularından birini ele geçirmiş. (Hacker’in anlattığı hack yöntemini ve doğruluğunu bir sonraki yazımızda detaylı olarak paylaşacağız)