Zemana Blog

9 Temmuz’da İnternetiniz Kesilebilir!

noreply@blogger.com (Emre TINAZTEPE) — Wed, 27 Jun 2012 18:18:00 +0000

Merhaba,

DNSChanger trojanı sisteminizin DNS ayarlarını zararlı DNS sunucular ile değiştiren bir zararlı yazılımdır. Bu sayede bilgisayarınızda adres çözümlemesi yapmaya çalıştığınızda saldırganlar tarafından yönetilen IP adreslerine yönleniyorsunuz. Daha önce analizini paylaştığımız TDL (TDSS, Olmarik ve Alureon) serisi bu zararlının en büyük yayılım kanallarından birini oluşturuyor.

Zararlı DNS sunucularını yöneten 8 kişinin FBI tarafından Estonyada yakalanmasına müteakip DNS sunucuları FBI’ın kontrolü altına alındı. Sunucuların kapatılması halinde enfekte bir çok sistem devre dışı kalacağı için FBI tarafından bu konuda çalışmak üzere DCWG çalışma grubu kuruldu. Sunucuların kapatılma tarihi olarak da 9 Temmuz tarihi belirtiliyor. Bu tarihe kadar bilgisayarınızın DNS ayarlarını kontrol etmenizi şiddetle tavsiye ederiz. Aksi takdirde bu tarih itibariyle internet bağlantınız kesilecektir.

DNS Ayarlarınızı aşağıdaki adrese girerek hiç bir program yüklemeden kontrol edebilirsiniz :

http://www.zemana.com/TR/CheckDNS/

Temizlik için Zemana AntiMalware’ı bilgisayarınıza ücretsiz olarak yükleyebilirsiniz.

10 Dakikada AntiLogger!

noreply@blogger.com (Emre TINAZTEPE) — Sun, 10 Jun 2012 19:17:00 +0000

Merhaba,

Yoğun bir dönemin sonunda yeni bir gelişme ile karşınızdayız. Yakın bir zamana kadar AntiLogger bir çok iş ortağımıza yeniden tasarlanarak teslim edilmekteydi, dolayısıyla bizim teknolojimizi farklı bir arabirim ile kullanabiliyordunuz. Bunun bir çok avantajı olduğu gibi iş yükü açısından da çeşitli dezavantajları vardı. İş ortaklarımızdan birinin de talebi üzerine teknolojimizi SDK haline getirme fikrini masaya yatırdık ve 2 ay önce başladığımız tasarım ve yenileme sürecinin sonunda IntelliGuard teknolojisini de dahil ederek AntiLogger SDK’yı oluşturduk.

AntiLogger SDK Nedir?

AntiLogger SDK, teknolojimizi kendi uygulamalarınıza kolayca entegre edebileceğiniz bir uygulama geliştirme kitidir. Bu kit sayesinde herhangi bir programla dili ile yazılmış uygulamanıza 10 dakika içerisinde AntiLogger’ın gücünü dahil edebilir, müşterilerinize çok daha etkin bir koruma sağlayabilirsiniz.

Yaklaşık 10 dakika içersinde kendi antilogger’ınızı hazırlamak için yapmanız gereken tek şey kullandığınız dile özel hazırlanmış başlık dosyasını kodunuza dahil etmek ve dökümantasyonda belirtilen talimatları takip etmek.

Aşağıdaki ekran görüntüsünde görebileceğiniz gibi C# kullanarak kendi AntiLogger’ınızı hazırlamak için ZALSDKCore adlı sınıfı yaratıp ve tüm işlemleri bu sınıf üzerinden gerçekleştirebiliyorsunuz.

Daha detaylı bilgi ve başvuru için lütfen oem@zemana.com adresine mail atınız.

NOPCON 2012 – Hackerlar İstanbul’da Toplanıyor!

noreply@blogger.com (Emre TINAZTEPE) — Fri, 18 May 2012 09:36:00 +0000

NOPcon Nedir?

NOPcon, Türkiye’de gerçekleştirilecek olan bir bilgi güvenliği konferansıdır. NOPcon, ülkemizdeki bilgi güvenliği araştırmalarına katkı sağlamayı, bu alanda yapılan teknik çalışmaların paylaşılabileceği bir ortam sunmayı amaçlamaktadır. NOP hackerların çok kullandığı bir assembly instruction’ıdır ve konferansı ismi burdan yola çıkarak türetilmiştir.

Neden NOPcon?

Ülkemizde yıllardır çeşitli bilgi güvenliği konferansları düzenlenmektedir. NOPcon’da ülkedeki benzeri konferanslarda değinilmeyen Exploiting, Reverse Engineering, Vulnerability Research, Rootkit ve Malware Development gibi konulara ağırlık verilecektir. NOPcon “beyaz şapka” ve “siyah şapka” diye kendini kategorize etmemektedir. “Ethical Hacking” adı altında kendini ve bilgiyi sınırlandırmamaktadır. Hack ve güvenlik ile ilgili her konuda sınırsız/kuralsız bilgi paylaşımı sağlamayı hedeflemektedir.

Çünkü biz özgür bilginin ülkemizi ve dünyayı daha ”güvenli” yapacağına inanmaktayız.

Türkiye’de İLK!

Daha önce Blackhat, Syscan, Chaos Communication Congress, AppSec, Confidence , Swiss Cyber Storm, Power of Community gibi dünyanın en ünlü uluslararası konferanslarında sunum yapmış uzmanları, Türkiye’de ilk defa NOPcon’da dinleme fırsatı yakalayacaksınız.

Organizasyon

NOPcon, SignalSEC tarafından Bilgi Üniversitesinin yardımlarıyla Dolapdere Kampüsünde düzenlenmektedir.

Kimler katılmalı?

NOPcon, bilgi güvenliği/IT denetimi/network/sistem/yazılım departmanlarında ve sektöründe çalışanlara , tersine ühendislik(reverse engineering) , exploiting , vulnerability research, forensic,vb hack/güvenlik konularına ilgi, merak duyan herkese hitap etmektedir.

NOPcon Ana Konuları

Sınırlı kalmamakla birlikte genel olarak NOPcon sunumları aşağıdaki konuları kapsayacaktır :

Offensive Technologies (Saldırgan Güvenlik Teknolojileri):
- Exploit Geliştirme ve Bypass Mekanizmaları
- Malware
- Rootkit
- Cryptovirology

Defensive Technologies (Savunma Teknolojileri)
- Uygulama tabanlı güvenlik konuları
- Network tabanlı güvenlik konuları
- Kernel tabanlı güvenlik konuları

Embedded Device Hacking and Security (Gömülü Sistemler)
- Mobil güvenlik ve saldırı teknikleri (iphone, android, windows phone)
- Tablet, E-Reader güvenlik ve saldırı teknikleri

Vulnerability Research/Bug Hunting (Uygulama Güvenliği)
- Kaynak Kod Analizi
- Tersine Mühendislik
- Web uygulama güvenliği
- Fuzzing

Kritik Altyapı Sistemleri
- SCADA Hacking & Security
- Telekominikasyon Güvenliği
- Acil Durum Servisleri

Zemana IntelliGuard Teknolojisi

noreply@blogger.com (Emre TINAZTEPE) — Mon, 14 May 2012 06:24:00 +0000

Merhaba,

Uzun bir süredir bu blog yazısını yazmayı bekliyordum. Ekip olarak öyle yoğunduk ki, bloğa girdi eklemeyi bir yana bırakın, yorumlara bile bakamıyordum. Peki neden bu kadar yoğundunuz derseniz, daha önce de blogda yazdığım gibi, yeni teknolojilerle karşınızda olacağımıza söz vermiştik, ve işte karşınızda Zemana IntelliGuard!

Zemana IntelliGuard Teknolojisi Nedir?

Zemana IntelliGuard Teknolojisi, AntiLogger'ı daha önce hiç olmadığı kadar kolay kullanılabilir hale getiren akıllı bir erken uyarı ve ikaz sistemidir. Bu teknoloji sayesinde AntiLogger, gerçek zamanlı olarak en güncel veritabanını kullanabilmektedir.

Bu sayede güvenli programlar için uyarı verilmesi engellenmekte ve zararlı dosyalar ise otomatik olarak engellenmektedir.

Daha önce rastlanmamış, yeni bir tehditin kurbanı olmanız durumunda ise tehdit bilgileri otomatik olarak Zemana Lab'a gönderilmektedir.

Sistemi henüz otomatik güncellemeye koymamıza rağmen yeni indirilen AntiLogger’lardan geri beslemeyi almaya başladık ve şimdiden uyarıları %70 oranında azaltmayı başardık!

Sistemin nasıl çalıştığından kısaca bahsedecek olursam :

Artık Tüm AntiLogger’lar, incremental şekilde update edilen bir imza veritabanına sahip. Herhangi bir kullanıcımızda gösterilen bir uyarı anında Zemana Lab’a iletiliyor ve aralarında VirusTotal gibi önemli partnerlarımızın da bulunduğu bir sistemde taranarak onay için analiz ekibine gönderiliyor. Analiz ekibinden alınan onay ile tüm AntiLogger’larda geçerli olacak bir imza haline dönüştürülüyor.

Buradan çıkarılan imzalar 15 dakika içerisinde tüm kullanıcılarımıza gönderilerek bütün Zemana Bulutu güvenlik altına alınıyor.

Bunu bir nevi AntiVirüs veri tabanı olarak düşünebilirsiniz. Bu sayede piyasadaki en güçlü “Sezgisel Metodları” barındıran AntiLogger’a, tehdit veritabanı da ekleniyor ve güvenlik seviyesi çok daha yukarılara taşınmış oluyor.

IntelliGuard’ı hemen kullanmaya başlamak için http://www.zemana.com/tr/default.aspx adresinden yeni versiyonumuzu indirebilir ya da sistemin otomatik güncellenmeye koyulmasını bekleyebilirsiniz.

Konichiwa Türkiye!

noreply@blogger.com (Emre TINAZTEPE) — Mon, 07 May 2012 20:45:00 +0000

Merhabalar,

Yakın arkadaşım Celil’den Japonya ile ilgili turistik resimler beklerken, Japonya’nın en büyük teknoloji marketlerinde çekilen aşağıdaki fotoğrafı alınca, Zemana olarak ülkemizi tüm dünyada temsil etmekten bir kez daha gurur duyduk!

Teşekkürler Celil ve Mii Sato!

Kaynaklar

noreply@blogger.com (Emre TINAZTEPE) — Mon, 07 May 2012 11:01:00 +0000

Merhaba,

GüvenlikTV’de bahsettiğim kitap ve kaynaklar ile ilgili detayı aşağıda bulabilirsiniz.

Faydalı olacağını düşündüğüm kitap ve makaleler :

The Little Black Book of Computer Viruses

The Giant Black Book of Computer Viruses

Windows Assembly Language and Systems Programming

The Art of Assembly Language

Iczelion's Win32 Assembly Homepage

Windows via C/C++

Reversing: Secrets of Reverse Engineering

Malware Analyst's Cookbook and DVD

Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software

The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System

Windows Internals

Programming the Microsoft Windows Driver Model

The IDA Pro Book: The Unofficial Guide to the World's Most Popular Disassembler

Takip edebileceğiniz bloglar :

http://www.analyze-v.com

http://contagiodump.blogspot.com/

http://www.h-online.com

http://fumalwareanalysis.blogspot.com/

http://www.eeye.com/

http://www.f-secure.com/weblog

http://www.infowar-monitor.net

http://j00ru.vexillium.org

http://www.microsoft.com/security/portal/

http://blogs.msdn.com/b/ntdebugging/

http://www.securelist.com/en/

http://www.infosecwriters.com/

http://www.abysssec.com/blog/

http://www.alex-ionescu.com/

http://blog.binaryninjas.org/

http://www.moonsols.com/category/blog/

http://byteworm.com/

http://www.crackmes.de/

http://dankaminsky.com/

http://ddanchev.blogspot.com/

http://www.theta44.org/main.html

http://erratasec.blogspot.com.es/

http://exploitshop.wordpress.com/

http://zairon.wordpress.com/

http://x86vmm.blogspot.com/

http://www.hexblog.com/

http://somebastardstolemyname.wordpress.com/

http://www.stoned-vienna.com/

http://www.ragestorm.net/blogs/

http://theinvisiblethings.blogspot.com/

http://northsecuritylabs.blogspot.com/

http://www.nynaeve.net/

http://skypher.com/

http://cyb3rsleuth.blogspot.com/

http://www.uninformed.org/

http://www.vupen.com/blog/

Virüs Analizi Yarışması (Sonlandı)

noreply@blogger.com (Emre TINAZTEPE) — Mon, 07 May 2012 08:27:00 +0000

21 Mayıs 2012 :

Yarışma sonlandırılmıştır.
İki haftalık süre içerisinde, katılan 47 arkadaşımıza Zemana Ekibi adına teşekkür ediyorum.

5 Mayıs 2012 :

Merhaba,
GüvenlikTV’de yaptığımız röportaj sayesinde (bugün yayınlanacak) daha geniş bir kesime ulaşmış olacağımızı düşünerek yarışmayı 2 hafta daha uzatmaya karar verdik. Hem de tamamen aynı kurallar ve ödüllerle!!!

Bitiş tarihi : 21 Mayıs 2012 Pazartesi Saat : 12:00

Kurallar için http://blog.zemana.com/2012/02/malware-analistler-is-basna-odullu.html ,
İpuçları için http://blog.zemana.com/2012/02/ipucu-1.html adreslerini ziyaret edebilirsiniz.

Soru ve çözümlerinizi emre.tinaztepe {malum işaret] zemana [nokta işareti} com adresine gönderebilirsiniz.

Anti-UltraSurf Reloaded

noreply@blogger.com (Emre TINAZTEPE) — Wed, 11 Apr 2012 09:27:00 +0000

Merhabalar,

Edirne Belediyesinde IT bölümünde çalışan bir arakadaşımız Anti-UltraSurf’un bazı durumlarda UltraSurf’u engelleyemediğini belirtti, bunun üzerine biz de Anti-UltraSurf’ü revize ettik ve Beta etiketini de atarak stabil hale getirdik.

Anti-UltraSurf hakkında daha detaylı bilgi almak için Erkan’ın yazdığı makaleye buradan ulaşabilirsiniz.

Yükle – Anti-UltraSurf Hakkında

========================================================================

Hi Everyone,

Due to high volume of requests by IT Staff, we have reviewed Anti-UltraSurf after more than two years.

It’s much more powerful than ever and has major improvements.

Download – Overview

Special thanks goes to Enes from Edirne Municipality.

Yarışma Sonuçları

noreply@blogger.com (Emre TINAZTEPE) — Thu, 15 Mar 2012 22:46:00 +0000

Merhaba,

Bugün itibariyle yarışmamız sona ermiş bulunuyor. Toplam katılımcı sayısı 147, ve birinci seviyeyi geçmeyi başaran iki yarışmacımız var.

1. Hakan85

2. OsC++Coder (göndermiş olduğu kodlar ile yarışmayı 1 gün daha uzatsak birinci seviyeyi kesinlikle geçeceğine inandığımız bir arkadaşımız)

İki arkadaşımızı Zemana Ekibi olarak, Malware Analiz gibi çok önemli bir alanda kendilerini geliştirdikleri için

tebrik ediyor, başarılarının devamını diliyoruz.

İlerleyen süreçte bu tip yarışmaları daha fazla düzenlemeyi düşünüyoruz.

Bu yarışmadan bahsedecek olursam, son verdiğim ipucunda yazdığım gibi, 1inci seviyeyi geçmek için yapılması gereken sadece 2 şey vardı :

a. Sistemdeki SFC thread’ini bulmak ve basitçe ZwSuspendThread yapmak.

b. Drivers sürücüsündeki tüm sürücülere 1 bayt yazıp, hemen ardından 1 bayt geri okumak. Yazdığınız 1 bayt virüs tarafından yolda değiştirildiği için, değişiklik tespit edilmeyen sürücü aslında enfekte sürücü olacaktı.

Bir sonraki blog yazısını, uzun bir aranın hakkını verecek güzel bir konuya ayıracağım

Tüm katılımcılara teşekkürler!

Virüs Analizi Yarışması – İpuçları

noreply@blogger.com (Emre TINAZTEPE) — Thu, 16 Feb 2012 15:10:00 +0000

11.03.2012

Son 5 gün!

03.03.2012

Arkadaşlar yarışmanın neredeyse yarısına geldik, biraz daha gayret. Bu yarışmada ikinci seviye tamamlansın ki daha sırada ZeroAccess, TDL4, Mebroot gibi bir çok yarışmamız olacak. Hatta sonlara doğru ödülü iyice büyütüp arabaya kadar çıkartmayı düşünüyoruz.

Mailime gelen detectorlerde dikkatimi çeken ortak nokta : arkadaşlar genelde sürücü yazmak ile işe başlamışlar, kesinlikle yapacağınız ikinci adım sürücü yazmak olmalı. Önce sizi engelleyen noktayı tespit etmelisiniz. Ve, işte 3’üncü ipucu :

İpucu 3 :

1’inci aşamayı geçmek için sürücü yazmanıza gerek yok. Sadece User-Mode’dan işleyen basit bir programla hangi sürücünün enfekte olduğunu anlayabilirsiniz.

a. Sürücü C:\Windows\System32\drivers\ klasörünün içinde. Bu kesin!

b. Bu sürücünün üzerine bir şey yazarsanız, sizi engelleyebilecek 2 şey var : birincisi zararlının kendisi, ikincisi de windows SFC (File Protection). Peki kısa bir süreliğine SFC olmasa ve geriye ne kalıyor??? Tekrar ediyorum, enfekte sürücünün üzerine yazamıyorsunuz….???? !!!! Tersten düşünün bakalım ne çıkacak?

En tehlikeli metodları dahi kullanabilirsiniz, hatta son bir ipucu : Öldürmek Serbest!

18.02.2012
Hakan85 adlı arkadaşımız birinci aşamayı tamamladı! Kendisini Zemana Ekibi olarak tebrik ediyoruz.

TDL hala silinmeyi bekliyor
Windows Internals kitablarimizdan bir tanesi artik Hakan85'in.
Kurallar kısmında yanlış anlaşılan bir konu (BartPE vb.) hakkında güncelleme yapıldı, göz atarsanız iyi olur.

17.02.2012 :
1'inci aşamayı tamamlayamaya yaklaşan arkadaşlarımız var. Rekabet artıyor…

İpucu 2 : Dosyanın temiz halini okumak için sistem reboot edilirken DLLCACHE’i de kullanabilirsiniz. Sistem açıkken ise virüs tarafından zaten temiz dosya döndürüldüğü için hiç bir şey yapmanıza gerek yok. Peki bu dosyanın üzerine nasıl yazacaksınız?
Çözümlerinizi emre.tinaztepe [malum işaret] zemana [nokta işareti] com ’ a gönderebilirsiniz.

15.02.2012 :
İpucu 1 :
Yarışmaya beklediğimizden çok daha fazla katılımcı oldu, rekabet artacağa benziyor, hızlı davranıp ödülleri bir an önce almayı hedefleyen arkadaşlara küçük bir ipucu :
“C:\WINDOWS\system32\dllcache” XP sistemlerde ne işe yarar???

Virus Analistleri İş Başına (Ödüllü Yarışma – İş imkanı)

noreply@blogger.com (Emre TINAZTEPE) — Tue, 14 Feb 2012 11:41:00 +0000

Merhaba,

Epeydir bir yarışma düzenlemek istiyorduk, kısmet bu güne imiş. Yarışma bir virüsün(TDL3) tespit ve temizlenmesini içeren bir cleaner yazmayı içeriyor. Savaşmayı seven, programcılar için çok güzel bir fırsat ve güzel hediyelerimiz var.

Önbilgi :

Yarışma, zararlı yazılımın enfekte ettiği SYS dosyasının tespiti / temizlenmesi üzerine kuruludur.
Birden fazla aşamayı tamamlayan yarışmacı, geldiği en yüksek seviyedeki aşamadan değerlendirilir.
Yarışma 1 ay sürecektir. Gerekmesi durumunda Zemana tarafından süre artırımına gidilebilecektir.(Yetenekli arkadaşlar 1 günde de bitirebilirler)
Test aşamalarında, virüsün hangi dosyaları enfekte ettiğini görebilmek için Zemana AntiMalware'i kullanmanızı tavsiye ederiz.

Aşamalar : Yarışma üç aşamadan oluşmaktadır :

1. Virüsün hangi “SYS” dosyasını enfekte ettiğinin tespit edilmesi,
2. SYS dosyasının, sistem yeniden başlatılarak temizlenmesi,
3. SYS dosyasının, sistem yeniden başlatılmadan temizlenmesi (Reboot gerektirmeden)

Değerlendirme :

Tüm aşamalarda, kaynak kodlar ve izlenen yol, Zemana ekibi tarafından incelenecek ve değerlendirmeye tabii tutulacaktır.

Tüm aşamalarda, aşamayı ilk tamamlayan yarışmacı ödüllendirilecektir.

Herhangi bir aşamanın tamamlanması durumunda, tüm katılımcılara blog ve mail ile bilgilendirilme yapılacaktır.

Ödüller :

Birinci aşamayı tamamlayan ilk 3 yarışmacıya Windows Internals 6th Edition kitabı (bir sonraki yarışmaya hazırlık için),

İkinci aşamayı tamamlayan ilk yarışmacıya, harika e-kitap Amazon Kindle DX

Üçüncü aşamayı tamamlayan ilk yarışmacıya,
a. Acer’dan harika bir UltraBook.
b. Zemana Bilişim Teknolojilerinde staj ve iş imkanı!

Kurallar :

Temizleme aracı, yeni kurulmuş Windows XP SP3 sanal makinede test edilecektir.
Tespit ve temizleme aşamalarının tamamı yarışmacıların kendi yazdıkları programlarla icra edilmelidir.
Dil seçiminde herhangi bir kısıtlama yoktur. Programlar, istenilen dilde yazılabilir.
Açık kaynak kodlu programların veya kütüphanelerin kodlarından yararlanılabilir.
Çeşitli derlenmiş(binary) toolları, kod içerisinde kullanarak temizleme ve tespit yapmak kurallara aykırıdır. Örn. komut satırından temizleme yapan aracı resource olarak programa dahil etmek vb. gibi.
BartPE tarzı bootable medya kullanılarak yapılan çözümler kural dışıdır. Canlı sistem üzerinde çalışılması gerekmektedir. Sisteme harici müdahale edilmemelidir (3rd party media kullanımı)
Zemana çalışanları ve stajyerlerinin herhangi bir şekilde yarışmaya katılması ya da yarışmacılara yardım etmesi yasaktır. Aksinin tespiti halinde yarışmacı diskalifiye edilecektir.

Katılım :
Yarışmaya katılmak için aşağıdaki linkte bulunan katılım formunu doldurmanız yeterlidir.
Formu doldurmanıza müteakip ilgili virüsü indirebileceğiniz link ekrana gelecektir.
http://www.zemana.com/tr/contest.aspx

Zemana, BBC Testlerinde

noreply@blogger.com (Emre TINAZTEPE) — Sun, 05 Feb 2012 15:53:00 +0000

Merhaba,
Dün sabah, İngiliz televizyonu BBC'de, Zeus, Banker ve SpyEye gibi finansal virüsleri anlatan bir belgesel yayınlandı.

Belgeselde Norton, TrendMicro, McAfee, Eset, Sophos, Panda ve AVG gibi büyük oyuncular sınıfta kalırken, Zemana bu tehditleri engelleyebilen sadece “5” güvenlik firmasının arasında yerini almış.

Bu video bizi çok gururlandırdı çünkü Zemana'nın kuruluşundan bu yana üstüne basarak söylediğimiz şeylerin bir kere daha onaylandığını görmüş olduk. Klasik AntiVirüs çözümleri sizi Zeus gibi hergün kimlik (imza) değiştirme yeteneği olan virüslerden koruyamıyor. Zemana ise kimlik yerine davranış analizi ve tespiti yaptığı için bu saldırıların önüne geçebiliyor.

Ne yani antivirüsleri kaldırıp Zemana AntiLogger mı kuralım?
Hayır, kesinlikle, Zemana AntiLogger’ın AntiVirüs yerine geçeceğini söylemiyoruz sadece günümüzde katmanlı korumanın şart olduğunu, AntiVirüs ve Internet Security yazılımlarınızı, AntiLogger benzeri çözümler ile desteklemeniz gerektiğini vurguluyoruz. Özellikle de internet bankacılığı kullanıcısıysanız!

Bu testten bize gelen bir bayi istek maili üzerine haberdar olduk, hiç değiştirmeden bayi mailini altta veriyorum.

Dear Zemana Ltd.,
W.G. is interested in selling your product(s).
Message from W.G.:
I watched a documentary on Financial Malware earlier today and was shocked to see that the big names like Norton 360 and McAfee did not catch the financial malware that Zemana AntiLogger caught, Then through research I found that Zemana is #1 in the Top Ten Reviews. Im one to share computer security information with friends and family and was elated to learn that I could also earn a commission doing it. Certainly a win win scenario for me. I hope you will allow me to resell your product as a new affiliate.
To approve/decline the request or to see more information, login to your account, click on the *Affiliates* link and then on the *Pending Requests* link.
Please let us know if you have any questions.
Regards,
Plimus Sales

TDL / TDSS Serisi – Analiz ve Temizlik

noreply@blogger.com (Emre TINAZTEPE) — Fri, 06 Jan 2012 00:13:00 +0000

Geçen yazıda söz verdiğim gibi bu yazıyı TDL’in analizine ayırıyorum. Öncelikle nereden çıktı şimdi TDL Analizi sorusuna cevap olarak : yeni projemizde en ileri seviye rootkitleri dahi temizlememiz gerekiyor. İşimiz gereği yeni çıkan rootkitleri derinlemesine inceliyor ve Ar-Ge olarak gerekli tüm detayları kayıt altına alıyoruz. Yeni projenin bir çok parçasını bitidrikten sonra şimdi de sıra Storage Stack ile ilgili olan kısımlara gelmişti ki, ekip şefimiz ile konu hakkında detaylı bir görüşme yaptık ve TDL 3 ve 4’den başlamaya karar verdik. Bu yazıda temizlik için izlediğimiz adımları sizlerle paylaşacağım. İşlemin bazı yerlerinin Zemana Ar-Ge Bünyesinde kalması gerektiğinden bazı yerleri üzeri kapalı geçeceğim fakat özünde izlenmesi gereken adımları anlamak çok da zor olmasa gerek.
Öncelikle TDL’in özelliklerinden bahsedeyim :
- Şimdiye kadar görülen en kompleks ve stabil enfektör.
- Windows’un KPP korumasını atlatan ilk zararlı (Mekanizmayı anlattığımda gözlerinize inanamayacaksınız)
- Genel maksatlı bir downloader olduğu gibi bilgisayarınızı tamamen köleleştiren ve bu işlemlerin neredeyse tamamını Kernel Moddan icra eden bir zararlı.
- Dünya genelinde 5-6 Milyon’a yakın bilgisayarı enfekte ettiği tespit edilmiş.
Aşağıdaki grafiğe bakacak olursanız, 2010’daki % 600 lük artış dikkatinizi çekecektir. Zararlının 10 kişilik bir ekip tarafından yazıldığı düşünülüyor ve AntiVirüslerden daha hızlı güncelleniyor

Konuya girecek olursam, ekip şefimiz iki adet sample gönderdi. Enfeksiyon mekanizmaları birbirlerine benzer olan
1. 03E059756CEAD6186B2E386FC2F8A023 hashli TDL3 örneği.
2. 4A052246C5551E83D2D55F80E72F03EB hashli TDL4 örneği.
Daha önceden okuduğum analizlerde Botun özellikle sanal makine avcısı olduğunu biliyordum. Bu yüzden özel olarak hazırladığımız sanal makinelerle test etmek istedim. Eğer test başarısız olsaydı, lab ortamında çalışan makinelerimize “DEBUG MODE OFF” imajlarından birisini yükleyip ile deneyecektim fakat bu genellikle çok zahmetli bir iş. Çünkü, enfekte edilen makinenin devamlı olarak LiveKD / DD ile snapshotunu almak zorunda kalıyorsunuz ve geriye dönmek istediğinizde ise maalesef FOG Server sizi epey bekletiyor. Neyseki TDL3 sanal makinamı tespit edemedi
Zararlının çeşitli analizlerini bulmanız mümkün fakat hangi versiyonunun ne yaptığından ziyade, bizim için önemli olan yeni üründe kullanılacak Jenerik Temizleme Mekanizması. Dolayısıyla rutin prosedürlerin çoğunu uygulayıp emin olmak istedim.
Zararlıyı çalıştırıp DbgView’a baktığımda aşağıdaki görüntüyü gördüm. Karşımda bulunan adamların kesinlikle sağlam bir mizah anlayışları olduğu kesindi
Düşünün, bulaştığınız makinelere bir debug print yapıyorsunuz ve “Uzay Yolu”ndan replikler gösteriyorsunuz. Aslında bir nevi meydan okuma da diyebiliriz. Bu arada TDL den ilk küfrümü de yemiş oldum

Her zaman yaptığım şeyi yaptım ve !chkimg komutu ile ntoskrnl.exe yi kontrol ettim. Uppsss, 6 baytlık bir değişiklik, fakat maalesef bunlar DebugView programının nt!DebugPrint fonksiyonunda yaptığı patchlerdi

İkinci adım olarak servis tablosuna, Global Descriptor Tablosuna ve LDT’ye baktım. Biliyorum fazla paranoyağım ama karşımdaki ekip cidden profesyonel bir ekip, dolayısıyla emin olmak çok önemli. Herneyse, paranoya adımlarını geçip, Sistem callbacklere baktığımda 0xf887b6ae adresinde 1 tane Create Process Callback olduğunu tespit ettim. İşte bu güzel haberdi. lm ile modül listesine baktığımda bu adreste geçerli bir modül olmadığını gördüm.
!pool 0xf887b6ae komutu ile adresin base’ine göz attıktan sonra artık hedef aralığım belirliydi.

Elde olanları sıralayacak olursam, şimdilik sadece bir adet Callbackimiz ve gizli bir sürücümüz bulunuyordu.
Dolayısıyla temizliğin ilk safhasına başlamış bulunuyordum. Bu noktada ilk iş CallBack rutini sistemden kaldırmaktı.
Genel mantık PspCreateProcessCallback dizisinin içerisinden, bu callback adresine sahip fonksiyonu silmektir. Fakat tecrübelerime dayanarak pek güvenli bir yöntem olduğunu söyleyemem çünkü bu derece profesyonelce yazılmış bir virüsün normal olarak bir watchdog timer’ı olmaması garip olur. Dolayısıyla, temizlik esnasında daha jenerik bir yöntem kullanmalıydım ve zararlı herşey yolunda zannederken aslında callbackinin çalışmaması gerekmekteydi. Bunun için PsRegisterProcessCreateNotify rutini analiz etmeye başladım. Kodun içerisinde bulunan dizilere IDA’dan referanslara baktığımda CreateThread apisi dikkatimi çekti. Kodu disasm ettiğimde karşıma çıkan manzara aşağıdaki gibiydi :

Bu arada bu tekniği bulmak için epey uğraştımı da itiraf ediyorum, fakat hem güvenilirlik hem de stabilite açısından ekip arkadaşlarım tarafından da epey takdir gördüğünü söylemeliyim. Teknik ne derseniz, register ettiğimiz CallBack rutini siledebilirdim ve bunu programımıza otomatik olarak yaptıran bir kod bloğu da yazabilirdim fakat daha önce de belirttiğim gibi, bunu yapmam rootkit’i kızdırabilirdi (belki de ilerleyen versiyonlarda) ve kedi köpek savaşı başlardı.
Kod parçasına dikkat ederseniz, PspCreateThreadNotifyRoutineCount adında bir Global değişken kontrol ediliyor ve bunun değeri SIFIR ise 805d0483 adresine atlanıyordu. Bu adres ile şu anda bulunduğum adres arasına baktığımda zaten işin en önemli kısımlarının buralarda gerçekleştiğini, yani notification rutinlerin bu alanda çağırıldığını gördüm. Dolayısıyla temizlik esnasında bu değeri sıfırlarsam, rootkit sistemde aktif olduğunu zannedecek fakat aslında OS tarafından çağırılmayacaktı
Önce windbg ile kontrol ettim, sembolün adresine
ed nt!PspCreateThreadNotifyRoutineCount 0, komutunu vererek makineyi çalıştırdım ve hiç bir problem yaşamadım.
Otomasyon programına bunu hemen ekleyip crash vs. ihtimaline karşı tekrar test ettim, canavar gibi çalışıyordu
Sonraki aşama enfekte edilen sürücüyü bulmaya gelmişti. Okuduğum analizlerden Storage Stack’da en dipte bulunan SCSI Miniport sürücüsünün enfekte edildiğini biliyordum.

En altta benim sistemimde olması gereken vmscsi.sys ya da Windows 7 sistemimde LSI_SAS sürücüleri olması gerekirken 0x82261a38 adresinde “İsimsiz” bir sürücü yerleşmişti. Tespitte kullanılabilecek jenerik bir yöntem daha diyerek yola devam ettim. DriverType değeri de SIFIR, elde var iki

DeviceObject’in sürücüsüne baktığımda Major Fonksiyonların tamamının kancalanmış olduğunu gördüm. Belki de DeviceObject komple değiştirilimişti?? Eğer sadece fonksiyonlar kancalandıysa, bu fonksiyonları nereden bulacaktık?? soruları kafamda dönmeye başladı. Bu noktada direk yazı tahtasına geçtim ve düşünmeye başladım. Tabii bu arada TeamViewer’lar havada uçuşuyor
Bu noktada 3 sorunumuz var :
1. Gerçek DeviceObject’in adresi nerede ?
2. Gerçek DeviceObject’i bulduktan sonra, handlerların adresini değiştirmeye müteakip, TDL’in watchdog thread’i enfeksiyonu restore etmek için bizimle savaşacak. Ne yapmalıyız ?
3. İlk sorunu hallettikten sonra, enfekte edilmiş Driver’ı bulabiliriz fakat NTFS.sys’nin üzerinden geçmeden C:\Windows\System32\drivers\mouclass.sys gibi bir dosya yolunu diskte bulunan Cluster / Sector adresine nasıl çevireceğiz ??? Bu NTFS dosya sisteminin yaptığı şeyleri tamamen kod ile yapıp doğru offsete ulaşmak anlamına geliyordu. Neden mi? Aşağıdaki şekilde DOSYA YOLU diye bir kavramdan anlayan ilk sürücü NTFS.sys’dir. Onun aşağısına indiğinizde DOSYA YOLU kavramı kaybolur ve herşey yerini Sector – Cluster – LCN gibi kavramlara bırakır. Rootkit en alttaki atapi.sys’ye bulaşıyordu ve bu sürücü Diske IN – OUT yapan sürücü olduğu için iş gitgide zorlaşıyordu , yani sözün bittiği yerdeydik

NT Mimarisi ile ilgili undocumented bir çok manevra yapabilirdim fakat, ticari bir üründen söz edildiğinde biraz durmak gerekiyor, ne kadar undocumented işlem yaparsam BSOD ile karşılaşma ihtimalim o kadar artacaktı o yüzden enine boyuna düşünüp gerekli çizimleri tahtaya yaptıktan sonra kolları sıvadım.
Cevap 1 :
Sanal Makineyi enfeksiyon öncesi haline getirip gerçek device objectin adresini aldım ve sistemi enfekte sisteme döndürdükten sonra bu adresi hafızada aramaya başladım. 0x82261a38 adresindeki VMSCSI device’ının adresi el mahkum hafızada saklanacaktı.

s 80000000 L?7fffe000 82 26 1a 38
komutu ile tüm hafızada gerçek device object’in adresini aradım. Karşıma 100’den fazla entry çıktı. Dolayısıyla bir değerlendirme yapmak için bu kadar hafıza adresini incelemem gerekiyordu.
Analizde en önemli şey TEKRARLAYAN HAREKETLERDEN KAÇINMAKTIR! Ayrıca bu gibi bir durum mutlaka ileride de işime lazım olacaktı. Bu yüzden PyKD ile küçük bir Python scripti yazmanın uygun olacağını düşündüm ve Visual Studio’da küçük bir script yazdım. Script device object’den driver object’e gidip sürücü geçerli mi değil mi bunu tespit edecekti.

Script, 2 tane adresin geçerli olduğunu tespit etti. Bu adreslerden ilkine baktığımda Rootkit tarafından yaratılan DriverObject’in içerisinde saklı olduğunu gördüm. Saklama yöntemine baktığımda hemen TDL 4 ile karşılaştırdım, ikisi de aynı yere saklanmıştı, adresi cebe atarak devam ettim.
Cevap 2 :
Watchdog ile savaşmak gerçekten zor bir iş. Başlangıçta korktuğum şey, rootkit tarafından oluşturulan threadi durdurmak veya sonlandırmak mavi ekrana yol açar mı acaba diye düşündüm fakat korktuğum olmadı. Öncelikle temizlenmesi gereken kancaya bir breakpoint yerleştirdim ve TDL beni yine güldürdü. Aşağıdaki ekran görüntüsüne bakarsanız, zararlı bana olayın farkında olduğunu anlatmaya çalışıyordu.
Açıkça rootkit onu uyuşturmaya çalıştığımın farkındaydı

Bu çıktıyı veren adresi NOPlamak benim için jenerik bir çözüm sayılmazdı. Ayrıca müşterilerin bilgisayarlarında rahatlıkla mavi ekrana yol açabilirdi. Dolayısıyla başka birşeyler yapmam gerekiyordu. Aklıma ilk gelen yöntem sanal makineyi tek CPU ile çalışacak şekilde ayarlamak ve Irql’yi DISPATCH_LEVEL’e çıkartarak en dipteki sürücüye okuma isteklerini göndermekti. Bu sayede, rootkit’in koruyucu threadinin çalışmasına müsade etmeden gerçek veriyi okuyabildim. Peki birden fazla CPU varsa o zaman ne yapacaktık? Bu durumda da her CPU’ya bir adet DPC gönderdikten sonra tüm CPU’ları kilitleyip üzerinde çalıştığımız CPU’dan okuma işlemini gerçekleştirebilirdik. Bunda da herhangi bir sorun yaşamadım.
Cevap 3 :
İşin en zevkli kısmı bu noktada başlıyordu. Geçtiğimiz ay yazdığım MFT Parser ile diski taramaya başladım. Önce ReadFile apisiyle drivers klasöründe bulunan tüm sys dosyalarının CRC32 hashlerini aldım, sonra da MFT Parser ile aynı klasörü listeleyerek kendi driverımıza bir önceki adımda bahsettiğim adımları icra etmesi için IOCTL’ler göndererek dosyaların DATA Attribute’lerini okudum. Müteakiben aldığım verilerin tekrar CRC32 hashlerini alarak bir önceki ReadFile’dan gelen sonuçlarla, yeni sonuçları karşılaştırdığımda mouclass.sys dosyasının hashlerinin tutmadığını farkettim. Bu şu anlama geliyordu : Rootkit bu dosyayı enfekte etmiş ve sistemi taramaya çalıştığımda bana dosyanın orijinal halini döndürmeye çalışıyordu.
Aşağıdaki resimde program tarafından hesaplanan disk offsetini sürücüye göndermem ile artık NTFS.sys sürücüsünü ve altındaki tüm driverları bypass ederek direk olarak disk erişimi yapabiliyordum.

TDL4 de bir önceki versiyondan farklı olarak BootSector enfeksiyonu gerçekleştiriliyordu. Aslında temel olarak baktığınızda MBR Enfeksiyonunu temizlemek, az önce bahsettiğim sürücüyü temizlemekten çok daha kolay çünkü MBR nin disk offseti belli ve NTFS dosya sistemi ile uğraşmadan direk olarak hedefe gidebiliyorsunuz. TDL4 de zorlayan tek şey, rootkit’in Kernel Debugger DLL’si üzerinde yaptığı değişiklikleri bypass etmek oldu. Cidden çok güzel bir manevra ile bağlantıyı kopartmışlar, fakat elinizde fonksiyon prologlarının yedeği varsa, TDL4 ile de eski versiyonu gibi rahatça savaşabilyorsunuz. Bunun için yapmanız gereken tekşey zararlıyı çalıştırmadan önce .writemem komutu ile apilerin prologlarının yedeklerini almak!
Sonsöz :
Epey uzun bir yazıdan sonra rootkit ile ilgili bir kaç şey söylemek istiyorum.
TDL ailesini incelemek benim için gerçekten çok zevkliydi, şunu rahatlıkla söyleyebilirim : Bu rootkiti her kim yazıyorsa, gerçekten tam bir Kernel KungFu Ustası! Fakat temizleme yöntemi geliştirirken, aklıma gelen birçok “Acaba” var.
En basitinden, watchdog timer’a IO işlemi yaptırsalardı, timerı sonlandırmam veya durdurmam benim için çok tehlikeli olurdu. Ya da çok merak ettiğim, bir sonraki versiyonda Debugger ile Debuggee arasındaki bağlantıyı kopartmak yerine, Kernel Debugger Message Buffer’ı modifiye ederler mi? Bu arada, bu yazıda public ettiğimiz Callback Bypass yöntemini bir sonraki versiyonda görecek miyim ve daha bir çok soru…
Hoşçakalın!

Social Media App Uninstaller

noreply@blogger.com (Emre TINAZTEPE) — Thu, 05 Jan 2012 16:40:00 +0000

Zamanla, sosyal medya platformlarımıza eklediğimiz ve farklı farklı izinler verdiğimiz uygulamaların, neredeyse bilgisayarlarımıza kurduğumuz uygulamalar kadar olduklarını biliyor muydunuz? Bugün bulduğum bir site bunların hepsini kaldırabilecek linkleri tek biryerde toplamış. Önceden yüklemiş olduğunuz uygulamalara baktığınızda şaşıracaksınız.

Detaylı bilgi için http://mypermissions.org/ adresine bakabilir ya da aşağıdaki bağlantılara tıklayabilirsiniz.

İlerde tekrar bu uygulamarı kaldıramanız gerebileceğinden bu blog post’u favorilerinize eklemenizi tavsiye ederim

Siber Güvenlik Konferansı & Özel Diltaş Eğitim Kurumları Güvenlik Semineri

noreply@blogger.com (Emre TINAZTEPE) — Sun, 01 Jan 2012 16:12:00 +0000

Merhaba,

22 Aralık’da düzenlenen Siber Güvenlik Konferansı’nda Stratejik Danışmanımız, Sayın Prof. Dr. Mete GÜNDOĞAN Siber Silah Endüstrisi ve Türkiye adlı sunumu gerçekleştirdi. Sunumu ciddi derecede ilgi gördü ve sunum sonrasında sorulan sorulardan, katılımcıların da durumun ciddiyetinin farkında olduğu rahatça anlaşılabiliyordu.

Ayrıca, geçtiğimiz hafta Zemana Sponsorluğunda Özel Diltaş Eğitim Kurumlarında İnternette Kişisel Güvenlik Semineri adlı bir seminer düzenlendi. Seminerde okul öğrencilerinden M.Çağrı TEPEBAŞILI, güvenlik tehditleri ve korunma yöntemleri konularına değindi.

Ülkemizde Güvenlik Bilincinin Yerleşmesine katkıda bulunan bu tür faaliyetlere bundan sonra daha fazla ağırlık vereceğiz.

Bir sonraki blog yazısı Trojan Downloader – TDL (Stuxnet ve Duqu kadar kompleks bir zararlı) analizi üzerine olacak, hafta içerisinde detaylı incelemeyi okuyabileceksiniz, meraklılarına duyurulur

Zemana Profesyonel Servisler

noreply@blogger.com (Emre TINAZTEPE) — Tue, 20 Dec 2011 22:05:00 +0000

Merhaba,

Zemana Profesyonel Servisler, 21 Aralık 2011 tarihi itibariyle hizmete açılmıştır.

Sunduğumuz hizmetler :

- Malware Analiz / Ters Mühendislik

- Kaynak Kodu Analizi

- Uygulama Zafiyet Testleri

Detaylı bilgi için Anasayfamızdan Servisler menüsüne tıklayabilirsiniz.

Servis talepleriniz için her sayfanın altında bulunan talep formalarını kullanabilir ya da services@zemana.com adresine mail atabilirsiniz.

Karamanın Koyunu

noreply@blogger.com (Emre TINAZTEPE) — Sun, 18 Dec 2011 15:21:00 +0000

Merhabalar,

Cuma günü elime gelen sample feedleri otomasyon analize tabii tutmakla meşgulken küçük bir arkadaşımız dikkatimi çekti. Detaylı inceleme sonunda “Karamanın Koyunu” dedirten bu zararlı ile ilgili bir şeyler karalamanın iyi olacağını düşündüm.

Hikaye şöyle :

Bildiğiniz gibi her gün 10.000 lerce yeni malware örneği türüyor ve bunların arasında sıradan malwareler çoğunlukta olduğu gibi gayet yetenekli canavarlar da mevcut. Otomasyon sonrası “Alçak Sürünme” (Low Profile) yapanlara odaklanmak her zaman çok daha etkili oluyor. Şöyle ki, her gün gelen sampleların %95’ı çalışır çalışmaz en kötü ihtimalle 45 sn. sonra maharetlerini gösterirler. Esas dikkat edilmesi gereken çalıştırılmasına rağmen kayda değer bir şeyler yapmayanlara odaklanmak. Bu tip zararlılar da ya deşifre rutinlerini çalıştırmak için belirli bir zamanı bekliyorlar, ya da saldırı için gerekli ortam ve koşullar oluşmadığı için çalışmıyorlar. Söz konusu zararlı da aynen bu karakterde bir dosya.

Program aşağıda gördüğünüz gibi popüler bir video downloader gibi görünüyor.

Şirket içerisinde kullandığımız otomasyon yazılımı, yukarıda gördüğünüz programa, davranış kuralları listesinde bulunan bir hareket gerçekleştirmediği için herhangi bir uyarı vermedi, ben de uzun periyot testi için işaretleyip geçecekken, ekibimizden Yordan Bey telefon etti. Tabii sanal makine bu esnada açık. 15 - 20 dakika sonra analiz makinasına geri döndüğümde, windbg ile yapmam gereken bir incelemeyi hatırladım ve sanal makineye Windbg attach etmek istediğimde başarısız olduğumu gördüm. Benden önce windbg zaten sanal makineye bağlanmıştı.

Ben windbg’ı açmadıysam, geriye tek seçenek kalıyordu, bu da “Masum görünen programımız bir şekilde sisteme rootkit yükleme çalışıyordu” ve bunu tespit eden yazılımımız sanal makineyi incelemem için Windbg’ı otomatik attach etmişti. İlk işim sanal makinenin snapshotunu alarak teste devam etmek oldu. Sürücünün yüklenmesine müsade edip, sistem çekirdeğini incelediğimde gördüğüm manzara ntfs.sys sürücüsünün IRP READ handlerının inline kancalanmış olduğuydu. Ayrıca laboskopia scriptleri ile sistem callbacklerine baktığımda zararlı sürücünün, bir tane “Process Create Callback” register ettiğini farkettim.

İlk işim Process Create Callback rutinin görevini incelemek oldu. IDA ile rutini incelediğimde gördüğüm : iexplore.exe yani Internet Explorer’ın çalışmasını monitor eden küçük bir kod bloğu oldu. iexplore.exe çalıştığında kernel moddan user moda “flash9.ocx” adında bir dll enjekte ediyor ve her send requestin bu dllden geçmesi için socket fonksiyonlarını buraya yönlendiriyordu. Bunu görür görmez galiba banker bir trojan ile karşı karşıyayım dedim. Fakat emin olmak için DriverMon ile yakaladığım sürücüyü IDA ile açmanın daha iyi olacağını düşündüm.

Sistemde yüklü olan sürücünün base adresi ile IDA’ya yüklediğim sürücüyü REBASE ederek realtime bir görüntü elde ettikten sonra, sürücüyü incelemeye başladım. Manzara işin aslında düşündüğüm gibi olmadığını anlamama yetti

Yazarın encryption konusunda pek de iyi olmadığını söylemeden geçemeyeceğim, küçük bir ida scripti ile 15 – 20 dakika içerisinde XOR ve ROL kullananan birinci layerı hallettim. İkinci layer da sadece XOR kullanıyordu.

Flash9.ocx’in yaptığı tek şey, internet explorer’ın adres alanında her requesti takip ederek request gönderilmeden önce IP\meeting.aspx? sunucusuna username=base64(”dosya adı”) şeklinde bir request göndermekti. IP adresine baktığımda sunucunun çalışmadığını gördüm, ayrıca malc0de gibi sistemlerden ipyi kontrol ettiğimde herhangi bir sonuca ulaşamadım. Belli ki saldırgan bizden önce davranmış ve işini bitirmişti.

Kod içerisinde dosya adı gönderildiğini görünce uzun süre bir çeşit arka kapı açabilecek bir kod aradıysam da bulamadım. Bu da sistemde başka bir trojanin kullanıldığını kanıtlıyordu. Yani dosyaları bulan ve sunucuya isimlerini gönderen bileşen ile dosyaların sistemden alınmasını sağlayan bileşenler ayrı uygulamalar. Peki ne bu dosya isimleri derseniz :

Yukarıda gördüğünüz görüntü, sürücünün NTFS.sys’ye yerleştirdiği hookun içerisinden aldığım bir parça. Kodun inline assemblerda yazıldığı gayet açık. Maksadı ise ntfs diskte erişilmeye çalışılılan dosyaların uzantılarını kontrol ederek temp klasöründe bu dosyaların RC4 ile şifreli birer kopyalarını oluşturmak, kopya oluştururken diske erişmek yerine gelen bufferı şifreleyerek kullanması da ayrıca dikkate değer. Kodu detaylı incelediğimde gördüğüm şuydu : sistemde oluşturulmuş bir section objectte yeni yazılan dosya adlarını (temp klasörü), iexplore.exe’de çalışan dll, her request esnasında kontrol ediyor ve bu dosyaların isimlerini shared sectiondan silerek base64 ile şifreli bir şekilde sunucuya gönderiyor. Dolayısıyla karşımızda bir çeşit kritik bilgi hırsızı var diyebiliriz.

Peki neden böyle dolaylı bir tutum sergilendiği merak ediyorsanız benim tahminim : eğer hedef bir şirketse, ki bence kesinlikle öyle, muhtemelen saldırgan iç işleyiş ile ilgili detaylı bilgi sahibi ve DLP / IDS / IPS gibi bir sistem olduğunu bildiği için bu şekilde bir yaklaşım izlemiş. Asıl merak ettiğim, temp klasörüne kaydedilen dosyaların sistemden nasıl alındığı? Ayrıca eğer ayrı bir bileşen ile dosya gönderimi yapılmadıysa, firma içerisinde saldırganla ortak çalışan bir personelin olma ihtimali nedir?

Yalnız Kurt Pentagon’da Birinci!

noreply@blogger.com (Emre TINAZTEPE) — Fri, 09 Dec 2011 22:17:00 +0000

Can YILDIZLI (LoneWolf), Amerikan Savunma Bakanlığı Siber Suçlar Merkezinin her sene düzenlediği oldukça geniş bir alana hitap eden ve her biri ciddi uzmanlık isteyen 23 daldaki yarışmada, en yakın rakibine 1200 puan fark atarak birinci oldu!

Yarışmanın detaylarına bakacak olursanız yalnızca bilgi değil, yetenek gerektiren bir çok dalın olduğunu rahatlıkla görebilirsiniz. Can YILDIZLI, bir çok yarışmanın aksine, yalnızca hazır toolları kullanarak değil, yarışmacıların kendi toollarını geliştirmesi gereken alanları da olan DoD Cyber Crime Challenge’ı, 1400’den fazla ekibe karşı TEK KİŞİ tamamladı.

Zemana Ekibi olarak kendisini yürekten tebrik ediyor, yakında RPI’de başlayacağı doktorasında başarılar diliyoruz!

İşte Konular :

100 - Windows Registry Analysis
101 - File Hash Identification
102 - File Signature Analysis
103 - Creation of Affidavit for search Seizure Warrant
104 - Hot Spot Surveillance
200 - File Data Examination
201 - STEG Level 2
202 - Password Cracking
203 - VMWare Memory Analysis
300 - Network Trap and Trace
301 - Encrypted Device Image
302 - Shadow Volume Win7 Registry Analysis
303 - Unallocated Recovery Challenge
400 - Shadow Volumes Analysis
401 - STEG Level 4
402 - Encrypted Drive Recovery
500 - Language Identifier and Translator Tool Development
501 - Imaging the Android OS - Tool Development
502 - MFT File Reader
503 - Text String Search Tool Development
504 - Data Recovery from HPA as a Universal Tool or Manufacturer Tool Development
505 - Data Recovery from Unmarried TPM Hard Disk Tool Development
506 - VSC Parser Tool Development

SCADA Exploit - Celil ÜNÜVER / SignalSEC

noreply@blogger.com (Emre TINAZTEPE) — Fri, 02 Dec 2011 12:14:00 +0000

Merhabalar,

Son günlerde gittikçe önem kazanan SCADA sistemleri ile ilgili yeni bir açık SignalSEC ekibinden Celil ÜNÜVER tarafından tespit edildi.

Zemana Ekibi olarak kendisini tebrik ediyoruz.

Uzaktan kod çalıştırmayı sağlayan açık hakında detaylı bilgi için aşağıdaki videoyu izleyebilirsiniz.

Piracy it's a crime

noreply@blogger.com (Emre TINAZTEPE) — Tue, 15 Nov 2011 07:30:00 +0000

Bir araba,televizyon yada DVD salonundan bir DVD çalmayız ama korsan film indirmeninde hırsızlık olduğunu bilmek lazım.

You wouldn't steal a television
You wouldn't steal a movie
Downloading pirated films is stealing, stealing is against the lan.

Zero-day keylogger

noreply@blogger.com (Emre TINAZTEPE) — Thu, 10 Nov 2011 07:21:00 +0000

İspanyalı bir programcı, anti-keylogger programlarını test etmek istemiş ve testte kullanacağı keylogger'in %100 zero-day olabilmesi için bu keylogger'i kendisi en baştan yazmış ve Zemana dahil bir kaç program ile test etmiş ve birinci gelen biz olmuşuz.

Test sayfasının Google translate ile çevirilmiş haline buradan oluşabilirsiniz.

Sizde programcı mı sınız? Buna benzer birşey demek isterseniz ve sonuçları bizimle paylaşırsanız seviniriz.

50 Licenses for Zemana AntiLogger and AntiMalware from Softpedia

noreply@blogger.com (Emre TINAZTEPE) — Thu, 03 Nov 2011 07:51:00 +0000

You will have to post one smart comment here in order to get a license for both products.

AntiLogger + Windows 8 Developer Preview

noreply@blogger.com (Emre TINAZTEPE) — Wed, 19 Oct 2011 05:17:00 +0000

Merhabalar,

Son testlerimizi de yaptık. AntiLogger 32 bit ve 64 bit Windows 8’in Developer Preview sürümünde sorunsuz çalışıyor. İşte ekran görüntüleri :

Bu arada küçük bir ipucu da vermek istiyorum : yeni projenin arabirimini Windows 8’in Metro Arabirimi tarzında tasarlıyoruz

Güvenli günler

AntiLogger x64 Desteği + Windows 8

noreply@blogger.com (Emre TINAZTEPE) — Tue, 11 Oct 2011 07:07:00 +0000

Merhabalar,

Microsoft’un 64 bit sistemlerde başlattığı Kernel Patch Protection koruması bir çok güvenlik firmasını zor duruma sokmuştu. Zararlılar tarafından kullanılan metodların implementasyonunu engellediği gibi, karşı tedbirlerin alınmasını da engelleyen PatchGuard ile ilgilli gerekli Ar-Ge çalışmasını tamamlayarak AntiLogger’ın 64bit sürümüne Anti-Keylogger ve Anti-ClipboardLogger korumalarını ekledik. Son sürümümüzde iki modül de aktif durumda. Sırasıyla tüm modülleri aktive edeceğiz.

Ayrıca AntiLogger’ın Windows 8 testlerini de başarıyla geçtiğini söylemeden geçemeyeceğim

Sürüm notları için http://www.zemana.com/tr/whatsnew.aspx adresini ziyaret edebilirsiniz.

Güvenli günler…

Method For “Detecting Grandchild Processes Spawned By Malware”

noreply@blogger.com (Emre TINAZTEPE) — Fri, 16 Sep 2011 22:46:00 +0000

Hi,

I analyzed a creature trying to spawn new processes for survival and thought of a new technique.
During my tests, I successfully detected “Grandchild Processes Spawned by Malware”.

Let me first talk about the problem :

“We have a creature named MalDaddy and he wants to raise a child (MalChild) to survive and divide his evil activities in order to attract less attention. There is even a grandchild (MalGrandchild) and even a great-grandchild…”

Technically, we can detect the parent process of a spawned process with the help of the “InheritedFromUniqueProcessId” value in the EPROCESS structure.

1: kd> dt nt!_EPROCESS

…
+0x260 Job : Ptr64 _EJOB
+0x268 SectionObject : Ptr64 Void
+0x270 SectionBaseAddress : Ptr64 Void
+0x278 Cookie : Uint4B
+0x27c UmsScheduledThreads : Uint4B
+0x280 WorkingSetWatch : Ptr64 _PAGEFAULT_HISTORY
+0x288 Win32WindowStation : Ptr64 Void
+0x290 InheritedFromUniqueProcessId : Ptr64 Void

We can detect the parent process of a newly-created process by checking this field (of course, there are easier ways).

The Windows Internals book says:

“Processes whose parents aren’t alive are left-justified (as is Explorer.exe in the preceding example) because
even if a grandparent process exists, there’s no way to find that relationship. Windows
maintains only the creator process ID, not a link back to the creator of the creator, and
so forth.”

Following the link backwards, it is possible to detect relationships between processes. This is what ProcessExplorer does.

What if a spawned process (MalChild) clears this field in kernel mode or spawns a new process (MalGrandchild)? What if the MalChild process terminates and only MalDaddy and MalGranchild continue to execute?

Here is what i suggest :

Fact 1: Each process has a Handle Table

Fact 2: Each handle holds a pointer to its Object.

Fact 3: Each inherited handle has the same index in the handle table as MalDaddy’s handles and would be inheritable.

Assumption :

Malware spawns processes with at least one handle flagged with “Inherit Handle”.

My answer to the problem is enumerating MalDaddy’s handle-table’s “Inherited Handles” and testing those indexes against running processes. This way we can easily detect processes with the same parent with accuracy. It is unlikely to see two different processes with the same objects indexed with the same offset in their handle tables.

Safe days…