Kod Adı Aurora (MS10-002)

Cin ve Google'i karsı kaşıya getiren ve Internet Explorer'ı hedef halan exploit'e bugün Microsoft'tan yama geldi. Exploit’in meydana geliş sebebi, IE'nin MSHTML.DLL!IHTMLEventObj4 ara yüzündeki bir yanlış hafıza alanina erişmesi olarak tespit edildi.

Exploit’in çalışma mantığı şu şekilde; İlk önce createEventObject ile bir event object yaratılıyor ve sonra free ediliyor arkasından bu object tekrar kullanılmaya çalışıldığında, IE free algoritmasındaki bozukluk yüzünden tekrar ilgili objeyi kullanmak istiyor ve rastgele bir hafıza alanını referans alıyor ve crash oluyor.

Ortada herhangi bir heap yada stack tabanlı bir hafıza taşması yok ancak , heap'te crash olduğu nokta çok kritik. Alttaki resme bakiniz:

Buradan sonrada, daha önce Zemana Blog'da bahsettiğimiz HeapSpray tekniği ile exploit ediliyor.
Exploit, daha sonra targetted attak dediğimiz, yani saldırının adresinin belli olması, avantajını kullanarak Google gibi hedef firmalar üzerinde kullanıldı. Targetted attack'ta zero-day exploit ve barındırdığı trojan public olmadığı için 1-2 hafta gibi bir zaman AntiVirus şirketlerine ulaşmıyor ve güvenlik sağlanamıyor. Ancak su dakikalarda public olmuştur, bunun bir iyi yani birde kotu yani var;

Kötü yanı: Script kiddie'lerin eline geçip son kullanıcılara karşı saldırı gerçekleştirilebilir.
İyi yanı: Exploit ve payload , AV ve IDS veritabanlarında yerini almıştır.

Targeted Attack, her ne kadar bireylerin kolay kolay karsılaşmayacağı bir saldırı türü olsa da, büyük firmalar için çok yüksek tehlike oluşturuyor, çünkü kullandıkları güvenlik sistemlerinde bunu anlayıp durdurabilecek bir güvenlik çemberleri yok.

Peki Aurora neden IE8 üzerinde etkili olmadı, yada IE7 üzerinde kısmi bir etki yaptı?
Bunun sebebi, IE8'in MSHTML.DLL'inin etkilenmemesi değil, oda etkileniyor ancak donanım tabanlı DEP koruması, IE8 için varsayılan ayarlarda etkindir, eğer DEP'i kapatırsanız exploit IE8'dede çalışır.

IE7 de ise, programın kırılma noktasında, EAX değerinin stackta çok yüksek olması ve ASLR'ninde durumu her seferde daha da karıştırması, tabi buna rağmen IE7 içinde exploit yazıldı, ancak bizim denemelerimizde 3-4 seferde 1 defa tam çalışıyor. Hatta VUPEN Security, DEP korumalı IE8 içinde çalışan exploit kodu yazdıklarını duyurdu, eğer gerçekten doğru ise, Microsoft'un HeapSpray için gerçekten bir ek koruma yapması gerekiyor.

AntiLogger, bu saldırı karşısında, nasıl tepki veriyor?
AntiLogger, exploit'in kendisini tespit edemese de payload çalışmaya basladigi anda, Sistem başlangıcı uyarısı veriyor ve zaten bir taraftan IE crash oluyor, yeter ki bu gibi durumlarda alarm'a yanlış yanıt vermeyin.!

Eğer exploit herhangi bir payload çıkarmadan tüm kirli islerini IE içinden yapıyor olsaydı, maalesef bu durumda, AntiLogger eylemin IE'den geldiğini anlayacağı için, alarm göstermeden izin verecekti, ancak şimdiye kadar hiç bir exploitte spy işlemlerinin exploit içinde yapılmaya çalışıldığı durumlarla karşılaşmadık. Çünkü böyle bir hardcode shellcode'i hem yazmak çok zor hem de boyutları sebebiyle exploitlerde kullanilabilmesi, ASLR, DEP ve buna benzer sezgisel korumalar varken, bir benzeri üzerinde tabi çalışmıyoruz, ancak yakında kullanıma sunacağımız AntiLogger 2.0'da, özellikle browser'lar tarafından exploit edilme durumları için yeni bir modül geliştirdik.

Çoğu zaman bu tip zero-day vakalarda, başka bir browser kullanın yada JavaScript'i kapatın gibi yorumlar oluyor, hatta bu yorumları devletler yapıyor, bunları da değerlendirmek istedik.
Evet, Aurora, JavaScript kütüphanesindeki fonksiyon yüzünden oluştuğu için, bu exploitten JavaScript'i devre dışı bırakarak kurtulabilirsiniz, ancak bir diğer zero-day browser'in html taglarini parse etmesi sırasında oluşabilir. Örneğin (HTML Tag) Memory Corruption (MS06-013) veya wmf,jpeg gibi resim kütüphanelerinde olabilir.Bu durumda, Windows üzerinde çalışan Firefox gibi browserlarda GDI.DLL'i kullandığı için etkileneceklerdir.

Peki bu saldırılardan Firefox, Opera , Chrome yada Linux çok az etkileniyor, onların koruması daha mi iyi? Kesinlikle HAYIR, sadece popüler değiller ve hackerlar kullanım payı yüksek olan platformlar için zararlı üretiyorlar.
Eger bir gün, bu platformların pazar payı MS’tan yüksek olursa, emin olun bu platformlar için, çok daha fazla exploit çıkacaktır.

Son not: Bu exploit IE tabanlı Avant gibi browserlar üzerinde de etkili olacaktır, çünkü onlarda IE tabanlı oldukları için, MSHTML.DLL!IHTMLEventObj4 ara yüzünü kullanıyorlar.

Bill Mullins'ten 1,000 tane AntiLogger Lisansı

Bill Mullins, bloğunda , AntiLogger için yazdığı yazının altına yorum yazan herkese tam sürüm lisans veriyor. Ilgilenler elini çabuk tutsun çünkü lisanslar 1000 adet ile sınırlı.

Guncelleme: Lisansları , 250 şer parçalar ile 4 yazısında vermeyi planlamış ve ilk yazısına 250 yorum gelmiş bile ancak uzülmeyin birdahaki yazısı ocak 23.

Zemana AntiLogger Bill Mullins’ Weblog’da

Teknoloji meraklılarının takip ettiği ve dünyaca ünlü Bill Mullins blog editöru, Zemana AntiLogger’ı incelemis ve çok etkileyici bir inceleme yazisina yer verdi. Orijinal haberi buradan okuyabilirsiniz.



Thanks Bill !

Safe Banking - Intel® AppUp

Gecen hafta Las Vegas'ta CES fuarında Intel, AppUp Beta'ya start verdi. Daha önceden bahsetmiş olduğumuz Safe Banking projeside, AppUp'in ilk programları arasına girdi. CES öncesi programa dahil olmamızdaki yardımlarından dolayı Intel Türkiye’ye çok teşekkür ederiz.

Intel® AppUp hakkinda daha fazla bilgi icin:shiftdelete, notebookplatformu, Intel

İlerleyen süreçte, AntiLogger ve yeni çıkacak olanürünlerimizi de bu platformda yayınlayacağız.

Intel® AppUp çok yakin zamanda Dell, Acer ve ASUS gibi bilgisayarlar ile pre-installed geleceğinden çok fazla kullanıcıya hitap edecektir. AppUp'i, linuxteki paket(depo) yönetim sistemi yada iphone store'a benzetebilirsiniz.

Intel® AppUp'a uygulama yüklemek isteyenler, iADP developer programına üye olmalı ve oluşturduğunuz uygulamaya ait bir tanımlayıcı GUID alıp bunu ücretsiz olarak indireceğiniz iADP SDK ile programınıza uygulamalısınız. Uygulamanızın bittiğinde Intel tarafından uyumluluk ve SDK implemasyonu kontrol edilecek ve onaylanırsa mağazada yayımlanmaya başlayacak.

SDK'yi ve gereksinimleri adapte etmek çok kolay oluyor, çünkü iADP developer programında, SDK ile ilgili çok zengin bir dokümantasyon,ornek kodlar, videolar ve bunun yanında programcıların haberleştiği forumlar var hatta bu platform ile ilgili birçok Intel developer blogger var.

Tek sorun, iADP SDK, sadece native programlar ve MS Visual Studio C++ derleyicisi ile kullanılabiliyor ve ayni zamanda sadece static lib'lerden oluşuyor. Bu durum şimdilik diğer platformlarda program geliştirenler icin biraz sorun oluşturuyor. Ancak SDK'nin ileriki sürümlerinde bu problemi gidereceklerdir.

Bizimde, uygulama geliştirme platformumuzun Borland C++oldugundan bu durum biraz sorun oluşturdu, bu sorunu kısaca nasıl atlattığımızı açıklamak isteriz ki, bizim gibi Borland C++ ya da native delphi ile uygulama geliştiricilerine de fikir vermiş olalım.

Borland, yeni ismi ile Embarcadero C++, static lib dosyalarında OMF formatını kullanıyor, MSVC ise COFF formatını kullanıyor bu yüzden, iADP SDK lib dosyalarını include edemiyoruz ve lib dosyalari static olduğu için OMF formatına convert edilemiyor.

Bu nedenle iADP tanımlama ve onay bolumu için MSVC++ ile dynamic bir DLL dosyası oluşturduk. Bu dosyayı da resource olarak ana programımıza gömdük, ana program çalıştığında bu dosyayı hafızaya yüklüyor ve Import ,Export ve Relocations tablolarını fix ediyor, ardından DLL entrypoint'i çağırıyor ve ondan sonra ilgili export fonksiyonları ile authorization işlemlerini yapıyor. DLL'i disk üzerinden çağırmak yani ayri bir DLL dosyası olarak kuruluma dahil etmek, platformda kabul edilmiyor.

Burada dikkat edilmesi gereken, borland'in standart olarak urettigi manifest yerine Microsoft CRT pathlarin belirtildigi bir manifest dosyasının kullanılması çünkü DLL ve SDK, MS CRT rumtime dll'lerini kullanıyor.

Zemana Safe Banking v1.0 in the Intel® Atom™ Store

Zemana Safe Banking v1.0 will be available very soon in the Intel® Atom™ Store.

Intel® Launches Atom™ Store in the near future. The "Intel® Atom™ Store" itself is the client installation part that goes on a netbook, phone, mobile Internet device or some other device, which connects to the app store, manages the user's installed apps, checks for updates and so on.

Our engineers developed new free security application, which will run on this platform and it is designed to intercept Bankers Trojans at the point before private financial information enters the secure web sites, or https, and blocks the applications trying to record SSL data before the encryption takes place. It has powerful proactive response and eliminates threats from SSL Banker Trojans. It detects serious threats that the other IT security products miss. Its unique technology detects when Bankers Trojan runs on your computer, and proactively shuts it down - before it can steal your identity or hurt your computer.”

The product will be available when Intel® launches the store and it will run only on Intel® Atom™ based netbooks with the following operation systems:
Window XP and Windows7. Windows Vista will not support it.

Teknoloji ortağımız VB100 ödülünü aldı!

Sunbelt Software şirketinin VIPRE(R) Antivirus + Antispyware ürünü, Windows 7 platformunda zararlı yazılımları tespiti için Virüs Bülten (VB100) Ödülünü aldı

WildList listesindeki virüslerin %100’ünü tespit etti. Hatalı tespit yok.

Antivirüs yazılımlarını karşılaştırmalı olarak test eden yüksek itibara sahip Virus Bulletin grubu, ödülleri Aralık 2009 sayısının İnternet yayınında duyurdu.

Testin, Windows 7 platformu üzerinde gerçekleştirildiği bildirildi. Prestijli testte şimdiye kadar ilk defa yer alan Sunbelt Software, hiçbir yanlış pozitif vermeksizin, “vahşi” olarak nitelendirilen bütün virüsleri başarılı bir şekilde tespit etti. Virüsler, kullanıcıların bilgisayarlarında ve bilgisayarları arasında normal günlük işlemlerin sonucunda yayıldıklarında genellikle “vahşi” olarak kategorize edilmektedirler.

Zararlı programların tespitindeki üstün seviye, Sunbelt’ın VIPRE antivirüs teknolojisinin derinliğini ve hassasiyetini onaylamaktadır.

Virus Bulletin birkaç farklı antivirüs ürününün Windows 7 üzerindeki tespit oranını, hatalı tespit (yanlış pozitif) yokluğunu ve tarama hızını test etti. VIPRE, vahşi virüslerde yüzde 100 tespitle başarı gösterdi. Testlere katılan 43 programdan 35’i VB100 ödülüne layık görüldü.

Virus Bulletin’in makalesinde, “Nihayet, uzun zamandan beri beklenen VB100’ün bazı sonuçlarına sahibiz… VIPRE, ilk kez ortaya çıkışında VB100 kazandı. Daha fazlasına da tanık olacağımızı umarız.” deniliyor.

Virus Bulletin, bağımsız bir şekilde, antivirüs ürünlerini karşılaştırmalı olarak test ediyor. Testlerde virüs tespit oranı ve tarama hızına ağırlık veriliyor.

VB100 logosunu gösterebilmek için Virus Bulletin testlerinde antivirüs ürünlerinin, hem talep edildiğinde (on-demand), hem de erişildiğinde (on-access) bütün virüsleri tespit etmesi ve bir takım temiz dosyaları tararken “hatalı tespit” yapmaması gerekmektedir. Antivirüs ürününde, varsayılan durumunda bu kriterleri yerine getirmesi şartı aranıyor.

Bazı diğer benzer testlerden farklı olarak, Virus Bulletin testlerinde, WildList Organizasyonu’nun en güncel WildList’i kullanılmaktadır. Virus Bulletin hakkında daha fazla bilgi http://www.virusbtn.com/ web sitesinden temin edilebilir.

Zemana CEO’su Orhan Akyurek, “VIPRE virüs motorunun VB100’den sertifika alması, bizim Sunbelt virüs motoru ile geliştireceğimiz, Zemana Antivirüs'ünde, kendi virüs motorumuzun yanlış alarmlar vermemesi şartı ile VB100 alması anlamına gelecektir. Sonuç olarak, VIPRE teknolojisi ile Zemana sezgisel teknolojileri birleştiğinde, ortaya eşsiz bir güvenlik programı çıkacağına inanıyoruz” dedi.

VIPRE ve MX-Virtualization(TM) hakkında
VIPRE, bugün piyasaya en gelişmiş teknolojiyi entegre ediyor. Bu teknolojiye; hızlı biçimde potansiyel zararlıların davranışlarını inceleyen ve MX-Virtualization (MX-V) olarak adlandırılan kompakt ve yüksek hızlı sanallaştırılmış Windows ortamı da dâhildir. Kullanıcı tarafından bir etkileşim olmadan, zararlılar, Windows’un birçok çekirdek fonksiyonlarını taklit eden bir ortamda uygulanarak belirli zararlı yazılım imzaları ve davranış özellikleri için analiz edilir. Bu fonksiyonellik, özel imza ve sezgisel sistem akımı oluşturma gereği olmaksızın, VIPRE’a birçok zararlı türlerini tespit etme imkanı sağlamaktadır.

MX-V, klasik imza tespiti ve sezgiler dahil olmak üzere VIPRE tarafından kullanılan diğer tespit yöntemlerinin bir parçasıdır. Sunbelt’ın, fazla hafıza almadan yeni nesil antivirüs sağlama taahhüdüne uygun olarak, performansın, kullanıcının sistemi üzerindeki etkisi sanal olarak fark edilmez bir biçimdedir.

Zemana AntiLogger, Para okurlarina hediye

Bu hafta Para dergisi , tüm okurlara, tam sürüm 1 yıllık Zemana AntiLogger kurulum CD'si hediye ediyor. Farsatı kaçırmayın.