Zemana V8 Supercars are Ready

Daha önce bahsetmiş olduğum Zemana-V8 arablar hazırlandı. Fotoğraflara buradan bakabilirsiniz. Yarışlar bugün başlıyor ve 4 gün sürecek, ilerleyen zamanlarda da videoları paylaşacağım.

Türkiyede HTTPS/SSL Hırsızlığı (Part1)

Rutin analizler sırasında, bir spyware'da SSL logger özelliğine rastladım. (Bizim SSL-Logger simülasyonunda kullandığımız metod) spyware'in yaptığı, Facebook'tan tutunda banka hesaplarınıza, yaptığınız alışveriş sitelerindeki şifrelerinize hatta tüm Yahoo Messenger ve MSN messenger şifrelerinize kadar almak.

Bazı yerlerde Youtube yasağını kaldırıcak bir program olarak lansa edilmiş ve gerçektende DNS değiştirerek bu yasagı kaldırıyor, buda programın çalışıtığını ispatlamasını sağlıyor. İşin en ilginç kısmı ise bunun tamamen bir Türk tarafından yapılması, bunu sadece hedef aldığı sistem için söylemiyorum aynı zamanda programda kullanılan değişken isimleri dahil Türkçe. Programda, SSL logger dışında, keylogger vs gibi başka hiç bir component yok, tamamen SSL trafiğine focus olmuş durumda, bu da tehlikenin ne derece yüksek olduğunu gösteriyor.

SSL logger işleminin bilinmemesinden dolayı şimdiye kadar bu metodu sadece 6-7 tane banker worm'da görmüştük ancak bundan sonra home made trojanlarda dahil görmeye başlayacağız demekki.

Diğer Antivirüs firmalarımdaki arkadaşlarımdan, Türkiyeden bu spyware'a ait nekadar infeksyon saptadıklarını sordum ve sonuç korkutucu. Her gün ~1500 yeni infeksyon.

Bu programın yuklenmesinden, bilgileri çalana kadar tüm hamleleri AntiLogger tarafından durduruluyor hatta alarmları, yanlışlıkla onaylananlara da bir şey olmuyor çünkü Anti-SSL özelliği için, AntiLogger, kullanıcıya sormadan direk bloke ediyor çünkü hiç bir legal program tarafından bu özellik kullanılmıyor. Tek dikkat etmeniz AntiLogger özellikler kısmında Anti-SSL teknolijisi aktif olmalı.

Hatta eğer bir Intel netbook sahibi iseniz Intel AppUp store'dan ücretsiz olarak yayınladığımız "Secure Banking" uygulamasını kurarak bu ve benzer tehditlere karşı proactive olarak korunabilirsiniz. "Secure Banking" programını toplu olarak işletmelerede kurabilirsiniz çünkü hiçbir kullanıcı onayı istemeden ve pop-up göstermeden sessizce işini yapıyor.

Programcısı release versionda OutputDebugStringA fonksyonunu kaldırmayı unutmuş ve Dbgview ile çaldığı trafiği üstteki resimdeki gibi görebiliyoruz.

Spyware herhangi bir rootkit modülu taşımadığı için, task manager'dan görüntülenebiliyor ve eğer TranslatorSrv.exe isminde bir process çalışıyorsa makinanıza bulaşmış anlamına geliyor. Tabi bu isim bir diğer varyonlarından farklı olabilir.

Not: Program, bağlanığı master server'lardan kendini ve programcısını afişe ediyor. Bu bilgiler gerekli birimlerde istendiği taktirde verebiliriz. (emergency [at] zemana.com)

F1 Tuşuna basmayın!!!

iSEC Security Research tarafından, XP sistemleri etkileyen 0 günü açığı ve exploiti yayınlandı.

Aslında rapora bakılırsa iSEC bunu 2007'de Microsoft'a rapor etmiş, tahmin ediyoruz uyumluluk sorunları yüzünden yama kapatılamamış ve yakin zamanda kapatılacak gibi durmuyor.

Çünkü exploit edilebilmesi için ilgili sayfada F1 tuşuna basmanız gerekiyor, buda exploit edilmesini zorlaştırıyor. Tabi iyi düşünülmüş sosyal mesajlar ile bu tuşa basılması tetiklenebilir (Orn: Videoyu izlemek için F1 tuşuna basınız!).

Açığı tetikleyen JavaScript kütüphanesindeki MsgBox fonksyonu, bu fonksyonun syntax'ına bakalım:
MsgBox (Message, Style, Title, HelpFile)
Fonksyon çalışıtığında F1 (HELP) tuşuna başılınca, HelpFile da belirtilen dosya, ilk önce local file sistemde, yoksa yerel ağda aranıyor ve çalıştırılıyor.

Bunu internet üzerinde exploit edebilmek için , yazar, Samba serverda public share açmış ve yolu şu şekilde yazmıs:
"\\184.73.14.110\PUBLIC\test.hlp"

test.hlp dosyası da görüntülendiğinde hesap makinasını çalıştırıyor. Tabi hesap makinası yerine zararlı bir exe de olabilirdi. (Hatırlatma: .hlp dosyaları çalıştırılabilir risk sınıfı uzantılara giriyor)

Tüm yamaları yapılmış XP SP3 ve IE8 ile exploitin çalıştığını teyid ettik. (Test etmek için tıklayın)
Peki Vista ve Windows7 neden etkilenmedi onlardada IE8 var?
Çünkü Microsoft , Vista ve ilerki sürümlerde, risk taşıdığı için .hlp formatını ve winhlp32.exe componentini devre dışı bıraktı.
Bu ataktan korunmak için, bu yazıyı okumuş olmanız yeterli sanırsam (Yama gelene kadar Webde gezinirken F1 tuşuna basmayın!!! )

Zemana V8 Supercars on Clipsal 500

Her sene Avustralya da düzenlenen ve dünyaca ilgi gören Clipsal 500 yarışmasında, 2 tane V8 Supercar Ford marka araba, Zemana Australia logoları ile dizayn edilecek. Assağıdaki resimde maket resimlerini görebilirsiniz. Yarışlar 10-14 mart arası olacak, Avustralya da bulunan okurlarımız varsa bize email atın , ilk 3 email atana Gold Zone tirubununden bilet hediye. Arabalar şu anda giydiriliyor ve piste çıktıklarında gerçek resimlerini sizlerle paylaşacağız.

Antikor UGS Research (Part1)

Türk menşeili ve kendi alanında bir ilk olan Antikor UGS'yi mercek altına aldım.
Program hakkında tubitakta bulunan dokumanı buradan okuyabilirsiniz
Programın yazılış amacı, PE dosyalarına infect olan virüslerden korunmak. (Örnek Win32/Parite)

Bunu yapabilmek için program ilk çalıştığında sistemdeki uygulamaları tarıyor ve uygun gördüğü PE dosyalarının içine özel bir kod yerleştiriyor

Bu kod çalıştığında dosyanın infekte olup olmadığına bakıyor ve infekte ise kendi kendini temizliyor.

Programda kullanılan mantık güzel ancak bence bu program sadece bir ar-ge projesi olabilir çünkü bu program koruma amaçlıda olsa, uygulamalarınızı ve sistem dosyalarının yapısını ve varsa üzerlerindeki dijital imzayı bozacak. Ardından sistem çökmeleri vs gelecek. Ve ayrıca artık Win32/Parite gibi sistem dosyalarına bulaşan PE infector virüsleri kalmadı denebilir.

PE infector yazacak kadar ileri virüs yazarları , sanal korsanlar için çalışır oldu ve sanal korsanlarda bu kişilere spyware/spam-bots gibi yazılımlar yazdırıyorlar ve yayılma biçimi olarak ta P2P,email,MS açıkları,sosyal ağlar gibi yöntemler kullanıyorlar.

Eskiden virüs yazarları arasında, PE dosyalarını infect etmek, hele hele polymorphic olarak infect etmek bir yarış halini almıştı ancak şu anda PE protokolu ile ilgili full dokümantasyon ve örnek kodlar okadar fazlalaştı ki artık bunu yapmak çok kolay oldu.

Geçtiğimiz senin trendleri rootkitler oldu roustock,TLS gibi dosya sistemi üzerindeki en alt seviyedeki DISK I/O driver infeksyonları ile nerdeyse görünmez oldular. (driver dosyalarida PE tipidir ve uzantıları .sys 'dir)

Bu virüsler bütün Antivirüs firmalarının korkulu rüyası oldu hatta Kaspersky, bu gibi infeksyonların önüne geçmek için donanım tabanlı antivirüs patenti bile aldı :)

Sonuç olarak bu program hernekadar, teknolojisi ile ses getirmiş olsada günümüzün tehditlerine karşı bir çözüm getiremez diye düşünüyorum ve burada bir marketing segment olduğunu sanmıyorum. (Tabi bu tamamen benim fikrim)

Aslında Türkiyede çok fazla yetenek var ancak herkes tekbaşına birşeyler yapmaya çalışıyor ve Yurtdışı ile yarışabilecek yada Türkiye'ye döviz getirebilecek bir ürün çıkmıyor. Bu kişiler hep beraber aynı çatıda iyi bir organisayon ile birşey yaparsa ses getirir diye düşünüyorum. Böyle bir organisazyonuda doctus.org'un yapabileceği kanaatındayım. ( Üyeleri okuyorsa, yönetime baskı yapın :) )

Antikor UGS çalışma mantığı:
Hedef dosyada antjn01 adlı bir seçtion oluşturuluyor ve buraya orjinal dosyaya ait alttaki kısımların bir kopyası konuluyor.

PIMAGE_DOS_HEADER
PIMAGE_NT_HEADERS
IAT
OEP

ve ardından ilgili section, bir dizi XOR,ROR ve ROL işlemi ile tek taraflı encrypt ediliyor.

Arkasından OEP aynı offsette kalacak şekilde değiştiriliyor, bu yeni OEP çalıştığında, antikor seçtion'nını decrypt ediyor ve kontrolü oraya bırakıyor , antjn01 içindeki Antikor kodu çalıştığında ise dosyanın infect olup olmadığına bakıyor ve infect olmuşsa, antjn01 seçtionnına daha önceden konulmuş olan orjinal değerler ile dosyayı onarıyor.

Takım şefimizin ve ARF teknolojinin benden istediği Antikor ile korunan bir dosyayi infecte etmek. Yani virüs yazarını simüle etmek.

Ring0'da dahil olmak üzere çeşitli deobfuscator/packer teknikleri için static unpacker yazan bir kişi olduğum için bu benim için çok kolay oldu. PE infector virüsü yazan kişiler içinde Antikor'u bu sürümünde bypass etmek çok zor olmaz.

Antikor ile patch edilmiş bir dosyayı ollydbg'a yüklediğimde alttaki şekilde bir OEP ile karşılaştim. Encrypt loop'u kırmızı içine aldım.

Program bir uygulamaya uygulandığında herseferinde random bir xor key üretiyor. Bu nedenle antjn01 secion, her uygulamada farklı oluyor, bu yüzden ilk önce kullanılan xor key'i bulmak arkasından alttaki fonksyon ile section'i decrypt etmek gerekiyor.

Decrypt ettikten sonra orjinal OEP'i, antjn01 içinden alıp eski yerine yazıyoruz. Arkasından antjn01 seçtionu silip PE header'i fix ediyoruz ve kaydediyoruz. Artık dosya eski haline dondu.

Bu anlattığım yöntemler ile, Antikorla korunan dosyaları orjinal haline getirebilecek hatta infecte edebilecek bir uygulama yazdım buradan indirebilirsiniz.

Test etmek içinde burdan , Robert Kuster yazdigi WinSpy programının antikor işlemine tutulmuş halini indirebilirsiniz.

Infecte dediğim, uygulamaya basit bir messagebox ekliyor amaç infect olabildiğini göstermek yoksa gerçek infeksyon rütünleri yok tabi!!!

NOT: Testlerimi, programın kendi sayfasındaki son indirilebilir sürüm üzerinde yaptım (1.0.0.2). Eski sürümlerinde yada daha sonra çıkacak sürümleri üzerinde çalışmayabilir.


Antikor uygulamasını bypass edene 500TL ödül veriliyor, bende bunu almıs oluyorum :)
Ve bu parayı, benim yazdığım infector ile, infect edilen dosyayı temizleyebilecek bir araç yapana veriyorum.

Elinizi çabuk tutun, nitekim ARF teknoloji sizden önce cleaner yaparsa para bana gelmeden orada kalır :)

Kural: Cleaner, static olmalı, yani dosyayı çalıştırmadan temizleme yapmalı, eğer dynamic olarak yaparsanız  ödülün yarısı 250TL. OllyScript vb ile yaparsanız, Intel Press'ten istediğiniz bir kitap hediye!

Not: Dosyanın içinde MessageBoxA çağrısını patch etmeyi çözüm olarak kabul etmem, program tam eski haline gelmese bile en azından IAT ve OEP düzeltilmelidir çünkü burdaki mesaj box sembolik, amaç infectionu temizlemek.

Safe and Secure Banking with Netbooks

Intel tüm dünyadaki yazılım ortakları için yayınladığı bültende Turkiye’ye ve Zemana Ltd.'ye yer verdi. Bu güzel haberi siz okuyucularımızla paylasmak istedik.

Ayni zamanda, Intel AppUp store satis sistemi ; bu gibi Türk menşeili uygulamalar ve Intel Türkiye’nin calışmaları sayesinde bundan böyle, Turkiye icin de aktif oldu.

Bülteni ve ilgili konuyu buradan okuyabilirsiniz.

Kod Adı Aurora (MS10-002)

Cin ve Google'i karsı kaşıya getiren ve Internet Explorer'ı hedef halan exploit'e bugün Microsoft'tan yama geldi. Exploit’in meydana geliş sebebi, IE'nin MSHTML.DLL!IHTMLEventObj4 ara yüzündeki bir yanlış hafıza alanina erişmesi olarak tespit edildi.

Exploit’in çalışma mantığı şu şekilde; İlk önce createEventObject ile bir event object yaratılıyor ve sonra free ediliyor arkasından bu object tekrar kullanılmaya çalışıldığında, IE free algoritmasındaki bozukluk yüzünden tekrar ilgili objeyi kullanmak istiyor ve rastgele bir hafıza alanını referans alıyor ve crash oluyor.

Ortada herhangi bir heap yada stack tabanlı bir hafıza taşması yok ancak , heap'te crash olduğu nokta çok kritik. Alttaki resme bakiniz:

Buradan sonrada, daha önce Zemana Blog'da bahsettiğimiz HeapSpray tekniği ile exploit ediliyor.
Exploit, daha sonra targetted attak dediğimiz, yani saldırının adresinin belli olması, avantajını kullanarak Google gibi hedef firmalar üzerinde kullanıldı. Targetted attack'ta zero-day exploit ve barındırdığı trojan public olmadığı için 1-2 hafta gibi bir zaman AntiVirus şirketlerine ulaşmıyor ve güvenlik sağlanamıyor. Ancak su dakikalarda public olmuştur, bunun bir iyi yani birde kotu yani var;

Kötü yanı: Script kiddie'lerin eline geçip son kullanıcılara karşı saldırı gerçekleştirilebilir.
İyi yanı: Exploit ve payload , AV ve IDS veritabanlarında yerini almıştır.

Targeted Attack, her ne kadar bireylerin kolay kolay karsılaşmayacağı bir saldırı türü olsa da, büyük firmalar için çok yüksek tehlike oluşturuyor, çünkü kullandıkları güvenlik sistemlerinde bunu anlayıp durdurabilecek bir güvenlik çemberleri yok.

Peki Aurora neden IE8 üzerinde etkili olmadı, yada IE7 üzerinde kısmi bir etki yaptı?
Bunun sebebi, IE8'in MSHTML.DLL'inin etkilenmemesi değil, oda etkileniyor ancak donanım tabanlı DEP koruması, IE8 için varsayılan ayarlarda etkindir, eğer DEP'i kapatırsanız exploit IE8'dede çalışır.

IE7 de ise, programın kırılma noktasında, EAX değerinin stackta çok yüksek olması ve ASLR'ninde durumu her seferde daha da karıştırması, tabi buna rağmen IE7 içinde exploit yazıldı, ancak bizim denemelerimizde 3-4 seferde 1 defa tam çalışıyor. Hatta VUPEN Security, DEP korumalı IE8 içinde çalışan exploit kodu yazdıklarını duyurdu, eğer gerçekten doğru ise, Microsoft'un HeapSpray için gerçekten bir ek koruma yapması gerekiyor.

AntiLogger, bu saldırı karşısında, nasıl tepki veriyor?
AntiLogger, exploit'in kendisini tespit edemese de payload çalışmaya basladigi anda, Sistem başlangıcı uyarısı veriyor ve zaten bir taraftan IE crash oluyor, yeter ki bu gibi durumlarda alarm'a yanlış yanıt vermeyin.!

Eğer exploit herhangi bir payload çıkarmadan tüm kirli islerini IE içinden yapıyor olsaydı, maalesef bu durumda, AntiLogger eylemin IE'den geldiğini anlayacağı için, alarm göstermeden izin verecekti, ancak şimdiye kadar hiç bir exploitte spy işlemlerinin exploit içinde yapılmaya çalışıldığı durumlarla karşılaşmadık. Çünkü böyle bir hardcode shellcode'i hem yazmak çok zor hem de boyutları sebebiyle exploitlerde kullanilabilmesi, ASLR, DEP ve buna benzer sezgisel korumalar varken, bir benzeri üzerinde tabi çalışmıyoruz, ancak yakında kullanıma sunacağımız AntiLogger 2.0'da, özellikle browser'lar tarafından exploit edilme durumları için yeni bir modül geliştirdik.

Çoğu zaman bu tip zero-day vakalarda, başka bir browser kullanın yada JavaScript'i kapatın gibi yorumlar oluyor, hatta bu yorumları devletler yapıyor, bunları da değerlendirmek istedik.
Evet, Aurora, JavaScript kütüphanesindeki fonksiyon yüzünden oluştuğu için, bu exploitten JavaScript'i devre dışı bırakarak kurtulabilirsiniz, ancak bir diğer zero-day browser'in html taglarini parse etmesi sırasında oluşabilir. Örneğin (HTML Tag) Memory Corruption (MS06-013) veya wmf,jpeg gibi resim kütüphanelerinde olabilir.Bu durumda, Windows üzerinde çalışan Firefox gibi browserlarda GDI.DLL'i kullandığı için etkileneceklerdir.

Peki bu saldırılardan Firefox, Opera , Chrome yada Linux çok az etkileniyor, onların koruması daha mi iyi? Kesinlikle HAYIR, sadece popüler değiller ve hackerlar kullanım payı yüksek olan platformlar için zararlı üretiyorlar.
Eger bir gün, bu platformların pazar payı MS’tan yüksek olursa, emin olun bu platformlar için, çok daha fazla exploit çıkacaktır.

Son not: Bu exploit IE tabanlı Avant gibi browserlar üzerinde de etkili olacaktır, çünkü onlarda IE tabanlı oldukları için, MSHTML.DLL!IHTMLEventObj4 ara yüzünü kullanıyorlar.