Thursday, March 11, 2010

Windows 64 bit Sistemlerde Savunma

Bize son zamanlarda en çok gelen soru; Neden AntiLogger x64 desteklemiyor?

Microsoft 64 bit işletim sistemlerinde, rootkit'leri önlemek için PatchGuard adında bir sistem geliştirdi. PatchGuard, Windows kernel'de herhangi bir değişiklik yapılıp yapımadığına bakıyor ve eğer değişiklik yapılmış ise sistemi çökertiyor(BSOD). Kernel tabanlı rootkit'ler , sistemde gizlenebilmek için çekirde bir dizi değişiklik yapmak zorunda olduğu için x64 üzerinde çalışamıyorlar. Aynı zamanda AntiLogger gibi proactive koruma yapan programlarda, sistemde olup biteni takip edebilmek için değişiklik yapmak zorunda  ve doğal olarak bunu yapamadığı için x64'de çalışamıyor.




PatchGuard, kernel'de aşsağıdaki bölgeleri kontrol altında tutuyor:
System service tables (SDT).
Interrupt descriptor table (IDT).
Global descriptor table (GDT)
Kernel stack & heap (Bunun için donanım desteği, dahada doğrusu AMD64 işlemci gerekiyor )

Başta Symantec olmak üzere tüm endüstri liderleri, en başından beri PatchGuard'a karşı çıktılar ve Microsoft'un bu politikasını değiştirmesini yada sadece sertifikalı güvenlik üreticilerinin kullabileceği bir SDK yapmasını istediler. Bu baskılar sonucunda Microsoft , Vista SP1'den sonra bir dizi SDK geliştirdi. Ancak bunlar çok yetersiz kaldı, çünkü SDT üzerinde IPC'den LPC'ye kadar 500'den fazla, servis(API)'si bulunuyor ve bunların hepsini, kernel'i modifie etmeden kontrol etmek mümkün olmuyor.

Symantec, daha PatchGuard çıkmadan , bunu hackerlerin bypass edeceğini söylemişti ve nitekim öylede oldu. Rootkitler PatchGuard'i bypass edilebiliyorlar. Yani PatchGuard sadece güvenlik üreticilerini durdurdu!!! Şimdi içinizden soruyorsunuzdur; neden güvenlik üreticileride, rootkitler gibi PatchGuard'i bypass edip çalışmıyorlar? Çünkü Microsoft uyarıyor:
"Yeni bir güncellemede, PatchGuard mekanizmasını değiştirebiliriz ve kernel'i modifie olmuş sistemler çökerler"
Bu durumda, ilgili rootkit yüklü olan makinaların hepsi mavi ekran verecek ve rootkit, sistem başlıngıcında başladığı için bilgaşayar format atılmadan tekrar açılamayacak.

Tabi rootkit yazarları için bu bir endişe değil, onlar zaten zararlı yazıyorlar ve ileride bu makinaların çökmesini umursamıyolar. Ancak bizler böyle bir riski kesinlikle göze alamayız.

PatchGuard bypass edilmeden, belli bir yere kadar koruma sağlanabiliyor ancak güvenli değil, örneğin en popüler ve en güvenli sandbox uygulaması olan Sandboxie'nin şimdiye kadar x64 desteği yoktu ancak üyelerinden öyle bir tepki aldılarki, 64bit desteğini vermek zorunda kaldılar tabi bunu PatchGuard bypass ederek değilde, bir takım User Mode hook destekleri ile yaptılar ve heryerde de açıkladılar 32bit kadar güvenli olmadığını.

Bende bir Sandboxie fanatiği olarak, Sandboxie'in 64 bit sürümü çıktığı gibi şöyle bir göz attım ve bypass etmek için ne yapmam gerektiğini saniyeler içinde anladım, henüz teoride ne yapacağımı bilsemde, pratikte uygulamayı yazmadım ama ilerleyen günlerde yazıp sizinle paylaşacağım. Bu uygulamayı yazarsam Sandboxie'e rapor etmeme gerek yok çünkü bir exploit veya açık değil, ama 32bit sanboxie için bunu yapabilsem bu bir exploit olur ve sadece üreticiye bildirirdim.

Şandboxie yazarları, gerçekten çok ileri Windows kernel cambazları, x86 sürümünü bypass etmek için bir çok kere deneme yaptım ve başaramadım, başaranıda henüz görmedim.

Özetlemek gerekirse x64 üzerinde sezgisel(proactive) HIPS,Firewall,Sandbox yada benzeri koruma şu an için %100 mümkün değil. Ancak çok yakında, Microsoft buna bir çare üretecektir ve ozaman bizde x64 AntiLogger'i yayınlayacağız inşallah.


14 comments:

  1. Birkaçgün önce shiftdelete.net sitesinde 64 bit office ile ilgili bir haber çıkmıştı.
    http://shiftdelete.net/microsoft-yeni-office-icin-uyardi-18907.html

    Buna göre 3. parti bazı eklentiler office 64 bit ile çalışmayacakmış.

    Bu biz çalışanlar için kötü çünkü bazı eklentiler hayati önem taşıyabiliyor.

    64 bit güvenlik alanında da kullanıcının hayatını zorlaştırıyor.

    Bazı üreticiler 64 bit desteği verdiğini iddia ediyor. Ancak sizin de dediğiniz gibi bunlar bir takım güvenlik kısıtlamaları ile yapılıyor. yine de 64 bit kullanıcıları için bu bir şans. hiç olmamasındansa, kısıtlı da olsa güvenlik hizmeti almak tercih edilir.

    ReplyDelete
  2. sandboxie bypass haha - yapta görelim

    ReplyDelete
  3. siz sandboxie yi övünce ben tereddüt ettim.

    BufferZone Pro kullanıyordum. Bu yazılımda sadece sanallaştırma özelliği yok, aynı zamanda sandbox içindeki keyloger, screenlogger gibi zararlıları da durdurabilmekte.

    Defensewall ise bu konuda bufferzone dan da katı, v3 ile virtual alandaki dosyanın internet erişimini de dinamik olarak kontrol edebiliyorsunuz.

    sandboxie bu yazılımdan iyi mi? güvenlik konusunda uzman olduğunuzdan sözlerinizden etkileniyoruz.

    sandboxie zararlıları durdurmuyor, sadece onları sanallaştırıyor bildiğim kadarı ile, dolayısı ile zararlı işini görüyor. mesela bir keylogger tuş vuruşlarını kaydedip ftpden bir sunucuya yükleyebilir. sandboxun içini temizlediğinizde keylogger gidecektir ancak temizleyene kadarki sürede götürdüğü kar.

    Returnil, Shadow Defender da bu yüzden eleştirilir. Kendilerini güvenlik yazılımı olarak adlandırmalarına rağmen yukarıda bahsettiğim güvenlik riski sürüyor. Aviradan bir güvenlik uzmanı, bu tür yazılımları anlamadığını, kullanıcının güvenliğine dair birşey sunamadıklarını belirtmişti.
    Çünkü bulunduğunuz oturumda virüs yeterince işini görüyordu.

    ReplyDelete
  4. Sandboxie güvenlik yazılımı değildir ki zaten. Güvenlik uzmanları bu uyulamayı güvenlik için kullanmazlar. Pratiklik sağladığı için kullanırlar.
    Sandboxie türü ve aynı zamanda güvenlik mekanizmaları içeren benzer yazılımlar son kullanıcılar içindir.

    ReplyDelete
  5. Civil engineer'in dedigi gibi. Biz de, otomasyon log tutma gibi islemlerde VMWare icinde kullaniyoruz. Ben Zemana'ya katilmadan once ekip , sandbox secmeden once alttaki uygulamarin hepsini test etmisler:

    Shadow Defender
    BufferZone Pro
    DefenseWall
    GeSWall
    Sandboxie
    Virtual Sandbox

    Ve Sandboxie haric hepsinde basitce disari cikmislar. Ve siz BufferZone deyince bende eski yapilmis test tablosuna baktim ve BufferZone'un en kotu sonuc alani oldugunu gordum, merak edip indirdim ve nitekimde saka gibi bi program, aninda bypass ettim, hatta bizim sitedeki keylogger'i bile durduramadi ama pazarlama sekilleri, siteleri vs cok guzel cok begendim. Sanboxie, keylogger gibi zararlilari durdurma garantisi vermiyor zaten bunlarin sisteme bulasmama garantisi veriyor.

    Sonuc olarak Acronis,DeepFreeze ve Returnil dahil bu uygulamalarda, boot rootkitlere karsi koruma saglamaz, sirf bu yuzden Acronis, AntiVirus motoru eklemek zorunda kaldi.

    Son kullanicinin guvenerek uzerinde, zararli calistirabilecegi tek program sanal makinalar. (VMWare,VirtualBox,MSVM) bu programlar CPU emulation yapiyor ve Sanal makinayi gercek makinanizdan tamamen izole ediyor, gercek virtualization technologie bu.

    ReplyDelete
  6. Evet Bufferzone arayüz olarak ta çok çekici. Web sitelerini de çok kısa bir süre önce güncellediler ve harika görünüyor.

    Pazarlama teknikleri iyi mi bilmiyorum, zira çok az kullanıcının bildiği bir yazılım. Ancak havalı görünüyor.

    Vista desteğini çok yavaş vermişlerdi hatta yazılımın geliştirilmesinin durdurulduğunu düşünmüştüm. Ancak Win7ye çok hızlı geçtiler.

    Bende zararlılar ile uğraşırken Vmware kullanıyorum ve bundan memnunum. Virtualbox vede Paralel Workstations ta denedim ancak kullanımlarını rahat bulmadım. Vm deki pano kopyala yapıştır vb işlemler çok pratik.

    Acronisin anında bypass edildiğini bende denemiştim. Bu bir backup yazılımı olduğundan zaten bypass edilmemek gibi bir iddiası olduğunu sanmıyorum. Try&decide güzel bir özellik ama güvenlik için uygun değil.

    Beni bu sözünüz ile tekrar şaşırttınız:)

    "Sonuc olarak Acronis,DeepFreeze ve Returnil dahil bu uygulamalarda, boot rootkitlere karsi koruma saglamaz"

    Returnil ve Shadow Defender güncel versiyonlarında boot rootkit korumasına sahip. Bunlar robodog, mbr rootkit vb zararlılardan sonra bu savunmayı kendilerine eklediler. Bir zamanlar tüm bu yazılımlar bu şekilde bypas edilebiliyordu ancak hepsi bu savunmasını geliştirdiler.

    Bazı sahte güvenlik (win7 internet security) yazılımların Comodo sandboxunu, defensewallı, geswalı bypas ettiğini duydum. Bu yazılım sandboxieyi bypas edemiyordu.

    Sonuç olarak hali hazırda güncel versiyonları da olsa returnil ve Shadow Defender bypas edilebiliyor mu?

    Biliyorum burası bir forum değil soru-cevap şeklinde gitmiyor ama, yazarsanız takip edenler için bilgilendirici olacaktır.

    Acaba Comodo Time Machine, bypass edilebiliyor mu? Çünkü ücretsiz olduğundan, faydası mükemmel ve çok pratik olduğundan returnilden ve diğerlerinden çok daha tercih edilebilir bir seçenek. Aslında keşke BufferZone yerine bu yazılımın adını verseydim de onu merak edip deneseydiniz diye ah çekmedim değil :)

    ReplyDelete
  7. Rollback, comodo time machine ikisinde de boot sector koruyacak bir özellik yok diye biliyorum.
    Ayrıca bu yazılımlardan herhangi biri yüklü iken boot sectorü gmer ile tararsanız resimdeki sonucu alırsınız.

    http://lh6.ggpht.com/_sGE6zd5Q0rI/S5pGKvMxtqI/AAAAAAAAAsk/dT7BG_zPbzo/boot-rootkit.JPG

    ReplyDelete
  8. Acronis Try&decide modda, Returnil ve ozellikle Shadow Defender'dan cok daha iyi koruma sagliyor. Sadece MBR degil ilgili sectiona ayit bir cok bolgeyi koruma altina aliyor.

    civil engineer'in dedigi gibi belki simdiye kadar cikmis boot rootkitler icin bir onlem almislardir ancak yeni bir boot rootkit'in MBR'yi nasil infect edecegi tahmin edilemez. Ben korumaz demiyorum , ancak proactive olarak koruyamaz yani yeni tehditlere karsi.

    VMWare da ise exploit cikmadigi surece en bilinmeyen bootkit de infecte olsa bir sey olmaz.

    Comodo Time Machine'yi incelemedim ama Comodo muhendislerinin en az Acronis kalitesinde birsey yaptigina eminim.

    Sanboxie, dedigim gibi bu kulvarda en guvenlisi, ama x64 te bu korumayi saglamasi su an icin mumkun degil.

    ReplyDelete
  9. "Acronis Try&decide modda, Returnil ve ozellikle Shadow Defender'dan cok daha iyi koruma sagliyor. Sadece MBR degil ilgili sectiona ayit bir cok bolgeyi koruma altina aliyor."

    Böyle dediniz ama acronis en temel mbr korumasını sunamıyor. Try&decide modda sadece basit bir killdisk virüsü ile denedim ve sistem çöktü. Returnil ve Shadow Defender ise başarılı şekilde açıldı. Son dönemin meşhur mbr rootkitlerinden korunabileceğini hiç sanmam.

    http://www.virustotal.com/en/analisis/7e04682b081eecdeb2367be6cba62ad9

    @civilengineer

    "Rollback, comodo time machine ikisinde de boot sector koruyacak bir özellik yok diye biliyorum.
    Ayrıca bu yazılımlardan herhangi biri yüklü iken boot sectorü gmer ile tararsanız resimdeki sonucu alırsınız."

    Öyle bir uyarı almamız normal, çünkü bu yazılımlar mbr ye yazıyorlar. prevx'in epey başı ağrımıştı bu yazılımlarla ilgili, resmini vermiş olduğunuz durumdan dolayı. Rollbackta da Comodo Time machine dede mbr koruması mevcut. Örneğin yukarıdaki virüs sistemi bozamıyor. Bazı mbr rootkitlerine karşı test etmiş ve başarı sağladığını görmüştüm ancak son dönemin meşhur rootkitlerinde durum ne bilmiyorum.

    "Sandboxie güvenlik yazılımı değildir ki zaten. Güvenlik uzmanları bu uyulamayı güvenlik için kullanmazlar. Pratiklik sağladığı için kullanırlar."

    Bu böyle olabilir ama sitelerinde güvenlik vadediyorlar. Yine de sizde haklısınız.

    "sandboxie bypass haha - yapta görelim"

    :) yapmış, gördün mü

    ReplyDelete
  10. Şandboxie yazarları, gerçekten çok ileri Windows kernel cambazları, x86 sürümünü bypass etmek için bir çok kere deneme yaptım ve başaramadım, başaranıda henüz görmedim.

    http://sandboxie.com/phpbb/viewtopic.php?t=6123

    ReplyDelete
  11. http://www.sandboxie.com/phpbb/viewtopic.php?t=2901


    http://www.sandboxie.com/phpbb/viewtopic.php?t=3167

    ReplyDelete
  12. Merhaba Sayın Erkan bey,

    Zemanayı 64bit Win7 ye kuramadığımıza göre bize bu konuda tavsiyeleriniz neler olur. Geçenlerde bütün hotmail hesaplarımı ve facebook hesabımı kaybettim.

    Buna istinaden ne gibi önlemler almam gerekir.

    Saygılarımla

    ReplyDelete
  13. @Hakan

    x64 sistemlerde en iyi cozum iyi bir Internet Security kullanmak olur.

    ReplyDelete
  14. cevabınız için tşkler erkan bey internet security olarak hangi ürünü tavsiye edersiniz. buraya yazamazsanız özel mailime de atabilrisiniz.
    hakan@thankyou2010.com

    ReplyDelete