22 Mart 2017 Çarşamba

Antivirüs Atlatmak




CIA dokümanları sızdırıldığında, birçok antivirüs yazılımını atlatmak için çalışmalar yapıldığını görmüştük.



Firewall, IPS/IDS, Antivirüs gibi çözümleri atlatmak, üzerine uzmanlıştığım alanlardan biri. Çünkü çoğu blackbox sızma testinde zamanımın büyük kısmı zafiyet bulmakla değil, bu tür çözümleri atlatmanın yollarını aramakla geçiyor. Spesifik olarak antivirüs çözümlerinden söz edecek olursak, tek başına antivirüs kullanmak asla yeterli değil.

Antivirüsler 

Antivirüslerin bir takım zararlı yazılımları durdurduğu için bizi kıyasla güvende tuttuğu için kullanıyoruz. Ama gerçek ortamda bu tür çözümlerin saldırganların bir çoğunu durdurmadığını göz önünde bulundurmakta fayda var.

REC.PY (Aklıma güzel bir isim gelmedi)

Yukarıda bahsettiklerime örnek gösterebilmek için yazdığım zararlı yazılım aşağıdaki özelliklere sahip:
  1. Metasploit ile entegre çalışabiliyor
  2. Antivirüs yazılımlarına takılmıyor
  3. Sadece RAM'de çalışarak gizli kalıyor
  4. Her ortamda çalışıyor (Windows, Mac, Linux)
  5. Exe, Elf ve Macho formatlarında çıktısı alınabiliyor.
  6. Keylogger çalıştırabiliyor
  7. Tersine(reverse) bağlantı kullanıyor
  8. Uzaktan erişim sağlıyor

Antivirüsler Nasıl Çalışır?

Antivirüs yazılımlarının baktığı(basitçe) iki şey vardır:

İmza:

Dosyanın imzası bilinen bir zararlı yazılıma mı ait?

Davranışsal Analiz:

Dosya, çalıştırıldığında riskli olabilecek işlemler yapıyor mu?

Bir zararlı yazılımın imzasını değiştirmek için dosya da yapılacak herhangi bir sıkıştırma/şifreleme/düzenleme yeterli olmakta. Üstelik bunu yapan birçok bedava araç internet üzerinden erişime açık. Kısacası, 14 yaşında gençlerin bile rahatlıkla yapabileceği bir iş. Sırf bunu yaparak birçok antivirüs yazılımı kolaylıkla atlatılabilmekte. Üstelik kendi zararlı yazılımını yazan saldırganların oluşturdukları yazılımların bu tür bir yöntem ile tespit edilmeleri hemen hemen imkansız.

Davranışsal Analiz atlatmaya gelince, bunun da birçok yöntemi var.

Antivirüs Atlatmak

CIA dokümanlarında birçok önemli antivirüs yazılımına dair bilgiler ifşa edilmişti. Antivirüsler üzerine yazılanlar incelendiğinde hangi antivirüs programlarının daha başarılı olduğuna dair bir tahmin yürütmek mümkün. 

Listede geçen antivirüs programlarından birkaç tanesini indirip güncellemelerini yaptım ve geliştirdiğim zararlı yazılımı hepsinde teker teker çalıştırdım.

Antivirüs-1

İndirdiğim ilk antivirüs programının bütün güncellemelerini yaptım:


Antivirüse "Truva Atı"mı tarattığımda, Antivirüs-1 bu dosyanın güvenilir olduğunu söyledi.


Ekran görüntüsünde de görüldüğü üzere, rec.py güncel bir Windows 10 üzerinde çalıştırdığında, Antivirüs-1'in davranışsal analiz motoru herhangi bir uyarıda bulunmadı.

Saldırının gerçekleştirildiği makineye bakıldığında ise tersine(reverse) bağlantının başarılı olduğu anlaşılıyor.


Antivirüs-2

Başarılı olduğunu düşündüğüm bir başka antivirüs programında denedim:

Zararlı yazılımımı Antivirüs-2 ile taradığımda, Antivirüs-2'de bu dosyanın güvenilir olduğuna karar verdi.


Kod üzerinde Antivirüs-2'nin kurulu olduğu makinede de başarılı bir şekilde çalıştı:


Antivirüs-3

Bunun üzerine sıfır Windows 2016 Server kurulumu yapıp, üzerine Norton Antivirüs kurdum:


Windows Defender'da Antivirüs-3 de yazılımımın zararsız olduğu kanısına vardı. Aşağıda ise aynı yazılımı(adını daha mantıklı bir şeye değiştirdikten sonra) sunucu üzerinde çalıştırdım:


Sonuç ise aynı:


Sonuç

Dünya üzerinde atlatılamayacak antivirüs çözümü yok. Bu nedenle sadece antivirüs çözümleri kullanmak kesinlikle yeterli bir güvenlik önlemi kabul edilmemeli.

Bu tür yazılımlarımı sızma testlerinde kullandığım için, kaynak kodunu bir yerlere yüklemiyorum. Bu nedenle de dosyayı aynı aynda birden fazla antivirüs yazılımına taratmak güç oluyor. Bu nedenle çalışmamı burada sonlandırdım. Aklınıza takılan bir şey olursa sormaktan çekinmeyin. 
on 22 Mart by Berk Cem Göksel |   Edit