Merhaba arkadaşlar birkaç gün önce Zemana Antilogger’in önceki sürümlerinden bir tanesini REG.EXE kullanılarak by pass edildiğini okudum. İlk keşfeden Utku Soft sağolsun açığı ilk olarak bana gönderdi bende Zemana firması ile iletişime geçmesini söylemiştim. Fakat açığı Keşfeden başka bir akadaş direk blogunda yayınlamış.
Pek etik olarak görmediğim bu durumdan sizlere bahsetmek istiyorum. Etik görmüyorum dedim çünkü bu tip bir durum görüldüğünde insanların güvenlik zaafiyerleri çat diye ortaya atılmaz. Kanaatimce öncelikle bildirilmeli. Eğer açık haber vermenize rağmen kapatılmıyorsa tabiki insanları bilgilendirmek gerekiyor. Neyse lafı uzatmadan konuya girmek isterim.
Aslında bu problem kullanıcılar için pekte bir önem arz etmiyor. Çünkü Zemana’yı bypass etsede yinede zararlı dosya çalıştırılıp klavye dinlense bile Antilogger sistemi yakalayacaktır.
Aslında Antilogger ‘in bypass edildiği nokta bir EXE ile sistem başlangıcına zararlı dosyanın yolu yazılarak sistem açıldığında otomatik olarak çalışmasını sağlamak.
MSCONFIG üzerinden de görebileceğiniz sistem başlangıcında çalışan dosyaları görebilirsiniz.
Eğer bir zararlı dosya sistem başlangıcına yerleşirse bilgisayarınız açıldığı zaman bu zararlı dosya aktif olur. Zemana’da durum ise eğer bu exe çalışsa bile klavyenizi, ekranınızı yada yaptığınız işlevleri kayıt almaya kalkarsa durduracaktır.
Önemli olanda zaten sistemin durdurulamaması… Yinede Zemana yetkilileri bu duruma karşı yeni bir versiyon geliştirdiler.
Sorun şuydu. Bir zararlı bir exe dosyası windows’un uygulaması olan REG.EXE’yi kullanarak sistem başlangıcına yerleşebiliyordu. Aslında Reg.exe microsoft’un bir uygulaması. Yani güvenli bir uygulama olduğu için zemana uyarı vermiyordu Fakat bu uygulamanın 3. parti yazılımlarla harekete geçirilerek sistem başlangıcına güvenliymiş gibi zararlı yerleşebilmekteydi.
Zemana’nın 2.0 versiyonu için geliştirilen teknoloji içerisinde bu tip yazılımlar tespit edilebilmekte. Fakat henüz 2.0 versiyonu yayımlanmadı. Zemana bu teknoloji şuan kullandığımız Antilogger içerisine dahil etti ve 1.9.2.150 versiyonunu çıkarttı. Bu versiyonda Zemana’nın çıkartmayı planladığı 2.0 sürümünün teknolojisine sahip oldu.
Merakla beklediğimiz Zemana’nın aslında en büyük özelliklerinden bir tanesini şuan kullanmaya başladık :)
Gelelim Microsoft uygulamalarının Güvenli olarak varsayılmasına. Eğer Zemana Antilogger’i Expert modda yani Uzman modunda çalıştırıyorsanız Muhakkak ki Güvenli – Güvensiz tüm dosyalar için size uyarı verecektir. Aslında paronoyak mod desek daha güzel olur :)
İşte Zemana’nın geliştirilmiş bu moduna hastayım. Şuan ben Expert mod kullanıyorum ama size tavsiyem Normal modda kullanmanız.
Sonuç olarak Zemana yine yenilmedi. Çok kısa bir süre içerisinde sistemini güncelledi ve çalışmaya Zararlıları yakalamaya devam ediyor. Şiddetle tavsiye ederim.
NOT: Zemana’nın trial versiyonunu indirip 15 gün kullanabilirsiniz. Bir süre önce başlattığım kampanyada Zemana’yı 90 günlük kullanabilmektesiniz.
Zemana Serial : TEAKOLIK-OEM-120809
Zemana 90 Günlük kampanya : 90 Günlük Zemana İndir
Bu aralar doctus.org ve bir çok yerde sürekli karşıma çıkıyor Zemana. Aslında Zemana ile Ferruh Mavituna’nın web sitesinde çok uzun zaman önce tanışmıştık ama biraz daha beklemek istemiştim. Fakat geçen zaman içinde gördüğüm yorumlar hep olumlu yöndeydi. Eh artık hazır 90 günlük hediyemizde olduğuna göre deneme zamanı gelmiş demektir.
Ben yazınızda belirttiğiniz gibi Zemana’ya yaklaşık 3 ay once sahip olduğu zaafiyet hakkında bilgilendirdim ve hatta PoC Code ve Executable örneğide gönderdim. Sonrasında ise SecurityFocus, Olympos ve kendi blog/sitemde bu açığı yayınladım ancak aradan en sanırım 7 versiyon güncellemesi geçmesine rağmen hala bu zafiyet sürüyor ve şaşırdığım şeyde burada devreye giriyor.
Konu hakkında daha önce yazdığım değerlendirmeye bu linkten ulaşabilirsiniz:
http://kernelturk.blogspot.com/2009/06/zemana-antilogger-ve-guvenlik.html
Yazıda bahsi geçen zayıflık sanırım bu;
http://sh0ck.net/zemana-anti-logger-startup-by-pass-sh0ck/
Bulunan DoS Overflow’dan bahsedilmiyor.
Bahsi bahsimin geçmesine sevindim. :)
Bir kaç şey de ben eklemek istiyorum. Açığı bildirme gereği duymadım, daha doğrusu açık bile değil. Çünkü Zemana içinde yazımda belirttiğim gibi önlemi çoktan koymuşlar, fakat Default Ayarda etkin değil.
Bildirilme gereği bile yok, aslında açık bile değil, sadece bi püf nokta diyelim.
Teşekkürler.
bu açığı ilk ben tespit edip zemanaya yolladım.Açığı 2. sürümde kapatacaklarını public etmemememi istediler.Onları kırmadım yayınlamadım.Ancak şimdi sanki açık başkaları sayesinde kapanmış gibi oldu.Bilseydim böyle olacağını bende önceden yayınlardım.
@Utku Şen
İnsan isterdiki bildirilsin. Malesef.
@Sh0cK
Açık olarak biz görmesekta sanırım insanlar farklı bir gözle bakıyor..
Benim modüler açık bulmak gibi bir derdim yok. Doğrudan hedefi etkisiz hale getirmek gibi bir amaç daha etkili olduğundan antilogger’in processini kill edip dilediğim logger’i çalıştırmak daha bi mantıklı gibi? Sizce?
antilogger korumalı.öyle bir işlem gerçekleştirilemiyor
Keşke cevap yazmadan daha önce yazdığım commentteki linki okuyup, oradaki PoC’i test etseydin de böyle boş boş şeyler yazmasaydın.
Süper Bi program kullanıyordum deneme sürümünü 90 günlük olanı
kullanırken bi şey fark ettim 15 günlük kullanıyordum
90 günlük seriali girince 105 gün oluyordu :D
ertesi gün oldu hiç dokunmadım lisans girmeden lisansı güncelle dedim
lisans güncellenince 90 gün oldu :(
ertesi gün açığı bulmuşdum (89 gün kaldı) :D artık lisansı güncelle
dediğimde tekrar 90 gün oluyordu
1.9.2.159 sürümünde bu açığın kapatıldığını gördüm :D:D
Best quality drugs. Special internet prices. Fast worldwide shipping. Frendly customer support no prescription required.
I am pleased with your blog, I think we have a lot in common. I’ll go to you on more often.