AtomBombing Code Injection saldırısı nedir?

kaydolum (97) 6 yıl önce sordu

Ensilo güvenlik araştırmacıları 2016 da tüm Windows'ları etkileyen yamanamayacak açık bulmuş. Ayrıntıları: https://blog.ensilo.com/atombombing-a-code-injection-that-bypasses-current-security-solutions/

Ama ingilizcem olmadığı için anlamadım bu saldırı nasıl yapılıyor ve korunma yolları nelerdir?

@murat @farurhenho @hakan @ismailsarp @alattin

Toplam 3 cevap


hakan (15436) 6 yıl önce cevapladı

Bu önlemler Windows Defender ATP sürümü içine eklendi. Yani ücretli Windows Defender içine konuldu. Ücretsiz olan hâlâ savunmasız.

Atom Bombing, tüm Windows işletim sisteminde bulunan atom table denen yapı kullanılarak yapılan bir kod enjeksiyonu saldırı türü. Kod injeksiyonunda, zararlı kod parçası, normal bir windows işlemine ekleniyor. 

Şuanda bu saldırı yöntemini kullanan ve keşfedilen trojanlar mevcut. Örneğin Dridex bankacılık truva atı bunlardan biri. Örneğin svchost.exe çalışırken bunun içine gömülen zararlı kod çalıştırılıyor. Bu uygulama antivirüs vb. programların beyaz listesinde olduğu için normal çalışmasına devam ediyor. Yani antivirüs bundan şüphe duymuyor ve çalışmasına izin veriyor. Bu şekilde antivirüsü baypass ediyor. Bu esnada çalışan zararlı kod ekran görüntüsü alabiliyor, şifreleri çalabiliyor.

Atom bombing aslında bir bug ya da sistem açığı değil. Bu anlamda bir yama beklemek hata olur. Ancak buna önlem alınabilir. Windows Defender ATP ile buna önlem aldı ama normal ücretsiz olan sürümde yok.

Aslında atom bombing için alınacak önlem basit: Normalde nasıl şüpheli dosyaları çalıştırmak sorun yaratıyorsa atom bombing için de bu söz konusu: şüpheli dosyaları çalıştırmayacaksınız. Kod injeksiyon saldırısı pek çok farklı yöntem ile yapılabilir. Atom bombing de bunlardan biri sadece.

Aslında davranış engelleyici özelliğe sahip antimalware yazılımları bu tür saldırıları tespit edebiliyor. Örneğin emsisoft anti malware gibi. Bu özellik ile programlar takip ediliyor. Örneğin Chrome.exe alakasız bir sunucuda kod indirmeye çalıştığında ya da normal işleyişinin dışına çıktığında davranış engelleyici program bunu tespit edebiliyor ve engelleyebiliyor. 

Fakat yüzde yüz engeller diye bir şey söz konusu değil. Çünkü her trojan farklı teknikler kullabiliyor. 

Sonuç olarak  zararlı olabilecek yazılımlardan crack vb. uygulamalardan uzak durmak lazım.

Link: https://cloudblogs.microsoft.com/microsoftsecure/2017/07/12/detecting-stealthier-cross-process-injection-techniques-with-windows-defender-atp-process-hollowing-and-atom-bombing/

okumaya üşenirsen "In Windows 10 Creators Update, we enhanced Windows Defender ATP’s instrumentation and detection of in-memory injection methods like process hollowing and atom bombing"

 

kaydolum 6 yıl önce

Peki @murat windows 10 da kapatıldı diyor nasıl kapatmış olabilirler kaynak göster dediğimde de göstermiyor ayrıca web sitelerinin birinde test ettim bu açıkla bilgisayarda birşey çalıştırmasan dahi web sayfasından bilgisayarını kontrol edebiliyormuş denedim ve gerçekten de oldu compmgmtlauncher.exe yazıp çalıştır dedim ve web sitesi UAC uyarısı gelmeden proğramı yçnetici ayrıcalıklı halde çalıştırdı bilgisayar da da antivirüs olarak dünyanın en iyi virüs tespit firmasının ürünü kaspersky var o bile tespit edemediyse emsisoft gibi adı sanı duyulmamışlar nasıl tespit eder ki zaten çoğu kaspersky ın virüs veri tabanını kullanıyor eset, avast, bitdefender ,avira vb.leri buna dahil

hakan 6 yıl önce

@murat bilgi vermiş ama eksik yazmış. senin adını sanını duymaman bir yazılımı kötü yapmaz. Bu senin cahilliğin. Güvenlik dünyası ile biraz alakan varsa duyardın. Ben kripto virüslerindeki davranışsal başarılarından dolayı ilk aklıma geldiğinden Emsisoft'u yazdım. Bir yazılımı sen kullanıyorsun diye o dünyanın en iyi yazılımı olmaz. Çoğu antivirüs kendi veritabanını kullanır. Yazımda anlayabileceğin bir dil kullanmaya çalıştım. Ortada kapatılması gereken bir güvenlik açığı yok. Sadece farklı teknikle bir kod injeksiyonu söz konusu. @kaydolum

omercik 6 yıl önce

Sevgili @kaydolum bu kadar diretmene anlam veremediğim gibi neye direttiğini de bir türlü anlaybilmiş değilim. Dünden beri @murat @hakan ve ben sana yapabileceğimiz en iyi şekilde, en anlaşılabilir şekilde anlatmaya çalışıyoruz. Ortada kapatılması gereken bir güvenlik açığı "teknik olarak" yok. AtomBombing yöntemi, Windows'un tamamen güvenilir olan Atom Table yapısını kullanarak zararlı kodları Windows üzerinde çalıştırıyor. Bu saldırı yönteminin tamamen engellenmesi için Atom Table yapısının tamamen iptal edilmesi lazım. Bu da Windows'un altyapısı gereği mümkün değil. Onun yerine zararlı kodlar tespit edilip o kodların çalıştırılması engellenecek (ki @hakan yazısında belirtmiş Windows Defender ATP sürümü zararlı kodları tespit edebiliyor). Sen hala "Microsoft bu açığı nasıl kapattı link verin" diyorsun. Neye link verelim bir türlü anlayamadım. Burada yazdığımız bilgileri araştırıp öğreniyoruz. Kendimiz bol keseden atmıyoruz ki.

kaydolum 6 yıl önce

peki bundan windows 7 kullananlar nasıl korunacak tüm güncellemer yüklü ama açığı sınadığımda çalışıyor

omercik (9418) 6 yıl önce cevapladı

Linkini verdiğin makalede özetle şöyle diyor:

Ensilo güvenlik araştırmacıları AtomBombing adlı yeni bir saldırı yöntemi keşfetmiş. Uzmanların araştırmalarına göre AtomBombing adlı yöntem sayesinde Windows işletim sistemi atom tabloları mekanizmasından yararlanılarak ele geçiriliyor. AtomBombing yönteminde kötü amaçlı bir program, zararlı kodları Atom Tablosu'na (Atom Table) yazıyor. Atom Table ise Windows'un tamamen güvenli ve meşru bir özelliği olduğu için AtomBombing saldırı yöntemi herhangi bir güvenlik duvarı, antivirüs yazılımı tarafından tespit edilemiyor. Tespit edilemediği için de engellenemiyor.

Yani anlayacağın dilde şöyle diyebilirim: Kötü amaçlı bir program, Windows'un güvenli olan bir özelliğini kullanarak yine Windows'u ele geçiriyor. Bu saldırı yöntemine Ensilo güvenlik araştırmacıları AtomBombing adını vermiş.

Ama AtomBombing saldırısının kapatılamayacağını zannetmiyorum açıkçası. Şuana kadar Microsoft ve güvenlik şirketleri bunun için ne yaptılar o konu hakkında herhangi bir bilgi bulamadım.

murat (12547) 6 yıl önce cevapladı

Bu saldırı yöntemi 2016 yılında keşfedildi. Microsoft bu tariften sonra atom bombing için güncellemeler çıkardı. Windows 10 Fall Creators Update içinde ilk güncellemeler geldi. 

Hatta Windows Defender'in içine bununla ilgili korumalar ilave edildi. Yani yamama işi çoktan bitti.

kaydolum 6 yıl önce

Sitede kapatılamayacak açık diyor microsoft bu açığı hangi güncellemeyle kapattı ve kapattığının kanıtı nerede link verirsen sevinirim.

kaydolum 6 yıl önce

@murat

omercik 6 yıl önce

Şöyle bir makale buldum. Tam detaylı değil sadece Microsoft'un bu saldırı yöntemini kapatmak için çalıştığını söylüyor. @kaydolum https://www.bleepingcomputer.com/news/security/microsoft-adds-protection-against-process-hollowing-and-atom-bombing/

murat 6 yıl önce

@kaydolum @farurhenho eklemiş yazının içinde var.

murat 6 yıl önce

@kaydolum kapatılamaz demek bunu bir yama ile tamamen ortadan kaldıramazsın anlamına geliyor. Ama önlem alabilirsin. Bu açığı kullanacak kodları engelleyebilirsin. Microsoft'un da yaptığı bu.

murat 6 yıl önce

@kaydolum cevabımda yazıyor "Windows 10 Fall Creators Update" içine eklendi

kaydolum 6 yıl önce

Microsofttan link verir misin microsoft kapattığı her açığı blog ve bt sayfasına yazar @murat