0
Ensilo güvenlik araştırmacıları 2016 da tüm Windows'ları etkileyen yamanamayacak açık bulmuş. Ayrıntıları: https://blog.ensilo.com/atombombing-a-code-injection-that-bypasses-current-security-solutions/
Ama ingilizcem olmadığı için anlamadım bu saldırı nasıl yapılıyor ve korunma yolları nelerdir?
0
Bu önlemler Windows Defender ATP sürümü içine eklendi. Yani ücretli Windows Defender içine konuldu. Ücretsiz olan hâlâ savunmasız.
Atom Bombing, tüm Windows işletim sisteminde bulunan atom table denen yapı kullanılarak yapılan bir kod enjeksiyonu saldırı türü. Kod injeksiyonunda, zararlı kod parçası, normal bir windows işlemine ekleniyor.
Şuanda bu saldırı yöntemini kullanan ve keşfedilen trojanlar mevcut. Örneğin Dridex bankacılık truva atı bunlardan biri. Örneğin svchost.exe çalışırken bunun içine gömülen zararlı kod çalıştırılıyor. Bu uygulama antivirüs vb. programların beyaz listesinde olduğu için normal çalışmasına devam ediyor. Yani antivirüs bundan şüphe duymuyor ve çalışmasına izin veriyor. Bu şekilde antivirüsü baypass ediyor. Bu esnada çalışan zararlı kod ekran görüntüsü alabiliyor, şifreleri çalabiliyor.
Atom bombing aslında bir bug ya da sistem açığı değil. Bu anlamda bir yama beklemek hata olur. Ancak buna önlem alınabilir. Windows Defender ATP ile buna önlem aldı ama normal ücretsiz olan sürümde yok.
Aslında atom bombing için alınacak önlem basit: Normalde nasıl şüpheli dosyaları çalıştırmak sorun yaratıyorsa atom bombing için de bu söz konusu: şüpheli dosyaları çalıştırmayacaksınız. Kod injeksiyon saldırısı pek çok farklı yöntem ile yapılabilir. Atom bombing de bunlardan biri sadece.
Aslında davranış engelleyici özelliğe sahip antimalware yazılımları bu tür saldırıları tespit edebiliyor. Örneğin emsisoft anti malware gibi. Bu özellik ile programlar takip ediliyor. Örneğin Chrome.exe alakasız bir sunucuda kod indirmeye çalıştığında ya da normal işleyişinin dışına çıktığında davranış engelleyici program bunu tespit edebiliyor ve engelleyebiliyor.
Fakat yüzde yüz engeller diye bir şey söz konusu değil. Çünkü her trojan farklı teknikler kullabiliyor.
Sonuç olarak zararlı olabilecek yazılımlardan crack vb. uygulamalardan uzak durmak lazım.
okumaya üşenirsen "In Windows 10 Creators Update, we enhanced Windows Defender ATP’s instrumentation and detection of in-memory injection methods like process hollowing and atom bombing"
0
Linkini verdiğin makalede özetle şöyle diyor:
Ensilo güvenlik araştırmacıları AtomBombing adlı yeni bir saldırı yöntemi keşfetmiş. Uzmanların araştırmalarına göre AtomBombing adlı yöntem sayesinde Windows işletim sistemi atom tabloları mekanizmasından yararlanılarak ele geçiriliyor. AtomBombing yönteminde kötü amaçlı bir program, zararlı kodları Atom Tablosu'na (Atom Table) yazıyor. Atom Table ise Windows'un tamamen güvenli ve meşru bir özelliği olduğu için AtomBombing saldırı yöntemi herhangi bir güvenlik duvarı, antivirüs yazılımı tarafından tespit edilemiyor. Tespit edilemediği için de engellenemiyor.
Yani anlayacağın dilde şöyle diyebilirim: Kötü amaçlı bir program, Windows'un güvenli olan bir özelliğini kullanarak yine Windows'u ele geçiriyor. Bu saldırı yöntemine Ensilo güvenlik araştırmacıları AtomBombing adını vermiş.
Ama AtomBombing saldırısının kapatılamayacağını zannetmiyorum açıkçası. Şuana kadar Microsoft ve güvenlik şirketleri bunun için ne yaptılar o konu hakkında herhangi bir bilgi bulamadım.
0
Bu saldırı yöntemi 2016 yılında keşfedildi. Microsoft bu tariften sonra atom bombing için güncellemeler çıkardı. Windows 10 Fall Creators Update içinde ilk güncellemeler geldi.
Hatta Windows Defender'in içine bununla ilgili korumalar ilave edildi. Yani yamama işi çoktan bitti.
Cevap yazabilmek için üye girişi yapmalısınız.
Eğer uzmanim.net üyesiyseniz giriş yapabilirsiniz: üye girişi yap
uzmanim.net'e üye olmak çok kolaydır: hemen kayıt ol