Sıkıştırma formatları ile güvenlik yazılımlarını atlatmak hala mümkün

Araştırmacılar popüler sıkıştırma formatlarında kötü amaçlı programları gizlemenin yollarını buldular ve çoğu antivirüs programı tespit edemiyor.

Antivirüs üreticileri rar ve zip gibi arşivleme formatlarındaki oynamaları tespit için uygulamalarına yama çıkardılar.

Tomislav Pericin (ticari yazılım koruma projesi RLPack kurucusu), Mario Vuksan (bağımsız güvenlik araştırmacısı) ve Brian Karney (AccessData yöneticisi) perşembe günü Black Hat güvenlik konferansında yaptıkları prezentasyonda conficker gibi kötü amaçlı kodları arşiv dosyalarında nasıl gizlediklerini gösterdiler.

Çoğu firma dosya eklerinin kötü amaçlı olup olmadığını analiz için ağ geçidi güvenlik ürünleri kullanıyorlar. Kötü amaçlı kodları sıkıştırmak bu sistemlerde bazen tespit edilememesine yol açıyordu fakat zamanla bu ürünlerin tespitleri gelişti ve eksikleri giderildi.

Fakat araştırmacılar bir kez daha sıkıştırma formatlarında oynama yaparak hala bu gateway ürünlerini atlatmanın mümkün olduğunu gösterdiler.

Pericin problemin AV üreticileri ve arşivleme ürünü geliştirenlerin farklı çözümler kullanmasında olduğunu söylüyor ve ekliyor : “Eğer senkronize çalışmazlarsa bir kullanıcı bilgisayarında arşiv dosyasını açabilir fakat AV ürünü yapamayabilir ve bu da büyük bir problem”.

Çoğu son kullanıcı antivirüs yazılımı kullanıyor ve Conficker gibi dosyalar kolay yakalanabiliyor. Fakat araştırmacılar güvenlik ürünlerinin yakalamadığı 8 tane güvenlik açığı tespit etmişler. Pericin bu zayıflıktan etkilenen çoğu üreticinin yama çıkardığını söyledi.

Araştırmacılar arşiv formatlarında gizlenen içerik veya kötü amaçlı kodları tespit edebilen ücretsiz, açık kaynak kodlu bir araç çıkardılar. NyxEngine adındaki bu araç arşiv formatlarını önişleme tabi tutarak içlerini inceliyor. Zip, Rar, Gz ve Cab formatlarını destekliyor.

No Comments

Post a Comment