Bugünün yazımda size, kötü amaçlı etkinliği engellemek için Windows 10 ve Windows Server 2016’daki yeni API setlerinin nasıl kullanılabileceğini açıklayacağım.
Yalnızca imza tabanlı antivirüs korumasının, vahşi doğada çok sayıda virüs ve mutasyon geçirme hızı nedeniyle cihazları yeterince koruyamayacağı uzun zamandır bilinmektedir. Diskteki dosyaları tarama ve bunları bilinen bir tehdit veri bankasıyla karşılaştırma sorunlarından biri, bilgisayar korsanlarının bellekte çalışacak gerçek kodu şaşkına çevirmek için çeşitli teknikler kullanmasıdır. Bilgisayar korsanlarının algılanmasını önlemenin bazı basit örneklerini inceleyelim.
VBScript ve Ruby gibi dinamik dilleri kullanarak, çalışmaların çoğu, derleme aşamasında değil çalışma zamanında yapılır. Nesneler, kod çalıştırıldığında yöntemler ve özellikler ekleyerek yaratılabilir; Nesneleri önceden tanımlamamıza gerek yoktur. Bu bilgiyi uygulayarak, kod, çalışma zamanında ne olacağını örtbas etmek üzere yazılabilir ve algılamayı engellemeye yardımcı olur.
VBScript ve PowerShell gibi komut dosyası oluşturma motorları ve kabukları, işletim sistemine yerleştirildikleri ve bilgisayar korsanlarının genellikle sistemlere olan aşırı erişimli erişiminden dolayı hedef olan sistem yöneticileri tarafından kullanıldığı için ideal bir hedeftir. Windows 10 Antimalware Tarama Arabirimi (AMSI) Nedir?
Algılamayı Önleme
Konsola bir ileti göndermek için yalnızca Yazma Sunucusu ‘Sen saldırıya uğradın’ yerine, saptamayı önlemek için komut dosyasını değiştirmek için dize birleştirmeyi kullanabilirsiniz, ancak konsoldan aynı çıktıyı alabiliriz:
PowerShell
| 1
2 3 4 5 |
Function Hack-Me
{ Invoke-Expression (“Write-Host ‘You have ” + “been hacked’”) } Hack-Me |
AV imzaları, yukarıda kullanılan tekniği saptamak için güncellendiğinde, Base64 kodlaması veya algoritmik şaşırtmaca gibi daha sofistike bir şey gereklidir. Aşağıdaki komut, Write-Host ‘ Base64 ‘ e saldırıldı ‘ kodlar ve sonuçları bir değişkende ($ EncodedText) depolar:
PowerShell
| 1
2 3 |
$Text = “Write-Host ‘You have ” + “been hacked’”
$Bytes = [System.Text.Encoding]::Unicode.GetBytes($Text) $EncodedText =[Convert]::ToBase64String($Bytes) |
Ardından, şifrelenmiş metni, niyetlerimizi bir parça kötü niyetli kodda bulanıklaştırmak için kullanabiliriz:
PowerShell
| 1
2 3 4 5 6 7 8 9 |
Function Hack-Me
{ $code = ‘VwByAGkAdABlAC0ASABvAHMAdAAgABggWQBvAHUAIABoAGEAdgBlACAAYgBlAGUAbgAgAGgAYQBjAGsAZQBkABkg’
$newcode = [System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($code))
Invoke-Expression $newcode } Hack-Me |
Gördüğünüz gibi, bu bir kedi ve fare oyunudur ve yukarıda gösterilenler, bilgisayar korsanlarının şaşırtmayı nasıl uyguladığına dair basit örneklerdir; bu, saptamadan kaçmak için kullanılan yöntemleri hakkında bir fikir verir.
Antivirüs çözümleri, buluşsal analiz kullanarak şüpheli davranışları denemek ve bulmak için korumalı ortamda kodu çalıştırmak için emülatörleri kullanır. Ancak, diğer savunmalar gibi, bilgisayar korsanlarının, algılamayı önlemek için (örn. Kodun gerçek veya taklit edilmiş bir ortamda olup olmadığını kontrol etmesi de dahil olmak üzere) önlem almaktan ötürü kollarına bir sürü numara hileler var ya da kod için uzun süre gecikmeler ekleyerek öykünücüyü zaman aşımı. Emülatörler çoğu virüsten koruma çözümünün parçası olsa da, kaynak kullanımı yoğun ve atlamak zor değil.
Antimalware Tarama Arabirimi
Bir bilgisayar korsanının, mallarını gizlemek için kullandığı yöntem ne olursa olsun, komut dosyası motoruna nihayet düz kod verilmelidir ve bu noktada Microsoft’un Antimalware Tarama Arabirimi API’leri, bellekteki kodu taramak için kullanılabilir. AMSI ayrıca dosyaları, akışları tarayabilir ve içerik kaynağı URL / IP itibarı kontrolleri sağlayabilir. Herhangi bir uygulama, ister bir virüsten koruma çözümü isterse de mesajlaşma uygulaması olsun, API’lerden yararlanabilir, böylece bellekteki kodu daha iyi kavrayabilir ve zarar görmeden çalışmasını durdurma fırsatı elde edersiniz. Windows Defender, daha iyi koruma sağlamak için zaten AMSI kullanıyor.
Diğer savunmalar gibi, AMSI her derde deva değildir ve atlama yolları Black Hat 2016’da bulunmuştur. Microsoft’un araştırmacılar tarafından bulunan delikleri takıp edemediği görülmekle birlikte, derinlemesine savunma daima En iyi strateji. Örneğin, yönetici ayrıcalıklarını kullanıcılardan kaldırmak, uygulama denetimi uygulamak ve antivirüs koruması, derinlemesine kapsamlı savunma planının temel bileşenleri. Windows 10 Antimalware Tarama Arabirimi (AMSI) Nedir?