Outpost Firewall ve DLL Injection

30-8-2004

Outpost işinde gayet başarılı bir personal firewall, DLL Injection ise sistemde çalışan bir DLL içerisinde kendi kodunuzu çalıştırmak ve bu sayede onun haklarını almaktır. Bu haklar içerisinde dosya erişimi vs. olabileceği gibi Firewall kurallarıda olabilir.

Dolayısıyla sağlam bir trojan geliştirirken DLL Injection aklınızın bir köşesinde olur genelde. Ancak DLL Injection işi biraz tehlikeli bir yapıdır soruna çok açık ve hafiften üst seviye bir işlemdir.

Uygulama Firewalllarının (Programların internet ilişkilerini denetleyen firewalllar)’ ların en ciddi sorunlarından biri de bu tip bağlantıları tespit edebilmektedir. Örnek olarak siz her gün kullandığınız Internet Explorer tam internete erişim yetkisi verirsiniz ancak kendini IE’ nin içerisine gömebilen bir trojan veya zararlı kodda bu yetkiyi ele geçirebilir. Çünkü firewall’ unuz aslında onu hala Internet Explorer sanıyor.

Bu gizli saldıraların bir diğeri de direk uygulamayı modifiye etmektir. Ancak bu genelde daha basit bir şekilde anlaşılır çünkü bir çok firewall uygulama modifiyesine karşı “MD5 Checksum” gibi yöntemler ile “file integrity” denilen dosyanın aynı kalıp kalmadığını tespit edebilirler ve dosya değiştiğinde hakları sıfırlarlar.

Bugün bir test sırasında Outpost’ un başarıyla Internet Explorer’a DLL injection ile yanaşan dışarıya olan bir bağlantıyı blokladığını gördüm. Sebep olarak “hidden” diyordu. Yani IE’ yi kullanma hakkını hidden processlere vermiyor aynı yöntemi “Office Outlook” uyguladığımızda ise tespit edemedi. Sanırım IE için popülerliğinden dolayı bir ekstra özellik eklenmiş.

Ancak Outpost’ un bir diğer güzelliği var her uygulama için hakları limitleyebiliyorsunuz. Mesela FTP programınız bir sistemdeki “5700” portuna erişmek istiyorsa bunu anında bloklayabiliyor. Kural ekranları bu noktada harika. Dolayısıyla Outpost gibi bir firewall’ ı geçmek pek basit bir iş olmaz ama geçilebilir olduğu kesin.

Ek olarak şu da bir gerçekki Outlook testinde bizi bir componentın modifiye edildiğine dair uyardı. Eğer “component control“ açıksa DLL’ leri de modifiyeye karşı izlemeye alıyor. Buradaki en ciddi sorun IDS lerde sık sık başımıza gelen “False Positive”ler. Yani yanlış alarmlar.

Outlook’ un normal kullanımında da bir dizi component update isteği aldığımızdan bu şekilde bir modifikasyonda da bu update isteğini bezdiğimizden dolayı hemen verebiliriz. Gene de bunu da bildirmesi çok ciddi bir şey. Herşeyden öte bu tip bir updateten sonra bir sniffer ile veya en basit şekilde Outpost network ekranı ile datayı ve remote address i takip ederseniz bir sorun olup olmadığını gerçekten de anlayabilirsiniz.

Kısaca Outpost gayet iyi bir personal firewall, ek olarak DLL injection ciddi bir sorun, en popüler DLL Injection hedefi olan IE nin de ekstra bir korumaya sahip olması enteresan ve güzel.

Güncelleme : Outpost değişen DLL' leri listeleyebiliyor bu sayede çok ciddi seviyede False Positive ler engellenebiliyor. Bu özelliği henüz farkedip çok beğendim.

Recent Blog Posts

See all of the blog posts