Outpost Firewall ve DLL Injection

30.08.2004

Okuyucu : 3.545
Günlük Okuyucu : 2,4

Outpost işinde gayet başarılı bir personal firewall, DLL Injection ise sistemde çalışan bir DLL içerisinde kendi kodunuzu çalıştırmak ve bu sayede onun haklarını almaktır. Bu haklar içerisinde dosya erişimi vs. olabileceği gibi Firewall kurallarıda olabilir.

Dolayısıyla sağlam bir trojan geliştirirken DLL Injection aklınızın bir köşesinde olur genelde. Ancak DLL Injection işi biraz tehlikeli bir yapıdır soruna çok açık ve hafiften üst seviye bir işlemdir.

Uygulama Firewalllarının (Programların internet ilişkilerini denetleyen firewalllar)’ ların en ciddi sorunlarından biri de bu tip bağlantıları tespit edebilmektedir. Örnek olarak siz her gün kullandığınız Internet Explorer tam internete erişim yetkisi verirsiniz ancak kendini IE’ nin içerisine gömebilen bir trojan veya zararlı kodda bu yetkiyi ele geçirebilir. Çünkü firewall’ unuz aslında onu hala Internet Explorer sanıyor.

Bu gizli saldıraların bir diğeri de direk uygulamayı modifiye etmektir. Ancak bu genelde daha basit bir şekilde anlaşılır çünkü bir çok firewall uygulama modifiyesine karşı “MD5 Checksum” gibi yöntemler ile “file integrity” denilen dosyanın aynı kalıp kalmadığını tespit edebilirler ve dosya değiştiğinde hakları sıfırlarlar.

Bugün bir test sırasında Outpost’ un başarıyla Internet Explorer’a DLL injection ile yanaşan dışarıya olan bir bağlantıyı blokladığını gördüm. Sebep olarak “hidden” diyordu. Yani IE’ yi kullanma hakkını hidden processlere vermiyor aynı yöntemi “Office Outlook” uyguladığımızda ise tespit edemedi. Sanırım IE için popülerliğinden dolayı bir ekstra özellik eklenmiş.

Ancak Outpost’ un bir diğer güzelliği var her uygulama için hakları limitleyebiliyorsunuz. Mesela FTP programınız bir sistemdeki “5700” portuna erişmek istiyorsa bunu anında bloklayabiliyor. Kural ekranları bu noktada harika. Dolayısıyla Outpost gibi bir firewall’ ı geçmek pek basit bir iş olmaz ama geçilebilir olduğu kesin.

Ek olarak şu da bir gerçekki Outlook testinde bizi bir componentın modifiye edildiğine dair uyardı. Eğer “component control“ açıksa DLL’ leri de modifiyeye karşı izlemeye alıyor. Buradaki en ciddi sorun IDS lerde sık sık başımıza gelen “False Positive”ler. Yani yanlış alarmlar.

Outlook’ un normal kullanımında da bir dizi component update isteği aldığımızdan bu şekilde bir modifikasyonda da bu update isteğini bezdiğimizden dolayı hemen verebiliriz. Gene de bunu da bildirmesi çok ciddi bir şey. Herşeyden öte bu tip bir updateten sonra bir sniffer ile veya en basit şekilde Outpost network ekranı ile datayı ve remote address i takip ederseniz bir sorun olup olmadığını gerçekten de anlayabilirsiniz.

Kısaca Outpost gayet iyi bir personal firewall, ek olarak DLL injection ciddi bir sorun, en popüler DLL Injection hedefi olan IE nin de ekstra bir korumaya sahip olması enteresan ve güzel.

Güncelleme : Outpost değişen DLL' leri listeleyebiliyor bu sayede çok ciddi seviyede False Positive ler engellenebiliyor. Bu özelliği henüz farkedip çok beğendim.

Yorumlar

Bu makalenin yorumlarını RSS ile takip et!

Ferruh abi bişi sorucam acaba bilgin varmı Zone Alarm Pro dada böyle bir özellik mevcutmu. Sanırım değil ama sanada bir sorayım dedim.

Zone Alarm Pro nun son versiyonu... Belirli bir tarihe kadar update desteğim var. Son versiyonlarını kuruyorum hep.

Selim Topaloğlu [ # | 30.08.2004 ]

Merhaba Ferruh,
Sitenin yeni okuyucularındanım. İlk önce siteyi çok beğendiğimi ve sık sık ziyaret etmeye başladığımı söylemeliyim. Bir sorum olacaktı. Ben bu günlerde bir firewall kurmayı düşünüyordum. forumlardan gördüğüm kadarıya grisoft'un AVG'si ile krio firewall ikilisini öneriyorlar. Bende şu an Norton 9.0 bulunuyor. Düşündüm de Norton + Outpost Free Edition mı? Yoksa AVG + Krio Personal Firewall mu?

Canol Gökel [ # | 31.08.2004 ]

@Selim
ZA' nın bu tip bir kontrolü var ancak bence pek güzel değil. "Programs" tabında "Advanced" ta component ve "open process control" var onları işaretlersen bu özelliği kullanabilirsin.

Open Process te bir uygulmanın diğerini çalıştırması bu konuda bence Kerio çok güzel.

@Canol Gökel
Sitenin yeni okuyucularındanım. İlk önce siteyi çok beğendiğimi ve sık sık ziyaret etmeye başladığımı söylemeliyim.
Seviniriz :)
Kerio yu kullandım bence süper bir firewall ancak işletim sistemim ile tam uyumlu değil XP içinse bence gayet iyi bir çözüm. Anti-Virus olarak şahsen Norton' u asla tavsiye etmem çok hantal. Dolayısıyla AVG + Kerio veya AVG + Outpost olabilir. Ek olarak antivirus konusunda McAffe ve Karspersky de bence çok iyi.

Ferruh Mavituna [ # | 31.08.2004 ]

Cevabın için teşekkürler inceliyorum şuanda . Antivirüs ve Firewall olarak ne tercih ediyorsun?

Selim Topaloğlu [ # | 31.08.2004 ]

Antivirus kullanmıyorum, illa ki gerekirse housecall ( http://housecall.antivirus.com/ ) veya networkdeki birini kafalayıp ona scan ettiriyorum. Firewall olaraksa Outpost / ZoneAlarm arasında gidip geliyorum. Bir de genelde bir hardware firewall arkasındayım. Bir de blink ı kurcaladım son günlerde o da orjinal. Ancak son karar Outpost.

Ferruh Mavituna [ # | 04.09.2004 ]

Abi bizim okulun internet lab.ında firewall var. Ben irc e baglanmak istiyorum ama engelliyor. Nasıl baglanabilirim ?

Semih Ünlüce [ # | 29.09.2004 ]

merhaba ferruhabi:) bir ödevimvar ; zone alarmın kullanımı. Ama çok fazla bir döküman bulamadım. bana önerebileceğin siteler var mı? yada senin sitenden konumla ilgili herhengi bir text alabilirmiyim? birde son sürümü 6.0'dıdeğilmi?
teşekkür ederim:))

sevdeyaren [ # | 20.10.2005 ]

Yorum Ekle