بررسی سطح امنیت دفاعی آنتی ویروس ایرانی پادویش و اثبات مناسب نبودن آن برای استفاده در سطح سازمانی
میخواهیم بپردازیم به یک محصول بومی که کاربرد امنیتی داره و الان این محصول رو از لحاظ امنیتی بررسی کنیم و نکاتی در خصوص آن مطرح بکنیم. این محصول آنتی ویروس بومی پادویش (Padvish) هست که در ادامه بیشتر باهاش آشنا خواهیم شد و متوجه خواهید شد که به دلیل مهم بودنش تصمیم به بررسی این آنتی ویروس بومی گرفتیم.
آنتی ویروس پادویش را کمی بهتر بشناسیم :
پادویش یکی از محصولات شرکت امن پرداز به مدیرعاملی آقای عباس حسینی هست. محصول آنتی ویروس این شرکت یعنی پادویش در حقیقت از نمونه های دیگر بومی نظیر آنتی ویروس شید عملکرد خیلی بهتری داشته و دارد اما در ادامه میبینیم که آیا باز هم این محصول قابل اطمینان برای استفاده در سطح سازمانی و ادارات هست یا خیر؟!
چرا پادویش مهم است؟
در بهمن ماه سال 96 خبری منتشر شد با عنوان ” الزام دستگاه های اجرایی به استفاده از آنتی ویروس های بومی ” که از طرف معاون امنیت سازمان فناوری اطلاعات بوده است. این خبر را در این آدرس آپلود کردم و میتوانید مطالعه کنید هرچند با جستجوی ساده در سطح اینترنت نیز به راحتی قابل دستیابی است.
در قسمتی از این خبر معاون امنیت سازمان فناوری اطلاعات در گفتگو با خبرنگار مهر از ابلاغ دستورالعمل دولت به دستگاه های اجرایی به استفاده از آنتی ویروس بومی پادویش خبر داد و گفته است :
علاوه بر موضوعات مربوط به امنیت سیستم های رایانه ای دستگاه های دولتی، این تصمیم در راستای حمایت از محصول بومی و تحقق اقتصاد مقاومتی صورت گرفته است. در حوزه امنیت اطلاعات نمیتوان به محصولات خارجی آنطور که باید اطمینان کرد.
بنابراین مطابق این اطلاعیه آنتی ویروس پادویش اهمیتی پیدا میکند که نیاز به بررسی بیشتر آن بوجود می آمد.
وظیفه اصلی یک آنتی ویروس چیست؟
قبل از این به موضوع اصلی بپردازیم بهتر است به این مورد بپردازیم که وظیفه اصلی یک ضدویروس چیست؟ همانطور که خودتان نیز در جریان هستید وظیفه اصلی نرم افزارهای آنتی ویروس محافظت از سیستم کاربر و شبکه در مقابل انواع مختلف بدافزارها (Malware) که قصد تخریب و تاثیرگذاری بر شبکه را دارند.یک آنتی ویروس باید بتواند تهدیدات را شناسایی کند و این کار با استفاده از روش های مختلفی انجام میشود که آنتی ویروس های مطرح دنیا نیز از این روش ها بهره میگیرند. بعنوان مثال مانیتور کردن فعالیت های یک فایل در حین فعالیت نمونه ای از این روش های شناسایی بدافزارها در سطح شبکه و یا در سطح سیستم کاربر توسط آنتی ویروس ها هست.وقتی یک کاربر درون سازمانی را در نظر بگیریم نفوذگران از روش های مختلفی میتوانند به شبکه سازمان حمله کنند از جمله این که میتوانند با ارسال بدافزارهایی به سمت فرد و شبکه داخلی مذکور سعی کنند به اهداف خود برسند بنابراین وظیفه اصلی آنتی ویروس محافظت از سیستم کاربر و فعالیت های شبکه در مقابل بدافزارها و تهدید هاست.
تست امنیتی پادویش رو شروع کنیم …
در سایت پادویش نسخه های مختلف این آنتی ویروس وجود دارد و به راحتی قابل دانلود میباشند. نسخه امنیت کامل یا همان Padvish Total Security کامل ترین نسخه طبق گفته های سایت مذکور است. ما هم روی این نسخه تست امنیت را انجام میدهیم. در حال حاضر که این مقاله نوشته میشود آخرین نسخه از این آنتی ویروس ۲.۵.۵۸۰.۴۵۶۰ میباشد که ما این نسخه را روی سیستم عامل ویندوز 10 ورژن 1903 نصب کرده و اقدام به بررسی میکنیم. در نهایت از مراحل کار یک ویدیو دمو نیز جهت دانلود قرار خواهم داد تا سوتفاهمی در این موضوع صورت نگیرد. در تیرماه سال 97 یه کد مخربی که توسط خودم ایجاد شده بود و پادویش نمیتوانست آن را شناسایی کند در طی یک مکاتبه با بخش پشتیبانی تیم پادویش آن را در اختیار این تیم گذاشتم و پس از مدتی آنتی ویروس پادویش موفق شد آن بدافزار را بعنوان تهدید شناسایی بکنه. اما پس از این مدتی که گذشت تصمیم گرفتم این مقاله را درموردش بنویسم.
هنگامی که آنتی ویروس پادویش (یا هر آنتی ویروس دیگری) روی ویندوز نصب میشود در حقیقت آنتی ویروس پیشفرض سیستم عامل ویندوز از کار میفتد و عملکردی نخواهد داشت و به اینصورت تمامی جوانب امنیتی سیستم عامل به این آنتی ویروس پادویش واگذار میشود لذا در این موقع هست که آنتی ویروس باید تمامی معیارها و استانداردها رو گذرانده باشه تا تقریبا همه تهدیدات را شناسایی بکنه. البته این موضوع برای کاربران خانگی که کارهای روزانه شان دانلود فیلم از اینترنت یا چت کردن های دوستانه و تایپ مقالات و استفاده هایی از این مسایل هست اهمیت چندانی ندارد. اما برای کاربران یک سازمان یا یک اداره برخلاف این حالت است.نفوذگر میتواند با آلوده کردن سیستم یکی از اعضای یک سازمان سوءاستفاده های متفاوتی انجام دهد. شاید طرز فکر افراد غیرفنی و افرادی که تجربه در زمینه امنیت ندارند این موضوع را تایید نکند اما افرادی که در زمینه بدافزارنویسی و هک و امنیت سایبری فعال هستند این موضوع برایشان بی شک روشن است.
روش های مختلفی وجود داره که نفوذگران از آنها برای دور زدن امنیت آنتی ویروس ها استفاده میکنند.برخی از این روش ها ساخته خوده نفوذگران است و برخی دیگر نیز بصورت آزاد قابل دستیبابی هستند همانند استفاده از Msfpayload Encoders و FatRat و انواع بایپسر هایی که برای این منظور وجود دارند.من برای استفاده شخصی مدتیست از ابزاری استفاده میکنم که توسط خودم کدنویسی شده است و این تست را برروی پادویش توسط این ابزار قصد دارم انجام بدهم.این ابزار نامش را Ofogh گذاشتم و کارکرد این ابزار اینست که یک پیلود تولید میکند که برای سیستم عامل های لینوکس و ویندوز بوده و قادر است پس از اجرا در سیستم قربانی دسترسی به خط فرمان قربانی را برای فرد نفوذگر بوجود بیاورد. این ابزار تاکنون که روی چند مدل آنتی ویروس عمل تست انجام داده بودم قادر است این سناریو را بدون هیچ مشکلی پیاده سازی کند. بگذریم 🙂
آنتی ویروس نسخه امنیت کامل جدیدترین ورژنش رو دانلود و پس از نصب آن را بروزرسانی میکنیم :
اکنون با همان ابزار مذکور یک پیلود میسازیم و خروجی اجرایی exe از آن بدست میاوریم و در نهایت به طرف سیستم قربانی (سیستمی که آنتی ویروس پادویش روی آن نصب و بروزرسانی شده است) ارسال میکنیم.
اکنون در مرحله بعدی اقدام به اسکن (پویش) فایل پیلود آلوده خودمان میکنیم ببینیم پادویش میتواند آن را بعنوان تهدید شناسایی کند یا خیر؟! در حالت ایده آل باید بتواند این تهدید را بشناسد و جلوی آن را بگیرد.
میبینید که پادویش فایل پیلود را اسکن کرده و در نتیجه هیچ تهدیدی شناسایی نکرده است 🙂
اکنون فایل را در سیستم قربانی اجرا میکنیم و دسترسی خط فرمان بدون هیچگونه مشکلی به سمت نفوذگر ارسال میشود :
همانطور که قابل مشاهده است در تصویر سمت راست که مربوط به ابزار افق هست دسترسی از خط فرمان قربانی با موفقیت اخذ شده است و قادر به اجرای دستورات خط فرمان در سیستم قربانی هستیم. در تصویر سمت چپ نیز خط فرمان سیستم خوده ما میباشد.
این موضوع به این دلیل اهمیت پیدا میکند که با نصب پادویش، آنتی ویروس پیشفرض ویندوز از کار میفتد. بدافزار حتما و در هر زمان نیاز نیست که کارهای مخربی روی سیستم انجام دهد یا باعث کند شدن سیستم شود یا فایل های مشخصی از سیستم را پاک بکند. بلکه میتواند حتی باعث ایجاد دسترسی از سیستم مان به خارج از شبکه و برای فرد نفوذگر بشود. قابل ذکر است دسترسی که این ابزار افق فراهم میکند از نوع Reverse میباشد. فایلی که بعنوان خروجی ببا فرمت exe از ابزار دریافت میکنیم میتواند اقدامات متعدد دیگری نیز روی آن انجام بشود مثلا آیکن فایل تغییر داده شود و حتی آن را درون فایل های Document نیز بایند کرد و موارد اینچنینی.
همچنین ما میتوانیم این برنامه پوششی کوچک بنویسیم که این فایل را از اینترنت (آدرس سرور ما) بگیرد و سپس در Startup سیستم عامل قربانی کپی کند تا هر وقت سیستم عامل قربانی ریستارت شد دسترسی از خط فرمان آن در اختیار داشته باشیم :
یک ویدیو دمو کوتاه از این لینک میتوانید دانلود کنید.
نکات پایانی؟!
امیدواریم به این مقاله با دید مثبت نگاه بشه. این رو هم میدانیم که روش های مختلف دور زدن آنتی ویروس ها بخصوص پادویش یک مورد یا دو مورد نیستند. بلکه هر نفوذگری ممکن است روش های خودش را داشته باشد. پیشنهاد میکنم بجای جبهه گیری های نابجا و مقاومت در برابر اینچنین مسایل، بیاییم اقدام به رفع باگ ها بکنیم که خروجی همچین کاری میتواند یک محصول ایده آل باشد که اونموقع میتوان با اطمینان گفت که زمان آن رسیده است تا محصولات بومی جایگزین محصولات خارجی در دستگاه های اجرایی و سازمان ها و مراکز بزرگ بشود بخصوص محصولاتی در زمینه امنیت اطلاعات.
یک آنتی ویروس باید بتواند از روش های مختلف قادر باشد تهدیدات و فایل های مخرب را شناسایی و آنها را دفع کند.هنگامی که بعد از گذشت ماه ها هنوز پادویش نتوانسته است در این خصوص جدی عمل بکند نشان دهنده ضعف و قدرت پایین آنتی ویروس پادویش است. مسلما این محصول ضعف های زیادی دارد که بنده یک گوشه از آن را بررسی کردم که مربوط به قدرت دفاعی آن بود. مهم ترین روشی که یک آنتی ویروس میتواند یک بدافزار را تشخیص دهد بررسی و آنالیز رفتار فایل هاییست که در حال اجرا هستند که پادویش فاقد این آپشن میباشد.
چون این ابزار رو قصد ندارم پابلیک کنم بنابراین فکر میکنم روی آپدیت های بعدی پادویش نیز همچنان جوابگو باشد.
توجه : موارد فوق الذکر پس از گذشت چندماه برروی نسخه جدید آنتی ویروس به همراه بروزرسانی تست گردید و همچنان پادویش در شناسایی ناتوان است. ویدیو دمو آن نیز جایگزین ویدیو دمو قبلی شد.
یاعلی مدد