مباحث آنتی ویروس قدرتمند ایرانی Padvish End Point Security

[SajjadKhati]

بعد از انتشاره اسناد Vault 7 توسط ویکی لیکس (لینک) مشخص شد NSA توجه زیادی به آنتی ویروس ایرانی پادویش داره :

برای مشاهده این لینک/عکس می بایست عضو شوید ! برای عضویت اینجا کلیک کنید

برای مشاهده این لینک/عکس می بایست عضو شوید ! برای عضویت اینجا کلیک کنید

نظرم جلب شد که مدتی رو برای درک این آنتی ویروس ایرانی صرف کنم. طولی نکشید -شاید کمتر از یک ساعت- که متوجه شدم این آنتی ویروس حتی قادر به شناسایی فایل خروجی Njart نیست!
Njrat یکی از عمومی‌ترین و نام آشناترین تروجان‌های دنیاست. شوک اولیه اونقدر زیاد بود که چندین و چند بار تست کردم. حتی سیستم مجازی که آنتی ویروس رویش نصب بود رو عوض کردم، اما واقعیت رو نمی‌شد عوض کرد. مطمئن شدم کار به تست روش‌های پیچیده‌ی کریپت نمی‌رسه. کریپت به عملیاتی گفته می‌شه که فایل تروجان از دید آنتی ویروس‌‌ها مخفی بمونه. برای همین شروع کردم به مکاتبه با شرکت امن پرداز. مکاتبات تا جایی که سند ویدیویی از اتفاقات رو براشون فرستادم خوب پیش رفت ولی متأسفانه دیگه جوابی دریافت نکردم، اما خوشبختانه طی ۱۰ روز بعد آنتی ویروس فایل Njrat رو شناسایی کرد!
اما دیگه مایل به مکاتبه با من نبودند تا بگم این ماجرا برای RevengeRat هم صدق می کنه!

من هم دیگه برای تفریح نگاهی به پادویش مینداختم تا اینکه دیدم اوضاع خیلی اسفناک‌تر از اون چیزی بود که فکرش رو می‌کردم! برای توضیح اتفاقات پیش رو مرور سطحی و کوتاهی می‌کنیم به مکانیسم AntiTamper و SelfeDefense در آنتی ویروس‌ها.

به طور خلاصه آنتی ویروس‌ها خودشون رو در پایین‌ترین سطح سیستم قرار می‌دن، جایی که بسیار نزدیک به سطح ماشینه و به گفتار عامیانه از بالا نظاره گره همه اتفاقات و رخدادهای سیستم هستند و مانع ایجاد تغییر در مسیر فایل، آدرس‌های رجیستری و آدرس‌های حافظه ی مربوط به خودشون توسط کاربر یا نرم افزار های دیگه میشن. رعایت این مکانیسم جزو اصول اولیه طراحی آنتی ویروسه.
اما فقط کافیه شما آنتی ویروس پادویش رو داخل یه حلقه بی‌پایان محاسباتی گیر بندازین و بووووم!

در آخر مطلب فیلمی در رابطه با این توضیحات قرار دادم.

تمام این توضیحات به خاطر احساس مسئولیت بود چون طی این چند روز در پی انتشار باج افزار WannaCry اخباری در مدح و ستایش آنتی ویروس پادویش منتشر شده که بدون در نظر گرفتن نقاط ضعف به شدت خطرناک، کاربر رو ترغیب به نصب این آنتی ویروس می‌کنن :

لینک 1

لینک 2

در آخر باید از تیم امن پرداز تشکر ویژه ای کنیم به خاطر قدمی که در این راه برداشتند، اما باید بدونن امنیت کاربر، کشور و زیرساخت‌ها الویت اول، دوم و سوم هستن بعد درآمد حاصل از علم و تکنولوژی.

به امید ایرانی سرافراز

لینک ویدئو از آپارات
aparat.com/v/RLSFT

سلامی مجدد
دوست عزیز ، پادویش جواب زیر رو داد که به اطلاع تون برسونم :

از اینکه این نقص ما را به ما اطلاع دادید از شما بسیار متشکریم.

همچنین عذرخواهی می‌کنم که پس از آخرین ایمیل‌تان در مورد Njrat، پاسخی به صورت ایمیلی برای شما ارسال نکردیم. علت مساله فراموشی در ارسال پاسخ بوده است وگرنه همانگونه که شما نیز اشاره کردید مشکل عدم شناسایی این بدافزار بلافاصله پیگیری و برطرف شد.

همچنین فیلم شما را در آپارات دیدیم و بخشی از آن برطرف شده و بخشی در حال بررسی است.

پادویش نقاط قوتی دارد (مانند تشخیص wannacry و سایر باج‌افزارها از روز اول به صورت رفتاری و بدون نیاز به آپدیت؛ مساله ویکی‌لیکس که اشاره کردید و ...) و صد البته مانند هر نرم‌افزار دیگری نقاط ضعفی نیز دارد.

تلاش ما این است که نقاط ضعف را هر چه می‌توانیم کمتر و کمتر کنیم و در این مساله به کمک عزیزانی مانند شما نیاز داریم. به همین مناسبت نیز خوشحال می‌شویم مطابق دعوتی که در ایمیل برای شما ارسال کرده‌ایم جهت صحبت درباره نقاط ضعف کشف شده و نیز یافتن روشی جهت همکاری در یافتن نقاط ضعف بیشتر با شما جلسه‌ای حضوری داشته باشیم.

همچنین فرصت را مغتنم می‌شمارم و از سایر دوستانی که دستی در تشخیص آسیب‌پذیری نرم‌افزار دارند یا موارد مشابهی کشف کرده‌اند، دعوت می‌کنم با ایمیل پشتیبانی پادویش تماس بگیرند و آسیب‌پذیری‌ها را به شیوه مسئولیت‌پذیرانه (responsible disclosure) به ما گزارش کنند.

باز هم متشکرم و امیدوارم موفق باشید