بررسی سطح امنیت دفاعی آنتی ویروس ایرانی پادویش و اثبات مناسب نبودن آن برای استفاده در سطح سازمانی

مطالب مرتبط با ابزارهای جانبی پادویش در مقابله با بدافزارها
قفل شده
mobi777
پست: 3
تاریخ عضویت: یک‌شنبه آپریل 26, 2020 11:02 am

بررسی سطح امنیت دفاعی آنتی ویروس ایرانی پادویش و اثبات مناسب نبودن آن برای استفاده در سطح سازمانی

پست توسط mobi777 » شنبه می 02, 2020 12:34 pm

میخواهیم بپردازیم به یک محصول بومی که کاربرد امنیتی داره و الان این محصول رو از لحاظ امنیتی بررسی کنیم و نکاتی در خصوص آن مطرح بکنیم. این محصول آنتی ویروس بومی پادویش (Padvish) هست که در ادامه بیشتر باهاش آشنا خواهیم شد و متوجه خواهید شد که به دلیل مهم بودنش تصمیم به بررسی این آنتی ویروس بومی گرفتیم.


آنتی ویروس پادویش را کمی بهتر بشناسیم :

پادویش یکی از محصولات شرکت امن پرداز به مدیرعاملی آقای عباس حسینی هست. محصول آنتی ویروس این شرکت یعنی پادویش در حقیقت از نمونه های دیگر بومی نظیر آنتی ویروس شید عملکرد خیلی بهتری داشته و دارد اما در ادامه میبینیم که آیا باز هم این محصول قابل اطمینان برای استفاده در سطح سازمانی و ادارات هست یا خیر؟!



چرا پادویش مهم است؟

در بهمن ماه سال 96 خبری منتشر شد با عنوان " الزام دستگاه های اجرایی به استفاده از آنتی ویروس های بومی " که از طرف معاون امنیت سازمان فناوری اطلاعات بوده است. این خبر را در این آدرس آپلود کردم و میتوانید مطالعه کنید هرچند با جستجوی ساده در سطح اینترنت نیز به راحتی قابل دستیابی است.

در قسمتی از این خبر معاون امنیت سازمان فناوری اطلاعات در گفتگو با خبرنگار مهر از ابلاغ دستورالعمل دولت به دستگاه های اجرایی به استفاده از آنتی ویروس بومی پادویش خبر داد و گفته است :

علاوه بر موضوعات مربوط به امنیت سیستم های رایانه ای دستگاه های دولتی، این تصمیم در راستای حمایت از محصول بومی و تحقق اقتصاد مقاومتی صورت گرفته است. در حوزه امنیت اطلاعات نمیتوان به محصولات خارجی آنطور که باید اطمینان کرد.
بنابراین مطابق این اطلاعیه آنتی ویروس پادویش اهمیتی پیدا میکند که نیاز به بررسی بیشتر آن بوجود می آمد.

وظیفه اصلی یک آنتی ویروس چیست؟

قبل از این به موضوع اصلی بپردازیم بهتر است به این مورد بپردازیم که وظیفه اصلی یک ضدویروس چیست؟ همانطور که خودتان نیز در جریان هستید وظیفه اصلی نرم افزارهای آنتی ویروس محافظت از سیستم کاربر و شبکه در مقابل انواع مختلف بدافزارها (Malware) که قصد تخریب و تاثیرگذاری بر شبکه را دارند.یک آنتی ویروس باید بتواند تهدیدات را شناسایی کند و این کار با استفاده از روش های مختلفی انجام میشود که آنتی ویروس های مطرح دنیا نیز از این روش ها بهره میگیرند. بعنوان مثال مانیتور کردن فعالیت های یک فایل در حین فعالیت نمونه ای از این روش های شناسایی بدافزارها در سطح شبکه و یا در سطح سیستم کاربر توسط آنتی ویروس ها هست.وقتی یک کاربر درون سازمانی را در نظر بگیریم نفوذگران از روش های مختلفی میتوانند به شبکه سازمان حمله کنند از جمله این که میتوانند با ارسال بدافزارهایی به سمت فرد و شبکه داخلی مذکور سعی کنند به اهداف خود برسند بنابراین وظیفه اصلی آنتی ویروس محافظت از سیستم کاربر و فعالیت های شبکه در مقابل بدافزارها و تهدید هاست.



تست امنیتی پادویش رو شروع کنیم ...

در سایت پادویش نسخه های مختلف این آنتی ویروس وجود دارد و به راحتی قابل دانلود میباشند. نسخه امنیت کامل یا همان Padvish Total Security کامل ترین نسخه طبق گفته های سایت مذکور است. ما هم روی این نسخه تست امنیت را انجام میدهیم. در حال حاضر که این مقاله نوشته میشود آخرین نسخه از این آنتی ویروس ۲.۵.۵۸۰.۴۵۶۰ میباشد که ما این نسخه را روی سیستم عامل ویندوز 10 ورژن 1903 نصب کرده و اقدام به بررسی میکنیم. در نهایت از مراحل کار یک ویدیو دمو نیز جهت دانلود قرار خواهم داد تا سوتفاهمی در این موضوع صورت نگیرد. در تیرماه سال 97 یه کد مخربی که توسط خودم ایجاد شده بود و پادویش نمیتوانست آن را شناسایی کند در طی یک مکاتبه با بخش پشتیبانی تیم پادویش آن را در اختیار این تیم گذاشتم و پس از مدتی آنتی ویروس پادویش موفق شد آن بدافزار را بعنوان تهدید شناسایی بکنه. اما پس از این مدتی که گذشت تصمیم گرفتم این مقاله را درموردش بنویسم.

هنگامی که آنتی ویروس پادویش (یا هر آنتی ویروس دیگری) روی ویندوز نصب میشود در حقیقت آنتی ویروس پیشفرض سیستم عامل ویندوز از کار میفتد و عملکردی نخواهد داشت و به اینصورت تمامی جوانب امنیتی سیستم عامل به این آنتی ویروس پادویش واگذار میشود لذا در این موقع هست که آنتی ویروس باید تمامی معیارها و استانداردها رو گذرانده باشه تا تقریبا همه تهدیدات را شناسایی بکنه. البته این موضوع برای کاربران خانگی که کارهای روزانه شان دانلود فیلم از اینترنت یا چت کردن های دوستانه و تایپ مقالات و استفاده هایی از این مسایل هست اهمیت چندانی ندارد. اما برای کاربران یک سازمان یا یک اداره برخلاف این حالت است.نفوذگر میتواند با آلوده کردن سیستم یکی از اعضای یک سازمان سوءاستفاده های متفاوتی انجام دهد. شاید طرز فکر افراد غیرفنی و افرادی که تجربه در زمینه امنیت ندارند این موضوع را تایید نکند اما افرادی که در زمینه بدافزارنویسی و هک و امنیت سایبری فعال هستند این موضوع برایشان بی شک روشن است.

روش های مختلفی وجود داره که نفوذگران از آنها برای دور زدن امنیت آنتی ویروس ها استفاده میکنند.برخی از این روش ها ساخته خوده نفوذگران است و برخی دیگر نیز بصورت آزاد قابل دستیبابی هستند همانند استفاده از Msfpayload Encoders و FatRat و انواع بایپسر هایی که برای این منظور وجود دارند.من برای استفاده شخصی مدتیست از ابزاری استفاده میکنم که توسط خودم کدنویسی شده است و این تست را برروی پادویش توسط این ابزار قصد دارم انجام بدهم.این ابزار نامش را Ofogh گذاشتم و کارکرد این ابزار اینست که یک پیلود تولید میکند که برای سیستم عامل های لینوکس و ویندوز بوده و قادر است پس از اجرا در سیستم قربانی دسترسی به خط فرمان قربانی را برای فرد نفوذگر بوجود بیاورد. این ابزار تاکنون که روی چند مدل آنتی ویروس عمل تست انجام داده بودم قادر است این سناریو را بدون هیچ مشکلی پیاده سازی کند. بگذریم :)

mobi777
پست: 3
تاریخ عضویت: یک‌شنبه آپریل 26, 2020 11:02 am

آنتی ویروس نسخه امنیت کامل جدیدترین ورژنش رو دانلود و پس از نصب آن را بروزرسانی میکنیم :

پست توسط mobi777 » شنبه می 02, 2020 12:35 pm

اکنون با همان ابزار مذکور یک پیلود میسازیم و خروجی اجرایی exe از آن بدست میاوریم و در نهایت به طرف سیستم قربانی (سیستمی که آنتی ویروس پادویش روی آن نصب و بروزرسانی شده است) ارسال میکنیم.

اکنون در مرحله بعدی اقدام به اسکن (پویش) فایل پیلود آلوده خودمان میکنیم ببینیم پادویش میتواند آن را بعنوان تهدید شناسایی کند یا خیر؟! در حالت ایده آل باید بتواند این تهدید را بشناسد و جلوی آن را بگیرد.


میبینید که پادویش فایل پیلود را اسکن کرده و در نتیجه هیچ تهدیدی شناسایی نکرده است :)

اکنون فایل را در سیستم قربانی اجرا میکنیم و دسترسی خط فرمان بدون هیچگونه مشکلی به سمت نفوذگر ارسال میشود :


همانطور که قابل مشاهده است در تصویر سمت راست که مربوط به ابزار افق هست دسترسی از خط فرمان قربانی با موفقیت اخذ شده است و قادر به اجرای دستورات خط فرمان در سیستم قربانی هستیم. در تصویر سمت چپ نیز خط فرمان سیستم خوده ما میباشد.

این موضوع به این دلیل اهمیت پیدا میکند که با نصب پادویش، آنتی ویروس پیشفرض ویندوز از کار میفتد. بدافزار حتما و در هر زمان نیاز نیست که کارهای مخربی روی سیستم انجام دهد یا باعث کند شدن سیستم شود یا فایل های مشخصی از سیستم را پاک بکند. بلکه میتواند حتی باعث ایجاد دسترسی از سیستم مان به خارج از شبکه و برای فرد نفوذگر بشود. قابل ذکر است دسترسی که این ابزار افق فراهم میکند از نوع Reverse میباشد. فایلی که بعنوان خروجی ببا فرمت exe از ابزار دریافت میکنیم میتواند اقدامات متعدد دیگری نیز روی آن انجام بشود مثلا آیکن فایل تغییر داده شود و حتی آن را درون فایل های Document نیز بایند کرد و موارد اینچنینی.

همچنین ما میتوانیم این برنامه پوششی کوچک بنویسیم که این فایل را از اینترنت (آدرس سرور ما) بگیرد و سپس در Startup سیستم عامل قربانی کپی کند تا هر وقت سیستم عامل قربانی ریستارت شد دسترسی از خط فرمان آن در اختیار داشته باشیم :


یک ویدیو دمو کوتاه از این لینک میتوانید دانلود کنید.



نکات پایانی؟!

امیدواریم به این مقاله با دید مثبت نگاه بشه. این رو هم میدانیم که روش های مختلف دور زدن آنتی ویروس ها بخصوص پادویش یک مورد یا دو مورد نیستند. بلکه هر نفوذگری ممکن است روش های خودش را داشته باشد. پیشنهاد میکنم بجای جبهه گیری های نابجا و مقاومت در برابر اینچنین مسایل، بیاییم اقدام به رفع باگ ها بکنیم که خروجی همچین کاری میتواند یک محصول ایده آل باشد که اونموقع میتوان با اطمینان گفت که زمان آن رسیده است تا محصولات بومی جایگزین محصولات خارجی در دستگاه های اجرایی و سازمان ها و مراکز بزرگ بشود بخصوص محصولاتی در زمینه امنیت اطلاعات.

چون این ابزار رو قصد ندارم پابلیک کنم بنابراین فکر میکنم روی آپدیت های بعدی پادویش نیز همچنان جوابگو باشد.

saman
ناظم انجمن
پست: 2107
تاریخ عضویت: چهارشنبه آگوست 28, 2013 10:53 pm

Re: بررسی سطح امنیت دفاعی آنتی ویروس ایرانی پادویش و اثبات مناسب نبودن آن برای استفاده در سطح سازمانی

پست توسط saman » شنبه می 02, 2020 7:03 pm

این مطلب خیلی قدیمی است و فکر میکنم همان زمان به این متن پاسخ داده شد. البته ورژن آنتی ویروس پادویش استفاده شده در تست هم مربوط به زمان قبل از پیدایش دایناسورها روی کره ی خاکی است!!!!
این مطلب اولین بار در اینجا منتشر شده و در نظرات خوانندگان پاسخ هم داده شده است.
https://virgool.io/@ksrvco/%D9%BE%D8%A7 ... fcne71qvfb

Naficy
مدیر کل
پست: 1310
تاریخ عضویت: چهارشنبه آگوست 07, 2013 11:27 am

Re: بررسی سطح امنیت دفاعی آنتی ویروس ایرانی پادویش و اثبات مناسب نبودن آن برای استفاده در سطح سازمانی

پست توسط Naficy » شنبه می 02, 2020 7:14 pm

سلام
فکر می‌کنم دنبال پاسخی برای این متن هستید و هدفتان از ارسال همین بوده است.

متاسفانه این گزارش، اگر چه با هدف و مطلع خوبی آغاز شده است، اما عاری از نکات علمی و روش‌های صحیح استاندارد تست بوده و به همین جهت نتیجه‌گیری انجام شده نیز کلا غلط بوده است.

این نوع تست و نتیجه‌گیری - با کمال تاسف - توسط اشخاصی انجام می‌شود که اگر چه آشنایی اولیه - حداقل در حد ابزارها - با مسائل تست نفوذ دارند، اما تخصص کافی در خود مباحث امنیت (آن دید جامع لازم) نداشته و بخصوص تخصصی در مقوله تست ضدویروس ندارند.

به همین علت علی‌رغم ظاهر علمی موضوع، هیچ یک از مفاهیم پایه‌ای و بدیهی تست ضدویروس مانند استفاده از دیتاست جامع، مانع، متنوع، و آماری و ... رعایت نشده است. (در خصوص معیارهای علمی تست ضدویروس به راهنمای سازمان بین‌المللی تست ضدویروس AMTSO مراجعه نمایید: https://www.amtso.org/wp-content/upload ... 018-10.pdf)

بدین ترتیب آنچه ایشان تست پادویش و نقطه ضعف آن می‌نامند:

۱- توسط خود ایشان اذعان شده که «ویروس» مورد تست، نه فقط توسط پادویش، که توسط سایر ضدویروس‌ها نیز تشخیص داده نشده است!
mobi777 نوشته شده: شنبه می 02, 2020 12:34 pm این ابزار تاکنون که روی چند مدل آنتی ویروس عمل تست انجام داده بودم قادر است این سناریو را بدون هیچ مشکلی پیاده سازی کند. بگذریم :)
نویسنده در جمله بالا اذعان دارد که نه تنها پادویش، بلکه سایر ضدویروس‌ها را نیز با ابزار خود دور زده است.
این در حالیست که تنها پادویش مستحق دریافت عنوان «اثبات مناسب نبودن برای استفاده سازمانی» بوده است و این موضوع خود جای تامل بسیار دارد.
در حالیکه ضدویروس‌های دیگر نیز این ابزار را تشخیص نداده‌اند، عنوان مقاله «اثبات مناسب نبودن پادویش» است که نشان نوع انگیزه و نگاه غیرعلمی و بلکه رسما فریب مخاطب می‌باشد.

۲- یک تست علمی باید قابل تکرار و اثبات باشد. نمونه بدافزار مورد استفاده در دسترس نبوده و ادعای ایشان در مورد عدم تشخیص پادویش یا عملکرد فایل قابل اثبات نیست و ما فقط یک فیلم درباره این ادعا می‌بینیم.

۳- تست با «یک» نمونه ویروس انجام شده است. این همینقدر بی‌معنا و ساده‌لوحانه است که شما از «یک» نفر تست کرونا بگیرید و چون نتیجه تست منفی بود، اعلام کنید کرونا اصلا در ایران وجود ندارد!
اگر ایران ۸۰ میلیون نفر دارد، از آن طرف ۲۰۰ میلیون بدافزار «فقط در طول یک سال» در دنیا تولید می‌شود. تست باید با مجموعه قابل ملاحظه آماری انجام گیرد (اصطلاحا statistically significant) و اصلا تست با یک نمونه بی‌معنا است. (اتکا به نتایج یک تست غلط و غیرعلمی شما را فریب خواهد داد)
لطفا استاندارد تست را مطالعه کنید: https://www.amtso.org/wp-content/upload ... 018-10.pdf

۴- تست با یک نمونه فایل دست‌ساز انجام شده است.
تولید یک ویروس جدید که «هیچ» ضدویروسی نشناسد مثل آب خوردن است: اگر چنین نبود ضدویروس شما نیازی به آپدیت روزانه و مداوم نداشت و خودش همه ویروس‌های دنیا را خودبخود می‌گرفت! (دقت کنید)
اشتباه نشود: همه ضدویروس‌ها مجهز به فناوری‌های تشخیص مبتنی بر یادگیری ماشین، روش‌های رفتاری و ... هستند و پادویش نیز همین فناوری‌ها را داشته و بدافزارهای نوظهور را می‌شناسد. (به عنوان مثال فناوری ضدباج‌گیر پادویش حتی باج‌افزارهای کاملا جدید و ناشناخته مانند واناکرای را در همان لحظه اول انتشار تشخیص داده است و می‌دهد) اما این فناوری‌ها نیز محدودیت‌هایی داشته و قادر نیستند «همه» انواع بدافزارهای جدید را تشخیص دهند، بنابراین آپدیت ضدویروس یک ضرورت می‌شود.

۵- در آخر اینکه، آنچه ایشان ویروس می‌نامند - اگر چه ممکن است در مراحلی از نفوذ به کار برود - اساسا حتی ویروس هم نیست!
به عنوان نمونه، یک هکر می‌تواند از Remote Desktop ویندوز، AnyDesk، TeamViewer و یا حتی ابزارهای NCat و PsExec میکروسافت برای ارتباط و اجرای کامند از راه دور روی سیستم قربانی استفاده کند. اما تمامی این ابزارها، ابزارهای سالم و عادی سیستمی هستند و «هیچ یک» توسط ضدویروس‌ها تشخیص داده نمی‌شوند.
ابزار ایشان در بهترین حالت، تنها برخی امکانات NetCat و PsExec میکروسافت را داراست و اگر این نرم‌افزارها ویروس نیستند، ابزار ایشان نیز ویروس نیست.

در پایان، لازم به ذکر می‌داند ضمن اذعان به اینکه هیچ محصولی بدون ایراد نبوده و پادویش نیز قطعا از این قاعده مستثنی نمی‌باشد، لینک برنامه جایزه شکار باگ پادویش را نیز در این خصوص معرفی کنم:
https://padvish.com/fa-ir/support/bug-bounty
ما استقبال می‌کنیم که هر شخصی که واقعا مدعی یافتن اشکالی در پادویش است، از طریق این لینک جهت اعلام مشکل و دریافت جایزه اقدام کند. (تا کنون چند باگ از همین طریق به ما گزارش و رفع شده و گزارش کننده نیز جایزه خود را دریافت کرده است)

mobi777
پست: 3
تاریخ عضویت: یک‌شنبه آپریل 26, 2020 11:02 am

Re: بررسی سطح امنیت دفاعی آنتی ویروس ایرانی پادویش و اثبات مناسب نبودن آن برای استفاده در سطح سازمانی

پست توسط mobi777 » چهارشنبه می 06, 2020 1:30 pm

پس نسبت به این آنتی ویروس خیالمان راحت باشه؟

saman
ناظم انجمن
پست: 2107
تاریخ عضویت: چهارشنبه آگوست 28, 2013 10:53 pm

Re: بررسی سطح امنیت دفاعی آنتی ویروس ایرانی پادویش و اثبات مناسب نبودن آن برای استفاده در سطح سازمانی

پست توسط saman » شنبه می 09, 2020 12:57 pm

mobi777 نوشته شده: چهارشنبه می 06, 2020 1:30 pm پس نسبت به این آنتی ویروس خیالمان راحت باشه؟
سلام
من فکر میکنم از خیلی زوایا میتوان با پادویش خیال راحتی داشت اما این به آن معنی نیست که آنتی ویروسی در جهان وجود دارد که تمام بدافزارهای موجود در جهان را شناسایی کند و اگر چنین ادعایی هم شرکت سازنده داشت، به قطع و یقین اشتباه و ادعایی دروغین است.
دوم اینکه هیچ نرم افزاری هم بی عیب نیست(حتی خود ویندوز)

حالا چرا میگویم که با پادویش از خیلی جهات خیال ما راحت خواهد بود؟
1- پادویش حتی اگر بدافزار ناشناخته ی موجود روی حافظه جانبی را هم تشخیص ندهد، غیرممکن است که اجازه ی اجرای آن و آلوده شدن سیستم توسط حافظه ی آلوده را بدهد( تکنولوژی ump بکار رفته در پادویش)
https://kb.amnpardaz.com/2019/677/
اعتراف سازمان جاسوسی ایالات متحده به قدرت ump پادویش
https://search.wikileaks.org/?q=padvish
2- امکان فوق العاده ی پادویش در بکاپ گیری اطلاعات زیر 1 دقیقه و در تنها 5 درصد حجم دیسک(امکانی خارق العاده که در هیچ آنتی ویروسی نیست)
3- پشتیبانی پادویش هم همیشه جوابگو هستند و از این لحاظ فکر نمی کنم هیچ وقت مشکلی وجود داشته باشد.
4- اطلاعات در مورد ضد باجگیر قدرتمند پادویش
https://kb.amnpardaz.com/2018/273/
5- تاییدیه av test آلمان در مورد شناسایی کامل ضد باجگیر پادویش
https://www.av-test.org/fileadmin/pdf/r ... r_2017.pdf

قفل شده

بازگشت به “ابزارهای پادویش”