EICAR Nedir ve Neden Geliştirildi?

-

EICAR Standart Antivirüs Test Dosyası, siber güvenlik dünyasında antivirüs yazılımlarının ve güvenlik sistemlerinin doğru çalışıp çalışmadığını test etmek için kullanılan tamamen zararsız bir standarttır.

Gerçek bir yangın alarmını test etmek için ofisin ortasında ateş yakmazsınız; bunun yerine alarmın test düğmesine basarsınız. EICAR test dosyası da tam olarak antivirüs yazılımları için bu "test düğmesi" işlevini görür.

EICAR, European Institute for Computer Antivirus Research (Avrupa Bilgisayar Antivirüs Araştırmaları Enstitüsü) kelimelerinin kısaltmasıdır. 1990'ların başında, antivirüs yazılımlarının sayısının artmasıyla birlikte, sistem yöneticilerinin ve kullanıcıların bu yazılımların çalışıp çalışmadığını test etmeleri için güvenli bir yola ihtiyaçları vardı.

Gerçek bir kötü amaçlı yazılım (malware) kullanarak test yapmak, sistemlere yanlışlıkla zarar verme veya veri kaybı yaşatma riski taşıyordu. Bu sorunu çözmek için EICAR ve CARO (Computer Antivirus Research Organization) araştırmacıları bir araya gelerek, dünyadaki tüm antivirüs motorlarının "virüs olarak algılamak üzere" programlanacağı, ancak aslında hiçbir zararlı kod barındırmayan standart bir dosya oluşturdular.

EICAR Test Dosyası Nasıl Çalışır?

EICAR dosyası, karmaşık bir yazılım veya çalıştırılabilir büyük bir program değildir. Sadece klavyeden yazılabilen standart ASCII karakterlerinden oluşan, tam olarak 68 bayt uzunluğunda bir metin dizisidir (string).

Antivirüs şirketleri, bu özel 68 karakterlik diziyi kendi virüs imza veritabanlarına (signature database) bilinçli olarak eklerler. Bir antivirüs tarayıcısı bu diziyi gördüğünde, davranışsal veya sezgisel (heuristic) bir analiz yapmasına gerek kalmadan anında alarm verir ve dosyayı gerçek bir tehditmiş gibi karantinaya alır veya siler.

EICAR Karakter Dizisi

Bir dosyanın EICAR test dosyası olarak algılanması için tam olarak şu 68 karakterle başlaması gerekir (boşluk içermez ve üçüncü karakter sıfır rakamı değil, büyük 'O' harfidir):

Plaintext
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Bu karmaşık görünen dizi, aslında MS-DOS tabanlı sistemlerde çalıştırılabilen geçerli bir .com (çalıştırılabilir) dosyasıdır. Eğer bu kod eski bir 32-bit Windows veya DOS ortamında çalıştırılırsa, ekrana sadece EICAR-STANDARD-ANTIVIRUS-TEST-FILE! yazısını basar ve güvenli bir şekilde kapanır. Hiçbir sistemi değiştirmez, dosya silmez veya kendini kopyalamaz.

Kendi Testinizi Nasıl Yapabilirsiniz?

Antivirüsünüzün veya ağ güvenlik duvarınızın (firewall) çalışıp çalışmadığını test etmek oldukça basittir ve sisteminize zarar verme riski sıfırdır.

Yöntem 1: Dosyayı Kendiniz Oluşturun

  1. Bilgisayarınızda boş bir metin belgesi açın (Not Defteri / Notepad veya TextEdit gibi).

  2. Yukarıdaki 68 karakterlik EICAR dizisini kopyalayıp bu belgeye yapıştırın. (Belgede başka hiçbir boşluk veya karakter olmamasına dikkat edin).

  3. Dosyayı kaydetmeye çalıştığınız anda, arka planda çalışan (gerçek zamanlı koruma sağlayan) antivirüs yazılımınız dosyayı yakalamalı ve size bir uyarı göstermelidir.

  4. Eğer kaydetmenize izin verirse, dosyayı eicar.com veya eicar.txt adıyla masaüstüne kaydedin. Üzerine sağ tıklayıp manuel olarak antivirüs taraması başlatın.

Yöntem 2: Resmi EICAR Sitesinden İndirin

Test dosyasını doğrudan EICAR'ın resmi indirme sayfasından indirebilirsiniz. Site, farklı güvenlik katmanlarını test edebilmeniz için dosyayı dört farklı formatta sunar:

Dosya FormatıNe İşe Yarar?Neyi Test Eder?
eicar.comStandart ASCII test dosyası.Ağ indirmelerini ve gerçek zamanlı dosya korumasını.
eicar.com.txtUzantısı değiştirilmiş test dosyası.Antivirüsün sadece uzantıya değil, dosya içeriğine de bakıp bakmadığını.
eicar_com.zipSıkıştırılmış arşiv içindeki test dosyası.Antivirüsün ZIP dosyalarının içini tarama yeteneğini.
eicarcom2.zipZIP içinde ZIP (Çift sıkıştırılmış).Antivirüsün derinlemesine arşiv taraması (deep scan) yapıp yapamadığını.

EICAR Ne Sağlar, Ne Sağlamaz?

EICAR mükemmel bir doğrulama aracı olsa da, neyi test ettiğini doğru anlamak önemlidir.

Neleri Test Eder?

  • Antivirüs yazılımınızın açık ve çalışır durumda olduğunu.

  • Gerçek zamanlı koruma (Real-time protection) modülünün dosyaları oluşturulurken veya indirilirken taradığını.

  • Uyarı, karantina ve loglama (kayıt tutma) mekanizmalarının şirketinizin veya kişisel bilgisayarınızın güvenlik politikalarına uygun şekilde tepki verdiğini.

  • E-posta sunucunuzun veya ağ güvenlik duvarınızın zararlı eklentileri filtreleyip filtreleyemediğini.

Neleri Test ETMEZ?

  • Tespit Kalitesi: Her antivirüs EICAR'ı tespit eder. Bu dosyanın yakalanması, antivirüsünüzün en yeni ve karmaşık fidye yazılımlarını (ransomware) veya sıfırıncı gün (zero-day) açıklarını da yakalayacağı anlamına gelmez. EICAR bir "kalite/performans kıyaslama" aracı değildir; sadece bir sistemin devrede olup olmadığını gösteren bir "bağlantı" testidir.

Kurumsal ağlarda çevre güvenliğini (perimeter security) test etmek, özellikle savunma stratejilerini (Blue Team senaryoları) doğrulamak ve log mekanizmalarının sağlığını kontrol etmek için en güvenilir yöntemlerden biridir.

EICAR dosyasını kullanarak ağ güvenlik duvarınızın (Firewall/UTM) ve e-posta ağ geçidinizin (Secure Email Gateway) zararlı yazılım filtrelerini aşağıdaki adımlarla kontrollü bir şekilde test edebilirsiniz.

1. Ağ Güvenlik Duvarı (Firewall / IPS) Testi

Güvenlik duvarınızın web trafiğindeki zararlı dosyaları anında kesip kesmediğini test etmek için istemci makinelerden (örneğin laboratuvardaki Pardus cihazlar veya macOS bir sistem üzerinden) indirme denemeleri yapmalısınız.

  • HTTP Testi (Temel Seviye): Terminal üzerinden şifresiz bağlantı ile EICAR dosyasını çekmeyi deneyin. Güvenlik duvarının IPS (Saldırı Önleme Sistemi) modülü bu metin dizisini ağ paketleri içinde açıkça göreceği için anında engellemelidir.

    Bash
    curl -O http://2016.eicar.org/download/eicar.com

  • HTTPS Testi (Gelişmiş Seviye - DPI/SSL Inspection): Günümüzde zararlı yazılımların çoğu şifreli kanallardan gelir. Güvenlik duvarınızın HTTPS trafiğinin içini açıp tarayabildiğini (Deep Packet Inspection / SSL Decryption) doğrulamak için şu komutu kullanın:

    Bash
    curl -O https://secure.eicar.org/download/eicar.com

    Eğer HTTP engelleniyor ama HTTPS iniyorsa, güvenlik duvarınızda SSL şifre çözme kapalı demektir ve ağınız şifreli tehditlere karşı kör durumdadır.

  • Ağ Analizi Doğrulaması: Bu testleri yaparken arka planda tshark veya Wireshark çalıştırarak engellemenin ağ seviyesinde nasıl gerçekleştiğini (güvenlik duvarının bağlantıyı bir TCP RST paketi ile mi kopardığını, yoksa HTTP 403 Yasak sayfası mı döndürdüğünü) analiz edebilirsiniz.

2. E-posta Sunucusu (Mail Gateway) Testi

E-posta sunucunuzun ekli dosyalardaki tehditleri içeri girmeden önce (karantinaya alarak veya silerek) durdurduğundan emin olmak için çok aşamalı bir test yapmalısınız. Testi kurum dışı bir e-posta adresinden (örneğin kişisel bir Gmail veya harici bir sunucu) kurumsal e-posta adresinize göndererek gerçekleştirin.

  • 1. Aşama (Düz Dosya): eicar.com dosyasını doğrudan e-postaya ekleyip gönderin. Posta sunucusu maili anında reddetmeli (bounce) veya eki temizleyerek size bir uyarı maili teslim etmelidir.

  • 2. Aşama (Sıkıştırılmış Dosya): Zararlı filtrelerinin arşivleri açabildiğini doğrulamak için eicar dosyasını standart bir ZIP dosyası (eicar_com.zip) yaparak gönderin.

  • 3. Aşama (Derin Tarama / Çift ZIP): ZIP dosyasını alıp tekrar bir ZIP dosyasının içine koyun (eicarcom2.zip). Bu, e-posta sunucunuzun "Deep Scan" yeteneğini test eder ve filtrelerin sadece ilk katmana bakıp geçmediğini kanıtlar.

3. İç Ağ (Lateral Movement) ve Dosya Paylaşım Testi

Dışarıdan gelen tehditlerin yanı sıra, ağ içindeki yatay hareketleri (lateral movement) izleyen bir IDS (örneğin Suricata) veya dosya sunucusu korumanız varsa bunu da test etmelisiniz.

  • NFS/SMB Paylaşımları: Önceden indirdiğiniz (veya bir metin editörüyle oluşturduğunuz) EICAR dosyasını, istemciler (örneğin Pardus makineler) ile sunucu arasındaki bir NFS veya SMB ortak dizinine kopyalamayı deneyin. Ağ içindeki trafiği dinleyen güvenlik cihazları veya sunucu üzerindeki antivirüs bu dosya transferini tespit edip loglamalıdır.

Test Sonrası Kontrol Listesi (Blue Team Doğrulaması)

Fiziksel engellemenin gerçekleşmesi testin sadece ilk yarısıdır. Testi tam anlamıyla başarılı saymak için Merkezi Yönetim veya Log (SIEM) panellerinize gidip şu soruların yanıtlarını aramalısınız:

  1. Olay doğru cihaz (Firewall / Mail Server) tarafından tespit edildi mi?

  2. Log kayıtlarında kaynak IP, hedef IP, kullanılan protokol ve kural eşleşmesi doğru görünüyor mu?

  3. Sistem yöneticilerine veya güvenlik ekibine (SOC) otomatik bir e-posta/SMS uyarısı düştü mü?

Laboratuvar ortamındaki Pardus makineler üzerinde öğrencilere Red Team (Saldırı/Sızma) ve Blue Team (Savunma/Analiz) konseptlerini uygulamalı olarak göstermek için harika bir senaryodur.

Bir güvenlik duvarının (Firewall) zararlı bir isteğe nasıl tepki verdiği, ağ trafiğini incelediğinizde üç farklı şekilde karşınıza çıkar: Drop (Sessizce Düşürme), Reject (RST ile Reddetme) veya HTTP 403 (Vekil Sunucu Engellemesi).

Aşağıda, bu üç farklı savunma tepkisini tshark kullanarak paket düzeyinde nasıl analiz edebileceğinize dair uygulamalı bir laboratuvar senaryosu bulabilirsiniz.

Hazırlık: Ağ Dinlemesini Başlatma (Blue Team)

Öncelikle Pardus (veya macOS) terminalinde tshark'ı başlatarak ağı dinlemeye alıyoruz. Amacımız sadece EICAR sunucusuna (veya HTTP portuna) giden trafiği izlemek.

Terminali açın ve dinlemeyi başlatın:

Bash
# EICAR sunucusunun IP adresini (veya genel HTTP trafiğini) dinliyoruz
sudo tshark -i eth0 -f "host 2016.eicar.org" -T fields -e frame.number -e ip.src -e ip.dst -e tcp.flags.str -e http.request.method -e http.response.code

(Not: eth0 kısmını kendi ağ arayüzünüze göre örneğin wlan0 veya en0 olarak değiştirebilirsiniz.)

Eylem: EICAR Dosyasını Çekme (Red Team)

İkinci bir terminal penceresi açın ve standart bir HTTP GET isteği ile EICAR dosyasını indirmeye çalışın:

Bash
curl -O http://2016.eicar.org/download/eicar.com

Şimdi güvenlik duvarınızın yapılandırmasına göre tshark ekranında göreceğiniz 3 olası senaryoyu inceleyelim:

Senaryo 1: Firewall "DROP" (Sessizce Düşürme) Kuralı Uyguluyorsa

"Drop" eylemi, güvenlik duvarının zararlı paketi gördüğü anda onu bir kara deliğe atmasıdır. İstemciye hiçbir cevap dönmez.

tshark Çıktısı Nasıl Görünür?

Plaintext
1   192.168.1.10   188.40.238.250   [S]            
2   192.168.1.10   188.40.238.250   [S]            
3   192.168.1.10   188.40.238.250   [S]

Paket Analizi:

  • İstemci (192.168.1.10), TCP üçlü el sıkışmayı (Three-way handshake) başlatmak için SYN [S] bayraklı paketler gönderir.

  • Güvenlik duvarı trafiği sessizce düşürdüğü için hedef sunucudan asla bir SYN-ACK paketi geri gelmez.

  • İstemci pes edene kadar (timeout) SYN paketlerini tekrar tekrar göndermeye (retransmission) devam eder. curl ekranında işlemin donup kaldığını görürsünüz.

Senaryo 2: Firewall "REJECT" (Aktif Reddetme) Kuralı Uyguluyorsa

"Reject" eylemi, güvenlik duvarının "Bu isteği gördüm ve yasaklıyorum, boşuna beklemeyi bırak" deme şeklidir. Kurumsal ağlarda istemcinin boş yere beklemesini (timeout) engellemek için sıkça kullanılır.

tshark Çıktısı Nasıl Görünür?

Plaintext
1   192.168.1.10   188.40.238.250   [S]            
2   188.40.238.250 192.168.1.10     [R.]

Paket Analizi:

  • İstemci SYN [S] paketi gönderir.

  • Araya giren güvenlik duvarı, hedefin IP adresini taklit ederek istemciye anında bir RST, ACK [R.] (Reset) paketi gönderir.

  • RST (Reset) bayrağı, TCP bağlantısının aniden ve zorla koparıldığı anlamına gelir. curl ekranında anında "Connection reset by peer" hatası alırsınız.

Senaryo 3: Firewall "Proxy/DPI" Modunda Çalışıyor ve "403 Forbidden" Dönüyorsa

Yeni nesil güvenlik duvarları (NGFW) genellikle ağ geçidinde bir vekil sunucu (Reverse Proxy) gibi davranır. Bağlantının kurulmasına izin verir, isteği okur ve zararlı olduğunu anlarsa kendi içinden bir "Yasaklı Karantina Sayfası" üretip istemciye gönderir.

tshark Çıktısı Nasıl Görünür?

Plaintext
1   192.168.1.10   188.40.238.250   [S]            
2   188.40.238.250 192.168.1.10     [S.]           
3   192.168.1.10   188.40.238.250   [.]            
4   192.168.1.10   188.40.238.250   [P.]   GET     
5   188.40.238.250 192.168.1.10     [P.]           403

Paket Analizi:

1, 2 ve 3. satırlarda TCP üçlü el sıkışması ([S], [S.], [.]) başarıyla tamamlanır.
satırda istemci, eicar.com dosyasını indirmek için GET isteği yapar.
satırda güvenlik duvarı devreye girer ve isteği engelleyerek bir HTTP 403 Forbidden (veya bazen HTTP 200 ile özel bir engelleme HTML sayfası) cevabı döner. curl dosya indirmiş gibi görünür ama indirdiği dosyanın içi açıldığında EICAR dizisi yerine kurumun "Bu siteye erişiminiz engellenmiştir" yazan HTML kodu bulunur.

Bu pratik, siber güvenlik eğitimlerinde öğrencilerin ağ savunma mekanizmalarının gerçekte paket seviyesinde nasıl çalıştığını ezberlemeden, mantığını anlayarak görmeleri için oldukça etkilidir.


Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Android Telefon/Tablet Ekranını Pardus ETAP 23 Yüklü Akıllı Tahtaya Yansıtma

-
Resim
Bu eğitim, öğretmenlerin Android tablet veya telefonlarının ekranını kolayca tahta ekranına yansıtmaları için gereken tüm yöntemler ayrıntılı şekilde anlatılmaktadır. 1. Giriş Android cihazı akıllı tahtaya yansıtmanın amacı: Dersi telefondan yönetmek Mobil uygulamaları sınıfa göstermek YouTube, EBA, PDF, görsel veya kamera görüntüsünü aktarmak Kablosuz sunum yapmak Pardus ETAP 23 üzerinde yansıtma işlemi için en çok tercih edilen yöntemler: Scrcpy (USB + WiFi bağlantılı) — En stabil çözüm Third-party çözümler (TeamViewer Host, DeskScreen, Vysor vb.) Bu makalede en garantili ve ETAP 23’e en uyumlu yöntem olan Scrcpy başta olmak üzere tüm yöntemleri anlatıyoruz. 2. Scrcpy ile Yansıtma Scrcpy, Android cihazınızı yüksek kalite / düşük gecikme ile bilgisayara aktaran açık kaynaklı bir yazılımdır. Pardus ETAP 23 için mükemmel uyumludur. ✔️ 2.1. Kurulum Adım 1 — Gerekli paketleri yükle Terminali açın: sudo apt update sudo apt install scrcpy adb android-to...
Devamı

Pardus Etap 23’de Unutulmuş Etap Yetkili Parolasını Sıfırlama

-
Resim
Bu kısa eğitimde, Pardus sisteminde unutulmuş bir Etap Yetkli parolasının nasıl sıfırlanacağını öğreneceksiniz. Bu, etapadmin kullanıcısı olarak oturum açma ve yönetim görevlerini gerçekleştirme yeteneğinizi yeniden kazanmanıza yardımcı olacaktır. Öncelikle Pardus sisteminizi açın veya yeniden başlatın. Aşağıda gösterildiği gibi bir GRUB menüsüyle karşılaşacaksınız. İlk seçenekte devam edin ve sistem başlatılmadan önce klavyedeki " e " tuşuna basın. . Bu sizi aşağıda gösterilen ekrana yönlendirecektir. Aşağı kaydırın ve /boot/vmlinuz-* bölümünden önce gelen ve UUID 'yi de belirten ' linux ' ile başlayan satırı bulun.   İmleci bu satırın sonuna götürün ve ‘ ro quiet’ bölümünden hemen sonrasına getirin ve init=/bin/bash. parametresini ekleyin Ardından, kök dosya sistemini salt okunur (ro) erişim haklarıyla bağlayarak tek kullanıcı modunda önyüklemeyi etkinleştirmek için Ctrl + x tuşlarına basın. Parolayı sıfırlamak için erişim hakkını salt okunurdan okuma-ya...
Devamı

Pardus Etap 23 Yazıcı Kurulumu

-
Resim
1. CUPS Nedir? CUPS , "Common UNIX Printing System" (Yaygın UNIX Yazdırma Sistemi) kelimelerinin baş harflerinden oluşur.  Temel Görevi: Pardus gibi UNIX tabanlı işletim sistemleri için standart yazdırma sunucusudur. Bilgisayarınızdaki uygulamalardan (LibreOffice, tarayıcı vb.) gelen yazdırma isteklerini alır, bunları yazıcının anlayacağı dile (genellikle PCL veya PostScript) çevirir ve sıraya koyarak yazıcıya gönderir. Geliştirici: İlk olarak Michael Sweet tarafından geliştirildi, daha sonra Apple Inc. tarafından desteklendi ve günümüzde OpenPrinting topluluğu tarafından sürdürülüyor. Ağ Paylaşımı: CUPS'ın en güçlü yanlarından biri, bir yazıcıyı ağdaki diğer bilgisayarlara (Windows, macOS veya başka bir Linux) kolayca paylaştırabilmesidir. Yönetim Arayüzü: En karmaşık ayarları bile yapabilmenizi sağlayan, tarayıcı üzerinden çalışan yerel bir web arayüzüne sahiptir ( http://localhost:631 ). Pardus, Debian tabanlı olduğu için CUPS'ı varsayılan yazdırma sistemi ol...
Devamı