Modifiye edilmiş ransomware ile antivirüs testi

Öncelikle söylemeliyim ki bu testler basit ve kullanıcı deneyimi sınıfına giren bir testtir. Çok profesyonellik veya bir AV-Comparatives testleri kadar detaylı olmasını beklemeyin, ancak elimden geleni yaptığımı söyleyebilirim. Yazdıklarım tamamen kişisel görüşlerim, eleştirilerim ve testlerimdir. Kendi bilgisayarınızda bu testleri yapmayın, bu test korumalı bir ortamda yapılmıştır. Farklı ürün sürümlerinde ve farklı tarihlerde/farklı durumlarda/farklı ayarlarda test sonuçları değişken olabilir. Eğer böyle bir test yapacaksanız sorumluluk tamamen size aittir. Bu test sadece bilgilendirme amaçlıdır. İstemeden yanlış bilgi verilmiş olabilir hatam varsa düzeltiniz.

EN ÖNEMLİ KISIM ve Ransomware'nin yapılış şekli:
Dostlar merhaba, TPSC'nin son ransomware videosunu gördüm ve test ettiği antivirüslere baktığımda genelde ev kullanıcısı için olmayan antivirüsleri kullandığını gördüm. Sadece BitDefender vardı orada olan.
Bende ona benzer bir düzenek yapmak istedim. Videodaki gibi 15 saniye dinamik ve davranışsal analizleri geçmek için sleep komutu kullandım.

Dosyaları ESET, AVG, BitDefender, Kaspersky ile test ettikten sonra VirusTotal'e koyacağım çünkü şimdi koyarsam testleri gerçekleştirene kadar insan dosyayı kendi analiz edip tespit yapabilir.
Stringler için XOR kullandım (çalıştırma sonrası). Sahte de olsa koda imza koydum. Işe yarayıp yaramayacağından emin olmamama rağmen Lazy Importer kullandım bazı yerlerde (çalıştırma sonrası). + olarak birden fazla paketleyici kullandım genel olarak AV'ler tarafından tespit edilmeyen.
Çok bilgim olmadığı için bazı Anti-Debugging teknikleri kullandım GH'dan bulduğum ve çalıştıklarından emin oldum. Dosyayı VM'de açacağım için Anti-VM/Sandbox kullanamadım.
Virüsü 3 gün civarında yaptım ve bitirdim.
C# ile yapıldı.

ÖNCEKİ KONU: AVG ve ESET 0,1,2,3,4.gün virüslerine karşı ufak çaplı ATP testi ve Xcitium/Comodo Valkyrie

ARAYÜZ:
1724087781931.png

1724087794256.png

Şifrele tuşuna basınca dosya şifreleniyor adı üzerinde.

1724087860484.png

Ve buda şifrelenmiş hali.

ILK TEST, KASPERSKY PLUS:

Kaspersky açıkken (dosya kalkanı vb..) bu .exe'i çalıştıracağım ve eğer tespit etmezse şifrele diyeceğim bakalım o zaman tespit ediyor mu?
1724089517672.png

Evet virüs bulmadı statik analizle. Şimdi açıp şifreleyince Sistem İzleyici uyaracak mı ona bakacağım.
15 saniye kadar bekledikten sonra dosya açıldı ve hala bir tespit yok.
1724088357905.png

1724088423172.png

Evet, tüm dosyalar şifrelendi ancak Kaspersky uyuyor 😀. Garip.
1724088479790.png

Ve gördüğünüz gibi dosyalar şifrelenmiş.

Kaspersky maleseff kaybetti.

BITDEFENDER TOTAL SECURITY:
BitDefender'dan umutluyum. Zira TPSC'nin videosunda bazılarını sildikten sonra tespit edebilmişti.
1724089657635.png

Evet yine statik olarak tespit edemedi, her neyse belki dinamik tespit eder.
1724089792408.png

Hala tespit yok bakalım şifrelerken tespit edecek mi?
1724089913450.png

Maleseff BitDefender'da cortladı, bu işin sonunda her halde hiç bir antivirüsü kullanamayacağız..

Eğer ki benim gibi biri bile bu antivirüsleri bu kadar kolay geçiyorsa bu antivirüsler ne işe yarıyor anlamış değilim. Sadece 3 günlük çalışmanın ardından bu virüsü yaptım ve yıllardır geliştirilen antivirüsler gerçekten bu kadar kolay mı geçiliyor?


AVG FREE:

1724090540318.png

Statik olarak bulamadı. Her neyse belki dinamik olarak tespit eder
1724090695030.png

Ve yine hüsran..

ESET:
Eki Görüntüle 2288756
1724091551227.png

Tespit etmedi, belki reaktif olarak tespit eder.
Eki Görüntüle 2288760
ESET'te bulamadı maleseff dosyayı ve test ettiğim hiç bir antivirüs bulamamış oldu. Dosyalar şifrelendi.

DOSYANIN VIRUSTOTAL'I:

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com

Sadece aralarından Windows Defender ve Sophos tespit edebilmiş adam akıllı olan antivirüsler olarak. Malwarebytes'de tespit edememiş ayrıca.

Neden olduğunu anlamadığım bir şekilde bazı dosyalar siteye yüklenememiş. En aşağıda "Dosya Ekleri" kısımında görebilirsiniz o kaybolmuş görselleri.
Tüm antivirüsler güncelken yapıldı bu testler.
@Fıratt10 @731001 @Mucize Kartal @Dexter_Morgan31
 

Dosya Ekleri

  • 1724091513097.png
    1724091513097.png
    273,8 KB · Görüntüleme: 35
  • 1724091753897.png
    1724091753897.png
    527 KB · Görüntüleme: 35
Son düzenleme:
Genişletmek için tıkla...
731001 dedi:
Anladım hocam, test ettiğin için çok teşekkürler :)
Genişletmek için tıkla...
Ne demek, yarın da bir aksilik çıkmazsa "Antivirüslere ATP testi" konusu geliyor. Payload hala tespit edilmemiş yani kullanmamda bir sakınca yok gibi bu yüzden yarın gibi kısa bir sürede yazabilirim bu konuyu da.
 
Normalde Malware Bazaar'da olsa dosya yayınlandıktan 5 dakika sonra veritabanlarına eklerlerdi. Şimdi hala bakıyorum hiç bir değişim yok VT sonucunda.

Diyecek söz yok.
(İnsan eliyle)
 

Ransomware (Sleep silindi) vs Antivirüsler (ReTest!)

Öncelikle söylemeliyim ki bu testler basit ve kullanıcı deneyimi sınıfına giren bir testtir. Çok profesyonellik veya bir AV-Comparatives testleri kadar detaylı olmasını beklemeyin, ancak elimden geleni yaptığımı söyleyebilirim. Yazdıklarım tamamen kişisel görüşlerim, eleştirilerim ve...
www.technopat.net www.technopat.net
Yenilenmiş hali burada, isteyen ikisine de bakabilir (bu testte geçerli sadece isteyen olursa buna da baksın her hangi bir değişiklik yok, sadece AV'lerin daha kolay tespit etmesi için bekletmesini kaldırdım yine hiç biri tespit edemedi).
 
Dexter_Morgan31 dedi:
Hocam peki @Malware.AI hocamizin yaptigi Ransomware testine ne diyorsunuz sizce dogru mu yaptigi test? Ransomware gibi davranmiyor bence Dosya sifreleyici gibi davraniyor ondan algilamadi hic bir antivirus. Butonla dosyayi secip kendi sifreliyor.
Genişletmek için tıkla...
Testte tespit edilememesinin ve VT üzerinden çoğunun Grayware/Obfuscate/PUA sonuçları almasının sebebi, bu aracın bir ransomware gibi davranmamasından kaynaklı. TPSC'nin yaptığı bir ransomware simülasyonu, tam anlamıyla bir ransomware değil.

Konuda bahsi geçen araç, dosyaları şifrelemiyor. Metin belgelerinin içerisindeki UTF-8, ASCII veya Unicode karakterleri belirli bir key kullanarak encode/decode ediyor. Bu internette aratılan base64 encode işlemine benzer. Dosya erişilebilir ve içerisindeki veri hala okunabilir durumda, fakat içeriği belirlenen keye göre değişiyor.

Örneğin benim de hem kişisel hem de iş sistemimde yazdığım bir araç var, kendi belirlediğim oldukça uzun bir key kullanarak önemli metin belgelerini konsoldan şifreliyor ve bunları asimetrik olarak yapıyor. AV yazılımları uyarmıyor çünkü bu basit bir şifreleme, fidye değil.

Ransomware yazılımlarının yaptığı şey, TPSC videosunda da görüldüğü üzere orijinal dosyanın bir kopyasını da içeren, bambaşka bir uzantıya sahip ve unique bir key ile çözülebilen şifreleme metodu. Bu metodda, orijinal dosya tamamen bozulur, corrupted olarak işaretlenir. Bu dosya başka bir araçla da çözülemez, okunamaz, açılamaz. İçeriği ne UTF-8'dir ne de Unicode. Orijinal dosya, decryption key gerektiren, bambaşka bir dosya uzantısına bürünmüş ve okunamaz durumda olan bir hale gelir.

Bu testte ise dosyaya ulaşmak mümkün, encode/decode yöntemleri yani UTF8 veya Unicode ile dosyalar rahatlıkla okunabiliyor, sadece içindeki metin değişiyor. Tıpkı dosyayı elle açıp, tek tek harfleri sezar cipher ile yeniden yazmak gibi. Bu yüzden de AV yazılımları ransomware olarak algılamıyor çünkü ransomware'ler bu şekilde çalışmıyor.

Ekleme yapayım, konudaki araç ile ransomware arasındaki fark, ransomware'in orijinal dosyayı da içeren yeni bir şifrelenmiş dosya oluşturması. İçeriği okunamaz olması. Sağ tık not defteri ile aç dediğinizde karşınıza gelen metin çoğu zaman şifrelenmiş içerik olmaz, okunamadığı için mümkün olan en generic hale dönüştürülmüş bir Unicode metin olur. Tıpkı normal bir exe dosyasını not defteri ile açmak gibi.
 
Dutchman dedi:
Testte tespit edilememesinin ve VT üzerinden çoğunun Grayware/Obfuscate/PUA sonuçları almasının sebebi, bu aracın bir ransomware gibi davranmamasından kaynaklı. TPSC'nin yaptığı bir ransomware simülasyonu, tam anlamıyla bir ransomware değil.

Konuda bahsi geçen araç, dosyaları şifrelemiyor. Metin belgelerinin içerisindeki UTF-8, ASCII veya Unicode karakterleri belirli bir key kullanarak encode/decode ediyor. Bu internette aratılan base64 encode işlemine benzer. Dosya erişilebilir ve içerisindeki veri hala okunabilir durumda, fakat içeriği belirlenen keye göre değişiyor.

Örneğin benim de hem kişisel hem de iş sistemimde yazdığım bir araç var, kendi belirlediğim oldukça uzun bir key kullanarak önemli metin belgelerini konsoldan şifreliyor ve bunları asimetrik olarak yapıyor. AV yazılımları uyarmıyor çünkü bu basit bir şifreleme, fidye değil.

Ransomware yazılımlarının yaptığı şey, TPSC videosunda da görüldüğü üzere orijinal dosyanın bir kopyasını da içeren, bambaşka bir uzantıya sahip ve unique bir key ile çözülebilen şifreleme metodu. Bu metodda, orijinal dosya tamamen bozulur, corrupted olarak işaretlenir. Bu dosya başka bir araçla da çözülemez, okunamaz, açılamaz. İçeriği ne UTF-8'dir ne de Unicode. Orijinal dosya, decryption key gerektiren, bambaşka bir dosya uzantısına bürünmüş ve okunamaz durumda olan bir hale gelir.

Bu testte ise dosyaya ulaşmak mümkün, encode/decode yöntemleri yani UTF8 veya Unicode ile dosyalar rahatlıkla okunabiliyor, sadece içindeki metin değişiyor. Tıpkı dosyayı elle açıp, tek tek harfleri sezar cipher ile yeniden yazmak gibi. Bu yüzden de AV yazılımları ransomware olarak algılamıyor çünkü ransomware'ler bu şekilde çalışmıyor.

Ekleme yapayım, konudaki araç ile ransomware arasındaki fark, ransomware'in orijinal dosyayı da içeren yeni bir şifrelenmiş dosya oluşturması. İçeriği okunamaz olması. Sağ tık not defteri ile aç dediğinizde karşınıza gelen metin çoğu zaman şifrelenmiş içerik olmaz, okunamadığı için mümkün olan en generic hale dönüştürülmüş bir Unicode metin olur. Tıpkı normal bir exe dosyasını not defteri ile açmak gibi.
Genişletmek için tıkla...
Hocam peki user-input olayina ne diyorsunuz? Bu aracda dosyayi secip kendiniz sifreliyorsunuz fakat Ransomware otomatik olarak calisiyor.
 
Dexter_Morgan31 dedi:
Hocam peki user-input olayina ne diyorsunuz? Bu aracda dosyayi secip kendiniz sifreliyorsunuz fakat Ransomware otomatik olarak calisiyor.
Genişletmek için tıkla...
O farketmez, eğer ransomware olsaydı baştan uygulamanın açılmasına izin verilmezdi. AV çalışma mantığında 3 farklı yöntem vardır. Yürütme sırasındaki analiz davranış analizini de içerir, 15 saniyelik bloklar koymak sadece tespiti geciktirir. Tabii kullanıcı girdisi olmadan şifreleyici yazılım çalışmıyorsa, burada AV gecikebilir.
 

Benzer konular

Dexter_Morgan31
  • Makale
Antivirusler vs obfuscate edilmiş Ransomware
2 3
Mesaj
29
Görüntüleme
1.671
Dexter_Morgan31
Dexter_Morgan31
Dexter_Morgan31
  • Makale
1399 virüs ile antivirüs veritabanı testi
Mesaj
7
Görüntüleme
961
Dexter_Morgan31
Dexter_Morgan31
Dexter_Morgan31
  • Makale
Antiviruslere karsi gelismis obfuscated ransomware saldirisi testi
Mesaj
6
Görüntüleme
801
Dexter_Morgan31
Dexter_Morgan31
Malware.AI
  • Makale
Ransomware (Sleep silindi) vs Antivirüsler (ReTest!)
2
Mesaj
16
Görüntüleme
696
Fıratt10
Fıratt10
T
312 virüsle antivirüs programlarının tespit oranı testi
Mesaj
6
Görüntüleme
275
Malware.AI
Malware.AI

Technopat Haberler

Yeni konular

Yeni mesajlar

Geri
Yukarı