Antivirusler vs obfuscate edilmiş Ransomware

Selamlar, onceki konudan @winball501 arkadasimizin yazdigi Ransomware'yi smartassembly ile obfuscate ettim, sonuclar aşağıda;

Bu içeriği görüntülemek için üçüncü taraf çerezlerini yerleştirmek için izninize ihtiyacımız olacak.
Daha detaylı bilgi için, çerezler sayfamıza bakınız.


Tum moduller acik ve guncel sekilde test ettim. Kaspersky'nin heuristic algilamasi Norton ve BitDefender'dan daha kotuymus orasi belli oldu, Norton'un davranissalini en sonunda test edebildim ve engellemedi tahmin ettigim gibi.
Kaspersky icin ayri bir video daha cektim, internet acik sekilde test ettim hala engellemedi.

Bu içeriği görüntülemek için üçüncü taraf çerezlerini yerleştirmek için izninize ihtiyacımız olacak.
Daha detaylı bilgi için, çerezler sayfamıza bakınız.


Bu arada soyle bir şey yaptim yanlislikla, virus Smart-Assembly olmadan calismiyor ve bu yuzden ksn gibi teknolojileri gayet geciktirdi cunku sunucularda virusu acip analiz etmek icin gereken program kurulu olmuyor. Eger bu baska bir sekilde ve gelismis bir yontemle yapilirsa ksn gibi teknolojiler bypass edilerek geciktirilebilir.

1725109581913.png


1725109280509.png


14 saat once Kaspersky engelleyemiyordu, baska bir forumdan arkadas virusu Kaspersky'e yollamis ve su sekilde eklenmis veritabanina 4 saat once;

1725109516833.png


Heur dedigine bakmayin testte heuristic olarak tespit edemiyordu. Yani virus Ransomware tanimina uyuyor.

1725109607703.png


Bu arada virusu VirusTotal'da davranissal olarak analiz edemiyor cunku smartassembly olmadan calismiyor yani veri gonderemedi nasıl davrandigi konusunda :D

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com

Ben daha bir şey demiyorum antiviruslerin davranissal analizinin bu virusu engelleyememesine. Eger bulut teknolojisiyle calisiyor diyorsaniz davranissal analiz, o zaman davranissal analiz degildir. En azindan bu virusu kendi bilgisayarimizda Uber super CPU gucu kullanmadan analiz edebilir ve tespit edebilirdi.

@Dutchman @Fıratt10 @731001 @Mucize Kartal @Belysarius @winball501 @Malware.AI
 
Genişletmek için tıkla...
731001 dedi:
Tam bir koruma yapabiliyorsunuz hocam, orada ayar var onu açınca tüm dosyaları koruyor. Ve buna tam koruma değil diyemezsiniz, normalde sadece belirli klasörleri koruyor (siz klasör ekleyebiliyorsunuz) ancak bir ayar var onu açınca tüm dosyaları koruyor. Bence şu anda test edersen yakalayacaktır zararlıyı. Acaba Bypass yöntemini anlatır mısınız bana da?
Genişletmek için tıkla...
Oyle bi ayar goremedim hocam, ByPass yontemini bana zaten @Malware.AI hocamiz anlatmisti. Burada yasaksa anlatmayayim.
 
Dutchman dedi:
Yaptığı işlem en çok yüzdelik olarak Ransomware'e benziyor zira. Bir önceki konuda da 8-10 paragraf halinde anlatmıştım. Yüzdelik dilimde gerçekleştirdiği davranış ne ise, sezgisel tespite göre onu seçer.

O halde normal, keza buna rağmen ransom olarak işaretlenmiş. Bu da dosyanın 3. faza girmesine gerek kalmadan kod bloklarının incelenebildiğini gösteriyor. Obfuscar gibi araçları da deneyin, open Source'da kaynak çok.
Genişletmek için tıkla...

Hocam Ransomware tanimina uymamasi neyi degistiriyor tam olarak? Davranissal analizin Ransomware tanimina uymadigi icin engellemedigini soylemeye calisiyorsaniz size soyle söyleyeyim biz bir obfuscate yazilimi ile obfuscate ettik ve bir sure bazi antiviruslerden kacmayi basardik simdi saglam bir Crypter ile bir adam Cryptlese boyle bir yazilimi ve algilanmayacak hale getirse sonra bir sirkete sirf verisel olarak zarar vermek icin bir guvenlik acigindan salsa o sirket zarara ugramaz mi verisel olarak hocam? Davranissal analizin bunu durdurmasi gerekmez mi hocam? Ben demiyorum davranissal analizide bypass ediyor Crypter veya obfuscate sadece gercek zamanli korumayi bypass ediyoruz ancak davranissal analiz bu yazilimi algilamiyor algilamasi gerekmez miydi hocam? Cunku davranissal analiz veritabani veya heuristic kullanmadan algilamasi icin degil mi hocam?
 
Merhabalar, ben yine de AVG'i test etmeniz gerektiğini düşünüyordum ancak etmemişsiniz problem değil.

Ayrıca Dutchman hocamızın "yaptığı işlemler en çok yüzdelik olarak Ransomware'e benzediği için öyle tespit ediyor" demesine de katılmıyorum maleseff. Çünkü KSN kendisi bile Ransomware demişti, File Encrypt gibi bir şey de diyebilirdi Ransomware yerine. Ancak KSN'de bakan kişi büyük ihtimalle kullanıcıyla alakalı hiç bir şey olmadan (user_input olayı) direkt dosyaları şifrelemeye başladığı için büyük ihtimalle Ransomware olarak yazdı yani biraz nötrüm bu konuda.

Ancak C2 bağlantısı kullanılsaydı/yapılsaydı ben tespit edeceklerini düşünüyorum. Çünkü bu yaptığınız bir şeye varmıyor, hiç bir şekilde de para kazanamıyorsunuz çünkü server'e decryption key gitmiyor yani sırf şifrelemek için şifrelemiş oluyorsunuz. Eğer programın içerisine direkt sabit kod eklerseniz de (kodu siz de biliyor olacaksınız ve şifrelerseniz para kazanacaksınız bu kodu satıp) büyük ihtimalle insanlar programa tersine mühendislik yapıp o kodu bulacak ve tüm dosyaları decrypt edecektir. Eğer rastgele bir decryption key oluşursa da siz de bilemeyeceğiniz için hiç bir şey kazanamayacaksınız ve para kazanamayacaksınız yani amaçsız olur bu.

Yani antivirüslerin tespit etmeme sebebi bunun amaçsız olması ve büyük ihtimalle bir kullanıcı verilerini korumak için şifrelediğini düşünmesi olabilir. Ancak ben şahsen uyarı verilseydi güzel olurdu diye düşünüyorum.
Biraz araştırdım bu konuyu ve böyle anladım belki yanlışım vardır bilen biri düzeltsin.
 
Malware.AI dedi:
Merhabalar, ben yine de AVG'i test etmeniz gerektiğini düşünüyordum ancak etmemişsiniz problem değil.

Ayrıca Dutchman hocamızın "yaptığı işlemler en çok yüzdelik olarak Ransomware'e benzediği için öyle tespit ediyor" demesine de katılmıyorum maleseff. Çünkü KSN kendisi bile Ransomware demişti, File Encrypt gibi bir şey de diyebilirdi Ransomware yerine. Ancak KSN'de bakan kişi büyük ihtimalle kullanıcıyla alakalı hiç bir şey olmadan (user_input olayı) direkt dosyaları şifrelemeye başladığı için büyük ihtimalle Ransomware olarak yazdı yani biraz nötrüm bu konuda.

Ancak C2 bağlantısı kullanılsaydı/yapılsaydı ben tespit edeceklerini düşünüyorum. Çünkü bu yaptığınız bir şeye varmıyor, hiç bir şekilde de para kazanamıyorsunuz çünkü server'e decryption key gitmiyor yani sırf şifrelemek için şifrelemiş oluyorsunuz. Eğer programın içerisine direkt sabit kod eklerseniz de (kodu siz de biliyor olacaksınız ve şifrelerseniz para kazanacaksınız bu kodu satıp) büyük ihtimalle insanlar programa tersine mühendislik yapıp o kodu bulacak ve tüm dosyaları decrypt edecektir. Eğer rastgele bir decryption key oluşursa da siz de bilemeyeceğiniz için hiç bir şey kazanamayacaksınız ve para kazanamayacaksınız yani amaçsız olur bu.

Yani antivirüslerin tespit etmeme sebebi bunun amaçsız olması ve büyük ihtimalle bir kullanıcı verilerini korumak için şifrelediğini düşünmesi olabilir. Ancak ben şahsen uyarı verilseydi güzel olurdu diye düşünüyorum.
Biraz araştırdım bu konuyu ve böyle anladım belki yanlışım vardır bilen biri düzeltsin.
Genişletmek için tıkla...
C2 Baglantisi RSA ile sifreleyen fidye viruslerinde zaten olmasina gerek yok private key zaten zararli yazilimi gelistirenin elinde bulununyor ve fidye virusu bilgisayar bilgisayar gezip public key ile sifreliyor e bunuda algilamaz o zaman o mantiga gore?

Malware.AI dedi:
Merhabalar, ben yine de AVG'i test etmeniz gerektiğini düşünüyordum ancak etmemişsiniz problem değil.

Ayrıca Dutchman hocamızın "yaptığı işlemler en çok yüzdelik olarak Ransomware'e benzediği için öyle tespit ediyor" demesine de katılmıyorum maleseff. Çünkü KSN kendisi bile Ransomware demişti, File Encrypt gibi bir şey de diyebilirdi Ransomware yerine. Ancak KSN'de bakan kişi büyük ihtimalle kullanıcıyla alakalı hiç bir şey olmadan (user_input olayı) direkt dosyaları şifrelemeye başladığı için büyük ihtimalle Ransomware olarak yazdı yani biraz nötrüm bu konuda.

Ancak C2 bağlantısı kullanılsaydı/yapılsaydı ben tespit edeceklerini düşünüyorum. Çünkü bu yaptığınız bir şeye varmıyor, hiç bir şekilde de para kazanamıyorsunuz çünkü server'e decryption key gitmiyor yani sırf şifrelemek için şifrelemiş oluyorsunuz. Eğer programın içerisine direkt sabit kod eklerseniz de (kodu siz de biliyor olacaksınız ve şifrelerseniz para kazanacaksınız bu kodu satıp) büyük ihtimalle insanlar programa tersine mühendislik yapıp o kodu bulacak ve tüm dosyaları decrypt edecektir. Eğer rastgele bir decryption key oluşursa da siz de bilemeyeceğiniz için hiç bir şey kazanamayacaksınız ve para kazanamayacaksınız yani amaçsız olur bu.

Yani antivirüslerin tespit etmeme sebebi bunun amaçsız olması ve büyük ihtimalle bir kullanıcı verilerini korumak için şifrelediğini düşünmesi olabilir. Ancak ben şahsen uyarı verilseydi güzel olurdu diye düşünüyorum.
Biraz araştırdım bu konuyu ve böyle anladım belki yanlışım vardır bilen biri düzeltsin.
Genişletmek için tıkla...
1725126661538.png

Burada bu sekilde anlattim nasil calistiklarini.
 
Malware.AI dedi:
Ancak C2 bağlantısı kullanılsaydı/yapılsaydı ben tespit edeceklerini düşünüyorum. Çünkü bu yaptığınız bir şeye varmıyor, hiç bir şekilde de para kazanamıyorsunuz çünkü server'e decryption key gitmiyor yani sırf şifrelemek için şifrelemiş oluyorsunuz. Eğer programın içerisine direkt sabit kod eklerseniz de (kodu siz de biliyor olacaksınız ve şifrelerseniz para kazanacaksınız bu kodu satıp) büyük ihtimalle insanlar programa tersine mühendislik yapıp o kodu bulacak ve tüm dosyaları decrypt edecektir. Eğer rastgele bir decryption key oluşursa da siz de bilemeyeceğiniz için hiç bir şey kazanamayacaksınız ve para kazanamayacaksınız yani amaçsız olur bu.
Genişletmek için tıkla...
Amacsiz degil ki? Zarara ugratmak icin gayet iyi. Ayriyetten RSA Sifreleme algoritmasiyla sifreleseydik sifreyi gondermemize de gerek kalmazdi.
 
winball501 dedi:
C2 Baglantisi RSA ile sifreleyen fidye viruslerinde zaten olmasina gerek yok private key zaten zararli yazilimi gelistirenin elinde bulununyor ve fidye virusu bilgisayar bilgisayar gezip public key ile sifreliyor e bunuda algilamaz o zaman o mantiga gore?
Genişletmek için tıkla...
Tamamdır da şifrelerken de bir key üretiyor ya bu Ransomware. Bu key sabit (ve programın içerisinde) olursa tersine mühendislikle bulunur diyorum. Eğer rastgele olursa da servere gitmediği için bu şifre siz de bilmiyor oluyorsunuz şifreyi ve para veren kullanıcıların dosyalarının şifrelemesini açamıyoruz.

Dexter_Morgan31 dedi:
Amacsiz degil ki? Zarara ugratmak icin gayet iyi. Ayriyetten RSA Sifreleme algoritmasiyla sifreleseydik sifreyi gondermemize de gerek kalmazdi.
Genişletmek için tıkla...
Zarara uğratmak için gayet iyi haklısınız bu konuda. Amaç sırf zararsa gayet iyi.
 
Malware.AI dedi:
Tamamdır da şifrelerken de bir key üretiyor ya bu Ransomware. Bu key sabit (ve programın içerisinde) olursa tersine mühendislikle bulunur diyorum. Eğer rastgele olursa da servere gitmediği için bu şifre siz de bilmiyor oluyorsunuz şifreyi ve para veren kullanıcıların dosyalarının şifrelemesini açamıyoruz.


Zarara uğratmak için gayet iyi haklısınız bu konuda. Amaç sırf zararsa gayet iyi.
Genişletmek için tıkla...
Public key ile sifreliyor yazilim ve bu anahtar ile desifre edemezsiniz dosyalari private keyde zaten yazilimi gelistirende olur yazilimin herhangi bir kodunun icerisinde bulunmaz ve anahtar kisiye email uzerinden verilir.

Malware.AI dedi:
Tamamdır da şifrelerken de bir key üretiyor ya bu Ransomware. Bu key sabit (ve programın içerisinde) olursa tersine mühendislikle bulunur diyorum. Eğer rastgele olursa da servere gitmediği için bu şifre siz de bilmiyor oluyorsunuz şifreyi ve para veren kullanıcıların dosyalarının şifrelemesini açamıyoruz.


Zarara uğratmak için gayet iyi haklısınız bu konuda. Amaç sırf zararsa gayet iyi.
Genişletmek için tıkla...
RSA Algoritmasini arastirsaniz?
 
winball501 dedi:
Public key ile sifreliyor yazilimi ve bu anahtar ile desifre edemezsiniz dosyalari private keyde zaten yazilimi gelistirende olur yazilimin herhangi bir kodunun icerisinde bulunmaz ve anahtar kisiye email uzerinden verilir.


RSA Algoritmasini arastirsaniz?
Genişletmek için tıkla...
Hatayi duzelteyim bu "public key ile sifreliyor" dedigi sadece bir ornek, bizim yazilim oyle yapmiyor ama yapsa ise yarar anlaminda demek istemis arkadasimz.
 
winball501 dedi:
Public key ile sifreliyor yazilimi ve bu anahtar ile desifre edemezsiniz dosyalari private keyde zaten yazilimi gelistirende olur yazilimin herhangi bir kodunun icerisinde bulunmaz ve anahtar kisiye email uzerinden verilir.
Genişletmek için tıkla...
Tamam o zaman Private'i Public yapıp uyarlayın laflarımı, aynı şeye çıkıyor olması lazım.
O anahtarı da yayarlar ayrıca bu şifreleme rastgele olmazsa, rastgele olup server bağlantısıyla geliştiriciye de gitmesi lazım.

RSA'nın şifreleme olduğunu biliyorum ancak araştıracağım, sonra yeniden dönerim.
 

Benzer konular

Dexter_Morgan31
  • Makale
Antiviruslere karsi gelismis obfuscated ransomware saldirisi testi
Mesaj
6
Görüntüleme
801
Dexter_Morgan31
Dexter_Morgan31
Malware.AI
  • Makale
Modifiye edilmiş ransomware ile antivirüs testi
2 3 4
Mesaj
39
Görüntüleme
1.748
winball501
winball501
K
Trojan vs Ransomware
2
Mesaj
13
Görüntüleme
805
kodistur
K
A
  • Anket
Kaspersky vs Ransomware
2
Mesaj
15
Görüntüleme
1.514
AzPişmişKöfte
AzPişmişKöfte
Malware.AI
  • Makale
Ransomware (Sleep silindi) vs Antivirüsler (ReTest!)
2
Mesaj
16
Görüntüleme
696
Fıratt10
Fıratt10

Technopat Haberler

Yeni konular

Yeni mesajlar

Geri
Yukarı