Antivirusler vs obfuscate edilmiş Ransomware

Selamlar, onceki konudan @winball501 arkadasimizin yazdigi Ransomware'yi smartassembly ile obfuscate ettim, sonuclar aşağıda;

Bu içeriği görüntülemek için üçüncü taraf çerezlerini yerleştirmek için izninize ihtiyacımız olacak.
Daha detaylı bilgi için, çerezler sayfamıza bakınız.


Tum moduller acik ve guncel sekilde test ettim. Kaspersky'nin heuristic algilamasi Norton ve BitDefender'dan daha kotuymus orasi belli oldu, Norton'un davranissalini en sonunda test edebildim ve engellemedi tahmin ettigim gibi.
Kaspersky icin ayri bir video daha cektim, internet acik sekilde test ettim hala engellemedi.

Bu içeriği görüntülemek için üçüncü taraf çerezlerini yerleştirmek için izninize ihtiyacımız olacak.
Daha detaylı bilgi için, çerezler sayfamıza bakınız.


Bu arada soyle bir şey yaptim yanlislikla, virus Smart-Assembly olmadan calismiyor ve bu yuzden ksn gibi teknolojileri gayet geciktirdi cunku sunucularda virusu acip analiz etmek icin gereken program kurulu olmuyor. Eger bu baska bir sekilde ve gelismis bir yontemle yapilirsa ksn gibi teknolojiler bypass edilerek geciktirilebilir.

1725109581913.png


1725109280509.png


14 saat once Kaspersky engelleyemiyordu, baska bir forumdan arkadas virusu Kaspersky'e yollamis ve su sekilde eklenmis veritabanina 4 saat once;

1725109516833.png


Heur dedigine bakmayin testte heuristic olarak tespit edemiyordu. Yani virus Ransomware tanimina uyuyor.

1725109607703.png


Bu arada virusu VirusTotal'da davranissal olarak analiz edemiyor cunku smartassembly olmadan calismiyor yani veri gonderemedi nasıl davrandigi konusunda :D

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com

Ben daha bir şey demiyorum antiviruslerin davranissal analizinin bu virusu engelleyememesine. Eger bulut teknolojisiyle calisiyor diyorsaniz davranissal analiz, o zaman davranissal analiz degildir. En azindan bu virusu kendi bilgisayarimizda Uber super CPU gucu kullanmadan analiz edebilir ve tespit edebilirdi.

@Dutchman @Fıratt10 @731001 @Mucize Kartal @Belysarius @winball501 @Malware.AI
 
Genişletmek için tıkla...
Malware.AI dedi:
Tamam o zaman Private'i Public yapıp uyarlayın laflarımı, aynı şeye çıkıyor olması lazım.
O anahtarı da yayarlar ayrıca bu şifreleme rastgele olmazsa, rastgele olup server bağlantısıyla geliştiriciye de gitmesi lazım.

RSA'nın şifreleme olduğunu biliyorum ancak araştıracağım, sonra yeniden dönerim.
Genişletmek için tıkla...
Eğer böyle bir testi tekrar yaparsanız lütfen AVG'yi de dahil eder misiniz test'e? @Dexter_Morgan31
 
Malware.AI dedi:
Tamam o zaman Private'i public yapıp uyarlayın laflarımı, aynı şeye çıkıyor olması lazım.
O anahtarı da yayarlar ayrıca bu şifreleme rastgele olmazsa, rastgele olup server bağlantısıyla geliştiriciye de gitmesi lazım.

RSA'nın şifreleme olduğunu biliyorum ancak araştıracağım, sonra yeniden dönerim.
Genişletmek için tıkla...

Yani normalde private keyi vermek yerine size bir yazilim veriyorlar private key ile desifre eden oda online calisiyor private anahtari serverden alip desifre ediyor desifre ettikten sonra yazilim kapaniyor. Bu sekilde key yollamaya gerek olmaz, key her zaman saldirganda kalir.
 
Son düzenleme:
Dutchman dedi:
Yaptığı işlem en çok yüzdelik olarak ransomware'e benziyor zira. Bir önceki konuda da 8-10 paragraf halinde anlatmıştım. Yüzdelik dilimde gerçekleştirdiği davranış ne ise, sezgisel tespite göre onu seçer.
Genişletmek için tıkla...
Hocam biz boyle tartisiyoruz da Ransomware dosyayi bozuyor zaten. Test ettim, Dosya metadata okuyan sitelerden dosyanin sifrelenmemis halini okuttum jpg falan dedi fotograf olculerini falan da gosterdi fakat sifrelenmis dosyada "Unknown extension" yazip pek bi sey gosteremiyorlar hatta hic bir sey. Yani tek bir C2 State kaliyor onu da soyle aciklayayim Ransomware'nin illa server'a key gondermesine gerek yok adam RSA ile yapar public key ile sifreler private key saldirganda kalir, 1 Tane key ile olmaz ki bir kisi alsa yaysa diyorsaniz onun da cozumu basit, Ransomware'ya ozel 30-50 tane anahtar olusturacaksiniz daha sonra Pseudo-Random ile aralarindan 1 tane key sececek, ransomware onun ile sifreleyecek, daha sonra sectigi key'e gore bir Decryption ID verecek ransomware mesela 2. sifreye denk gelenler "1A7K-82AT-28NU-9SD7" ID'sine sahip olacak ve parayi odedikten sonra saldirgana Decryption ID verecek, Saldirgan da ID'e bakarak dogru private key'i verecek, Tabii hemen verirse para kazanma olasiligi imkansiz'a yakin olur. Parayi kirdiktan sonra parayi odeyenlere vermesi lazim veya hic vermeyebilir, Vermek zorundaligi yok.
 
Dutchman hocam
Bu içeriği görüntülemek için üçüncü taraf çerezlerini yerleştirmek için izninize ihtiyacımız olacak.
Daha detaylı bilgi için, çerezler sayfamıza bakınız.
buradaki zararli yazilimdami fidye virusu tanimina uymuyor ve bir de anlattiginiz seylerin kaynagini sunmuyorsunuz kaynak sunarak anlatirsaniz cok sevinirim simdiden tesekkur ederim.

Bu arada videoda gordugumuz zararli yazilimi any run'da calistirmislar hicbir sekilde ag baglantisi kurmuyor bu yazilim.

kaynak Malware analysis CXK-NMSL V3.3.1.bat No threats detected | ANY.RUN - Malware Sandbox Online

Zararli yazilim hakkinda buldugum 1 kaynak : CXK NMSL Ransomware
 
Son düzenleme:
1726275903244.png

Arkadaslar gelismis bir ransomware yaptik. AES-RSA Birlesik.

Soyle calisiyor, AES-256 Uzerinden random bir key ile dosyalari sifreliyor ardindan Saldirgan'in RSA Public key'i ile bu Random KEY sifrelenip kurbana "Unique ID" olarak veriliyor, Kurban odeme yaptiktan sonra bu "Unique ID" olarak adlandirdigimiz sifreli key'i saldirgana veriyor. Saldirgan kendi bilgisayarindaki kendi private key'ini kullanan bir RSA Decryptor ile bu sifreli key'i cozup email yoluyla veriyor siz de Ransomware'ya girip cozuyorsunuz. Boylece ne bir key gonderimi oluyor ag uzerinden ne de bi bilgi gonderimi. Ayriyetten bir onceki mesajda bahsettigimiz key yayilmasi olayi da yok her kurbana bir random key.

Bu arada bellek uzerindeki sifirelenmemis random key'de gitsin diye bilgisayari otomatik yeniden baslatiyor.

@Dutchman Hocam ne dusunuyorsunuz yakinda test sonucunu paylasirim antiviruslerin %100'u dosyalari sifrelemesini engellemedi.

AVG Patladi bu arada, digerlerinden cok geride kaldi, nedenini test sonucunda gorursunuz.

@731001

@Mucize Kartal
 
Bir Ransomware'i runtime de engellemek o kadar da kolay bir şey değil çünkü belirli bir tespit vektör yok. Baktiginda dosyalara erişim ve icine bilgi yazmak bir vektor değildir. Icine yazılan (ransonlanmis veri) veriyi de ayırt edemezsin cunku her turlu veri tipini kullanabilir bir yazılım. Burada bakilmadi gereken ne kadar agresif davranislar gosterdigi ve statik API vs. analizidir. Hatirlarsaniz sisteme yuklendikten haftalar sonra calisan Google Translate gorunumlu backdoor tespit edilememisti ve bayağı bir duyan da olmustur. Şimdi bu ornekte statik analizde neye göre kaçındı? Runtime de neye göre kaçındı?
 
Dexter_Morgan31 dedi:
Eki Görüntüle 2309987
Arkadaslar gelismis bir ransomware yaptik. AES-RSA Birlesik.

Soyle calisiyor, AES-256 Uzerinden random bir key ile dosyalari sifreliyor ardindan Saldirgan'in RSA Public key'i ile bu Random KEY sifrelenip kurbana "Unique ID" olarak veriliyor, Kurban odeme yaptiktan sonra bu "Unique ID" olarak adlandirdigimiz sifreli key'i saldirgana veriyor. Saldirgan kendi bilgisayarindaki kendi private key'ini kullanan bir RSA Decryptor ile bu sifreli key'i cozup email yoluyla veriyor siz de Ransomware'ya girip cozuyorsunuz. Boylece ne bir key gonderimi oluyor ag uzerinden ne de bi bilgi gonderimi. Ayriyetten bir onceki mesajda bahsettigimiz key yayilmasi olayi da yok her kurbana bir random key.

Bu arada bellek uzerindeki sifirelenmemis random key'de gitsin diye bilgisayari otomatik yeniden baslatiyor.

@Dutchman Hocam ne dusunuyorsunuz yakinda test sonucunu paylasirim antiviruslerin %100'u dosyalari sifrelemesini engellemedi.

AVG Patladi bu arada, digerlerinden cok geride kaldi, nedenini test sonucunda gorursunuz.

@731001

@Mucize Kartal
Genişletmek için tıkla...
Kedişim maalesef hesabını kapattı. Pazar günü kapanacak. Daha detaylı sonucu ne zaman yayınlarsın hocam?
 
Dexter_Morgan31 dedi:
Eki Görüntüle 2309987
Arkadaslar gelismis bir ransomware yaptik. AES-RSA Birlesik.

Soyle calisiyor, AES-256 Uzerinden random bir key ile dosyalari sifreliyor ardindan Saldirgan'in RSA Public key'i ile bu Random KEY sifrelenip kurbana "Unique ID" olarak veriliyor, Kurban odeme yaptiktan sonra bu "Unique ID" olarak adlandirdigimiz sifreli key'i saldirgana veriyor. Saldirgan kendi bilgisayarindaki kendi private key'ini kullanan bir RSA Decryptor ile bu sifreli key'i cozup email yoluyla veriyor siz de Ransomware'ya girip cozuyorsunuz. Boylece ne bir key gonderimi oluyor ag uzerinden ne de bi bilgi gonderimi. Ayriyetten bir onceki mesajda bahsettigimiz key yayilmasi olayi da yok her kurbana bir random key.

Bu arada bellek uzerindeki sifirelenmemis random key'de gitsin diye bilgisayari otomatik yeniden baslatiyor.

@Dutchman Hocam ne dusunuyorsunuz yakinda test sonucunu paylasirim antiviruslerin %100'u dosyalari sifrelemesini engellemedi.

AVG Patladi bu arada, digerlerinden cok geride kaldi, nedenini test sonucunda gorursunuz.

@731001

@Mucize Kartal
Genişletmek için tıkla...
Şimdi tam teşekküllü bir ransomware olmuş, test sonucunu bekliyorum. Şimdilik VT, Hybrid-Analysis, FileScan, AnyRun, Intezer gibi platformlara yüklemeyin rapor paylaşmasın. Basit testi Jotti'den alın.

KS, ESET ve Bitdefender üzerindeki testleri standart ve agresif profil olacak şekilde de yaparsanız daha iyi olur. Test sırasında LiveGrid ve KSN gibi servisler de dosyanın paylaşılmasını sağlayabilir, rapor paylaşımı yapar. Onları da kapatın derim.
 
BlackJackS dedi:
Bir Ransomware'i runtime de engellemek o kadar da kolay bir şey değil çünkü belirli bir tespit vektör yok. Baktiginda dosyalara erişim ve icine bilgi yazmak bir vektor değildir. Icine yazılan (ransonlanmis veri) veriyi de ayırt edemezsin cunku her turlu veri tipini kullanabilir bir yazılım. Burada bakilmadi gereken ne kadar agresif davranislar gosterdigi ve statik API vs. analizidir. Hatirlarsaniz sisteme yuklendikten haftalar sonra calisan Google Translate gorunumlu backdoor tespit edilememisti ve bayağı bir duyan da olmustur. Şimdi bu ornekte statik analizde neye göre kaçındı? Runtime de neye göre kaçındı?
Genişletmek için tıkla...
Bu kadar yakalamasi zor bi ransomware degil. Otomatik dosyalara yaziyor iste yeterli yakalanmasi icin, Statik analizde yine hepsi tespit etmisti bu videoda Kaspersky haric. Runtime'da dosyalari sifreleyebildi herhangi bi uyari yok hic bir antivirus'de.
 

Benzer konular

Dexter_Morgan31
  • Makale
Antiviruslere karsi gelismis obfuscated ransomware saldirisi testi
Mesaj
6
Görüntüleme
801
Dexter_Morgan31
Dexter_Morgan31
Malware.AI
  • Makale
Modifiye edilmiş ransomware ile antivirüs testi
2 3 4
Mesaj
39
Görüntüleme
1.739
winball501
winball501
K
Trojan vs Ransomware
2
Mesaj
13
Görüntüleme
804
kodistur
K
A
  • Anket
Kaspersky vs Ransomware
2
Mesaj
15
Görüntüleme
1.514
AzPişmişKöfte
AzPişmişKöfte
Malware.AI
  • Makale
Ransomware (Sleep silindi) vs Antivirüsler (ReTest!)
2
Mesaj
16
Görüntüleme
696
Fıratt10
Fıratt10

Technopat Haberler

Yeni konular

Yeni mesajlar

Geri
Yukarı