Advanced malwarelar nasıl çalışıyor?

azx5 · Dün 19:55

Advanced yani ileri seviye, profesyonel malwarelar nasıl çalışıyor? Temel olarak yani mimari olarak tamamen undedect mi geliyor yani çok üst düzey antivirüs av/sandbox bypass tekniklerine mi sahipler?

Yani apt duzeyindekiler vs.

LiXR · Dün 20:04

azx5 dedi:
Advanced yani ileri seviye, profesyonel malwarelar nasıl çalışıyor? Temel olarak yani mimari olarak tamamen undedect mi geliyor yani çok üst düzey antivirüs av/sandbox bypass tekniklerine mi sahipler?

Yani apt duzeyindekiler vs.

İleri seviye Malware'lar zor bulunur veya hiç bulunmaz genelde kendini saklar.

azx5 · Dün 20:09

LiXR dedi:
İleri seviye Malware'lar zor bulunur veya hiç bulunmaz genelde kendini saklar.

Hocam bulma ile ilgili sormamistim.
Temel mantiklari normal malwarelara göre mimari farkını sormuştum

Kendini saklar derken evasion, bypass teknikleri olarak ne kullaniyorlar mesela 0day vs. Mi?

LiXR · Dün 20:11

azx5 dedi:
Hocam bulma ile ilgili sormamistim.
Temel mantiklari normal malwarelara göre mimari farkını sormuştum.

Kendini saklar derken evasion, bypass teknikleri olarak ne kullaniyorlar mesela 0day vs. mi?

Çok pardon Türkçe'dende düşük alıyorum zaten

0 gün açıklarını çok kullanıyorlar ki zaten açıklar sayesinde saklanıyorlar.

azx5 · Dün 20:13

LiXR dedi:
Çok pardon Türkçe'dende düşük alıyorum zaten 0 gün açıklarını çok kullanıyorlar ki zaten açıklar sayesinde saklanıyorlar.

Estağfurullah

Hocam bir de mesela 0day dışında evasion, bypass teknikleri normal malwarelara göre farkları ne
Hani mesela process injection diyelim Advanced bir malware bu noktada nasıl çalışır fark olarak

Lejant · Dün 20:16

Tamamen undetect diye bir şey yok. Tespit edilebilirlik büyük ölçüde sürece, insan faktörüne ve ortamın olgunluğuna bağlı. Malware’ın gidişatı bu noktada çok kritik. Özellikle kendi binary’lerini kullanmadan mevcut sistem araçlarını kullanan veya zaman gecikmeli aktivasyon gibi tekniklere sahip tehditler, tekil imzalardan ziyade uzun vadeli davranış korelasyonu ile yakalanabiliyor. Fazla detaylı anlatmam doğru olmayabilir. Virüs gidişatı fikri vermekten ban yiyebilirim.

LiXR · Dün 20:18

azx5 dedi:
Estağfurullah.

Hocam bir de mesela 0day dışında evasion, bypass teknikleri normal malwarelara göre farkları ne.
Hani mesela process injection diyelim Advanced bir malware bu noktada nasıl çalışır fark olarak.

Pek bilgim yok ancak kısaca Advanced Malware'ler sistem dosyası gibi kendini gösterir örneğin "System.exe" gibi az kaynak kullanır ama çok iş yapar belli olması zor olur.

azx5 · Dün 20:19

Lejant dedi:
Tamamen undetect diye bir şey yok. Tespit edilebilirlik büyük ölçüde sürece, insan faktörüne ve ortamın olgunluğuna bağlı. Malware'ın gidişatı bu noktada çok kritik. Özellikle kendi Binary'lerini kullanmadan mevcut sistem araçlarını kullanan veya zaman gecikmeli aktivasyon gibi tekniklere sahip tehditler, tekil imzalardan ziyade uzun vadeli davranış korelasyonu ile yakalanabiliyor. Fazla detaylı anlatmam doğru bilmiyorum. Ban sebebi olabilir.

Yani behavior analizden bahsediyorsunuz değil mi?
Modern av/sandboxlarin kullandığı yeni teknolojiler?
Ama klasik sistemlerin bu seviyede zararlıları algılama ihtimali bir kaynakta %0.1'den bile düşük olduğunu duymuştum bu doğru mu yoksa senaryoya ve duruma göre değişebilecek bir meselemi.
Tamamen ud yani fud kısmı samplein sisteme veya internete düşmeden önceki hali oluyor değil mi asıl Terim'in anlamı olarak yani her türlü sample internete düşerse tespit edilme ihtimali var mı?

LiXR dedi:
Pek bilgim yok ancak kısaca Advanced Malware'ler sistem dosyası gibi kendini gösterir örneğin "System.exe" gibi az kaynak kullanır ama çok iş yapar belli olması zor olur.

Hocam o dediğiniz process inj. Gibi yöntemleri bildiğim kadarıyla çok amatör seviyede olan şeyler bile kullanıyor yani lamerlarin oyuncağı olan meterpreter da bile bunu yapabiliyorsunuz normale göre fark ne konuda onu düşünüyorum

Ben daha çok en uç noktayı merak etmiştim

Teşekkürler.

LiXR · Dün 20:25

azx5 dedi:
Yani behavior analizden bahsediyorsunuz değil mi?
Modern av/sandboxlarin kullandığı yeni teknolojiler?
Ama klasik sistemlerin bu seviyede zararlıları algılama ihtimali bir kaynakta %0.1'den bile düşük olduğunu duymuştum bu doğru mu yoksa senaryoya ve duruma göre değişebilecek bir meselemi.
Tamamen ud yani fud kısmı samplein sisteme veya internete düşmeden önceki hali oluyor değil mi asıl Terim'in anlamı olarak yani her türlü sample internete düşerse tespit edilme ihtimali var mı?

Hocam o dediğiniz process inj. Gibi yöntemleri bildiğim kadarıyla çok amatör seviyede olan şeyler bile kullanıyor yani lamerlarin oyuncağı olan meterpreter da bile bunu yapabiliyorsunuz normale göre fark ne konuda onu düşünüyorum.

Ben daha çok en uç noktayı merak etmiştim.

Teşekkürler.

Rica ederim dediğim gibi pek bilmiyorum bir kursa gitmiştim devlet kursu oradan bildiklerimi anlattım. O gizleme yöntemi tam olarak öyle değil örneğin "System.exe"nin altında çalışıyormuş gibi yapmak.

azx5 · Dün 20:28

LiXR dedi:
Rica ederim dediğim gibi pek bilmiyorum bir kursa gitmiştim devlet kursu oradan bildiklerimi anlattım. O gizleme yöntemi tam olarak öyle değil örneğin "System.exe"nin altında çalışıyormuş gibi yapmak.

Işte hocam tam dediğim yöntem o
Process inj. Biraz bakabilirsiniz bu konuya

Bahsettiğiniz kurslar muhtemelen BTK vs.
Çok amatör seviyesinde oluyor çoğu script kiddie seviyesi maalesef Türkçe kaynaklar bu konuda çok çok az

Advanced malwarelar nasıl çalışıyor?

Ayrıntılı düzenleme

azx5

Femtopat

LiXR

Hectopat

azx5

Femtopat

LiXR

Hectopat

azx5

Femtopat

Lejant

Hectopat

LiXR

Hectopat

azx5

Femtopat

LiXR

Hectopat

azx5

Femtopat

Benzer konular

Bu konuyu görüntüleyen kullanıcılar

Technopat Haberler

Yeni konular

Yeni mesajlar

Gizliliğinize önem veriyoruz