Haklısınız bu konuda.
Çoğunlukla aynı fikirdeyiz zaten hocam. Ama işte antivirüsler biraz değişik davranabiliyor. Birisinin yakaladığını diğeri yakalayamıyor ama başka bir malware'de tam tersi olabiliyor falan. ESET gerçekten çuvallamış attığın videoda, ama ben hobi olarak kendim malware geliştiren birisi olarak çok rahat söyleyebilirim ki ev kullanıcılarına yönelik (stealer, RAT, keylogger) tarzı malware'lerde Kaspersky ve ESET beni en çok zorlayan ikili. Tabii ki o ikisi de geçilebiliyor ama en azından daha çok uğraştırıyorlar. Ransomware'de o kadar iyi değimiş ama ESET onu görmüş olduk. Sıralamada bir diğer katılmadığım nokta Windows Defender. Microsoft sözde "Tamper Protection" ile PowerShell'den gerçek zamanlı korumanın kapatılmasını engelliyor ama komple C diskinin dışlama listesine alınmasına karışmıyor. Yani aslında çok zor değil, 30 satırlık bir downloader kodu bile bypasslıyor. Manifest dosyasından UAC promptu çıkarırsın (ki herkes buna evet diyor çoğu kişi ne olduğunu bile bilmiyor.) O da önce PowerShell'den bir klasörü dışlamaya alır. Sonra da asıl zararlıyı o klasörün içine indirir ve çalıştırır. Bir tur hazır obfuscation aracına atınca bile statik analizde geçiyor zaten. Defender'a karşı aslında atlatmaya bile gerek yok. Direkt yok sayabiliyoruz yani. Defender'ı geçmek için sıfırdan bir şey yazmaya bile gerek yok. İnternetten bulduğu açık kaynak kodlu hazır RAT'ı bile geçirebilir herkes. Bu yüzden sıralamada olması bile onun için büyük başarı bence
Kaspersky sezgisel alanda en iyi.Çoğunlukla aynı fikirdeyiz zaten hocam. Ama işte antivirüsler biraz değişik davranabiliyor. Birisinin yakaladığını diğeri yakalayamıyor ama başka bir malware'de tam tersi olabiliyor falan. ESET gerçekten çuvallamış attığın videoda, ama ben hobi olarak kendim malware geliştiren birisi olarak çok rahat söyleyebilirim ki ev kullanıcılarına yönelik (stealer, RAT, keylogger) tarzı malware'lerde Kaspersky ve ESET beni en çok zorlayan ikili. Tabii ki o ikisi de geçilebiliyor ama en azından daha çok uğraştırıyorlar. Ransomware'de o kadar iyi değimiş ama ESET onu görmüş olduk. Sıralamada bir diğer katılmadığım nokta Windows Defender. Microsoft sözde "Tamper Protection" ile PowerShell'den gerçek zamanlı korumanın kapatılmasını engelliyor ama komple C diskinin dışlama listesine alınmasına karışmıyor. Yani aslında çok zor değil, 30 satırlık bir downloader kodu bile bypasslıyor. Manifest dosyasından UAC promptu çıkarırsın (ki herkes buna evet diyor çoğu kişi ne olduğunu bile bilmiyor.) O da önce PowerShell'den bir klasörü dışlamaya alır. Sonra da asıl zararlıyı o klasörün içine indirir ve çalıştırır. Bir tur hazır obfuscation aracına atınca bile statik analizde geçiyor zaten. Defender'a karşı aslında atlatmaya bile gerek yok. Direkt yok sayabiliyoruz yani. Defender'ı geçmek için sıfırdan bir şey yazmaya bile gerek yok. İnternetten bulduğu açık kaynak kodlu hazır RAT'ı bile geçirebilir herkes. Bu yüzden sıralamada olması bile onun için büyük başarı bence
Artık her şey çok sofistike oldu. Günümüzde Antivirüse de VirusTotal'e de güvenmek hata olur. Boş zamanımda malware analizi yaptığım oluyor. Bir tanesinden örnek vereyim mesela, ilk gördüğümde oldukça içine çekmişti beni. Yaklaşık 3 stage'den oluşuyor. İlk exe dosyası kurbanın açacak olduğu exe dosyası, fakat aslında tek başına hiçbir şey yapmıyor. Çalışması için ZIP dosyasının içindeki png'nin metadatasında saklı olan Key'i çekmesi lazım. Yani bu ZIP dosyasını VirusTotal'e atınca sandox'da exe dosyasını izole olarak çalıştırınca zararlı hiçbir faaliyette bulunmuyor. Dolayısıyla VırusTotal sonucu 2/72 tarzında çoğumuzun False Positive abi bu diyebileceğimiz bir sonuçtu o zaman. Yapacağı eylemler içerisinde statik olarak dahi bulunmuyordu. Program çalışınca bir Instagram postundan payload çekiyordu. Bu oldukça mantıklı bir hamle. Instagram trafiği oldukça meşru olarak görülebilir. Payloadın yaptığı şey obfuscate edilmiş bir bat dosyası indirmek ve onu çalıştırmak. Hatta obfuscate edildiği aracın linkini de bırakayım : Link. Oldukça güçlü bu araç çünkü hem dışarıdan bakınca hiçbir şekilde anlaşılamıyor hem de deobfuscate etmesi oldukça zor. Bu bat dosyası da sistemde python'ın yüklü olup olmadığını kontrol ediyor. Eğer yüklü değilse embeded versiyonunu indiriyor ve daha sonra internetten çektiği obfuscate edilmiş python scriptini o embededd versiyon ile çalıştırıyor. Buradaki kritik nokta şu : Python interpreter bir dil olduğu için güzel obfuscate edilmişse "derlenmemiş" bir Python scriptini antivirüslerin yakalaması çok zor. Çünkü bu işlemlerin gerçekleştiği process, meşru olan Python.exe oluyor. Gerek VırusTotal sonucunu manipüle ederek kurbanın çalıştırma ihtimalini oldukça arttırması, gerekse Instagram gibi meşru gözükebilecek bir siteden payload çekmesi oldukça zekice hazırlanmış bir senaryoydu. Aslında Ransomware gibi bariz şekilde agresif davranış gerektiren zararlıların da geçmesi için bu şekilde yapılmalı. Bir saniyede 100'lerce dosya şifrelersen herhalde yakalanırsın. Yavaş yavaş, gerekirse koordineli bir şekilde gitmeli. Zaten günümüzdeki APT gruplarının, devlet destekli hacker gruplarının da yaptığı tam olarak bu. Bu adamların hazır ransomware'i mailden gelen exe ile dağıtmayacağı aşikar. Önce güzel bir exploitle, mesela 2021'de Office Word'de çıkan bir zaafiyet docx dosyasının korumalı görünümde açılmış olmasına rağmen arka planda saldırganın komut çalıştırabilmesine olanak sağlıyordu. Önce bir sisteme sızarlar, daha sonra yavaş yavaş ağda yayılırlar ve ransomware aşamasında tüm makinelere aynı anda koordineli bir şekilde saldırırlar. Yani en azından ben öyle olduğunu düşünüyorum. IDS, IPS, EDR gibi güvenlik yazılımlarını atlatmak öyle kolay olmayacaktır.
Sanırım gelişmiş kötü amaçlı yazılım tabiri bu olsa gerek. Gerçekten çok iyi programlanmış, sofistike bir zararlı türü. Kendi başına zararlı eylem yürütmemesi Pre-Infection anında tespiti oldukça zorlaştırmış. Merak ettiğim şey şu: Acaba Kaspersky System Watcher bu zararlıyı tespit edebilir mi?
Hayır, bu malware'i Kaspersky Premium kullanıp da tüm hesapları çalınan bir arkadaş yemişti. Yani yakalayamamış. Ben çalıştırdığı dosyayı analiz etmek için istemiştim, oradan biliyorum. Diğer antivirüslere karşı nasıl olurdu bilemiyorum ama yakalanabileceğini zannetmiyorum. Çünkü o dediğim nokta kritik. Antivirüslerin en zayıf olduğu noktalardan birisi de işte bu obfuscate edilmiş ve derlenmemiş Python scriptleri. Yapan eleman tam olarak nereden saldırması gerektiğini çok iyi keşfetmiş. Tüm işlemler meşru sayılabilecek bir process olan Python.exe üzerinde gerçekleşiyor. Ki zaten o Python scripti de deobfuscate edilmemesi için günlerce uğraşılmış bir şeydi yani tam olarak ne yaptığını bulamadım bile. Ama arkadaşın hesapları çalındığına göre muhtemelen bir stealer'dı. He böyle bir şeyi yediği için birini suçlamaya gerek yok. Sonuçta VirusTotal'e atıyorsun 2 tane adı sanı bilinmeyen motor uyarı veriyor, false positive diyip geçiyorsun. En kötü sistemde güçlü bir antivirüs var bir şey olmaz deyip çalıştırıyorsun, ama işte işler umduğun gibi gitmiyor...
