Öncelikle söylemeliyim ki bu testler basit ve kullanıcı deneyimi sınıfına giren bir testtir. Çok profesyonellik veya bir AV-Comparatives testleri kadar detaylı olmasını beklemeyin, ancak elimden geleni yaptığımı söyleyebilirim. Yazdıklarım tamamen kişisel görüşlerim, eleştirilerim ve testlerimdir. Kendi bilgisayarınızda bu testleri yapmayın, bu test korumalı bir ortamda yapılmıştır. Farklı ürün sürümlerinde ve farklı tarihlerde/farklı durumlarda/farklı ayarlarda test sonuçları değişken olabilir. Eğer böyle bir test yapacaksanız sorumluluk tamamen size aittir. Bu test sadece bilgilendirme amaçlıdır. İstemeden yanlış bilgi verilmiş olabilir hatam varsa düzeltiniz.
GİRİŞ:
Merhabalar, zaten bu kısımları kimse okumayacağı için hızlıca geçiyorum. İnsanlarımız genelde görsellere bakmayı tercih ediyorlar metinleri okumaktansa ancak yine de kısa bir açıklama yapayım;
Dosyaların hepsini "Malware Bazaar" sitesinden aldım, biliyorsunuz Malware Bazaar sitesindeki tüm dosyalar virüslü olmayabiliyor o yüzden özellikle virüslü olmalarına dikkat ettim.
Dosyaları tespit edemedikleri durumlarda AVG'nin "Davranış Kalkanı ve CyberCapture", ESET'in "HIPS" özelliklerini de test edeceğim. Ve ikiside default ayarlarda, ekstra bir ayar yapmadım.
Olabildiğince az görsel kullanacağım konunun uzun olmaması için.
Dosyalara hem VirusTotal ile hemde Comodo/Xcitium Valkyrie hizmetiyle bakacağım.
TEST:
1:
AVG tespit ederken ESET tespit edemedi ilk dosyayı.
Dosya ismi: Setup_WM.exe ve Windows Media Player simgesi var ancak kurulumla alakası yok. Comodo/Xcitium Valkyrie sonucu Malware. VirusTotal davranışsal analiz sonucu 2 Malware 1 Spreader.
15-20 dakika beklemenin ardından ESET LiveGuard sayesinde (?) dosya tespit edildi. A Variant Of Generik.BPNCBNW şeklinde. HIPS tespit edemedi.
2:
AVG ve ESET'te dosyayı tespit etti, ancak ESET Themida/Winlicense açıklamasıyla tespit etti, yani dosyanın içerisinde virüs olup olmadığını değil neyle paketlendiğini/şifrelendiğini söylemek için uyarı verdi. Comodo/Xcitium Valkyrie sonucu BotNet. VirusTotal davranışsal analiz sonucu 4 Malware, 1 Trojan, 2 Evader.
3:
AVG ve ESET'te dosyayı tespit etti. Comodo/Xcitium Valkyrie sonucu AutoIT.Injector (Malware),,. VirusTotal davranışsal analiz sonucu 5 Malware, 1 Spreader, 2 Stealer, 1 Trojan, 1 Evader.
4:
AVG ve ESET'te dosyayı tespit etti, AVG sezgisel (?) tespit etti ancak ESET veritabanından tespit (?) etti. Comodo/Xcitium Valkyrie sonucu Malware. VirusTotal davranışsal analiz sonucu 5 Malware, 1 Trojan, 1 Evader, 1 Stealer.
5:
AVG ve ESET'te dosyayı tespit etti, AVG RATX olarak tam doğru tespit yaparken ESET Kyptik diye tespit etti. Comodo/Xcitium Valkyrie sonucu Malware. VirusTotal davranışsal analiz sonucu 4 Malware, 2 Stealer, 1 Trojan, 1 Evader.
6:
AVG ve ESET'te dosyayı tespit etti, Comodo/Xcitium Valkyrie sonucu Malware Trojan.Generic, VirusTotal davranışsal analiz sonucu 4 Malware, 2 Stealer, 1 RAT, 1 Evader, 1 Trojan.
7:
AVG ve ESET'te dosyayı tespit etti, Comodo/Xcitium Valkyrie sonucu Malware. VirusTotal davranışsal analiz sonucu 2 Malware, 1 Trojan, 1 Evader.
8:
AVG ve ESET dosyayı tespit edemedi (davranışsal dahil), 7 saatlik bekleyişin ardından ikiside veritabanına bu dosyayı ekledi. İlk ekleyen ESET oldu. Comodo/Xcitium Valkyrie sonucu Unknown/Çözümlenemeyen oldu ve şu anda insan testi için bekliyor. VirusTotal davranışsal analiz sonucu 2 Malware, 1 Stealer, 1 RAT, 1 Evader, 1 Trojan.
9:
AVG dosyayı tespit edemedi, davranış kalkanı da tespit edemedi, ESET etti. Comodo/Xcitium Valkyrie sonucu Unknown. VirusTotal davranışsal analiz sonucu 1 Malware.
10:
AVG ve ESET dosyayı tespit edemedi ancak AVG'nin davranış kalkanı dosyayı tespit ederken (IDP.Generic) ESET tespit edemedi. Comodo/Xcitium Valkyrie sonucu Unknown. VirusTotal davranışsal analiz sonucu 3 Malware, 1 Stealer, 1 Evader, 1 Trojan, 1 Spreader.
11:
AVG dosyayı davranışsal olarak, ESET ise veritabanından tespit etti. Comodo/Xcitium Valkyrie sonucu statik analizden virüs tespit etti. VirusTotal davranışsal analiz sonucu 1 Spreader.
12,13,14:
AVG ve ESET'te dosyaları tespit etti, Comodo/Xcitium Valkyrie sonucu 1 Unknown (Statik ve Dinamik Analizleri yapamadı, failed yazıyor ve hiç bir bilgi de vermiyor dosya hakkında), 2 Malware (Trojan.Generic). VirusTotal davranışsal analiz sonucu sırasıyla
1; 2 RAT, 1 Trojan, 1 Malware.
2; 3 Malware, 1 Spreader.
3; 2 Evader, 1 RAT, 1 Spreader, 1 Trojan.
15:
AVG tespit etti, ESET dosyayı tespit etmedi ancak arkada çalışmasına da izin vermedi (sanırım güvenlik duvarı engelledi veya farklı bir şey) (dosya normal şartlar altında çalışıyor denedim). Comodo/Xcitium Valkyrie sonucu Backdoor/Malware. VirusTotal davranışsal analiz sonucu (sadece CAPA adı verilen Sandbox baktı (bir tane daha Sandbox baktı "Reanalyze" tuşuna tıkladığımda sebebini anlayamadığım şekilde) dosyaya ve çok uzun sürdü) bir şey tespit etmedi sadece "Mitre Tactics" uyarıları verdi.
16:
AVG ve ESET'te dosyayı tespit etti. Comodo/Xcitium Valkyrie sonucu "No Threat Found" yani virüs bulunamadı şeklinde oldu (?). VirusTotal davranışsal analiz sonucu 1 Spreader, 1 Trojan.
17:
Bu aslında 1 dosyalık False-Positive testi için baktım, dosya virüslü değil ancak test etmek istedim yine de, ikiside tespit etmedi ama Norton dosyayı ML.Attribute.HighConfidence olarak ve BitDefender'da Trojan.Trojan.Generic olarak tespit etti. Comodo/Xcitium sonucu ise çıkmadı, yaklaşık 2 saat boyunca dosyayı analiz edince takip etmeyi bıraktım (şuan baktım tehdit bulunmadı yazıyor). VirusTotal davranışsal analiz sonucu 1 Malware.
18:
AVG ve ESET dosyayı tespit edemedi, AVG için davranışsal tespit eder mi testi yapayım derken dosyayı açtığım gibi Memz trojanında olduğu gibi ekranın renkleri sürekli değişmeye başladı, epilepsi hastaları için birebir
Comodo/Xcitium Valkyrie beni bu dosya da şaşırttı. Bir de Ikarus adlı antivirüs BadJoke olarak tespit etti (kötü şaka).
19:
Yine bir False-Positive testi, dosyanın PUA veya hiç tespit edilmemesi gerek normal şartlarda. Dosya NeverLose adı verilen CSGO/CS2 hile şirketinin Loader'ı, HvH oynayanlar arasında popüler daha çok (Hack vs Hack). AVG Evo-Gen.TRJ olarak tespit ederken ESET tespit etmedi. Yani burada puan ESET'e gidiyor. Comodo/Xcitium Valkyrie sonucu No Threat Found. VirusTotal davranışsal analiz sonucu 1 Malware.
20,21,22,23,24,25:
Ransomware testi, 5 tane en yeni dosyaları topladım. Tahmin edilebileceği gibi 5'i de tespit edildi. Comodo/Xcitium Valkyrie'de Malware olarak buldu hepsini. VirusTotal davranışsal analiz sonuçları
1; 1 Malware.
2; 3 Spreader, 1 Malware.
3; 1 Evader, 1 Malware.
4; 2 Malware.
5; 1 Spreader, 1 Evader.
26:
GLManager'ın yeni çıkmış olan ve bilinmeyen Standoff2 sürümü testi, bu virüs aslında bir trojan işlevi görüyor. Dosya imzalı olduğu için GeeseLand Developers tarafından zamanında Kaspersky, BitDefender Avast vb. çok büyük antivirüslerin hiç biri tespit edememişti. Norton, ESET ve Comodo/Xcitium hariç.
Bu Standoff2 aslında fan yapımı gibi bir şey ve sadece rebranding uygulanmış hali gibi düşünebilirsiniz. ESET yine buldu ancak AVG bulamadı.
Ayrıca bu virüs kendi Driver'ını oluşturduğu ve kendi adına servis açtığı için tespit edilmesi daha zor oluyordu. ESET Standoff2.exe ve altındaki driverler/servisler dahil her şeyi tespit ederken AVG hiç bir şey tespit edemedi (taskeng.exe dışında)
Comodo/Xcitium'da bu dosyayı tespit edememişti ama Auto-Containment özelliği sayesinde dosyayı Sandbox ortamında çalıştırdığı için hiç bir driver/servis yükleyememişti ve yeniden başlattığınızda tüm her şey silinmiş oluyordu.
Şu anda Comodo/Xcitium Valkyrie sonucu Malware. VirusTotal davranışsal analiz sonucu ise 2 Evader, 1 Spreader olarak gözükmekte.
27,28:
AVG ve ESET'te dosyaları tespit etti. Comodo/Xcitium Valkyrie sonucu 2 Malware. VirusTotal davranışsal analiz sonucu ikisinde de 2 Malware, 1 Trojan.
29:
AVG dosyayı tespit edemedi, ESET tespit etti ancak AVG davranışsal olarak tespit etti. Comodo/Xcitium Valkyrie sonucu Unknown (bazı dosyalarda nedense analiz yapamıyor statik vb. olarak). VirusTotal davranışsal analiz sonucu 1 Spreader, 1 Malware.
30:
Son dosyayı özellikle keylogger seçtim. Garip bir şekilde AVG ve ESET'te tespit edemedi, ayarlarını agresife çektiğimde ikiside tespit etti. Comodo/Xcitium Valkyrie sonucu PUA oldu sebebini anlayamadığım şekilde. VirusTotal davranışsal analiz sonucu 1 Trojan, 1 Evader oldu.
ATP TESTI:
Evet, dosya testlerimizin sonuna geldik. Şimdi sırada ufak çaplı ATP testi var. Bir program üzerinden üreteceğim bu dosyaları ancak builder olduğu için dosyalar veritabanında olmadığından emin olabilirsiniz.
Yaklaşık 6 tane farklı .exe dosyası ve yöntemleriyle bunları test edeceğim.
Şimdi ilk test edeceğimden son test edeceğime doğru kısaca yöntemleri sıralayacağım.
1: Bellekte yeni bir .exe dosyası çalıştırır (Dropper mantığı). Bu işlemi Create Thread API Fonksiyonu ile yapar. Çoğu antivirüs tarafından tespit edilebilir.
2: Notepad.exe yani not defteri uygulamasını "arka planda" çalıştırır, ve içine kod enjekte eder. Yine Create Thread API Fonksiyonu ile çalıştırıyor dosyayı. Tespit edilmesi biraz daha zordur.
3: Kendisi bir uygulama oluşturmaktansa zaten arkada açık olan bir uygulamaya kod enjekte eder. Explorer.exe yani dosya gezginini kullanacağız bu işlem için.
4: Explorer.exe'i kısaca ele geçirmeyi amaçlar.
5: Notepad.exe'i kısaca ele geçirmeyi amaçlar.
6: Yeni bir kullanıcı hesabı açar ve backdoor görevi görür (Queue User APC'i kullanır) (?).
Tespit edilebilme sıralaması;
1: Kolayca tespit edilebilir
2: Orta seviyeli
3: Orta seviyeli
4: Tespit etmesi zor
5: Tespit etmesi zor
6: Tespit edilmesi zor.
AVG:
1. Dosyayı sezgisel olarak tespit edebiliyor ve explorer.exe işlem yolunu gösterebiliyor, davranış kalkanı da dosyayı engelledi.
2. Dosya IDP.Generic imzasıyla Davranış Kalkanı tarafından engellendi.
3. Dosya davranış kalkanı tarafından tespit edilemiyor. Explorer.exe'e başarılı şekilde kodu enjekte etti. Dosya antivirüsü ile denediğimde tespit ediyor ve explorer.exe'i yeniden başlatıyor (dosya çalışmadan engellemesine rağmen explorer.exe'i yeniden başlatıyor sebebini anlayamadığım şekilde (?))
4. Dosya davranış kalkanı tarafından tespit edilemiyor. Dosya kalkanı da tespit etmiyor.
5. Dosya davranış kalkanı tarafından tespit edilemiyor. Dosya kalkanı da tespit etmiyor.
6: Dosya davranış kalkanı tarafından tespit edilemiyor. Dosya kalkanı tespit etti.
ESET:
1. Tespit edildi.
2. Tespit edildi.
3. Tespit edilmedi.
4. HIPS uyarı verdi (akıllı modda, sadece çok şüpheli eylemlere karşı uyarıyor).
5. HIPS uyarı verdi (akıllı modda, sadece çok şüpheli eylemlere karşı uyarıyor).
6. Tespit edildi.
ÖZET:
Dosya tespitinde:
ESET: 3 sonradan tespit yaptı (bir gün içerisinde), 3 tespit edemedi, 1 engelledi. 30 yeni virüsten 23'üne anında tepki verdi, 24'ünün sisteme zarar vermesini/verilerin sızdırılmasını önledi (sistem güvende). Toplam 6 tane kaçırdı ve bunların 3'ünü sonradan tespit etti.
AVG: 1 sonradan tespit yaptı (bir gün içerisinde), 4 davranışsal tespit yaptı, 4 tespit edemedi. 30 yeni virüsten 21'ine anında tepki verdi, 25'inin sisteme zarar vermesini/verilerin sızdırılmasını önledi (sistem güvende). 5 tane kaçırdı ve bunların 1'ini de sonradan tespit etti.
Comodo/Xcitium Valkyrie: 3 Unknown (çözümlenemeyen) (analizi başarısız olan), 1 tespit edilemedi. Normalde 5 tane Unknown (çözümlenemeyen) (analizi başarısız olan) vermişti ancak yeniden analiz "ReAnalyze" tuşuna basınca 2 tanesi düzeldi.
ATP'de:
AVG: 4 dosya engellendi/tespit edildi. 2 tanesi kaçtı.
ESET: 5 dosya engellendi/tespit edildi. 1 tanesi kaçtı.
Comodo/Xcitium Internet Security/Client Security: 6 dosyayı da engelledi.
NOT: Comodo/Xcitium Valkyrie Hybrid-Analysis gibi bir sitedir. Bir antivirüs değildir. Ve taramaları yaparken farklı antivirüslerden yararlanmaz, sadece siteye yazılmış olan belli Statik/Dinamik/Precise algoritmalarına göre tehditleri tespit eder ve size bildirir. Ayrıca bilinmeyen dosyaları da bir insan test edip tespit eder. Bu yüzden sonuçlara bakarak Comodo/Xcitium iyiymiş gibi bir sonuç çıkartılmamalıdır. (Comodo/Xcitium gayet güzel bir antivirüs sadece bu teste bakarak bu sonucu çıkarmamalısınız ondan bahsediyorum)
@Fıratt10 @731001 @Mucize Kartal @Dexter_Morgan31 @e417 @Turkıye anlasması
GİRİŞ:
Merhabalar, zaten bu kısımları kimse okumayacağı için hızlıca geçiyorum. İnsanlarımız genelde görsellere bakmayı tercih ediyorlar metinleri okumaktansa ancak yine de kısa bir açıklama yapayım;
Dosyaların hepsini "Malware Bazaar" sitesinden aldım, biliyorsunuz Malware Bazaar sitesindeki tüm dosyalar virüslü olmayabiliyor o yüzden özellikle virüslü olmalarına dikkat ettim.
Dosyaları tespit edemedikleri durumlarda AVG'nin "Davranış Kalkanı ve CyberCapture", ESET'in "HIPS" özelliklerini de test edeceğim. Ve ikiside default ayarlarda, ekstra bir ayar yapmadım.
Olabildiğince az görsel kullanacağım konunun uzun olmaması için.
Dosyalara hem VirusTotal ile hemde Comodo/Xcitium Valkyrie hizmetiyle bakacağım.
TEST:
1:
AVG tespit ederken ESET tespit edemedi ilk dosyayı.
Dosya ismi: Setup_WM.exe ve Windows Media Player simgesi var ancak kurulumla alakası yok. Comodo/Xcitium Valkyrie sonucu Malware. VirusTotal davranışsal analiz sonucu 2 Malware 1 Spreader.
15-20 dakika beklemenin ardından ESET LiveGuard sayesinde (?) dosya tespit edildi. A Variant Of Generik.BPNCBNW şeklinde. HIPS tespit edemedi.
2:
AVG ve ESET'te dosyayı tespit etti, ancak ESET Themida/Winlicense açıklamasıyla tespit etti, yani dosyanın içerisinde virüs olup olmadığını değil neyle paketlendiğini/şifrelendiğini söylemek için uyarı verdi. Comodo/Xcitium Valkyrie sonucu BotNet. VirusTotal davranışsal analiz sonucu 4 Malware, 1 Trojan, 2 Evader.
3:
AVG ve ESET'te dosyayı tespit etti. Comodo/Xcitium Valkyrie sonucu AutoIT.Injector (Malware),,. VirusTotal davranışsal analiz sonucu 5 Malware, 1 Spreader, 2 Stealer, 1 Trojan, 1 Evader.
4:
AVG ve ESET'te dosyayı tespit etti, AVG sezgisel (?) tespit etti ancak ESET veritabanından tespit (?) etti. Comodo/Xcitium Valkyrie sonucu Malware. VirusTotal davranışsal analiz sonucu 5 Malware, 1 Trojan, 1 Evader, 1 Stealer.
5:
AVG ve ESET'te dosyayı tespit etti, AVG RATX olarak tam doğru tespit yaparken ESET Kyptik diye tespit etti. Comodo/Xcitium Valkyrie sonucu Malware. VirusTotal davranışsal analiz sonucu 4 Malware, 2 Stealer, 1 Trojan, 1 Evader.
6:
AVG ve ESET'te dosyayı tespit etti, Comodo/Xcitium Valkyrie sonucu Malware Trojan.Generic, VirusTotal davranışsal analiz sonucu 4 Malware, 2 Stealer, 1 RAT, 1 Evader, 1 Trojan.
7:
AVG ve ESET'te dosyayı tespit etti, Comodo/Xcitium Valkyrie sonucu Malware. VirusTotal davranışsal analiz sonucu 2 Malware, 1 Trojan, 1 Evader.
8:
AVG ve ESET dosyayı tespit edemedi (davranışsal dahil), 7 saatlik bekleyişin ardından ikiside veritabanına bu dosyayı ekledi. İlk ekleyen ESET oldu. Comodo/Xcitium Valkyrie sonucu Unknown/Çözümlenemeyen oldu ve şu anda insan testi için bekliyor. VirusTotal davranışsal analiz sonucu 2 Malware, 1 Stealer, 1 RAT, 1 Evader, 1 Trojan.
9:
AVG dosyayı tespit edemedi, davranış kalkanı da tespit edemedi, ESET etti. Comodo/Xcitium Valkyrie sonucu Unknown. VirusTotal davranışsal analiz sonucu 1 Malware.
10:
AVG ve ESET dosyayı tespit edemedi ancak AVG'nin davranış kalkanı dosyayı tespit ederken (IDP.Generic) ESET tespit edemedi. Comodo/Xcitium Valkyrie sonucu Unknown. VirusTotal davranışsal analiz sonucu 3 Malware, 1 Stealer, 1 Evader, 1 Trojan, 1 Spreader.
11:
AVG dosyayı davranışsal olarak, ESET ise veritabanından tespit etti. Comodo/Xcitium Valkyrie sonucu statik analizden virüs tespit etti. VirusTotal davranışsal analiz sonucu 1 Spreader.
12,13,14:
AVG ve ESET'te dosyaları tespit etti, Comodo/Xcitium Valkyrie sonucu 1 Unknown (Statik ve Dinamik Analizleri yapamadı, failed yazıyor ve hiç bir bilgi de vermiyor dosya hakkında), 2 Malware (Trojan.Generic). VirusTotal davranışsal analiz sonucu sırasıyla
1; 2 RAT, 1 Trojan, 1 Malware.
2; 3 Malware, 1 Spreader.
3; 2 Evader, 1 RAT, 1 Spreader, 1 Trojan.
15:
AVG tespit etti, ESET dosyayı tespit etmedi ancak arkada çalışmasına da izin vermedi (sanırım güvenlik duvarı engelledi veya farklı bir şey) (dosya normal şartlar altında çalışıyor denedim). Comodo/Xcitium Valkyrie sonucu Backdoor/Malware. VirusTotal davranışsal analiz sonucu (sadece CAPA adı verilen Sandbox baktı (bir tane daha Sandbox baktı "Reanalyze" tuşuna tıkladığımda sebebini anlayamadığım şekilde) dosyaya ve çok uzun sürdü) bir şey tespit etmedi sadece "Mitre Tactics" uyarıları verdi.
16:
AVG ve ESET'te dosyayı tespit etti. Comodo/Xcitium Valkyrie sonucu "No Threat Found" yani virüs bulunamadı şeklinde oldu (?). VirusTotal davranışsal analiz sonucu 1 Spreader, 1 Trojan.
17:
Bu aslında 1 dosyalık False-Positive testi için baktım, dosya virüslü değil ancak test etmek istedim yine de, ikiside tespit etmedi ama Norton dosyayı ML.Attribute.HighConfidence olarak ve BitDefender'da Trojan.Trojan.Generic olarak tespit etti. Comodo/Xcitium sonucu ise çıkmadı, yaklaşık 2 saat boyunca dosyayı analiz edince takip etmeyi bıraktım (şuan baktım tehdit bulunmadı yazıyor). VirusTotal davranışsal analiz sonucu 1 Malware.
18:
AVG ve ESET dosyayı tespit edemedi, AVG için davranışsal tespit eder mi testi yapayım derken dosyayı açtığım gibi Memz trojanında olduğu gibi ekranın renkleri sürekli değişmeye başladı, epilepsi hastaları için birebir
Comodo/Xcitium Valkyrie beni bu dosya da şaşırttı. Bir de Ikarus adlı antivirüs BadJoke olarak tespit etti (kötü şaka).
19:
Yine bir False-Positive testi, dosyanın PUA veya hiç tespit edilmemesi gerek normal şartlarda. Dosya NeverLose adı verilen CSGO/CS2 hile şirketinin Loader'ı, HvH oynayanlar arasında popüler daha çok (Hack vs Hack). AVG Evo-Gen.TRJ olarak tespit ederken ESET tespit etmedi. Yani burada puan ESET'e gidiyor. Comodo/Xcitium Valkyrie sonucu No Threat Found. VirusTotal davranışsal analiz sonucu 1 Malware.
20,21,22,23,24,25:
Ransomware testi, 5 tane en yeni dosyaları topladım. Tahmin edilebileceği gibi 5'i de tespit edildi. Comodo/Xcitium Valkyrie'de Malware olarak buldu hepsini. VirusTotal davranışsal analiz sonuçları
1; 1 Malware.
2; 3 Spreader, 1 Malware.
3; 1 Evader, 1 Malware.
4; 2 Malware.
5; 1 Spreader, 1 Evader.
26:
GLManager'ın yeni çıkmış olan ve bilinmeyen Standoff2 sürümü testi, bu virüs aslında bir trojan işlevi görüyor. Dosya imzalı olduğu için GeeseLand Developers tarafından zamanında Kaspersky, BitDefender Avast vb. çok büyük antivirüslerin hiç biri tespit edememişti. Norton, ESET ve Comodo/Xcitium hariç.
Bu Standoff2 aslında fan yapımı gibi bir şey ve sadece rebranding uygulanmış hali gibi düşünebilirsiniz. ESET yine buldu ancak AVG bulamadı.
Ayrıca bu virüs kendi Driver'ını oluşturduğu ve kendi adına servis açtığı için tespit edilmesi daha zor oluyordu. ESET Standoff2.exe ve altındaki driverler/servisler dahil her şeyi tespit ederken AVG hiç bir şey tespit edemedi (taskeng.exe dışında)
Comodo/Xcitium'da bu dosyayı tespit edememişti ama Auto-Containment özelliği sayesinde dosyayı Sandbox ortamında çalıştırdığı için hiç bir driver/servis yükleyememişti ve yeniden başlattığınızda tüm her şey silinmiş oluyordu.
Şu anda Comodo/Xcitium Valkyrie sonucu Malware. VirusTotal davranışsal analiz sonucu ise 2 Evader, 1 Spreader olarak gözükmekte.
27,28:
AVG ve ESET'te dosyaları tespit etti. Comodo/Xcitium Valkyrie sonucu 2 Malware. VirusTotal davranışsal analiz sonucu ikisinde de 2 Malware, 1 Trojan.
29:
AVG dosyayı tespit edemedi, ESET tespit etti ancak AVG davranışsal olarak tespit etti. Comodo/Xcitium Valkyrie sonucu Unknown (bazı dosyalarda nedense analiz yapamıyor statik vb. olarak). VirusTotal davranışsal analiz sonucu 1 Spreader, 1 Malware.
30:
Son dosyayı özellikle keylogger seçtim. Garip bir şekilde AVG ve ESET'te tespit edemedi, ayarlarını agresife çektiğimde ikiside tespit etti. Comodo/Xcitium Valkyrie sonucu PUA oldu sebebini anlayamadığım şekilde. VirusTotal davranışsal analiz sonucu 1 Trojan, 1 Evader oldu.
ATP TESTI:
Evet, dosya testlerimizin sonuna geldik. Şimdi sırada ufak çaplı ATP testi var. Bir program üzerinden üreteceğim bu dosyaları ancak builder olduğu için dosyalar veritabanında olmadığından emin olabilirsiniz.
Yaklaşık 6 tane farklı .exe dosyası ve yöntemleriyle bunları test edeceğim.
Şimdi ilk test edeceğimden son test edeceğime doğru kısaca yöntemleri sıralayacağım.
1: Bellekte yeni bir .exe dosyası çalıştırır (Dropper mantığı). Bu işlemi Create Thread API Fonksiyonu ile yapar. Çoğu antivirüs tarafından tespit edilebilir.
2: Notepad.exe yani not defteri uygulamasını "arka planda" çalıştırır, ve içine kod enjekte eder. Yine Create Thread API Fonksiyonu ile çalıştırıyor dosyayı. Tespit edilmesi biraz daha zordur.
3: Kendisi bir uygulama oluşturmaktansa zaten arkada açık olan bir uygulamaya kod enjekte eder. Explorer.exe yani dosya gezginini kullanacağız bu işlem için.
4: Explorer.exe'i kısaca ele geçirmeyi amaçlar.
5: Notepad.exe'i kısaca ele geçirmeyi amaçlar.
6: Yeni bir kullanıcı hesabı açar ve backdoor görevi görür (Queue User APC'i kullanır) (?).
Tespit edilebilme sıralaması;
1: Kolayca tespit edilebilir
2: Orta seviyeli
3: Orta seviyeli
4: Tespit etmesi zor
5: Tespit etmesi zor
6: Tespit edilmesi zor.
AVG:
1. Dosyayı sezgisel olarak tespit edebiliyor ve explorer.exe işlem yolunu gösterebiliyor, davranış kalkanı da dosyayı engelledi.
2. Dosya IDP.Generic imzasıyla Davranış Kalkanı tarafından engellendi.
3. Dosya davranış kalkanı tarafından tespit edilemiyor. Explorer.exe'e başarılı şekilde kodu enjekte etti. Dosya antivirüsü ile denediğimde tespit ediyor ve explorer.exe'i yeniden başlatıyor (dosya çalışmadan engellemesine rağmen explorer.exe'i yeniden başlatıyor sebebini anlayamadığım şekilde (?))
4. Dosya davranış kalkanı tarafından tespit edilemiyor. Dosya kalkanı da tespit etmiyor.
5. Dosya davranış kalkanı tarafından tespit edilemiyor. Dosya kalkanı da tespit etmiyor.
6: Dosya davranış kalkanı tarafından tespit edilemiyor. Dosya kalkanı tespit etti.
ESET:
1. Tespit edildi.
2. Tespit edildi.
3. Tespit edilmedi.
4. HIPS uyarı verdi (akıllı modda, sadece çok şüpheli eylemlere karşı uyarıyor).
5. HIPS uyarı verdi (akıllı modda, sadece çok şüpheli eylemlere karşı uyarıyor).
6. Tespit edildi.
ÖZET:
Dosya tespitinde:
ESET: 3 sonradan tespit yaptı (bir gün içerisinde), 3 tespit edemedi, 1 engelledi. 30 yeni virüsten 23'üne anında tepki verdi, 24'ünün sisteme zarar vermesini/verilerin sızdırılmasını önledi (sistem güvende). Toplam 6 tane kaçırdı ve bunların 3'ünü sonradan tespit etti.
AVG: 1 sonradan tespit yaptı (bir gün içerisinde), 4 davranışsal tespit yaptı, 4 tespit edemedi. 30 yeni virüsten 21'ine anında tepki verdi, 25'inin sisteme zarar vermesini/verilerin sızdırılmasını önledi (sistem güvende). 5 tane kaçırdı ve bunların 1'ini de sonradan tespit etti.
Comodo/Xcitium Valkyrie: 3 Unknown (çözümlenemeyen) (analizi başarısız olan), 1 tespit edilemedi. Normalde 5 tane Unknown (çözümlenemeyen) (analizi başarısız olan) vermişti ancak yeniden analiz "ReAnalyze" tuşuna basınca 2 tanesi düzeldi.
ATP'de:
AVG: 4 dosya engellendi/tespit edildi. 2 tanesi kaçtı.
ESET: 5 dosya engellendi/tespit edildi. 1 tanesi kaçtı.
Comodo/Xcitium Internet Security/Client Security: 6 dosyayı da engelledi.
NOT: Comodo/Xcitium Valkyrie Hybrid-Analysis gibi bir sitedir. Bir antivirüs değildir. Ve taramaları yaparken farklı antivirüslerden yararlanmaz, sadece siteye yazılmış olan belli Statik/Dinamik/Precise algoritmalarına göre tehditleri tespit eder ve size bildirir. Ayrıca bilinmeyen dosyaları da bir insan test edip tespit eder. Bu yüzden sonuçlara bakarak Comodo/Xcitium iyiymiş gibi bir sonuç çıkartılmamalıdır. (Comodo/Xcitium gayet güzel bir antivirüs sadece bu teste bakarak bu sonucu çıkarmamalısınız ondan bahsediyorum)
@Fıratt10 @731001 @Mucize Kartal @Dexter_Morgan31 @e417 @Turkıye anlasması
Son düzenleme: