Modifiye edilmiş ransomware ile antivirüs testi

Öncelikle söylemeliyim ki bu testler basit ve kullanıcı deneyimi sınıfına giren bir testtir. Çok profesyonellik veya bir AV-Comparatives testleri kadar detaylı olmasını beklemeyin, ancak elimden geleni yaptığımı söyleyebilirim. Yazdıklarım tamamen kişisel görüşlerim, eleştirilerim ve testlerimdir. Kendi bilgisayarınızda bu testleri yapmayın, bu test korumalı bir ortamda yapılmıştır. Farklı ürün sürümlerinde ve farklı tarihlerde/farklı durumlarda/farklı ayarlarda test sonuçları değişken olabilir. Eğer böyle bir test yapacaksanız sorumluluk tamamen size aittir. Bu test sadece bilgilendirme amaçlıdır. İstemeden yanlış bilgi verilmiş olabilir hatam varsa düzeltiniz.

EN ÖNEMLİ KISIM ve Ransomware'nin yapılış şekli:
Dostlar merhaba, TPSC'nin son ransomware videosunu gördüm ve test ettiği antivirüslere baktığımda genelde ev kullanıcısı için olmayan antivirüsleri kullandığını gördüm. Sadece BitDefender vardı orada olan.
Bende ona benzer bir düzenek yapmak istedim. Videodaki gibi 15 saniye dinamik ve davranışsal analizleri geçmek için sleep komutu kullandım.

Dosyaları ESET, AVG, BitDefender, Kaspersky ile test ettikten sonra VirusTotal'e koyacağım çünkü şimdi koyarsam testleri gerçekleştirene kadar insan dosyayı kendi analiz edip tespit yapabilir.
Stringler için XOR kullandım (çalıştırma sonrası). Sahte de olsa koda imza koydum. Işe yarayıp yaramayacağından emin olmamama rağmen Lazy Importer kullandım bazı yerlerde (çalıştırma sonrası). + olarak birden fazla paketleyici kullandım genel olarak AV'ler tarafından tespit edilmeyen.
Çok bilgim olmadığı için bazı Anti-Debugging teknikleri kullandım GH'dan bulduğum ve çalıştıklarından emin oldum. Dosyayı VM'de açacağım için Anti-VM/Sandbox kullanamadım.
Virüsü 3 gün civarında yaptım ve bitirdim.
C# ile yapıldı.

ÖNCEKİ KONU: AVG ve ESET 0,1,2,3,4.gün virüslerine karşı ufak çaplı ATP testi ve Xcitium/Comodo Valkyrie

ARAYÜZ:
1724087781931.png

1724087794256.png

Şifrele tuşuna basınca dosya şifreleniyor adı üzerinde.

1724087860484.png

Ve buda şifrelenmiş hali.

ILK TEST, KASPERSKY PLUS:

Kaspersky açıkken (dosya kalkanı vb..) bu .exe'i çalıştıracağım ve eğer tespit etmezse şifrele diyeceğim bakalım o zaman tespit ediyor mu?
1724089517672.png

Evet virüs bulmadı statik analizle. Şimdi açıp şifreleyince Sistem İzleyici uyaracak mı ona bakacağım.
15 saniye kadar bekledikten sonra dosya açıldı ve hala bir tespit yok.
1724088357905.png

1724088423172.png

Evet, tüm dosyalar şifrelendi ancak Kaspersky uyuyor 😀. Garip.
1724088479790.png

Ve gördüğünüz gibi dosyalar şifrelenmiş.

Kaspersky maleseff kaybetti.

BITDEFENDER TOTAL SECURITY:
BitDefender'dan umutluyum. Zira TPSC'nin videosunda bazılarını sildikten sonra tespit edebilmişti.
1724089657635.png

Evet yine statik olarak tespit edemedi, her neyse belki dinamik tespit eder.
1724089792408.png

Hala tespit yok bakalım şifrelerken tespit edecek mi?
1724089913450.png

Maleseff BitDefender'da cortladı, bu işin sonunda her halde hiç bir antivirüsü kullanamayacağız..

Eğer ki benim gibi biri bile bu antivirüsleri bu kadar kolay geçiyorsa bu antivirüsler ne işe yarıyor anlamış değilim. Sadece 3 günlük çalışmanın ardından bu virüsü yaptım ve yıllardır geliştirilen antivirüsler gerçekten bu kadar kolay mı geçiliyor?


AVG FREE:

1724090540318.png

Statik olarak bulamadı. Her neyse belki dinamik olarak tespit eder
1724090695030.png

Ve yine hüsran..

ESET:
Eki Görüntüle 2288756
1724091551227.png

Tespit etmedi, belki reaktif olarak tespit eder.
Eki Görüntüle 2288760
ESET'te bulamadı maleseff dosyayı ve test ettiğim hiç bir antivirüs bulamamış oldu. Dosyalar şifrelendi.

DOSYANIN VIRUSTOTAL'I:

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com

Sadece aralarından Windows Defender ve Sophos tespit edebilmiş adam akıllı olan antivirüsler olarak. Malwarebytes'de tespit edememiş ayrıca.

Neden olduğunu anlamadığım bir şekilde bazı dosyalar siteye yüklenememiş. En aşağıda "Dosya Ekleri" kısımında görebilirsiniz o kaybolmuş görselleri.
Tüm antivirüsler güncelken yapıldı bu testler.
@Fıratt10 @731001 @Mucize Kartal @Dexter_Morgan31
 

Dosya Ekleri

  • 1724091513097.png
    1724091513097.png
    273,8 KB · Görüntüleme: 37
  • 1724091753897.png
    1724091753897.png
    527 KB · Görüntüleme: 39
Son düzenleme:
Genişletmek için tıkla...
731001 dedi:
30'dan fazla dosyayı yapmaya çalışsa bulurlardı büyük ihtimalle. Yani aslında geçerli bir koruma diyebiliriz. Zira adam hangi uygulamanın güvenli olduğunu biliyorsa bir sorun olmamalı diye düşünüyorum. Strict Mod'da da dener misiniz hocam? Bu arada elinize sağlık. Hala gelişmeli dediğiniz gibi.
Genişletmek için tıkla...
Strict Modda uyarı veriyor. Engelleyip/engellememek bana kalmış oluyor yani.
731001 dedi:
O da var, bir 30 dosyayı falan şifreleseydin hocam belki bulurdu. Tekrar yapma şansın var mı ki?
Genişletmek için tıkla...
Yaparım tabii ki. Şu anda Comodo/Xcitium'a bakıyorum ardından hemen AVG'e yeniden döneceğim.

De gerçekten çok saçma. Yani bilemedim şu an antivirüsler hiç bir işe yaramıyor gibi bir imaj var gözümde.
Meğer bu kadar basitmiş he..
 
Malware.AI dedi:
Strict Modda uyarı veriyor. Engelleyip/engellememek bana kalmış oluyor yani.

Yaparım tabii ki. Şu anda Comodo/Xcitium'a bakıyorum ardından hemen AVG'e yeniden döneceğim.
Genişletmek için tıkla...
Teşekür ederiiiiiim, Strict mod'da uyarı vermesi güzel. Zaten normal mod'da iyi değil fidye yazılımı koruması. Bence sonraki testte 30-40 dosyayı şifrelesin.

Malware.AI dedi:
Strict Modda uyarı veriyor. Engelleyip/engellememek bana kalmış oluyor yani.

Yaparım tabii ki. Şu anda Comodo/Xcitium'a bakıyorum ardından hemen AVG'e yeniden döneceğim.

De gerçekten çok saçma. Yani bilemedim şu an antivirüsler hiç bir işe yaramıyor gibi bir imaj var gözümde.
Meğer bu kadar basitmiş he..
Genişletmek için tıkla...
:(, insan üzülüyor hocam. 2-3 haftaya eklerler veritabanlarına ancak bu kadar kolay da olmamalı. İlginç. Acaba AVG İnternet Security'de deneme şansın var mı hocam? Ve hocam AVG İS'de deniyorsan Şifreleyeceğin dosyayı hassas veri kalkanına ekler misin acaba? Bakalım İS ne kadar yarıyor.

Malware.AI dedi:
Öncelikle söylemeliyim ki bu testler basit ve kullanıcı deneyimi sınıfına giren bir testtir. Çok profesyonellik veya bir AV-Comparatives testleri kadar detaylı olmasını beklemeyin, ancak elimden geleni yaptığımı söyleyebilirim. Yazdıklarım tamamen kişisel görüşlerim, eleştirilerim ve testlerimdir. Kendi bilgisayarınızda bu testleri yapmayın, bu test korumalı bir ortamda yapılmıştır. Farklı ürün sürümlerinde ve farklı tarihlerde/farklı durumlarda/farklı ayarlarda test sonuçları değişken olabilir. Eğer böyle bir test yapacaksanız sorumluluk tamamen size aittir. Bu test sadece bilgilendirme amaçlıdır. İstemeden yanlış bilgi verilmiş olabilir hatam varsa düzeltiniz.

EN ÖNEMLİ KISIM ve Ransomware'nin yapılış şekli:
Dostlar merhaba, TPSC'nin son ransomware videosunu gördüm ve test ettiği antivirüslere baktığımda genelde ev kullanıcısı için olmayan antivirüsleri kullandığını gördüm. Sadece BitDefender vardı orada olan.
Bende ona benzer bir düzenek yapmak istedim. Videodaki gibi 15 saniye dinamik ve davranışsal analizleri geçmek için sleep komutu kullandım.

Dosyaları ESET, AVG, BitDefender, Kaspersky ile test ettikten sonra VirusTotal'e koyacağım çünkü şimdi koyarsam testleri gerçekleştirene kadar insan dosyayı kendi analiz edip tespit yapabilir.
Stringler için XOR kullandım (çalıştırma sonrası). Sahte de olsa koda imza koydum. Işe yarayıp yaramayacağından emin olmamama rağmen Lazy Importer kullandım bazı yerlerde (çalıştırma sonrası). + olarak birden fazla paketleyici kullandım genel olarak AV'ler tarafından tespit edilmeyen.
Çok bilgim olmadığı için bazı Anti-Debugging teknikleri kullandım GH'dan bulduğum ve çalıştıklarından emin oldum. Dosyayı VM'de açacağım için Anti-VM/Sandbox kullanamadım.
Virüsü 3 gün civarında yaptım ve bitirdim.
C# ile yapıldı.

ÖNCEKİ KONU: AVG ve ESET 0,1,2,3,4.gün virüslerine karşı ufak çaplı ATP testi ve Xcitium/Comodo Valkyrie

ARAYÜZ:
Eki Görüntüle 2288678
Eki Görüntüle 2288681
Şifrele tuşuna basınca dosya şifreleniyor adı üzerinde.

Eki Görüntüle 2288683
Ve buda şifrelenmiş hali.

ILK TEST, KASPERSKY PLUS:

Kaspersky açıkken (dosya kalkanı vb..) bu .exe'i çalıştıracağım ve eğer tespit etmezse şifrele diyeceğim bakalım o zaman tespit ediyor mu?
Eki Görüntüle 2288719
Evet virüs bulmadı statik analizle. Şimdi açıp şifreleyince Sistem İzleyici uyaracak mı ona bakacağım.
15 saniye kadar bekledikten sonra dosya açıldı ve hala bir tespit yok.
Eki Görüntüle 2288693
Eki Görüntüle 2288696
Evet, tüm dosyalar şifrelendi ancak Kaspersky uyuyor 😀. Garip.
Eki Görüntüle 2288698
Ve gördüğünüz gibi dosyalar şifrelenmiş.

Kaspersky maleseff kaybetti.

BITDEFENDER TOTAL SECURITY:
BitDefender'dan umutluyum. Zira TPSC'nin videosunda bazılarını sildikten sonra tespit edebilmişti.
Eki Görüntüle 2288723
Evet yine statik olarak tespit edemedi, her neyse belki dinamik tespit eder.
Eki Görüntüle 2288724
Hala tespit yok bakalım şifrelerken tespit edecek mi?
Eki Görüntüle 2288727
Maleseff BitDefender'da cortladı, bu işin sonunda her halde hiç bir antivirüsü kullanamayacağız..

Eğer ki benim gibi biri bile bu antivirüsleri bu kadar kolay geçiyorsa bu antivirüsler ne işe yarıyor anlamış değilim. Sadece 3 günlük çalışmanın ardından bu virüsü yaptım ve yıllardır geliştirilen antivirüsler gerçekten bu kadar kolay mı geçiliyor?


AVG FREE:

Eki Görüntüle 2288733
Statik olarak bulamadı. Her neyse belki dinamik olarak tespit eder
Eki Görüntüle 2288739
Ve yine hüsran..

ESET:
Eki Görüntüle 2288756
Eki Görüntüle 2288758
Tespit etmedi, belki reaktif olarak tespit eder.
Eki Görüntüle 2288760
ESET'te bulamadı maleseff dosyayı ve test ettiğim hiç bir antivirüs bulamamış oldu. Dosyalar şifrelendi.

DOSYANIN VIRUSTOTAL'I:

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com

Sadece aralarından Windows Defender ve Sophos tespit edebilmiş adam akıllı olan antivirüsler olarak. Malwarebytes'de tespit edememiş ayrıca.

Neden olduğunu anlamadığım bir şekilde bazı dosyalar siteye yüklenememiş. En aşağıda "Dosya Ekleri" kısımında görebilirsiniz o kaybolmuş görselleri.
Tüm antivirüsler güncelken yapıldı bu testler.
@Fıratt10 @731001 @Mucize Kartal @Dexter_Morgan31
Genişletmek için tıkla...
Aslında dosya şifrelenmiyor'da dosya içeriği değişiyor sanırım burada. Ondan bulamıyorlar sanırım. Belki hassas veri kalkanı bulabilir bak.

731001 dedi:
Teşekür ederiiiiiim, Strict mod'da uyarı vermesi güzel. Zaten normal mod'da iyi değil fidye yazılımı koruması. Bence sonraki testte 30-40 dosyayı şifrelesin.


:(, insan üzülüyor hocam. 2-3 haftaya eklerler veritabanlarına ancak bu kadar kolay da olmamalı. İlginç. Acaba AVG İnternet Security'de deneme şansın var mı hocam? Ve hocam AVG İS'de deniyorsan Şifreleyeceğin dosyayı hassas veri kalkanına ekler misin acaba? Bakalım İS ne kadar yarıyor.


Aslında dosya şifrelenmiyor'da dosya içeriği değişiyor sanırım burada. Ondan bulamıyorlar sanırım. Belki hassas veri kalkanı bulabilir bak.
Genişletmek için tıkla...
Hocam bir resimi şifreler misin .txt yerine, ve AVG'de tüm dosya uzantıları korumalı halde mi acaba?
 
Son düzenleme:
731001 dedi:
Teşekür ederiiiiiim, Strict mod'da uyarı vermesi güzel. Zaten normal mod'da iyi değil fidye yazılımı koruması. Bence sonraki testte 30-40 dosyayı şifrelesin.
Genişletmek için tıkla...
Bir daha böyle bir test yapacağımı sanmıyorum büyük bir gelişme olmadığı sürece. Gerçekten beynim bulandı bunla uğraşmaktan. Allah gerçekten 0 yardımla kod yazan arkadaşlara sabır versin. (Visual Studio'nun hatalara karşı olası çözümler göstermesi, GH'den yardım almak, Gemini/Bard'a sorular sormak vb.)

Bir sonraki test AVG, ESET, BitDefender, Kaspersky vs ATP olacak büyük ihtimalle.

Başka da özel istek gelmediği sürece test yapmam herhalde. Veya bu Ransomware yakında tespit edilir (bu konuda yaptığım). Yine kodlarına elim ilen mutasyon atıp (kodlarını aynı anlama gelen farklı şeylerle değiştirmek=mutasyon (normalde bunu şifreleyiciler de yapıyor ancak onlar tespit ediliyor bildiğiniz gibi, direkt imza bıraktıkları için anında uyarı veriyorlar bunu da denedim) ).

Her neyse kodlarına mutasyon atıp farklı şekilde bu sefer tüm ayarları en yüksekte denerim belki bu virüsü. (Mesela Kaspersky'da sezgiseli en yukarı çekerim, Avast'da da ESET'de de agresife çekerim gibisinden).

731001 dedi:
Teşekür ederiiiiiim, Strict mod'da uyarı vermesi güzel. Zaten normal mod'da iyi değil fidye yazılımı koruması. Bence sonraki testte 30-40 dosyayı şifrelesin.


:(, insan üzülüyor hocam. 2-3 haftaya eklerler veritabanlarına ancak bu kadar kolay da olmamalı. İlginç. Acaba AVG İnternet Security'de deneme şansın var mı hocam? Ve hocam AVG İS'de deniyorsan Şifreleyeceğin dosyayı hassas veri kalkanına ekler misin acaba? Bakalım İS ne kadar yarıyor.


Aslında dosya şifrelenmiyor'da dosya içeriği değişiyor sanırım burada. Ondan bulamıyorlar sanırım. Belki hassas veri kalkanı bulabilir bak.


Hocam bir resimi şifreler misin .txt yerine, ve AVG'de tüm dosya uzantıları korumalı halde mi acaba?
Genişletmek için tıkla...
Dosya içeriği değişmiyor hocam. Dosyayı siliyor ve bildiğiniz yenisini koyuyor, yani düz ransomware gibi sadece uzantısını değiştirmiyor. Uzantı da bir etken değil antivirüsler için, yani dosyaya modifiye yapmıyor.

30-40 tane resimle deneyeceğim şimdi AVG Internet Security'i. Strict modda uyarı verecektir o yüzden önerilen fidye korumasıyla deneyeceğim.
 
Malware.AI dedi:
Bir daha böyle bir test yapacağımı sanmıyorum büyük bir gelişme olmadığı sürece. Gerçekten beynim bulandı bunla uğraşmaktan. Allah gerçekten 0 yardımla kod yazan arkadaşlara sabır versin. (Visual Studio'nun hatalara karşı olası çözümler göstermesi, GH'den yardım almak, Gemini/Bard'a sorular sormak vb.)

Bir sonraki test AVG, ESET, BitDefender, Kaspersky vs ATP olacak büyük ihtimalle.
Başka da özel istek gelmediği sürece test yapmam herhalde. Veya bu Ransomware yakında tespit edilir (bu konuda yaptığım). Yine kodlarına elim ilen mutasyon atıp (kodlarını aynı anlama gelen farklı şeylerle değiştirmek=mutasyon (normalde bunu şifreleyiciler de yapıyor ancak onlar tespit ediliyor bildiğiniz gibi, direkt imza bıraktıkları için anında uyarı veriyorlar bunu da denedim) ).

Her neyse kodlarına mutasyon atıp farklı şekilde bu sefer tüm ayarları en yüksekte denerim belki bu virüsü. (Mesela Kaspersky'da sezgiseli en yukarı çekerim, Avast'da da ESET'de de agresife çekerim gibisinden).


Dosya içeriği değişmiyor hocam. Dosyayı siliyor ve bildiğiniz yenisini koyuyor, yani düz ransomware gibi sadece uzantısını değiştirmiyor. Uzantı da bir etken değil antivirüsler için, yani dosyaya modifiye yapmıyor.

30-40 tane resimle deneyeceğim şimdi AVG Internet Security'i. Strict modda uyarı verecektir o yüzden önerilen fidye korumasıyla deneyeceğim.
Genişletmek için tıkla...
Anladım hocam, bir daha yaparsanız Fidye Yazılımı Korumasından korunan uzantıların hepsini seçin tüm uzantılar korunsun, ve şifreleyeceğiniz dosyaları Hassas veri kalkanına atarsanız sevinirim.
 
731001 dedi:
Anladım hocam, bir daha yaparsanız Fidye Yazılımı Korumasından korunan uzantıların hepsini seçin tüm uzantılar korunsun, ve şifreleyeceğiniz dosyaları Hassas veri kalkanına atarsanız sevinirim.
Genişletmek için tıkla...
Hocam belgeler kısmı zaten otomatik olarak ekli geliyor diye biliyorum antivirüste. Bildiğiniz belgeler kısmındaki dosyalara attım Ransomware'i.
+olarak Comodo/Xcitium'da tespit edemedi.. Vallahi ne desem bilemiyorum. Belli bunu optimizasyon için yapıyorlar da bu kadar da basit olmamalı yani.
 
Malware.AI dedi:
Hocam belgeler kısmı zaten otomatik olarak ekli geliyor diye biliyorum antivirüste. Bildiğiniz belgeler kısmındaki dosyalara attım Ransomware'i.
+olarak Comodo/Xcitium'da tespit edemedi.. Vallahi ne desem bilemiyorum. Belli bunu optimizasyon için yapıyorlar da bu kadar da basit olmamalı yani.
Genişletmek için tıkla...
Yok hocam uzantılar var korunan onların da tamamını işaretleyin. Ve dosyaları hassas veri kalkanına atmayı unutmayın! İyi çalışmalar dilerim hocam.
 
731001 dedi:
Yok hocam uzantılar var korunan onların da tamamını işaretleyin. Ve dosyaları hassas veri kalkanına atmayı unutmayın! İyi çalışmalar dilerim hocam.
Genişletmek için tıkla...
Hocam o uzantı olayının işe yarayacağını sanmıyorum ancak yine de yapayım.

Şimdi kısaca toparlamak için yazıyorum.
Strict Mod'u açıyorum,
Hassas veri kalkanına özellikle ekliyorum dosyaları,
Tüm uzantıları seçiyorum. Mütabık mıyız?
 
Malware.AI dedi:
Hocam o uzantı olayının işe yarayacağını sanmıyorum ancak yine de yapayım.

Şimdi kısaca toparlamak için yazıyorum.
Strict Mod'u açıyorum,
Hassas veri kalkanına özellikle ekliyorum dosyaları,
Tüm uzantıları seçiyorum. Mütabık mıyız?
Genişletmek için tıkla...
Evet hocam, mütabığız. Strict Mod engellerse, sonrakinde normal mod'da da deneyebilirsin. İyi sosyaller.
 
Strict Mod engelliyor, Smart mod engellemiyor. Tüm uzantıları seçtim ancak Hassas Veri Kalkanında sadece .pdf tarzı dosyaları seçebiliyoruz. .txt veya .jpg dosyaları seçilmiyor hiç bir şekilde maleseff.
Size de.
 
Malware.AI dedi:
Strict Mod engelliyor, Smart mod engellemiyor. Tüm uzantıları seçtim ancak Hassas Veri Kalkanında sadece .pdf tarzı dosyaları seçebiliyoruz. .txt veya .jpg dosyaları seçilmiyor hiç bir şekilde maleseff.
Size de.
Genişletmek için tıkla...
.pdf'leri koruyor mu hocam? Teşekkür ederim bu arada ettiğin için. Çok teşekkür ederim. :)
 

Benzer konular

Dexter_Morgan31
  • Makale
Antivirusler vs obfuscate edilmiş Ransomware
2 3
Mesaj
29
Görüntüleme
1.697
Dexter_Morgan31
Dexter_Morgan31
Dexter_Morgan31
  • Makale
1399 virüs ile antivirüs veritabanı testi
Mesaj
7
Görüntüleme
1.008
Dexter_Morgan31
Dexter_Morgan31
Dexter_Morgan31
  • Makale
Antiviruslere karsi gelismis obfuscated ransomware saldirisi testi
Mesaj
6
Görüntüleme
852
Dexter_Morgan31
Dexter_Morgan31
S
Ransomware ile Şifrelenmiş Dosyaları Yedekleme
2
Mesaj
14
Görüntüleme
1.334
stayinghome
S
T
312 virüsle antivirüs programlarının tespit oranı testi
Mesaj
6
Görüntüleme
281
Malware.AI
Malware.AI

Technopat Haberler

Yeni konular

Yeni mesajlar

Geri
Yukarı