Modifiye edilmiş ransomware ile antivirüs testi

Öncelikle söylemeliyim ki bu testler basit ve kullanıcı deneyimi sınıfına giren bir testtir. Çok profesyonellik veya bir AV-Comparatives testleri kadar detaylı olmasını beklemeyin, ancak elimden geleni yaptığımı söyleyebilirim. Yazdıklarım tamamen kişisel görüşlerim, eleştirilerim ve testlerimdir. Kendi bilgisayarınızda bu testleri yapmayın, bu test korumalı bir ortamda yapılmıştır. Farklı ürün sürümlerinde ve farklı tarihlerde/farklı durumlarda/farklı ayarlarda test sonuçları değişken olabilir. Eğer böyle bir test yapacaksanız sorumluluk tamamen size aittir. Bu test sadece bilgilendirme amaçlıdır. İstemeden yanlış bilgi verilmiş olabilir hatam varsa düzeltiniz.

EN ÖNEMLİ KISIM ve Ransomware'nin yapılış şekli:
Dostlar merhaba, TPSC'nin son ransomware videosunu gördüm ve test ettiği antivirüslere baktığımda genelde ev kullanıcısı için olmayan antivirüsleri kullandığını gördüm. Sadece BitDefender vardı orada olan.
Bende ona benzer bir düzenek yapmak istedim. Videodaki gibi 15 saniye dinamik ve davranışsal analizleri geçmek için sleep komutu kullandım.

Dosyaları ESET, AVG, BitDefender, Kaspersky ile test ettikten sonra VirusTotal'e koyacağım çünkü şimdi koyarsam testleri gerçekleştirene kadar insan dosyayı kendi analiz edip tespit yapabilir.
Stringler için XOR kullandım (çalıştırma sonrası). Sahte de olsa koda imza koydum. Işe yarayıp yaramayacağından emin olmamama rağmen Lazy Importer kullandım bazı yerlerde (çalıştırma sonrası). + olarak birden fazla paketleyici kullandım genel olarak AV'ler tarafından tespit edilmeyen.
Çok bilgim olmadığı için bazı Anti-Debugging teknikleri kullandım GH'dan bulduğum ve çalıştıklarından emin oldum. Dosyayı VM'de açacağım için Anti-VM/Sandbox kullanamadım.
Virüsü 3 gün civarında yaptım ve bitirdim.
C# ile yapıldı.

ÖNCEKİ KONU: AVG ve ESET 0,1,2,3,4.gün virüslerine karşı ufak çaplı ATP testi ve Xcitium/Comodo Valkyrie

ARAYÜZ:
1724087781931.png

1724087794256.png

Şifrele tuşuna basınca dosya şifreleniyor adı üzerinde.

1724087860484.png

Ve buda şifrelenmiş hali.

ILK TEST, KASPERSKY PLUS:

Kaspersky açıkken (dosya kalkanı vb..) bu .exe'i çalıştıracağım ve eğer tespit etmezse şifrele diyeceğim bakalım o zaman tespit ediyor mu?
1724089517672.png

Evet virüs bulmadı statik analizle. Şimdi açıp şifreleyince Sistem İzleyici uyaracak mı ona bakacağım.
15 saniye kadar bekledikten sonra dosya açıldı ve hala bir tespit yok.
1724088357905.png

1724088423172.png

Evet, tüm dosyalar şifrelendi ancak Kaspersky uyuyor 😀. Garip.
1724088479790.png

Ve gördüğünüz gibi dosyalar şifrelenmiş.

Kaspersky maleseff kaybetti.

BITDEFENDER TOTAL SECURITY:
BitDefender'dan umutluyum. Zira TPSC'nin videosunda bazılarını sildikten sonra tespit edebilmişti.
1724089657635.png

Evet yine statik olarak tespit edemedi, her neyse belki dinamik tespit eder.
1724089792408.png

Hala tespit yok bakalım şifrelerken tespit edecek mi?
1724089913450.png

Maleseff BitDefender'da cortladı, bu işin sonunda her halde hiç bir antivirüsü kullanamayacağız..

Eğer ki benim gibi biri bile bu antivirüsleri bu kadar kolay geçiyorsa bu antivirüsler ne işe yarıyor anlamış değilim. Sadece 3 günlük çalışmanın ardından bu virüsü yaptım ve yıllardır geliştirilen antivirüsler gerçekten bu kadar kolay mı geçiliyor?


AVG FREE:

1724090540318.png

Statik olarak bulamadı. Her neyse belki dinamik olarak tespit eder
1724090695030.png

Ve yine hüsran..

ESET:
Eki Görüntüle 2288756
1724091551227.png

Tespit etmedi, belki reaktif olarak tespit eder.
Eki Görüntüle 2288760
ESET'te bulamadı maleseff dosyayı ve test ettiğim hiç bir antivirüs bulamamış oldu. Dosyalar şifrelendi.

DOSYANIN VIRUSTOTAL'I:

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com

Sadece aralarından Windows Defender ve Sophos tespit edebilmiş adam akıllı olan antivirüsler olarak. Malwarebytes'de tespit edememiş ayrıca.

Neden olduğunu anlamadığım bir şekilde bazı dosyalar siteye yüklenememiş. En aşağıda "Dosya Ekleri" kısımında görebilirsiniz o kaybolmuş görselleri.
Tüm antivirüsler güncelken yapıldı bu testler.
@Fıratt10 @731001 @Mucize Kartal @Dexter_Morgan31
 

Dosya Ekleri

  • 1724091753897.png
    1724091753897.png
    527 KB · Görüntüleme: 35
  • 1724091513097.png
    1724091513097.png
    273,8 KB · Görüntüleme: 35
Son düzenleme:
Genişletmek için tıkla...
Hiç biri tespit edemedi bu kadar basit sadece 3 günde yapılmış bir Ransomware'i bile, yani bu olaydan sonra antivirüslere olan güvenim bayağı azaldı.

AVG, ESET, Kaspersky, BitDefender, Malwarebytes, Norton hiç biri tespit edemedi kısaca.

Konunun sonunda VirusTotal linki vardır.
Sonraki test: BitDefender vs Kaspersky ATP.

(Sonları kimse okumaz diye sonradan yanıt olarak koyuyorum bunu). (Normalde bu tarz testlerde VirusTotal çok bir işe yaramaz, çünkü kullanıcı her hangi bir komut vermeden çalışmaz bu Ransomware, sadece inanmayan olur vb. bir şey olur diye attım VirusTotal'e. Zaten asıl amacım aktif antivirüs varken test etmekti, dış tarama yapmak değil yani).
Vınnnn dedi:
Windows Defender'a laf edenlere gelsin😎. Kimsenin yapamadığını yapıyor.
Genişletmek için tıkla...
Valla şaşırdım biliyor musunuz? Büyük ihtimalle Obfuscatorleri tespit etmiştir o da Sophos gibi. Yoksa bulduklarını sanmıyorum.
 
Son düzenleme:
Yani antivirüs kullanmayanlar +1 önde mi başlıyor. Ulan Microsoft şu arayüzünü adam etsen sen neler yaparsında işte arayüzün berbat. Çöküyor, listeleyemiyor, siliyor ama silmedim diyor bu da ayrı bir kafa. Yav av normalde sildim der ama silmez. Bu siliyor ama silemedim diyor. Bu kafadan bana da lazım ne olur?
 
Mucize Kartal dedi:
Yani antivirüs kullanmayanlar +1 önde mi başlıyor. Ulan Microsoft şu arayüzünü adam etsen sen neler yaparsında işte arayüzün berbat. Çöküyor, listeleyemiyor, siliyor ama silmedim diyor bu da ayrı bir kafa. Yav av normalde sildim der ama silmez. Bu siliyor ama silemedim diyor. Bu kafadan bana da lazım ne olur?
Genişletmek için tıkla...
Hocam dediğim gibi, onun sebebi büyük ihtimalle kullandığım Obfuscatorleri tespit etmesi aynı Sophos gibi. Dosyanın Obfuscate edilmemiş halini bile Kaspersky tespit edemiyordu, keşke hiç Obfuscate etmeseydim de 0 tespiti falan görebilirdik 😀.

Vınnnn dedi:
Windows Defender'a laf edenlere gelsin😎. Kimsenin yapamadığını yapıyor.
Genişletmek için tıkla...
Hocam sonradan reanalyze yapınca onunda tespiti gitmiş şu anda tespit etmiyor maleseff.
1724095704368.png
 
Son düzenleme:
Malware.AI dedi:
Öncelikle söylemeliyim ki bu testler basit ve kullanıcı deneyimi sınıfına giren bir testtir. Çok profesyonellik veya bir AV-Comparatives testleri kadar detaylı olmasını beklemeyin, ancak elimden geleni yaptığımı söyleyebilirim. Yazdıklarım tamamen kişisel görüşlerim, eleştirilerim ve testlerimdir. Kendi bilgisayarınızda bu testleri yapmayın, bu test korumalı bir ortamda yapılmıştır. Farklı ürün sürümlerinde ve farklı tarihlerde/farklı durumlarda/farklı ayarlarda test sonuçları değişken olabilir. Eğer böyle bir test yapacaksanız sorumluluk tamamen size aittir. Bu test sadece bilgilendirme amaçlıdır. İstemeden yanlış bilgi verilmiş olabilir hatam varsa düzeltiniz.

EN ÖNEMLİ KISIM ve Ransomware'nin yapılış şekli:
Dostlar merhaba, TPSC'nin son ransomware videosunu gördüm ve test ettiği antivirüslere baktığımda genelde ev kullanıcısı için olmayan antivirüsleri kullandığını gördüm. Sadece BitDefender vardı orada olan.
Bende ona benzer bir düzenek yapmak istedim. Videodaki gibi 15 saniye dinamik ve davranışsal analizleri geçmek için sleep komutu kullandım.

Dosyaları ESET, AVG, BitDefender, Kaspersky ile test ettikten sonra VirusTotal'e koyacağım çünkü şimdi koyarsam testleri gerçekleştirene kadar insan dosyayı kendi analiz edip tespit yapabilir.
Stringler için XOR kullandım (çalıştırma sonrası). Sahte de olsa koda imza koydum. Işe yarayıp yaramayacağından emin olmamama rağmen Lazy Importer kullandım bazı yerlerde (çalıştırma sonrası). + olarak birden fazla paketleyici kullandım genel olarak AV'ler tarafından tespit edilmeyen.
Çok bilgim olmadığı için bazı Anti-Debugging teknikleri kullandım GH'dan bulduğum ve çalıştıklarından emin oldum. Dosyayı VM'de açacağım için Anti-VM/Sandbox kullanamadım.
Virüsü 3 gün civarında yaptım ve bitirdim.
C# ile yapıldı.

ÖNCEKİ KONU: AVG ve ESET 0,1,2,3,4.gün virüslerine karşı ufak çaplı ATP testi ve Xcitium/Comodo Valkyrie

ARAYÜZ:
Eki Görüntüle 2288678
Eki Görüntüle 2288681
Şifrele tuşuna basınca dosya şifreleniyor adı üzerinde.

Eki Görüntüle 2288683
Ve buda şifrelenmiş hali.

ILK TEST, KASPERSKY PLUS:

Kaspersky açıkken (dosya kalkanı vb..) bu .exe'i çalıştıracağım ve eğer tespit etmezse şifrele diyeceğim bakalım o zaman tespit ediyor mu?
Eki Görüntüle 2288719
Evet virüs bulmadı statik analizle. Şimdi açıp şifreleyince Sistem İzleyici uyaracak mı ona bakacağım.
15 saniye kadar bekledikten sonra dosya açıldı ve hala bir tespit yok.
Eki Görüntüle 2288693
Eki Görüntüle 2288696
Evet, tüm dosyalar şifrelendi ancak Kaspersky uyuyor 😀. Garip.
Eki Görüntüle 2288698
Ve gördüğünüz gibi dosyalar şifrelenmiş.

Kaspersky maleseff kaybetti.

BITDEFENDER TOTAL SECURITY:
BitDefender'dan umutluyum. Zira TPSC'nin videosunda bazılarını sildikten sonra tespit edebilmişti.
Eki Görüntüle 2288723
Evet yine statik olarak tespit edemedi, her neyse belki dinamik tespit eder.
Eki Görüntüle 2288724
Hala tespit yok bakalım şifrelerken tespit edecek mi?
Eki Görüntüle 2288727
Maleseff BitDefender'da cortladı, bu işin sonunda her halde hiç bir antivirüsü kullanamayacağız..

Eğer ki benim gibi biri bile bu antivirüsleri bu kadar kolay geçiyorsa bu antivirüsler ne işe yarıyor anlamış değilim. Sadece 3 günlük çalışmanın ardından bu virüsü yaptım ve yıllardır geliştirilen antivirüsler gerçekten bu kadar kolay mı geçiliyor?


AVG FREE:

Eki Görüntüle 2288733
Statik olarak bulamadı. Her neyse belki dinamik olarak tespit eder
Eki Görüntüle 2288739
Ve yine hüsran..

ESET:
Eki Görüntüle 2288756
Eki Görüntüle 2288758
Tespit etmedi, belki reaktif olarak tespit eder.
Eki Görüntüle 2288760
ESET'te bulamadı maleseff dosyayı ve test ettiğim hiç bir antivirüs bulamamış oldu. Dosyalar şifrelendi.

DOSYANIN VIRUSTOTAL'I:

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com

Sadece aralarından Windows Defender ve Sophos tespit edebilmiş adam akıllı olan antivirüsler olarak. Malwarebytes'de tespit edememiş ayrıca.

Neden olduğunu anlamadığım bir şekilde bazı dosyalar siteye yüklenememiş. En aşağıda "Dosya Ekleri" kısımında görebilirsiniz o kaybolmuş görselleri.
Tüm antivirüsler güncelken yapıldı bu testler.
@Fıratt10 @731001 @Mucize Kartal @Dexter_Morgan31
Genişletmek için tıkla...
AVG'de Fidye Yazılımı Korumasını Strict Mod'a alsanız tespit ederdi hocam büyük ihtimalle. Ve korunan klasöre yaptınız değil mi?

Malware.AI dedi:
Öncelikle söylemeliyim ki bu testler basit ve kullanıcı deneyimi sınıfına giren bir testtir. Çok profesyonellik veya bir AV-Comparatives testleri kadar detaylı olmasını beklemeyin, ancak elimden geleni yaptığımı söyleyebilirim. Yazdıklarım tamamen kişisel görüşlerim, eleştirilerim ve testlerimdir. Kendi bilgisayarınızda bu testleri yapmayın, bu test korumalı bir ortamda yapılmıştır. Farklı ürün sürümlerinde ve farklı tarihlerde/farklı durumlarda/farklı ayarlarda test sonuçları değişken olabilir. Eğer böyle bir test yapacaksanız sorumluluk tamamen size aittir. Bu test sadece bilgilendirme amaçlıdır. İstemeden yanlış bilgi verilmiş olabilir hatam varsa düzeltiniz.

EN ÖNEMLİ KISIM ve Ransomware'nin yapılış şekli:
Dostlar merhaba, TPSC'nin son ransomware videosunu gördüm ve test ettiği antivirüslere baktığımda genelde ev kullanıcısı için olmayan antivirüsleri kullandığını gördüm. Sadece BitDefender vardı orada olan.
Bende ona benzer bir düzenek yapmak istedim. Videodaki gibi 15 saniye dinamik ve davranışsal analizleri geçmek için sleep komutu kullandım.

Dosyaları ESET, AVG, BitDefender, Kaspersky ile test ettikten sonra VirusTotal'e koyacağım çünkü şimdi koyarsam testleri gerçekleştirene kadar insan dosyayı kendi analiz edip tespit yapabilir.
Stringler için XOR kullandım (çalıştırma sonrası). Sahte de olsa koda imza koydum. Işe yarayıp yaramayacağından emin olmamama rağmen Lazy Importer kullandım bazı yerlerde (çalıştırma sonrası). + olarak birden fazla paketleyici kullandım genel olarak AV'ler tarafından tespit edilmeyen.
Çok bilgim olmadığı için bazı Anti-Debugging teknikleri kullandım GH'dan bulduğum ve çalıştıklarından emin oldum. Dosyayı VM'de açacağım için Anti-VM/Sandbox kullanamadım.
Virüsü 3 gün civarında yaptım ve bitirdim.
C# ile yapıldı.

ÖNCEKİ KONU: AVG ve ESET 0,1,2,3,4.gün virüslerine karşı ufak çaplı ATP testi ve Xcitium/Comodo Valkyrie

ARAYÜZ:
Eki Görüntüle 2288678
Eki Görüntüle 2288681
Şifrele tuşuna basınca dosya şifreleniyor adı üzerinde.

Eki Görüntüle 2288683
Ve buda şifrelenmiş hali.

ILK TEST, KASPERSKY PLUS:

Kaspersky açıkken (dosya kalkanı vb..) bu .exe'i çalıştıracağım ve eğer tespit etmezse şifrele diyeceğim bakalım o zaman tespit ediyor mu?
Eki Görüntüle 2288719
Evet virüs bulmadı statik analizle. Şimdi açıp şifreleyince Sistem İzleyici uyaracak mı ona bakacağım.
15 saniye kadar bekledikten sonra dosya açıldı ve hala bir tespit yok.
Eki Görüntüle 2288693
Eki Görüntüle 2288696
Evet, tüm dosyalar şifrelendi ancak Kaspersky uyuyor 😀. Garip.
Eki Görüntüle 2288698
Ve gördüğünüz gibi dosyalar şifrelenmiş.

Kaspersky maleseff kaybetti.

BITDEFENDER TOTAL SECURITY:
BitDefender'dan umutluyum. Zira TPSC'nin videosunda bazılarını sildikten sonra tespit edebilmişti.
Eki Görüntüle 2288723
Evet yine statik olarak tespit edemedi, her neyse belki dinamik tespit eder.
Eki Görüntüle 2288724
Hala tespit yok bakalım şifrelerken tespit edecek mi?
Eki Görüntüle 2288727
Maleseff BitDefender'da cortladı, bu işin sonunda her halde hiç bir antivirüsü kullanamayacağız..

Eğer ki benim gibi biri bile bu antivirüsleri bu kadar kolay geçiyorsa bu antivirüsler ne işe yarıyor anlamış değilim. Sadece 3 günlük çalışmanın ardından bu virüsü yaptım ve yıllardır geliştirilen antivirüsler gerçekten bu kadar kolay mı geçiliyor?


AVG FREE:

Eki Görüntüle 2288733
Statik olarak bulamadı. Her neyse belki dinamik olarak tespit eder
Eki Görüntüle 2288739
Ve yine hüsran..

ESET:
Eki Görüntüle 2288756
Eki Görüntüle 2288758
Tespit etmedi, belki reaktif olarak tespit eder.
Eki Görüntüle 2288760
ESET'te bulamadı maleseff dosyayı ve test ettiğim hiç bir antivirüs bulamamış oldu. Dosyalar şifrelendi.

DOSYANIN VIRUSTOTAL'I:

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com

Sadece aralarından Windows Defender ve Sophos tespit edebilmiş adam akıllı olan antivirüsler olarak. Malwarebytes'de tespit edememiş ayrıca.

Neden olduğunu anlamadığım bir şekilde bazı dosyalar siteye yüklenememiş. En aşağıda "Dosya Ekleri" kısımında görebilirsiniz o kaybolmuş görselleri.
Tüm antivirüsler güncelken yapıldı bu testler.
@Fıratt10 @731001 @Mucize Kartal @Dexter_Morgan31
Genişletmek için tıkla...
Bu arada sonuçlar üzdü, bu kötü oldu :(
 
731001 dedi:
AVG'de Fidye Yazılımı Korumasını Strict Mod'a alsanız tespit ederdi hocam büyük ihtimalle. Ve korunan klasöre yaptınız değil mi?


Bu arada sonuçlar üzdü, bu kötü oldu :(
Genişletmek için tıkla...
Hocam strict modda zaten tüm bilinmeyenlere karşı uyarıyor. Geçerli bir koruma değil bana göre bu.

Vallahi bende anlamadım. Yıllardır geliştirilen antivirüsler bu kadar kolay geçiliyormuymuş ya? Demekki hala veritabanlarındaki dosyalar olmadan antivirüsler hiç gibi bir şey. Hala çok gelişmeli davranışsal analizleri vb.
 
Malware.AI dedi:
Hocam strict modda zaten tüm bilinmeyenlere karşı uyarıyor. Geçerli bir koruma değil bana göre bu.

Vallahi bende anlamadım. Yıllardır geliştirilen antivirüsler bu kadar kolay geçiliyormuymuş ya? Demekki hala veritabanlarındaki dosyalar olmadan antivirüsler hiç gibi bir şey. Hala çok gelişmeli davranışsal analizleri vb.
Genişletmek için tıkla...
30'dan fazla dosyayı yapmaya çalışsa bulurlardı büyük ihtimalle. Yani aslında geçerli bir koruma diyebiliriz. Zira adam hangi uygulamanın güvenli olduğunu biliyorsa bir sorun olmamalı diye düşünüyorum. Strict Mod'da da dener misiniz hocam? Bu arada elinize sağlık. Hala gelişmeli dediğiniz gibi.
 
Büyük ihtimalle çoğu AV'nin tespit edememe sebebi 15 saniye bekleme olması (TPSC'nin videosuna benzemesi için böyle yaptım). Ancak her türlü bu iş saçma.
Bir insan normal bir uygulama yapıp uygulamayı çalıştırdıktan 15 saniye sonra farklı çalışan bir dosya yapıp onun içine virüs koyabilir, bu kadar basit, böylece çoğu antivirüsü kolayca geçmiş oluyor.
 
Malware.AI dedi:
Büyük ihtimalle çoğu AV'nin tespit edememe sebebi 15 saniye bekleme olması (TPSC'nin videosuna benzemesi için böyle yaptım). Ancak her türlü bu iş saçma.
Bir insan normal bir uygulama yapıp uygulamayı çalıştırdıktan 15 saniye sonra farklı çalışan bir dosya yapıp onun içine virüs koyabilir, bu kadar basit, böylece çoğu antivirüsü kolayca geçmiş oluyor.
Genişletmek için tıkla...
O da var, bir 30 dosyayı falan şifreleseydin hocam belki bulurdu. Tekrar yapma şansın var mı ki?
 

Benzer konular

Dexter_Morgan31
  • Makale
Antivirusler vs obfuscate edilmiş Ransomware
2 3
Mesaj
29
Görüntüleme
1.669
Dexter_Morgan31
Dexter_Morgan31
Dexter_Morgan31
  • Makale
1399 virüs ile antivirüs veritabanı testi
Mesaj
7
Görüntüleme
961
Dexter_Morgan31
Dexter_Morgan31
Dexter_Morgan31
  • Makale
Antiviruslere karsi gelismis obfuscated ransomware saldirisi testi
Mesaj
6
Görüntüleme
801
Dexter_Morgan31
Dexter_Morgan31
Malware.AI
  • Makale
Ransomware (Sleep silindi) vs Antivirüsler (ReTest!)
2
Mesaj
16
Görüntüleme
696
Fıratt10
Fıratt10
T
312 virüsle antivirüs programlarının tespit oranı testi
Mesaj
6
Görüntüleme
275
Malware.AI
Malware.AI

Technopat Haberler

Yeni konular

Yeni mesajlar

Geri
Yukarı