TR | EN | DE | Our Site

ANTİVİRÜS KAÇINMASI

byCrow -

  

ANTİVİRÜS KAÇINMASI 

Antivirüsten Kaçınma Teknikleri Eğitimi

Antivirüsten kaçınma, özellikle penetrasyon testi ve kırmızı takımda yer alanlar olmak üzere siber güvenlik uzmanları için kritik bir beceridir. 


Temel Bileşenler ve İşlemler

Antivirüs Algılama Mekanizmalarını Anlamak

Kaçınma tekniklerine dalmadan önce, antivirüs yazılımlarının tehditleri nasıl tespit ettiğini anlamak önemlidir:
  • İmza Tabanlı Algılama : Dosyaları bir imza veritabanıyla karşılaştırarak bilinen kötü amaçlı yazılımları belirler.
  • Sezgisel Analiz : Potansiyel tehditleri tespit etmek için kod özelliklerini ve davranışlarını analiz eder.
  • Davranış Algılama : Kötü amaçlı faaliyetleri belirlemek için program davranışını gerçek zamanlı olarak izler.
  • Sandboxing : Davranışını ana bilgisayarı etkilemeden gözlemlemek için kodu kontrollü bir ortamda yürütür.

Antivirüsten Kaçınma Yazılımının Temel Bileşenleri

  1. Karartıcılar
    • İşlev : Zararlı kodun analizini veya tersine mühendisliğini zorlaştırmak için onu gizler.
    • Teknikler : Değişkenlerin yeniden adlandırılması, ölü kod eklenmesi ve kontrol akışlarının değiştirilmesini içerir.
  2. Paketleyiciler
    • İşlev : Kötü amaçlı yükleri sıkıştırıp şifreleyerek ikili yapılarını değiştirir.
    • Sonuç : Kötü amaçlı yükü içerirken AV yazılımı için zararsız görünen yeni bir yürütülebilir dosya oluşturur.
  3. Şifre çözücüler
    • İşlev : Kodu şifreler ve çalışma zamanında şifresini çözer, bu da tespiti zorlaştırır.
    • Mekanizma : Şifre çözme parçası bellekte yürütülür ve AV'nin diskteki kötü amaçlı kodu algılaması engellenir.
  4. Damlalıklar ve Yükleyiciler
    • Dropper : Kötü amaçlı bir yükü kurbanın sistemine iletir ve kalıcılık sağlayabilir.
    • Yükleyici : Genellikle tespit edilmekten kaçınmak için işlem enjeksiyon tekniklerini kullanarak belleğe ek kötü amaçlı yazılımlar yükler.
  5. İşleyiciler
    • İşlev : Kötü amaçlı faaliyetleri yürütmek için komutlar almak üzere komuta ve kontrol (C&C) sunucularıyla iletişim kurmak.

Kaçınma Teknikleri

Disk Üzerinden Kaçınma Teknikleri

Bu yöntemler, tespit edilmekten kaçınmak için diskteki kötü amaçlı kodu değiştirir:
  • Karmaşıklaştırma : Analizi engellemek için kodu yeniden düzenler.
  • Kodlama : Algoritmalar kullanılarak verilerin farklı bir formata dönüştürülmesidir.
  • Paketleme : Kodu yeni bir yürütülebilir biçime sıkıştırır.
  • Crypters : Kodu şifreler ve yalnızca bellekte şifresini çözer.

Bellekte Yürütme Teknikleri

Bu teknikler, kodu diske yazmadan doğrudan bellekte yürütür:
  • Dosyasız Kötü Amaçlı Yazılım : Geleneksel dosya tabanlı tespit yöntemlerinden kaçınarak tamamen bellekte çalışır.
  • İşlem Boşaltma : Sistemde çalışan meşru işlemlere kötü amaçlı kod enjekte eder.

Pratik Gösterimler

  1. Invoke-Obfuscation Aracı
    • AV algılamasını atlatmak için komut dosyalarını gizlemek amacıyla kullanılan bir PowerShell aracı.
  2. Örtüden Kaçma Çerçevesi
    • Birçok antivirüs çözümünün üstesinden gelebilecek yükler üretmeye yönelik Python tabanlı bir çerçeve.
  3. msfvenom kullanımı
    • VirusTotal kullanarak bir yük oluşturun ve çeşitli AV çözümlerine karşı tespit oranını test edin.   msfvenom

Uygulamalı Egzersizler

Katılımcılar uygulamalı alıştırmalara katılacaklardır:
  • Kaçınma tekniklerini test etmek için hem savunmasız sistemlerin hem de AV çözümlerinin bulunduğu kontrollü bir ortam kurun.
  • Kaçınma süreçlerini otomatikleştirmek ve farklı antivirüs ürünlerine karşı etkinliğini test etmek için ve gibi araçları kullanın .' peCloak'  'Shellter'


Uygulamada AV Kaçınma Eğitimi

Bu eğitim modülü, katılımcılara antivirüs kaçınma teknikleri konusunda pratik bilgi ve beceriler kazandırmak için tasarlanmıştır. Antivirüs çözümlerinin nasıl atlatılacağını anlamak, etkili penetrasyon testi ve kırmızı takım için çok önemlidir.

Antivirüsten Kaçışa Genel Bakış

Antivirüsten kaçınma, antivirüs yazılımı tarafından tespit edilmeyi önlemek için çeşitli teknikler kullanmayı içerir. Bu, birçok kuruluşun sistemlerini korumak için AV çözümlerine büyük ölçüde güvenmesi nedeniyle, penetrasyon testlerini başarıyla yürütmek için önemlidir.

Antivirüsten Kaçınma İçin Temel Teknikler

1. Bulanıklaştırma

  • Tanım : Virüsten koruma yazılımlarının analiz etmesini veya tespit etmesini zorlaştırmak amacıyla kodu değiştirme işlemi.
  • Yöntemler :
    • Değişkenlerin ve fonksiyonların yeniden adlandırılması.
    • Ölü kod veya yanıltıcı talimatlar eklemek.
    • Yürütme yolunu karmaşıklaştırmak için kontrol akışı karartması kullanılıyor.

2. Paketleme

  • Tanım : Kötü amaçlı yükün sıkıştırılıp şifrelenerek ikili yapısının değiştirilmesi.
  • Aletler :
    • Veil-Evasion : Çoğu AV tarafından tespit edilmekten kaçınmak için tasarlanmış yükler üreten bir çerçeve.
    • Örnek Komut :

      veil-evasion
      Daha sonra bir yük seçilerek oluşturulur.

3. Dinamik Kabuk Kodu Enjeksiyonu

  • Tanım : Çalışan bir işleme kabuk kodu enjekte ederek, dosyaları diske yazmadan yürütmeye izin vermek.
  • Aletler :
    • Barınak : Bellekteki yükleri yürütmeye yardımcı olan dinamik kabuk kodu enjeksiyonu için bir araç.

4. Bellekte Yürütme

  • Tanım : Geleneksel dosya tabanlı algılama yöntemlerinden kaçınarak kodu doğrudan bellekte çalıştırmak.
  • Teknikler :
    • Dosyasız kötü amaçlı yazılım yürütme, yükün tamamen bellekte iletildiği ve yürütüldüğü yöntemdir.

Pratik Gösterimler

  1. Invoke-Obfuscation Kullanımı
    • AV algılamasını atlatmak için komut dosyalarını gizleyebilen bir PowerShell aracı. Katılımcılar bunu etkili bir şekilde nasıl kullanacaklarını öğrenecekler.
  2. Bir Laboratuvar Ortamı Kurma
    • Hem savunmasız sistemleri hem de çeşitli antivirüs çözümlerini kullanarak kaçınma tekniklerini test edebileceğiniz kontrollü bir ortam yaratın.
  3. Uygulamalı Egzersizler
    • Katılımcılar, Metasploit'in çoklu işleyicisini kullanarak arka kapılı yürütülebilir dosyaları dağıtma ve bağlantıları izleme konusunda pratik yapacaklar.

Gelişmiş Kaçınma Teknikleri

  • Anti-VM Kontrolleri : Kötü amaçlı yazılımların sanallaştırılmış bir ortamda çalıştığını tespit ederek davranışlarını değiştirmelerine olanak tanıyan teknikler.
  • Bellek Sıfırlama Teknikleri : Adli bilişim araçları tarafından tespit edilmesini önlemek için yürütme sonrasında hassas bilgilerin bellekten temizlenmesi.

Daha Fazla Öğrenme İçin Kaynaklar

  1. Çevrimiçi Dersler :
    • Hack The Box Academy gibi platformlarda Antivirüs Atlatma Tekniklerinde Ustalaşma, AV çözümlerini atlatma konusunda derinlemesine eğitim sağlar.
  2. Topluluk Forumları :
    • Güncel kaçınma teknikleri ve araçları hakkında tartışmalar yapmak için Reddit'in r/Malware gibi topluluklarıyla etkileşime geçin.
  3. MITRE ATT&CK Çerçevesi :
    • Kapsamlı bir kaçınma teknikleri ve stratejileri listesi için çerçeveyi kullanın.


Uygulamada AV Kaçınma Eğitimi: Gerçek Dünya Örnekleri

Bu eğitim modülü, önemli siber olaylarda uygulamalarının gerçek dünya örnekleriyle desteklenen pratik antivirüs kaçınma tekniklerine odaklanır. Bu teknikleri ve bunların etkilerini anlamak, penetrasyon testi ve kırmızı takım çalışması yapan siber güvenlik profesyonelleri için önemlidir.

Antivirüsten Kaçınma Tekniklerine Genel Bakış

Antivirüs kaçınması, antivirüs yazılımı tarafından kullanılan algılama mekanizmalarını atlatmak için çeşitli stratejiler kullanmayı içerir. Temel teknikler şunlardır:
  • Karmaşıklaştırma : Analizi zorlaştırmak için kodu değiştirme.
  • Paketleme : Kötü amaçlı yüklerin sıkıştırılması ve şifrelenmesi.
  • Bellekte Yürütme : Kodun diske yazılmadan doğrudan bellekte çalıştırılması.
  • İşlem Enjeksiyonu : Meşru işlemlere kötü amaçlı kod enjekte etmek.

AV Kaçınma Tekniklerinin Gerçek Dünya Örnekleri


1. WIZARD SPIDER ve PlugX İmplantı

  • Olay : Rusya ile bağlantılı bir tehdit grubu olan WIZARD SPIDER, toplu komut dosyalarındaki ikili dosyaları çözmek ve yürütmek için komutu kullandı. Ayrıca, PlugX implantını meşru bir Windows hizmeti olarak gizleyerek kurmak için DLL arama sırası ele geçirmeyi kullandılar.  Certutil
  • Kullanılan Teknik : Meşru Windows araçlarını ve süreçlerini manipüle ederek, antivirüs tespitini başarıyla atlattılar ve keşif faaliyetleri sırasında gizliliği korurken gelişmiş kaçınma taktikleri sergilediler.

2. Stuxnet Solucanı

  • Olay : İran'ın nükleer tesislerini hedef alan Stuxnet solucanı, birden fazla sıfır gün açığını istismar etti ve USB sürücüler aracılığıyla sistemleri enfekte edebildi. Endüstriyel kontrol sistemlerini saptayamayarak manipüle etmek için tasarlanmıştı.
  • Kullanılan Teknik : Stuxnet, yükünü gizlemek için karmaşık paketleme ve şifreleme yöntemleri kullandı ve geleneksel antivirüs çözümleri tarafından tespit edilmekten kaçınmak için gizli teknikler kullandı.

3. Petya Fidye Yazılımı

  • Olay : 2016'da Petya fidye yazılımı, tek tek dosyalar yerine tüm sabit diskleri şifreleyerek yaygın bir kesintiye neden oldu. Kimlik avı e-postaları ve SMB güvenlik açıklarının istismarı kombinasyonunu kullanarak ağlar arasında hızla yayıldı.
  • Kullanılan Teknik : Petya, işlemlerini meşru sistem süreçleri içinde gizlemek için işlem enjeksiyon tekniklerini kullandı ve antivirüs yazılımları tarafından tespit edilmekten etkili bir şekilde kaçındı.

4. LockerGoga Fidye Yazılımı

  • Olay : LockerGoga fidye yazılımı 2019'da Altran Technologies ve Norsk Hydro dahil olmak üzere birçok büyük kuruluşu etkiledi. Dosyaları şifreledi ve kripto para biriminde fidye ödemeleri talep etti.
  • Kullanılan Teknik : Saldırganlar, kötü amaçlı yazılımı iletmek için sosyal mühendislik taktikleri kullandılar; antivirüs çözümleri tarafından tespit edilmekten kaçınmak için karartma ve paketleme tekniklerini kullandılar.

5. Zeus Truvalı

  • Olay : İlk olarak 2007'de tanımlanan Zeus Truva Atı, kimlik avı saldırıları yoluyla bankacılık kimlik bilgilerini çalmasıyla ünlüdür. Büyük finans kuruluşları da dahil olmak üzere çok sayıda yüksek profilli hedefi etkilemiştir.
  • Kullanılan Teknik : Zeus, işlevselliğini korurken görünümünü değiştirmek için kod mutasyon tekniklerini kullandı ve bu da antivirüs yazılımının onu tespit etmesini zorlaştırdı.

6. MyDoom Solucanı

  • Olay : MyDoom, 2004 yılında Google ve Microsoft gibi büyük teknoloji şirketlerini hedef alarak tarihin en hızlı yayılan e-posta solucanlarından biri haline geldi.
  • Kullanılan Teknik : Solucan, DDoS saldırıları gerçekleştirirken varlığını antivirüs yazılımlarından gizlemek için e-posta tabanlı sosyal mühendislik taktikleri ve gizli teknikler kullandı.

7. Bypass için Certutil Kullanımı

  • Olay : Toplu komut dosyaları aracılığıyla ikili dosyaları çözmek ve yürütmek için komutlar kullanan bir Çin-bağlantılı saldırgan keşfedildi . Ayrıca bir PlugX implantı kurmak için DLL arama sırası ele geçirme yöntemini kullandılar.  Certutil
  • Kullanılan Teknik : Saldırganlar, meşru Windows komutlarını ve işlemlerini manipüle ederek AV tespitini atlatmayı başardılar ve meşru araçları kötü amaçlı amaçlarla birleştirmenin etkinliğini kanıtladılar.

Pratik Gösterimler

  1. Invoke-Obfuscation Aracı
    • Katılımcılar, PowerShell betiklerini gizleyerek AV çözümleri tarafından daha az tespit edilebilir hale getirmek için Invoke-Obfuscation aracını kullanma pratiği yapacaklar.
  2. Metasploit Çerçevesi
    • Katılımcılar Metasploit kullanarak yükler üretecek ve çeşitli antivirüs ürünlerine karşı tespit oranlarını test edecekler. Bu uygulamalı egzersiz, paketleme ve kodlama tekniklerinin tespit oranlarını nasıl azaltabileceğini gösterecektir.
  3. Barınak ile Dinamik Shellcode Enjeksiyonu
    • Katılımcılar, dinamik kabuk kodu enjeksiyonu için Shelter'ı nasıl kullanacaklarını öğrenecekler; bu sayede, yükleri diske yazmadan bellekte yürütebilecekler.

Gelişmiş Kaçınma Teknikleri

  • Anti-VM Kontrolleri : Sanal ortamları tespit edip, davranışlarını buna göre değiştiren teknikler.
  • Bellek Sıfırlama Teknikleri : Adli analizden kaçınmak için yürütme sonrasında bellekteki hassas bilgileri temizleme.





Tags

Yorum Gönder

Merhaba düşüncelerinizi bizimle paylaşın

Daha yeni Daha eski

İletişim Formu