winball501

winball501

Uzman
Katılım
1 Şubat 2025
Mesajlar
95
Makaleler
1
Beğeniler
37
@Hydra ile yaptigimiz bu testte antiviruslerin fidye viruslerinin sifrelemesinden koruyan modullerinin hicbir ise yaramadigini gordum eger veritabaninda yoksa baska sekilde durduramiyorlar sizler bu konu hakkinda ne dusunuyorsunuz merak ediyorum.

Webroot sanirim registry korumasi ile durdurdu yazilim duzgun calismadi digerleri hicbir şey yapamadi BitDefender sadece disinfection uyarisi verdi ama bir şey yapamadi.

Webroot varken antivirusbypass.exe duzgun calismiyor.



 
Güvenlik testi yaparken stok Windows dışında hiçbir kurulum kullanmayın, yaptığınız testin geçerliliğini yok ediyor. Sanal makinedeki Windows kurulumunda UAC kapalı, SmartScreen kapalı, Smart App Control kapalı... Hangi sürüm Windows kullandığınızı bile göremiyoruz. ELAM gibi diğer Windows'a dahili güvenlik araçlarını göremiyoruz. Dolayısıyla bu şekilde yaptığınız bir test pek manalı değil, çok acemice bir PoC olduğunu belirtmeliyim.

Üçüncü parti bir antivirüs kurduğunuzda Windows Defender'ın gerçek zamanlı koruması devre dışı kalsa da biraz önce belirttiğim UAC gibi güvenlik unsurları çalışmaya devam eder çünkü antivirüsler ile ortak çalışmak için tasarlanmışlardır. Bu güvenlik önlemlerini kapatıp sistemin enfekte olabildiğini göstermek pek işe yaramıyor.
1738404885493.webp
 
Bunların çoğu imza tabanlı çalışıyor behavioural detectionda Bitdefender diğerlerine göre iyi ama yine çok bir şey yapamıyor. Binlerce dolarlık enterprise güvenlik yazılımları bile doğru dürüst engelleyemiyor.
 
Son düzenleme:
Plyra dedi:
Güvenlik testi yaparken stok Windows dışında hiçbir kurulum kullanmayın, yaptığınız testin geçerliliğini yok ediyor. Sanal makinedeki Windows kurulumunda UAC kapalı, SmartScreen kapalı, Smart App Control kapalı... Hangi sürüm Windows kullandığınızı bile göremiyoruz. ELAM gibi diğer Windows'a dahili güvenlik araçlarını göremiyoruz. Dolayısıyla bu şekilde yaptığınız bir test pek manalı değil, çok acemice bir PoC olduğunu belirtmeliyim.

Üçüncü parti bir antivirüs kurduğunuzda Windows Defender'ın gerçek zamanlı koruması devre dışı kalsa da biraz önce belirttiğim UAC gibi güvenlik unsurları çalışmaya devam eder çünkü antivirüsler ile ortak çalışmak için tasarlanmışlardır. Bu güvenlik önlemlerini kapatıp sistemin enfekte olabildiğini göstermek pek işe yaramıyor.
Eki Görüntüle 120667
Genişletmek için tıkla...
Küçültmek için tıkla...
Zırva UAC'ı sonradan kapattı virüs.
 
Hydra dedi:
Zırva UAC'ı sonradan kapattı virüs.
Genişletmek için tıkla...
Küçültmek için tıkla...
2025-02-01 13_41_45-Fidye yazilimi ile birlikte antivirusleri atlatmak _ Techolay Sosyal - Br...webp

Sizin PoC yazılımınız, çalışması için yönetici yetkilerine sahip olması gereken bir executable dosya. Normalde siz dosyayı çalıştırdığınız anda Windows araya girer, program çalışmadan önce aşağıdaki gibi bir prompta Admin hesabınızı girersiniz ve program Admin yetkisi ile çalıştırılır:
UAC Prompt.webp


Ancak açtığınız videoda böyle bir prompt yok. "UAC'ı sonradan kapattı" demeniz inanılmaz anlamsız, çünkü bu program zaten en başta çalışmak için elevated perm'e ihtiyaç duyuyor. Eğer bir şekilde privilege escalation yapıyorsanız (ki hiç sanmıyorum), bunu yine en güncel Windows üzerinde ve bütün güvenlik önlemleri açıkken göstermeniz gerekiyor.

Burada tek bir zırva söz konusu; sizin yetersiz test metodolojiniz.
 
Plyra dedi:
Eki Görüntüle 120682
Sizin PoC yazılımınız, çalışması için yönetici yetkilerine sahip olması gereken bir executable dosya. Normalde siz dosyayı çalıştırdığınız anda Windows araya girer, program çalışmadan önce aşağıdaki gibi bir prompta Admin hesabınızı girersiniz ve program Admin yetkisi ile çalıştırılır:
Eki Görüntüle 120693

Ancak açtığınız videoda böyle bir prompt yok. "UAC'ı sonradan kapattı" demeniz inanılmaz anlamsız, çünkü bu program zaten en başta çalışmak için elevated perm'e ihtiyaç duyuyor. Eğer bir şekilde privilege escalation yapıyorsanız (ki hiç sanmıyorum), bunu yine en güncel Windows üzerinde ve bütün güvenlik önlemleri açıkken göstermeniz gerekiyor.

Burada tek bir zırva söz konusu; sizin yetersiz test metodolojiniz.
Genişletmek için tıkla...
Küçültmek için tıkla...
Doğru önlem alınmazsa elevate.exe, fodhelper.exe gibi dosyalar droplayıp veya script ile de kolayca aşılıyor pek bir anlamı yok açıkçası. Admin şifre ekranı standard ev kullanıcılarında çıkmaz ekstra ayar yapılmazsa.
 
Son düzenleme:
Plyra dedi:
Eki Görüntüle 120682
Sizin PoC yazılımınız, çalışması için yönetici yetkilerine sahip olması gereken bir executable dosya. Normalde siz dosyayı çalıştırdığınız anda Windows araya girer, program çalışmadan önce aşağıdaki gibi bir prompta Admin hesabınızı girersiniz ve program Admin yetkisi ile çalıştırılır:
Eki Görüntüle 120693

Ancak açtığınız videoda böyle bir prompt yok. "UAC'ı sonradan kapattı" demeniz inanılmaz anlamsız, çünkü bu program zaten en başta çalışmak için elevated perm'e ihtiyaç duyuyor. Eğer bir şekilde privilege escalation yapıyorsanız (ki hiç sanmıyorum), bunu yine en güncel Windows üzerinde ve bütün güvenlik önlemleri açıkken göstermeniz gerekiyor.

Burada tek bir zırva söz konusu; sizin yetersiz test metodolojiniz.
Genişletmek için tıkla...
Küçültmek için tıkla...
UAC'ı normal şekilde istemezse mesela runas veya sen UAC'a şifre atarsan bu olur. Hala saçmalıyorsun. Tester ben değildim yoksa evet ben böyle eleştiri gelmesin diye Winball501'in yapacağını yapmazdım.
 

Benzer konular

Hydra
Gördüğüm en garip fidye yazılımı
2 3 4
Mesaj
31
Görüntüleme
638
Ord.Prof.Dr Erdal Kömürcü
O
Mesh
  • Çözüldü
Çözüldü Uxtu yazılımı virüslü olabilir mi?
Mesaj
8
Görüntüleme
276
Mesh
Mesh
Hydra
Comodo UEFI fidye virüsüne yenildi
Mesaj
7
Görüntüleme
385
Ord.Prof.Dr Erdal Kömürcü
O
Max Caulfield
Kaspersky ve Windows Defender dışında güvenlik yazılımı önerisi
2
Mesaj
16
Görüntüleme
419
The_Turk
The_Turk

Yeni konular

Yeni mesajlar