Fidye yazilimi ile birlikte antivirusleri atlatmak

winball501

Uzman
Katılım
1 Şubat 2025
Mesajlar
95
Makaleler
1
Beğeniler
37
@Hydra ile yaptigimiz bu testte antiviruslerin fidye viruslerinin sifrelemesinden koruyan modullerinin hicbir ise yaramadigini gordum eger veritabaninda yoksa baska sekilde durduramiyorlar sizler bu konu hakkinda ne dusunuyorsunuz merak ediyorum.

Webroot sanirim registry korumasi ile durdurdu yazilim duzgun calismadi digerleri hicbir şey yapamadi BitDefender sadece disinfection uyarisi verdi ama bir şey yapamadi.

Webroot varken antivirusbypass.exe duzgun calismiyor.


 
Fidye yazılımı bulaşması durumunda Windows, Linux veya MacOS işletim sistemlerinin varsayılan disk şifrelemesi dosyaları korur mu?
 
Güvenlik testi yaparken stok Windows dışında hiçbir kurulum kullanmayın, yaptığınız testin geçerliliğini yok ediyor. Sanal makinedeki Windows kurulumunda UAC kapalı, SmartScreen kapalı, Smart App Control kapalı... Hangi sürüm Windows kullandığınızı bile göremiyoruz. ELAM gibi diğer Windows'a dahili güvenlik araçlarını göremiyoruz. Dolayısıyla bu şekilde yaptığınız bir test pek manalı değil, çok acemice bir PoC olduğunu belirtmeliyim.

Üçüncü parti bir antivirüs kurduğunuzda Windows Defender'ın gerçek zamanlı koruması devre dışı kalsa da biraz önce belirttiğim UAC gibi güvenlik unsurları çalışmaya devam eder çünkü antivirüsler ile ortak çalışmak için tasarlanmışlardır. Bu güvenlik önlemlerini kapatıp sistemin enfekte olabildiğini göstermek pek işe yaramıyor.
 
Bunların çoğu imza tabanlı çalışıyor behavioural detectionda Bitdefender diğerlerine göre iyi ama yine çok bir şey yapamıyor. Binlerce dolarlık enterprise güvenlik yazılımları bile doğru dürüst engelleyemiyor.
 
Son düzenleme:
Zırva UAC'ı sonradan kapattı virüs.
 
Hydra dedi:
Zırva UAC'ı sonradan kapattı virüs.
Genişletmek için tıkla...

Sizin PoC yazılımınız, çalışması için yönetici yetkilerine sahip olması gereken bir executable dosya. Normalde siz dosyayı çalıştırdığınız anda Windows araya girer, program çalışmadan önce aşağıdaki gibi bir prompta Admin hesabınızı girersiniz ve program Admin yetkisi ile çalıştırılır:


Ancak açtığınız videoda böyle bir prompt yok. "UAC'ı sonradan kapattı" demeniz inanılmaz anlamsız, çünkü bu program zaten en başta çalışmak için elevated perm'e ihtiyaç duyuyor. Eğer bir şekilde privilege escalation yapıyorsanız (ki hiç sanmıyorum), bunu yine en güncel Windows üzerinde ve bütün güvenlik önlemleri açıkken göstermeniz gerekiyor.

Burada tek bir zırva söz konusu; sizin yetersiz test metodolojiniz.
 
Doğru önlem alınmazsa elevate.exe, fodhelper.exe gibi dosyalar droplayıp veya script ile de kolayca aşılıyor pek bir anlamı yok açıkçası. Admin şifre ekranı standard ev kullanıcılarında çıkmaz ekstra ayar yapılmazsa.
 
Son düzenleme:
UAC'ı normal şekilde istemezse mesela runas veya sen UAC'a şifre atarsan bu olur. Hala saçmalıyorsun. Tester ben değildim yoksa evet ben böyle eleştiri gelmesin diye Winball501'in yapacağını yapmazdım.
 
Mesaj yazmak için giriş yapmalı ya da kaydolmalısınız.

Benzer konular

Gördüğüm en garip fidye yazılımı
2 3 4
Mesaj
31
Görüntüleme
638
Ord.Prof.Dr Erdal Kömürcü
O
  • Çözüldü
Çözüldü Uxtu yazılımı virüslü olabilir mi?
Mesaj
8
Görüntüleme
278
Mesh
Comodo UEFI fidye virüsüne yenildi
Mesaj
7
Görüntüleme
385
Ord.Prof.Dr Erdal Kömürcü
O
Kaspersky ve Windows Defender dışında güvenlik yazılımı önerisi
2
Mesaj
16
Görüntüleme
419
The_Turk
Menü
Giriş yap
Kaydol
Bu siteyi kullanmak için çerezler gereklidir. Siteyi kullanmaya devam etmek için çerezleri kabul etmelisiniz. Daha Fazlasını Öğren.…