26 Mayıs 2014 Pazartesi

Veil Antivirus Evasion

Veil Antivirus Evasion programı Antivirus sistemleri atlatabilen zararlı dosyalar oluşturulmasına olanak sağlamaktadır. Zararlı kodun içerisine yerleştirilen payloadlar ile bu dosyanın çalıştırıldığı kurban bilgisayarların ele geçirilmesine olanak sağlamaktadır. Kullanımı;

Veil aracını çalıştırıyoruz.  ./Veil-Evasion.py


Karşımıza Veil ana menüsü gelmektedir.

25 Mayıs 2014 Pazar

RATTE

Ratte bir uzaktan erişim kontrolü sağlayan araçtır. Kali Linux da Social Engineering Toolkit içerisinde yer almaktadır.

Kali Linux da Application > Kali Linux > Exploitation Tools > Social Engineering Toolkit > setoolkit çalıştırılır.


24 Mayıs 2014 Cumartesi

Avoid AV Bypass

Antivirus atlatma tekniklerinden biri olan Avoid toolunun nasıl kullanıldığı ile ilgili bilgiler bu dökümanda
yer almaktadır. Öncelikli olarak Avoid programını Kali Linux üzerine download ediyoruz.

wget https://github.com/nccgroup/metasploitavevasion/archive/master.zip

19 Mayıs 2014 Pazartesi

INMET Antivirus Bypass

Inmet (Ultimet) uygulaması ile antivirus sistemlerini bypass edebilen zararlı dosyalar oluşturulabilmektedir.
https://github.com/SherifEldeeb/inmet  adresinden ilgili dosya indirilebilir. Windows işletim sistemi üzerinde çalışan bir uygulamadır.

Ultimet kullanımı;

17 Mayıs 2014 Cumartesi

Artemis Antivirus Bypass

Antivirus atlatma tekniklerinden biri olan Artemis toolunun nasıl kullanıldığı ile ilgili bilgiler bu dökümanda yer almaktadır. Artemis http://cevincere.com web adresi üzerinden çok basit bir şekilde zararlı dosya oluşturabilmeye imkan sağlayan online bir uygulamadır. http://cevincere.com adresinde şuan Artemis Basic kullanılabilir durumdadır. Yakın zamanda APT geliştirmesi içinde Standart ve Ultimate versiyonları kullanılabilir olacaktır.

Artemis Basic tıkladığımızda aşağıdaki gibi bir ekran bizi karşılamaktadır. Okuma yazma bilen herkesin basitçe zararlı kod hazırlayabileceği bir altyapı imkanı sunmaktadır.

8 Mayıs 2014 Perşembe

Malwarelerin Sandbox Tespit Etme Teknikleri

Son günlerin modası olan sandbox mimarilerinin zararlı kod geliştiricileri tarafından nasıl atlatılabildikleri ile ilgili çeşitli teknikler ortaya çıkmaktadır.

Malwarelerin Sandbox tespit etme tekniklerinden biri;

Çalıştırıldığı Windows sistemde  HKLM\Software\Microsoft\Windows NT\CurrentVersion\   Registry alanındaki ProductID  değerini kontrol etmektedir. 

Aşağıda belirtilen Product ID değerleri çok bilinen sandbox teknolojilerinin kullandığı değerlerdir. Malware geliştiricileri zararlı kod çalıştırıldığında öncelikli olarak bu Product ID değerleri check etmektedir. Eğer herhangi biriyle uyuşan değer varsa zararlı aktivite yapmayacak şekilde çalışıp işlemini bitirmektedir. Ancak bu Product ID ler haricinde bir değer varsa bu sistemin gerçek son kullanıcı olduğunu anlayıp zararlı aktivite yapacak şekilde kendini çalıştırmaktadır.

Product ID listesi;

  •           76487-640-1457236-23837
  •        76487-337-8429955-22614
  •        76487-644-3177037-23510
  •        76497-640-6308873-23835
  •        55274-640-2673064-23950
  •         76487-640-8834005-23195
  •        76487-640-0716662-23535
  •        76487-644-8648466-23106
  •        00426-293-8170032-85146
  •         76487-341-5883812-22420
  •        76487-OEM-0027453-63796
Bu Product ID listeleri çok bilinen Joebox, GFI, Kasperksy, CWSandbox, Anubis vb. sandbox çözümlerine aittir.

Sandbox mimarisi bir çözüm alacakken onun atlatılabilme yeteneklerini iyi test etmek gerekmektedir.  Sandbox teknolojileri bir çözüm sağlar mı? Ciddi oturup tartışmak gerek.

3 Mayıs 2014 Cumartesi

Syringe Antivirus Bypass

Antivirus atlatma tekniklerinden biri olan Syringe toolunun nasıl kullanıldığı ile ilgili bilgiler bu makalede yer almaktadır. Öncelikli olarak Syringe programını Kali Linux üzerine download ediyoruz.


1 Mayıs 2014 Perşembe

Malwarelerin Sanal Makine ve Emulasyon Tespit Etme Teknikleri

Malware örnekleri genellikle Virtual Machine gibi izole bir ortamda analistler tarafından analiz edilir. Bir zararlı yazılım sanal makine içindeki örneklerinin analizini önlemek amacıyla anti-vm koruma içerir ya da malware izole bir ortamda çalıştırıldığında normal zararlı işlemlerini yerine getirmeyecek şekilde kodlanabilmektedir.


Aşağıdaki teknikler bir örnek zararlının VM içinde çalışan olup olmadığını tespit etmek için kullanılabilir.
  • Timing Based
  • Artifacts based