15 Kasım 2017

Bir Zararlı Yazılımın Anatomisi - Bölüm 4

ANTI-VIRUS DENEMELERI

Akla gelebilecek ilk sorulardan bir tanesi özel hazırlanmış bir zararlının anti-virüs’ler tarafından tespit edilip edilemeyeceğidir. Aşağıda bu analizin sonuçlarını inceleyebilirsiniz.

Birinci Anti-Virüs


Anti-virüs aktif durumda.


Anti-virüs imzaları güncel.


Zararlı yazılımı sorunsuz kopyalayabildik.


Uygulamayı çalıştırabildik ve meterpreter oturumunu aldık.


İkinci Anti-Virüs


Anti-virüs aktif ve imzaları güncel.


Zararlı dosyayı kopyalama aşamasında tespit etti, Packed.Win32.Katusha.o olarak tanımladı.
Kopyalamadan önce dosyayı bekletti, anti-virüs dinamik bir analiz yapmış olabilir. Network isteğini dinamik analizde görerek import edilmiş kütüphaneler içinde rastlamamasını dosyanın packed olduğuna yormuş olabilir. Ancak bizim dosyamız pack edilmiş değildi.

Üçüncü Anti-Virüs


Anti-virüs aktif ve imzaları güncel.


Dosyayı sorunsuz kopyalayabildik.


Uygulamanın şüpheli davranışlarını tespit ederek gerçekleştirilmiş olan işlemleri geri aldı. Ancak bazı adımlarının işletilmesine izin verdiğini görebiliyoruz.

Yukarıdaki 3 alternatif arasında deneme tarihimiz itibarıyla 2.si en etkin sonuç verdi.

<< Önceki Bölüm