FUD Malware Yalanları !

[Daeky]

Herkese Selamın Aleyküm Arkadaşlar Bugün Sizlerle Sürekli Çok Uzun Süredir Gördüğüm Ve Bir Çok Yanlışın Doğru Gibi Anlatıldığı Bu Konuyu Biraz Açmak İstedim Sizlerin Huzurunda


Evet Hacking Dünyasında Özelliklede Aklımıza Malware Ve Bilgisiyar Virüsleri Geldiğinde Bu Konu Sürekli Birileri Tarafından Lanse Ediliyor
Yok İşte %100 Fud %90 Fud Tüm Antivirüsleri Bypass Ediyor Yok İşte Hiçbir Antivirüs Algılayamıyor VB..
Asılsız Ve Yalan İddialar Çok Fazla


Sözde;

FUD = Fully UnDetectable

Aslında Bu İddia Edilen Fud Diye Bir Terim Gerçek Dünyada Yok !
%100 Fud Diyede Bir şey Yok
Bunları İddia Edenlerin %99'u SCAM(Dolandırıcı)+Sahtekar+Yalancıdır.

Kurumsal güvenlik Dünyasında Yani Hacking Piyasasının White Hat Tarafında
Kesinlikle Böyle Bir Terim Dahi Ortada Yok

Bunları Sözde Elit Malware Grupları,Malware Developer,Underground Forumlardaki Bazı İnsanlar Yani İşin Black Hat Diyebileceğimiz İllegal Kısımlardaki Yalancılar Ortaya Çıkarıyor

Günümüzde Sözde FUD diye satılan her şey en fazla 24-72 saat içinde AV imzalarına düşüyor,Patlıyor Ve Hikaye Oluyor


Temel C# .NET Öğrenip 2-3 Basit Malware Geliştiren Modern Güvenlik Sistemlerinden Gram Dahi Haberi Olmayan Ultra Script Kiddie Diyebileceğimiz Kişilerin Uydurduğu Birşey

Yani Sözde %100 Fud Olan Bir Malware gerçek bir enterprise ortamda dakikalar içinde suspicious activity olarak yakalanabilir ve hikaye biter.


Bunların Sözde Çoğu Telegram,Discord Gruplarında,Dark Web Gibi Yerlerde Bulunan Yeraltı Hacking Platformlarında Gülünç Denebilecek Rakamlara Satılıyor 500-1000 $ Dolar Aralığında


Bu Arkadaşların MAX Bypass Ettiği Yer Scantime Hiçbiri Runtime da Şansı Modern Antilere Karşı Yok MAX 3-5 Saniyede Hepsi Patlıyor
​

Statik İmza Tabanlı + STRING,PATTERN Katmanlarını Bypass Edip Fud Diye Lanse Ediyorlar ​

Fakat Zaten Bu 2 Katmanda Hash Değiştirmeyle Ve Obfuscation İle Basit Şekilde Geçilebiliyor ​

​

​

Fakat İşin ​

HEURISTIC Ve Behavioral Katmanına Geldiğimizde Burada İş Patlıyor​

Registry değişikliği,Process injection,Network Bağlantısı VB..Davranışlardan Antivirüsler Bu Malwareı Yakalıyor
Bir program kernel32.dll’i hook’luyorsa red flag ı Çakıyor.

Zaten Antivirüsler 15-20 Sene Önceki Yazılımlar Değil
Artık Çok Modern Çalışıyorlar Ve Evet Çok Geliştiler​

Real-time System Call Monitoring,Memory Forensics,Cloud Sandbox Integration,AI-Driven Anomaly Detection,Network Behavior Analysis VB..Bir Çok Gelişik Koruma Sistemleri Motorları Var Artık.​

Her şüpheli dosya otomatik sandbox’ta çalıştırılıyor
Sandbox Sistemleriyle Çalışıyorlar


Basit Olarak Görülen Ve Sürekli VT İddiaları Bile Tamamen Asılsız
Bir Kere Zaten,
Virüs Total Aynı anda dosyayı sandbox’ta çalıştırıyor behavioral analysis yapıyor yani davranışsal Dinamik
Tüm sonuçlar VT veritabanına kaydediliyor
Network traffic,Yara Modülleri Kullanıyor
Modern sandbox’lar evasion tekniklerini Yani AV Bypass Tekniklerini Özel Olarak İnceliyor,Simülasyon Ediyor Bizzat
Bir sandbox’ta yakalanan malware tüm dünyadaki AV+EDR’lere yayılıyor ve bu 5-10 dk Gibi Kısa Bir Sürede Bile Olabiliyor
5 dakika içinde tüm AV’ler güncelleme alıyor O Malware İçin
Bir AV yakalarsa diğerleri anında haberdar oluyor yani grupça bir haberleşme var
FUD ömrü ilk sandbox’a düşene kadar işte 3-4-5 saat aralığında max.
Global Threat İntel,Cloud,Sandbox Sistemlerine Göre İmkansıza Yakın
​

​

Bu Kişilerin Kullandıkları Tipik Yalanlar,Davranışlar;

Virüs Total 0/71 Çıktı
Lifetime,Update FUD Hizmeti = Böyle Birşey İmkansız Yalan AV’ler continuous learning yapıyor İlk kurban sandbox’a düşerse tüm dünya güncelleme alıyor yani bu imkansıza yakın bir olay.
Her Müşteriye Özel Hizmet Derler Yalan Private Build Hizmetide Var Sözde
Virüs Total Screenshot Koyalar
hahahahhahh Burası En Komik Kahkaha Atılacak Kısım


Peki Sonuç Gerçekten Fud Diyebileceğimiz Bir Olay Varmı;

Evet Fakat Bunlar Advanced Kişisel Hedefe Yönelik Genel Olarak APT Gruplarının Geliştirdiği Malwarelar İçin Geçerli
Zaten Onlarda Satılmıyor Çoğu 0DAY Exploitle Geliyor Custom Malwarelar Ve Firmware Seviyesinde Bile Çalışabiliyor
Mesela Örnek Olarak;Kernel Mode Rootkitler,Fileless Malware

Gerçek Dünya Örnekleri;
Stuxnet
Duqu
Flame VS..

​

 

[Napcaz]

Üç ay önce online sandbox lara kendi yazdığım bir malware attım sadece anti-sandbox check yapıyor. Sandbox ta olduğunu tespit ederse "za", edemezse "ah" diye mesaj atıyor. 3 ay geçti hala telegramdan za mesajı alıyorum adamlar hala dönüp dönüp analiz ediyor
EDIT: za atıyorlar ah demişim. Hİç ah mesajı almadım. Baya katı bir anti-sandbox tu

 

[aslak35 !]

Herkese Selamın Aleyküm Arkadaşlar Bugün Sizlerle Sürekli Çok Uzun Süredir Gördüğüm Ve Bir Çok Yanlışın Doğru Gibi Anlatıldığı Bu Konuyu Biraz Açmak İstedim Sizlerin Huzurunda


Evet Hacking Dünyasında Özelliklede Aklımıza Malware Ve Bilgisiyar Virüsleri Geldiğinde Bu Konu Sürekli Birileri Tarafından Lanse Ediliyor
Yok İşte %100 Fud %90 Fud Tüm Antivirüsleri Bypass Ediyor Yok İşte Hiçbir Antivirüs Algılayamıyor VB..
Asılsız Ve Yalan İddialar Çok Fazla


Sözde;

FUD = Fully UnDetectable

Aslında Bu İddia Edilen Fud Diye Bir Terim Gerçek Dünyada Yok !
%100 Fud Diyede Bir şey Yok
Bunları İddia Edenlerin %99'u SCAM(Dolandırıcı)+Sahtekar+Yalancıdır.

Kurumsal güvenlik Dünyasında Yani Hacking Piyasasının White Hat Tarafında
Kesinlikle Böyle Bir Terim Dahi Ortada Yok

Bunları Sözde Elit Malware Grupları,Malware Developer,Underground Forumlardaki Bazı İnsanlar Yani İşin Black Hat Diyebileceğimiz İllegal Kısımlardaki Yalancılar Ortaya Çıkarıyor

Günümüzde Sözde FUD diye satılan her şey en fazla 24-72 saat içinde AV imzalarına düşüyor,Patlıyor Ve Hikaye Oluyor


Temel C# .NET Öğrenip 2-3 Basit Malware Geliştiren Modern Güvenlik Sistemlerinden Gram Dahi Haberi Olmayan Ultra Script Kiddie Diyebileceğimiz Kişilerin Uydurduğu Birşey

Yani Sözde %100 Fud Olan Bir Malware gerçek bir enterprise ortamda dakikalar içinde suspicious activity olarak yakalanabilir ve hikaye biter.


Bunların Sözde Çoğu Telegram,Discord Gruplarında,Dark Web Gibi Yerlerde Bulunan Yeraltı Hacking Platformlarında Gülünç Denebilecek Rakamlara Satılıyor 500-1000 $ Dolar Aralığında


Bu Arkadaşların MAX Bypass Ettiği Yer Scantime Hiçbiri Runtime da Şansı Modern Antilere Karşı Yok MAX 3-5 Saniyede Hepsi Patlıyor
​

Statik İmza Tabanlı + STRING,PATTERN Katmanlarını Bypass Edip Fud Diye Lanse Ediyorlar ​

Fakat Zaten Bu 2 Katmanda Hash Değiştirmeyle Ve Obfuscation İle Basit Şekilde Geçilebiliyor ​

​

​

Fakat İşin ​

HEURISTIC Ve Behavioral Katmanına Geldiğimizde Burada İş Patlıyor​

Registry değişikliği,Process injection,Network Bağlantısı VB..Davranışlardan Antivirüsler Bu Malwareı Yakalıyor
Bir program kernel32.dll’i hook’luyorsa red flag ı Çakıyor.

Zaten Antivirüsler 15-20 Sene Önceki Yazılımlar Değil
Artık Çok Modern Çalışıyorlar Ve Evet Çok Geliştiler​

Real-time System Call Monitoring,Memory Forensics,Cloud Sandbox Integration,AI-Driven Anomaly Detection,Network Behavior Analysis VB..Bir Çok Gelişik Koruma Sistemleri Motorları Var Artık.​

Her şüpheli dosya otomatik sandbox’ta çalıştırılıyor
Sandbox Sistemleriyle Çalışıyorlar


Basit Olarak Görülen Ve Sürekli VT İddiaları Bile Tamamen Asılsız
Bir Kere Zaten,
Virüs Total Aynı anda dosyayı sandbox’ta çalıştırıyor behavioral analysis yapıyor yani davranışsal Dinamik
Tüm sonuçlar VT veritabanına kaydediliyor
Network traffic,Yara Modülleri Kullanıyor
Modern sandbox’lar evasion tekniklerini Yani AV Bypass Tekniklerini Özel Olarak İnceliyor,Simülasyon Ediyor Bizzat
Bir sandbox’ta yakalanan malware tüm dünyadaki AV+EDR’lere yayılıyor ve bu 5-10 dk Gibi Kısa Bir Sürede Bile Olabiliyor
5 dakika içinde tüm AV’ler güncelleme alıyor O Malware İçin
Bir AV yakalarsa diğerleri anında haberdar oluyor yani grupça bir haberleşme var
FUD ömrü ilk sandbox’a düşene kadar işte 3-4-5 saat aralığında max.
Global Threat İntel,Cloud,Sandbox Sistemlerine Göre İmkansıza Yakın
​

​

Bu Kişilerin Kullandıkları Tipik Yalanlar,Davranışlar;

Virüs Total 0/71 Çıktı
Lifetime,Update FUD Hizmeti = Böyle Birşey İmkansız Yalan AV’ler continuous learning yapıyor İlk kurban sandbox’a düşerse tüm dünya güncelleme alıyor yani bu imkansıza yakın bir olay.
Her Müşteriye Özel Hizmet Derler Yalan Private Build Hizmetide Var Sözde
Virüs Total Screenshot Koyalar
hahahahhahh Burası En Komik Kahkaha Atılacak Kısım


Peki Sonuç Gerçekten Fud Diyebileceğimiz Bir Olay Varmı;

Evet Fakat Bunlar Advanced Kişisel Hedefe Yönelik Genel Olarak APT Gruplarının Geliştirdiği Malwarelar İçin Geçerli
Zaten Onlarda Satılmıyor Çoğu 0DAY Exploitle Geliyor Custom Malwarelar Ve Firmware Seviyesinde Bile Çalışabiliyor
Mesela Örnek Olarak;Kernel Mode Rootkitler,Fileless Malware

Gerçek Dünya Örnekleri;
Stuxnet
Duqu
Flame VS..

​

güzel anlatılmış bir kaç şey bende söylemek isterim:

FUD sadece malware yazılımını kaplamakla olmaz

FUD malware içinde anti sandbox, anti debug VB. olan şeylerle de olur bunları tekrar kaplarız ancak sonuç aynıdır gerçekten fud diye bir şey var ancak size söylenen forumlarda FREE FUD #XXX V1.2 gibi şeylerle yayınlananlar sadece bazı AV ler için geçerlidir. FUD yapıcak olsam dll ile kernel seviyesinde root kit lere benzeyen bir sistem kullanırdım virüs tespit edebilir ama kapatamaz gizlenir tespit edilemez okuyabilir ama yazılamaz bu sayede sistemde kalıcı olunur fakat bunlarında bir içinde iyisi kötüsü var.

Anlicağınız FUD konusu karmaşık ve size pazarlanan %100 fud gibi şeyler yalan bahse konuk olanlar sadece belli başlı AV lere karşıdır.

--iyi forumlar dilerim

 

[Daeky]

güzel anlatılmış bir kaç şey bende söylemek isterim:

FUD sadece malware yazılımını kaplamakla olmaz

FUD malware içinde anti sandbox, anti debug VB. olan şeylerle de olur bunları tekrar kaplarız ancak sonuç aynıdır gerçekten fud diye bir şey var ancak size söylenen forumlarda FREE FUD #XXX V1.2 gibi şeylerle yayınlananlar sadece bazı AV ler için geçerlidir. FUD yapıcak olsam dll ile kernel seviyesinde root kit lere benzeyen bir sistem kullanırdım virüs tespit edebilir ama kapatamaz gizlenir tespit edilemez okuyabilir ama yazılamaz bu sayede sistemde kalıcı olunur fakat bunlarında bir içinde iyisi kötüsü var.

Anlicağınız FUD konusu karmaşık ve size pazarlanan %100 fud gibi şeyler yalan bahse konuk olanlar sadece belli başlı AV lere karşıdır.

--iyi forumlar dilerim

kaplamadan bahsettiğiniz tam da konuda bahsettiğim muhtemelen crypter,packerlardan bahsediyorsunuz değilmi ?
onların çoğu zaten kısa süreli imza tabanlı sistemi scantimeı bypass edebiliyor o da çok kısa bir süreliğine.

bahsettiğiniz türdeki zararlılar zaten advanced malwarelar
kernel mode,uefi rootkitler zaten custom malwarelar oldukları için zaten bir çok profesyonel düzeyde evasion,bypass teknikleri,0day lerle geliyorlar bu tarz malwareları zaten dediğiniz gibi normal güvenlik sistemlerinin tespit etmesi pratikte %0.1 bile değil bunları zaten genelde apt grupları geliştiriyor ve düşüncenizde gayet iyi zaten kernel moda avnin erişimi kısıtlı memory onlyde de iz bırakmaz dll olarak bahsettiğiniz

hedefe yönelik spesifik saldırılar olduğu içinde leak olana kadar da varlığı tespit edilemiyor

zaten fud %100 hiçbir malware da garanti değil bu işin nirvana noktası stuxnet bile bir zamandan bir noktadan sonra tespit edildi.

 

[aslak35 !]

kaplamadan bahsettiğiniz tam da konuda bahsettiğim muhtemelen crypter,packerlardan bahsediyorsunuz değilmi ?
onların çoğu zaten kısa süreli imza tabanlı sistemi scantimeı bypass edebiliyor o da çok kısa bir süreliğine.

bahsettiğiniz türdeki zararlılar zaten advanced malwarelar
kernel mode,uefi rootkitler zaten custom malwarelar oldukları için zaten bir çok profesyonel düzeyde evasion,bypass teknikleri,0day lerle geliyorlar bu tarz malwareları zaten dediğiniz gibi normal güvenlik sistemlerinin tespit etmesi pratikte %0.1 bile değil bunları zaten genelde apt grupları geliştiriyor ve düşüncenizde gayet iyi zaten kernel moda avnin erişimi kısıtlı memory onlyde de iz bırakmaz dll olarak bahsettiğiniz

hedefe yönelik spesifik saldırılar olduğu içinde leak olana kadar da varlığı tespit edilemiyor

zaten fud %100 hiçbir malware da garanti değil bu işin nirvana noktası stuxnet bile bir zamandan bir noktadan sonra tespit edildi.

evet crypter ve packer lardan bahsediyorum.

advanced malware dediğin benim normal kasteddiğim malware lar ile aynı açıkçası bunları içermeyen herhangi bir malware/fud saymamak lazım bana göre çünkü herhangi bir işe yaramıyorlar. benim için üst olan şeyler daha çok NSA gibi büyük yerlerin yaptığı malwarelar ve bence herkes içinde öyle olmalı.
Detaylı bilgi için Vault7 - Vault8 belgelerine bakabilirsiniz.

 

[Daeky]

evet crypter ve packer lardan bahsediyorum.

advanced malware dediğin benim normal kasteddiğim malware lar ile aynı açıkçası bunları içermeyen herhangi bir malware/fud saymamak lazım bana göre çünkü herhangi bir işe yaramıyorlar. benim için üst olan şeyler daha çok NSA gibi büyük yerlerin yaptığı malwarelar ve bence herkes içinde öyle olmalı.
Detaylı bilgi için Vault7 - Vault8 belgelerine bakabilirsiniz.

evet haklısınız zaten bu seviyede profesyonel,uzman advanced seviyedeki hatta malware desek bile hakaret olur bu siber silahları zaten dediğiniz gibi istihbarat servisleri vede apt grupları gibi üst düzey teşkilatlar ve yapılanmalar geliştiriyor

zaten normal bir insanın bunları geliştirmesi mümkün değil bir kere saha operasyonu bile gerekebiliyor
hacking işte her zaman bilgi,yetenek,zekadan ibaret değil bir yerden sonra kaynak da lazım

bu bahsettiğim yapılardada kaynak olduğundan dolayı nirvana seviyesine çıkabiliyorlar
zaten çoğu apt gruplarının bile bizzat devlet destekli

stuxnet,flame,duqu,gauss gibi örnekler mesela konudada belirttim tamda bu dediklerimizi örnekler nitelikte

zaten dediğiniz gibi bu malwarelar tasarlanış mimarisi olarakda tamamen undedect design
kernel moda bir avnin ulaşması tespit etmesi nasıl olucak ?
veya bazıları direk firmware implant çalışıyor uefi düzeyinde bile çalışanlar var ve bunlar yeni yeni olan şeylerde değil

İlk defa görülen UEFI Rootkit siber saldırısı | ESET

Bazı UEFI rootkitleri, güvenlik konferanslarında konsept kanıtları olarak sunulmuştu; bazılarının ise devlet kurumlarının emrinde olduğu bilinmekteydi. Fakat 2018 Ağustos’una kadar, gerçek bir siber saldırıda hiçbir UEFI rootkit tespit edilmedi.

www.eset.com

mesela örnek olarak inceleyebilirsiniz

bahsettiğiniz belgeleri ekstradan bakacağım teşşekürler

 

[Daeky]

Üç ay önce online sandbox lara kendi yazdığım bir malware attım sadece anti-sandbox check yapıyor. Sandbox ta olduğunu tespit ederse "za", edemezse "ah" diye mesaj atıyor. 3 ay geçti hala telegramdan za mesajı alıyorum adamlar hala dönüp dönüp analiz ediyor
EDIT: za atıyorlar ah demişim. Hİç ah mesajı almadım. Baya katı bir anti-sandbox tu

oto re-analysis yapıyordur muhtemel ondandır bazı sandboxlar sample ı uzun süre saklıyor
senin sample da işte ona kurban gidiyor sürekli
Adamlar Acımıyor İşte.
Any.Run Olabilir Bence

ANY.RUN - Interactive Online Malware Sandbox

Cloud-based malware analysis service. Take your information security to the next level. Analyze suspicious and malicious activities using our innovative tools.

any.run

 

[aga67]

eline saglik hocam ama fud ciktilarinin sadece apt gruplari tarafindan uretilecegi varsayimina katilmiyorum

birkac saat deneme-yanilma girisimlerim sonrasi tum modern, gelismis bulut tabanli sandbox'lari yemleyecek ve zararli aktiviteler calismadan evvel askiya alacak bir yontem buldum. gelistirdigim file infection destekli polimorphic engine sayesinde her seferinde kilimi kipirdatmadan heuristic-rule based analizleri aninda geciyorum ve haftalarca dayaniyor nereye taratirsam taratayim

yani mumkun fud yapmak

 

[Daeky]

eline saglik hocam ama fud ciktilarinin sadece apt gruplari tarafindan uretilecegi varsayimina katilmiyorum

birkac saat deneme-yanilma girisimlerim sonrasi tum modern, gelismis bulut tabanli sandbox'lari yemleyecek ve zararli aktiviteler calismadan evvel askiya alacak bir yontem buldum. gelistirdigim file infection destekli polimorphic engine sayesinde her seferinde kilimi kipirdatmadan heuristic-rule based analizleri aninda geciyorum ve haftalarca dayaniyor nereye taratirsam taratayim

yani mumkun fud yapmak

Tüm sandboxlari bypass edemezsiniz hepsi aynı engine yani çalışma motoru kullanmıyor
Hepsi farklı detection methodlariyla çalışıyor hepsi tıpa tıp aynı değil
Bu dediğiniz imkansıza yakin


Söylediğin iddialar doğru değil doğru bulmuyorum boş iddialar gibi durduğu çok açık

O zaman sorayım sana ?
Sandbox Detection için Hangi apı leri Hook Ediyorsun,Polymorphic Engine Algoritmani detaylı açıklarmisin ?

Hem polimorfik hem file infection ikisini aynı anda kullanamazsin
Polymorphic engine kendini diske her türlü yazmak zorunluluğu var Disk I O operationsi monitor ettimi direk sandbox onu flagler bir kere
File infection da aynı disk TE ı/o yapar sandbox yine flagler o patterni
Execution order probleminj nasıl astin bu ikisinden Doğan?
File infection diskte çalışıyor bir kere polimorfik memoryde aynı anda ikisi nasıl oluyor ?
Iki yöntem birbiriyle mantık olarak zit, çeliskili

Yani Seni Kotulemiyorum kesinlikle ama gerçekler bunlar

 

[Daeky]

eline saglik hocam ama fud ciktilarinin sadece apt gruplari tarafindan uretilecegi varsayimina katilmiyorum

birkac saat deneme-yanilma girisimlerim sonrasi tum modern, gelismis bulut tabanli sandbox'lari yemleyecek ve zararli aktiviteler calismadan evvel askiya alacak bir yontem buldum. gelistirdigim file infection destekli polimorphic engine sayesinde her seferinde kilimi kipirdatmadan heuristic-rule based analizleri aninda geciyorum ve haftalarca dayaniyor nereye taratirsam taratayim

yani mumkun fud yapmak

Yani + olarak sunuda eklemek istiyorum tek bypass yöntemiyle 7 tane layer katmanını sanboxlarda nasıl bypass ediceksin bu çok çok çok zor

Bide tüm sandboxlari diyorsunuz
Custom advanced malware lar bile hedefin kullandığı sandboxa göre önlem alıyorlar direk bütün sandboxlari bypass etmek hani bir evin anahtariyla 10 tane evin kapısını açmaya çalışmak gibi bir şey maalesef

 

[Nikon of Disast]

yıl olmuş 2026 artık false positive var cart var curt var avler artık davranış izlemi yapıyor niyet zincirine bakıyor eskiden de sadece delaylıydı yani gecikmeliydi artık real-time olarak istatistik karşılaştırması yapıyorlar diğer zararlılarla yapay zekanın vs.. gelişimiyle yani artık imkansız fud diye bir şey çünkü mesele artık bu yazılım chrome passwordlerini mi alıyor değil mevzu bu yazılım bir dosyayı kullanıcıdan habersiz okuyor mu okumuyor mu oldu

 

[Daeky]

yıl olmuş 2026 artık false positive var cart var curt var avler artık davranış izlemi yapıyor niyet zincirine bakıyor eskiden de sadece delaylıydı yani gecikmeliydi artık real-time olarak istatistik karşılaştırması yapıyorlar diğer zararlılarla yapay zekanın vs.. gelişimiyle yani artık imkansız fud diye bir şey çünkü mesele artık bu yazılım chrome passwordlerini mi alıyor değil mevzu bu yazılım bir dosyayı kullanıcıdan habersiz okuyor mu okumuyor mu oldu

Evet katılıyorum yıl 2026 sandbox/av,edrler direk next gen,modern çalışıyorlar
Behavior analiz çok gelişti,dünya genelinde çalışan threat intellegince networkleri var

Vs. vs.

 

[aga67]

Tüm sandboxlari bypass edemezsiniz hepsi aynı engine yani çalışma motoru kullanmıyor
Hepsi farklı detection methodlariyla çalışıyor hepsi tıpa tıp aynı değil
Bu dediğiniz imkansıza yakin


Söylediğin iddialar doğru değil doğru bulmuyorum boş iddialar gibi durduğu çok açık

O zaman sorayım sana ?
Sandbox Detection için Hangi apı leri Hook Ediyorsun,Polymorphic Engine Algoritmani detaylı açıklarmisin ?

Hem polimorfik hem file infection ikisini aynı anda kullanamazsin
Polymorphic engine kendini diske her türlü yazmak zorunluluğu var Disk I O operationsi monitor ettimi direk sandbox onu flagler bir kere
File infection da aynı disk TE ı/o yapar sandbox yine flagler o patterni
Execution order probleminj nasıl astin bu ikisinden Doğan?
File infection diskte çalışıyor bir kere polimorfik memoryde aynı anda ikisi nasıl oluyor ?
Iki yöntem birbiriyle mantık olarak zit, çeliskili

Yani Seni Kotulemiyorum kesinlikle ama gerçekler bunlar

hocam, evet hepsi siklikla kullanilan anti analiz tekniklerine karsi ozel olarak konfigure edilmis sistemlerle analiz oturumlarini hazirliyor. bu konuda haklisin fakat daha once kullanildigini gormedigim, tum sandbox'larda oldugunu fark ettigim bir zayiflik var ve o zayifligi somuruyorum

bu zayifligi kullanmak icin supheli olmayan, her zararli/zararsiz programin kullandigi api fonksiyonlarini kullaniyorum. boylece o fonksiyonlar trace edilse bile suphe uyandiramaz cunku bu mantiksiz ve gurultulu sekilde fp sonuclar verir

tasarladigim polymorphic engine; tasarladigim ayni, sabit packer'in makine komutlarini mutasyona ugratarak legit ve standalone programlara gomuyor. yanlis anladigin bir kisim var. bu islem build sirasinda yapiliyor, kurbanin bilgisayarinda calistigi esnada degil. kisaca file operation islemi olmuyor analiz sirasinda

bu kadar sade anlattim, uyguladigim metodolojileri ve dikkat ettigim ayrintilari buraya sigdiramam. cesitli blog yazilari ve egitim videolariyla bir gun bunlara deginecegim

evimde 4 bilgisayar var ve hepsinde sirasiyla lisansli eset, kaspersky, bitdefender ve her bilgisayarda gelen windows defender kurulu. testlerimi bunlar uzerinde gerceklestiriyorum, davranissal analizde de bir sikinti gozlemlemedim. vt sonucu zaten temiz.

 

[Daeky]

hocam, evet hepsi siklikla kullanilan anti analiz tekniklerine karsi ozel olarak konfigure edilmis sistemlerle analiz oturumlarini hazirliyor. bu konuda haklisin fakat daha once kullanildigini gormedigim, tum sandbox'larda oldugunu fark ettigim bir zayiflik var ve o zayifligi somuruyorum

bu zayifligi kullanmak icin supheli olmayan, her zararli/zararsiz programin kullandigi api fonksiyonlarini kullaniyorum. boylece o fonksiyonlar trace edilse bile suphe uyandiramaz cunku bu mantiksiz ve gurultulu sekilde fp sonuclar verir

tasarladigim polymorphic engine; tasarladigim ayni, sabit packer'in makine komutlarini mutasyona ugratarak legit ve standalone programlara gomuyor. yanlis anladigin bir kisim var. bu islem build sirasinda yapiliyor, kurbanin bilgisayarinda calistigi esnada degil. kisaca file operation islemi olmuyor analiz sirasinda

bu kadar sade anlattim, uyguladigim metodolojileri ve dikkat ettigim ayrintilari buraya sigdiramam. cesitli blog yazilari ve egitim videolariyla bir gun bunlara deginecegim

evimde 4 bilgisayar var ve hepsinde sirasiyla lisansli eset, kaspersky, bitdefender ve her bilgisayarda gelen windows defender kurulu. testlerimi bunlar uzerinde gerceklestiriyorum, davranissal analizde de bir sikinti gozlemlemedim. vt sonucu zaten temiz.

Hocam yine soyluyorum
Tüm sandboxlarda aynı hatayı almanız imkansız böyle bir şey yok

Hepsi farklı layer ve engine kullanıyor hepsi aynı değilki ?

Polimorfik de sabit packer demişsiniz ama polimorfik değişken oluyor sabit ve değişken ??
Söylediğiniz yine zıt

 

[Daeky]

hocam, evet hepsi siklikla kullanilan anti analiz tekniklerine karsi ozel olarak konfigure edilmis sistemlerle analiz oturumlarini hazirliyor. bu konuda haklisin fakat daha once kullanildigini gormedigim, tum sandbox'larda oldugunu fark ettigim bir zayiflik var ve o zayifligi somuruyorum

bu zayifligi kullanmak icin supheli olmayan, her zararli/zararsiz programin kullandigi api fonksiyonlarini kullaniyorum. boylece o fonksiyonlar trace edilse bile suphe uyandiramaz cunku bu mantiksiz ve gurultulu sekilde fp sonuclar verir

tasarladigim polymorphic engine; tasarladigim ayni, sabit packer'in makine komutlarini mutasyona ugratarak legit ve standalone programlara gomuyor. yanlis anladigin bir kisim var. bu islem build sirasinda yapiliyor, kurbanin bilgisayarinda calistigi esnada degil. kisaca file operation islemi olmuyor analiz sirasinda

bu kadar sade anlattim, uyguladigim metodolojileri ve dikkat ettigim ayrintilari buraya sigdiramam. cesitli blog yazilari ve egitim videolariyla bir gun bunlara deginecegim

evimde 4 bilgisayar var ve hepsinde sirasiyla lisansli eset, kaspersky, bitdefender ve her bilgisayarda gelen windows defender kurulu. testlerimi bunlar uzerinde gerceklestiriyorum, davranissal analizde de bir sikinti gozlemlemedim. vt sonucu zaten temiz.

Hangi sandbox da test ettiniz bu dediklerinizi ?
Hangi apileri kullanıyorsunuz,Polymorphic motorun mutation algoritması nedir ? Tam olarak

 

[Daeky]

hocam, evet hepsi siklikla kullanilan anti analiz tekniklerine karsi ozel olarak konfigure edilmis sistemlerle analiz oturumlarini hazirliyor. bu konuda haklisin fakat daha once kullanildigini gormedigim, tum sandbox'larda oldugunu fark ettigim bir zayiflik var ve o zayifligi somuruyorum

bu zayifligi kullanmak icin supheli olmayan, her zararli/zararsiz programin kullandigi api fonksiyonlarini kullaniyorum. boylece o fonksiyonlar trace edilse bile suphe uyandiramaz cunku bu mantiksiz ve gurultulu sekilde fp sonuclar verir

tasarladigim polymorphic engine; tasarladigim ayni, sabit packer'in makine komutlarini mutasyona ugratarak legit ve standalone programlara gomuyor. yanlis anladigin bir kisim var. bu islem build sirasinda yapiliyor, kurbanin bilgisayarinda calistigi esnada degil. kisaca file operation islemi olmuyor analiz sirasinda

bu kadar sade anlattim, uyguladigim metodolojileri ve dikkat ettigim ayrintilari buraya sigdiramam. cesitli blog yazilari ve egitim videolariyla bir gun bunlara deginecegim

evimde 4 bilgisayar var ve hepsinde sirasiyla lisansli eset, kaspersky, bitdefender ve her bilgisayarda gelen windows defender kurulu. testlerimi bunlar uzerinde gerceklestiriyorum, davranissal analizde de bir sikinti gozlemlemedim. vt sonucu zaten temiz.

Hocam bide dediginiz consumer av leri ev ortamında test etmekle Olucak şey değil Enterprise Edr ler,sandboxlari test etmiyormusunuz ?
Bide davranış analizde process inj.memory analysis,traffic network analizi vs..bunlari çok derin analizler gerceklestirdinizmi ?

 

[aga67]

Hocam yine soyluyorum
Tüm sandboxlarda aynı hatayı almanız imkansız böyle bir şey yok

Hepsi farklı layer ve engine kullanıyor hepsi aynı değilki ?

Polimorfik de sabit packer demişsiniz ama polimorfik değişken oluyor sabit ve değişken ??
Söylediğiniz yine zıt

tamam, hepsi ayni degil ama hepsi de windows ortamini simule/emule ediyor ve soyledigim teknigi counter'lamak icin bir aksiyon almiyorlar. sabit derken demek istedigim sabit bir packer'i polimorfize ederek yara kurallarindaki kalipları kiran, ayni islevi goren ama farkli ciktilar olusturuyorum

Hangi sandbox da test ettiniz bu dediklerinizi ?
Hangi apileri kullanıyorsunuz,Polymorphic motorun mutation algoritması nedir ? Tam olarak

hybrid analysis, any.run, virustotal, capev2 ve tum bilinen, populer antivirus'lerin lokal ve bulut sandbox'larina karsi denedim

ms'nin sundugu api set'ini kullaniyorum

polymorphic engine'da register exchange, source-target memory offset mutation, arithmetic partitioning, dead code insertion gibi teknikler kullaniyorum (blog yazdigim vakit kendi polymorphic engine'ininizi nasil yapacaginizi anlatacagim)

Hocam bide dediginiz consumer av leri ev ortamında test etmekle Olucak şey değil Enterprise Edr ler,sandboxlari test etmiyormusunuz ?
Bide davranış analizde process inj.memory analysis,traffic network analizi vs..bunlari çok derin analizler gerceklestirdinizmi ?

evet, olacak is cunku sadece ev bilgisayarlarinda kurulu olan av'leri hedef aliyorum. edr gibi agresif, maliyetli cozumler sadece kurumsal ortamlarda var ve neredeyse kimse edr'leri hedef almiyor

davranis analizinde bir problem gozlemlemedim dedigim gibi, tum ayarlar aktif olacak ve asil malware payload'unun calisacaginden emin sekilde testlerimi gerceklestirdim. guncellemeler de acik