Kötücül yazılımlar, süregelen evrimi nedeniyle günümüzde de birçok bilgisayarı etkilemeye devam etmektedir. Kötücül yazılımların amacı hedef sistemleri manipüle etmek olduğundan, bu amacın önündeki en büyük engellerden biri konumunda olan antivirüs yazılımlarının atlatılması için birçok yöntem geliştirilmiştir. Bu çalışmada; kod enjeksiyonu, anti-dinamik modifikasyon ve şifreleme adımlarından oluşan deneysel metotla manipüle edilen masum bir programın, imza ve dinamik analiz temelli antivirüs yazılımlarını büyük ölçüde atlatabildiği gösterilmiştir. Masum bir program olarak Notepad++ metin editörü, kötücül kod üretmek için Metasploit zafiyet analiz ve test çatısı, anti-dinamik modifikasyon için Ollydbg hata ayıklayıcısı ve kötücül yazılım analizi için Virustotal platformu kullanılmıştır. Virustotal sonuçlarına bakıldığında; masum program içerisine enjekte edilmiş kötücül kod başlangıçta 30/67 adet antivirüs yazılımı tarafından tespit edilmiş, fakat anti-dinamik modifikasyon ve şifreleme uygulandıktan sonra bu değer, sırasıyla 9/67 ve 4/66 adede düşmüştür. Özetle birçok antivirüs yazılımının, farklı anti-tespit yöntemleri ile atlatılabildiği anlaşılmıştır. Bu sonuç, mevcut antivirüs çözümlerinin yanı sıra kum havuzu teknolojisi gibi farklı güvenlik yaklaşımlarına ihtiyaç olduğunu ortaya koymaktadır.
Kötücül yazılım antivirüs imza temelli tespit antivirüs atlatma teknikleri
Malware continues to affect many computers even today owing to its ongoing evolution. Since the purpose of malware is to manipulate target systems, many methods have been developed to evade antiviruses, one of the major obstacles to this goal. In this study; it has been shown that an innocent program manipulated with the experimental method that consists of code injection, anti-dynamic modification and encryption, evades many antivirus solutions based on signature or dynamic analysis. As an innocent program, Notepad++ text editor; to generate malicious code, Metasploit vulnerability analysis and test framework; for anti-dynamic modification, Ollydbg debugger and for malware analysis, Virustotal platform were used. According to Virustotal results, the malicious code injected into an innocent program was initially detected by different 30/67 antivirus solutions, but after performing anti-dynamic modification and encryption, these results dropped to 9/67 and 4/66 respectively. In summary, it is seen that many antivirus solutions can be evaded by different anti-detection methods. This result reveals that different security approaches such as sandbox technology are needed besides current antivirus solutions.
Malware antivirus signature-based detection antivirus evasion techniques
Birincil Dil | Türkçe |
---|---|
Konular | Mühendislik |
Bölüm | Makaleler |
Yazarlar | |
Yayımlanma Tarihi | 10 Kasım 2021 |
Gönderilme Tarihi | 31 Aralık 2019 |
Kabul Tarihi | 4 Haziran 2021 |
Yayımlandığı Sayı | Yıl 2022 |