Hazırlayan: Enes
Amaç: Farklı antivirüs yazılımlarına karşı hedef sistemde gerçekleştirilmiş APT (Advanced Persistent Threat) saldırı senaryolarının tespit edilebilirliğini değerlendirmek.
| Senaryo | Açıklama | Teknik |
|---|---|---|
| 1 | DLL dosyası aracılığıyla kötü amaçlı yük sistemde çalıştırıldı. DLL, PowerShell tabanlı AES şifreli komut alma ve sonuç gönderme mekanizması ile komut ve kontrol (C2) kanalı kurdu. Saldırgan, bu yöntemle hedef sistem üzerinde sürekli ve gizli iletişim sağladı. | Reflective DLL Injection, AES |
| 2 | VBS script ile PowerShell ters bağlantı oluşturuldu. Bu yöntemle saldırgan, hedef makineden komut yürütme imkanı elde etti. PowerShell işlemi arka planda gizli olarak çalıştırıldı ve ağ üzerinden çift yönlü komut/cevap akışı sağlandı. | LOLBin, Reverse Shell |
| 3 | Uzak Masaüstü Protokolü (RDP) arka planda başlatılarak, saldırganın hedef makinenin tam kontrolünü sağlaması amaçlandı. Bu işlem görünmez modda yürütülerek iz bırakmadan erişim sağlandı. | Registry, RDP Abuse |
| 4 | WMI Event Subscription mekanizması kullanılarak periyodik olarak kötü amaçlı PowerShell komutları çalıştıran bir arka kapı oluşturuldu. Böylece hedef sistemde kalıcı erişim sağlanırken, trafik normal WMI trafiği gibi gizlendi. | WMI Event Subscription |
| 5 | Modüler PowerShell yükleriyle Defender’ın gerçek zamanlı koruması devre dışı bırakıldı, ekran görüntüsü alma, tuş kaydı toplama ve shellcode enjekte etme gibi ileri seviye kötü amaçlı faaliyetler başlatıldı. Tüm bu eylemler uzaktan PS Remoting veya ters shell ile kontrol edildi. | Modüler PS, AMSI bypass |
| 6 | Kullanıcı girdisi üzerinden gelen komut enjeksiyon açığı istismar edilerek PowerShell komutları doğrudan hedef sistemde yürütüldü. Bu yöntemle saldırgan, hedefin güvenlik sınırlarını aşarak zararlı kod çalıştırdı. | Command Injection |
| 7 | PowerShell Remoting (WinRM) servisi etkinleştirilerek, uzak sistemler arası komut çalıştırma için güvenilir bağlantılar kuruldu. TrustedHosts ayarları genişletilerek saldırganın ağdaki diğer makinelerle kolayca iletişim kurması sağlandı. | WinRM Abuse |
| Senaryo | Windows Defender | Avast | AVG | Malwarebytes | Bitdefender |
|---|---|---|---|---|---|
| 1 | ❌ | ❌ | ❌ | ✅ | ✅ |
| 2 | ❌ | ✅ | ✅ | ✅ | ✅ |
| 3 | ✅ | ❓ | ❓ | ❌ | ❌ |
| 4 | ❌ | ❌ | ❌ | ❌ | ✅ |
| 5 | ❌ | ❌ | ❌ | ❌ | ✅ |
| 6 | ❌ | ❌ | ❌ | ❌ | ❌ |
| 7 | ❓ | ❓ | ❓ | ❓ | ❓ |
Tüm antivirüs yazılımları, tespit ettikleri saldırıları infaz (execution) anında algılamıştır.
| Antivirüs | Tam Tespit (✅) | Kısmi (❓) | Puan |
|---|---|---|---|
| Bitdefender | 4 | 1 | 4.5 |
| Malwarebytes | 2 | 1 | 2.5 |
| Avast | 1 | 2 | 2.0 |
| AVG | 1 | 2 | 2.0 |
| Windows Defender | 1 | 1 | 1.5 |
Not: Tespitler yalnızca yürütme (infaz) anında gerçekleşti. Hiçbir AV pre-execution seviyesinde tespit yapamadı.