AV Bypass: Paketleyiciler

AV Bypass: Paketleyiciler

Dosya sıkıştırma uygulamaları, aslında çalıştırılabilir dosya üzerinde sıkıştırma işlemi gerçekleştirip dosyanın işlevini değiştirmeyen sadece görünümünü değiştiren yazılımlardır. Normal sıkıştırıcılardan (zip, winrar) farklı olarak dosyanın nasıl açılıp yorumlanacağı yeni oluşturulan paketlenmiş dosyanın içerisinde yer alır. Bu yüzden yeni oluşturulan dosyalara kendi başına açılabilir arşiv (self-extracting archive) denilmektedir. Dosya sıkıştırma uygulamalarının, sıkıştırma ve antivirüslerden gizlenme gibi kullanımlarının yanında diğer bir kullanım amacı da tersine mühendislik yapmayı zorlaştırarak yazılımların kaynak kodunun elde edilmesini zorlaştırmaktır.

Dosya sıkıştırma uygulamaları, analiz işini zorlaştırmak için aşağıdaki özellikleri kullanabilirler:

• Sıkıştırma
• Şifreleme
• Tersine mühendislik yöntemlerini zorlaştıran metotlar

Dosya sıkıştırma uygulamaları ile ilgili ayrıntılı bilgi için bakınız.

Bu yazıda dosya sıkılaştırma uygulamaları ile mimikatz adlı bir zararlı yazılım PESpin adlı bir araçla yeniden paketlenecektir. Mimikatz aracının VirusTotal analiz sonucunda 16 AV tarafından tespit edildiği görülmektedir.

PESpin aracı ile mimikatz dosyası seçilir.

Sonuçta bu dosya yeniden paketlenir.

Paketleme işlemi sonrasında yeni dosyanın 1 AV tarafından tespit edildiği görülmektedir.

Yeni uygulamanın işlevselliğinde ise herhangi bir değişiklik olmadığı görülmektedir.