Merhabalar,
Bu sayımızda, zararlı dosyaların kod paylaşım siteleri
üzerinden nasıl iletilebileceği konusunu inceleyeceğiz.
Kurumsal ortamlarda genellikle e-posta ile çalıştırılabilir
dosyaların iletilmesi engellenir, dosya indirme işlemleri de ayrıntılı olarak
denetime tabi tutulur. Bu şartlar altında saldırganlar genellikle şu şekilde
bir yol izlerler. Makro içeren ofis dokümanlarının ya da arka planda kod
çalıştırmayı deneyen pdf dosyalarının, hedef kullanıcılar tarafından çeşitli
yöntemler(sosyal mühendislik vb.) uygulanarak indirip açılması sağlanır. Bu
dosyalar, açıldığında arka planda çeşitli komutlar çalıştırırak saldırganın
asıl zararlı dosyasını indirip çalıştırılmasını sağlar. Bu aşamadan sonra
sistem, zararlının komuta kontrol merkezi ile iletişime geçerek saldırganın
sistemi tam anlamıyla ele geçirmesini sağlar.
Biz de, bu senaryoda asıl zararlının iletimi noktasında kod
paylaşım sitelerinin nasıl kullanılacağını göreceğiz.
Zararlı olarak meterpreter’ı
kullanacağız. Metasploit üzerinden reverse_tcp yoluyla handler’ımız ile iletişime geçecek olan bir zararlı
dosya(malware.exe) oluşturuyoruz.
Daha sonra malware.exe
isimli zararlı dosyamızı base64 ile encode ediyoruz. Bu işlem, birçok araç ile
gerçekleştirilebilir. Ben “browserling.com”
adresindeki online aracı kullandım.
Ekran Görüntüsü 1: Zararlı dosyanın encode edilmesi
Encode edilmiş metni kod paylaşım sitelerinden birine
kaydediyoruz. Ben “paste.ee” adresini
kullandım.
Ekran Görüntüsü 2: Zararlı Base64 encode olarak “paste.ee” adresine
kaydedilmesi
Daha sonra bu encode edilmiş metnin indirilip bir dosyaya
yazılması, bu dosyanın decode edildikten sonra da çalıştırılması gerekmektedir.
Bu işlemleri yapan bir batch dosyası hazırladım. Bu batch
dosyasını, yukarıda bahsettiğim saldırganların kullandığı makro içeren ofis
dosyalarının ya da pdf dosyasının yerine düşünebilirsiniz. Batch dosyamız
zararlı kodun indirilip çalıştırılmasını sağlayacak.
Ekran Görüntüsü 3: Zararlı kodu indirip, çalıştırılabilir hale getiren
batch dosyası
Batch dosyası çalıştırıldığında, encode edilmiş metin, kod
paylaşım sitesinden indirilerek bir dosyaya yazılıyor. Daha sonra bu dosya
decode edilerek çalıştırılabilir hale getiriliyor. Zararlı (malware.exe) çalıştırıldığında
da saldırgan hedef sistem üzerinde komut çalıştırma hakkına erişmiş oluyor.
Ekran Görüntüsü 4:Batch dosyasının zararlı dosyayı oluşturup
çalıştırması
Ekran Görüntüsü 5: Hedef sistemin ele geçirilmesi
Günümüzde kullanılan ağ ve sistem güvenlik çözümleri ve
uygulanan politikalar bu tarz saldırıları büyük ölçüde engellese de, zararlı
dosyaların kod paylaşım siteleri üzerinden de gelebileceğini göstermek istedim.Bu
konuyu önümüzdeki sayılarda da ele alıyor olacağım.
Alınabilecek önlemler
--Kod paylaşım adreslerine yapılan erişimleri denetime tabi
tutarak bu adreslere erişmesine ihtiyacı olmayan kullanıcıların erişiminin
tamamen engellenmesi sağlanabilir.
--Sistem üzerinde anti-virüs uygulamasının imza
veritabanının güncel olduğundan emin olunmalı ve periyodik taramalar yapılmalıdır.
--Uygulama kontrolü çözümleri ile sistem envanterinde yer
almayan çalıştırılabilir dosyaların çalıştırılması engellenebilir.
--Sistem güvenlik çözümlerinde erişim kontrolü kuralları ile
çalıştırılan komutlar üzerinde denetim sağlanabilir. Powershell komutu ile
indirme işlemi ve Certutil aracı ile decode işleminin denetime tabi
tutulması gibi.
Bu köşede ele alınan
konular, kullanıcıların bilgi güvenliği farkındalığını arttırmak amacıyla
yazılmıştır. Bu saldırının uygulanmasından doğacak yasal sorumluluk uygulayan
kişilere aittir.
Bu yazı, BeyazŞapka dergisinin Ağustos 2018 sayısında yayınlanmıştır.