MS Ofis Dokümanlarını Antivirüsleri Atlatacak Şekilde Veil Powershell Kodu İle Silahlandırmak – Son Nokta Güvenliğinin Önemi

Kali Linux ile gelen Veil-Atlatma aracı, Antivirüsleri atlatmaya yarayan sızma kodları üretebilmektedir. Bu çalışmamızda Veil ile bir Powershell sızma kodu üreterek bunu düzenleyecek ve Excel belgesinin içine gömeceğiz. Ardından MS Windows 10 Güvenlik Duvarı, Defender ve dinamik analizi etkinleştirilmiş bir anti virüsle destekli bir ortamda test edeceğiz. Hadi başlayalım:

Veil aracını başlatmak için öncelikle aşağıdaki komutu yazalım:

python /usr/share/veil-evasion/Veil-Evasion.py

Veil Evasion

Gelen ekrandan “list” seçeneği ile olası sızma kodlarını görelim:

Veil Payload List

Burada “25” numaralı ve “powershell/shellcode_inject/virtual” isimli payload yani sızma kodunu seçelim. Ardından “generate” komutuyla sızma kodumuzu üretelim:

Veil Generate Payload

Sızma kodunu üretmek için gerekli adımlar oldukça anlaşılır. Varsayılan seçeneklerle ilerleyerek devam edelim ve gereken yerlerde saldırgan bilgisayara ait IP ve port değerlerini ekleyelim:

Veil Generate Shellcode

Sızma kodu yaratıldıktan sonra ilgi alanımıza giren iki dosya oluşturulacaktır. Biri sızma kodu dosyası, diğeri ise dinleyici yani handler dosyası için:

Veil Generate Shellcode

Evet, şimdi favori editörümüzle yaratılmış olan sızma kod dosyasını açalım: /var/lib/veil-evasion/output/source/payload.bat

Ardından da aktif olarak kullanacağımız powershell komutunu seçerek kopyalayalım (resimleri daha net görmek için üzerlerine tıklayabilirsiniz):

Payload

Yapıştırdığımız bu yeni sızma kod parçasını bu örneğimizde input.bat olarak adlandıralım:

Payload

Excel ortamında bu powershell komutunu kullanabilmemiz için, bu kodu VBS formatının (MS Ofis makro dili Visubal Basic) anlayacağı uygun bir yapıya dönüştürmemiz gerekecektir.

Ben burada khi@sh tarafından geliştirilmiş olan safe_macro.py isimli betik kodunu kullanmayı tercih ettim. Koda buradan ulaşabilirsiniz (Bu örneğimizde söz konusu kodun 54 ve 55’inci satırlarını yorum haline dönüştürerek etkisiz hale getirdim):

Safe Macro

Harika, artık hazırladığımız bu sızma kodunu doğrudan kötücül ofis dokümanımızın içine gömebiliriz. İşlem tamam :)

Şimdi saldırgan bilgisayarımızdaki Metasploit üzerinde handler dinleyicisini açalım ve kurbanımızın gönderdiğimiz belgeyi açmasını bekleyelim:

msfconsole -r /var/lib/veil-evasion/output/handlers/payload_handler.rc

Generate Handler

Meterpreter oturumunuz arka planda çalışmaya başlayacaktır. Ön plana çıkarmak için gerekli komutu yazalım: “sessions -i 1”.

İçerdeyiz :)

Gördüğünüz gibi, oldukça doğal bir teknikle çoğu Antivirüs ve diğer güvenlik mekanizmalarını atlatıp sistemlere sızmak mümkün. Sayısız saldırı ve istismar yöntemleri mevcut ve geleneksel güvenlik mekanizmaları aşikar ki tamamına birden bir çözüm getiremiyor.

Burada size Yeni Nesil bir Son Nokta Güvenlik Aracını tanıtmak istiyorum: Trapmine. Trampine, oldukça akıllı bir şekilde istismara yönelik davranışları takip ederek kötücül yazılımları tespit edebiliyor. Aşağıda burada kullandığımız teknikle Makro ile silahlandırdığımız bir Word dokümanının bu program ile tespit edilme anını görebilirsiniz:

Trapmine Warning

Baştan sona Türk uzmanlar tarafından geliştirilen Trapmine yazılımı hakkında daha ayrıntılı bilgiye buradan ulaşabilirsiniz.