Excel İçine Exe Gömmek

Siber güvenlik dünyasının en sevdiğim taraflarından biri olaylara farklı açılardan bakarak sınırları zorlamak oluyor. Sözgelimi, hiç Excel’in içinden bir exe dosyasını çalıştırmayı düşündünüz mü? Normal hayatta, hatta bilgi sistemci bile olsanız, büyük ihtimalle bunun mümkün olmayacağını düşünürdünüz. Ancak bir siber güvenlik uzmanı için hiçbir şey olanaksız değildir. Bu makalede işte tam da bunu mümkün kılan bir Python script kodunu işleyeceğiz. Kod, bir exe dosyayı hex string dizinine aktarıyor (‘hex.txt’ dosya adıyla) ve ardından bunun üzerinden Excel ortamında kullanılmak üzere gerekli vba kodu hazırlıyor.

Embedding Exe into Excel

What I like most on cyber security is looking at things from very different perspectives and pushing the limits. Have you ever imagined running an exe file from within a MS Excel file? In regular life, even if you were a professional IT person, you probably would say that it would be impossible. Yet, for a cyber security expert nothing is impossible. On this article I want to introduce you a Python script I coded to make this possible.

MS Ofis Dokümanlarını Antivirüsleri Atlatacak Şekilde Veil Powershell Kodu İle Silahlandırmak – Son Nokta Güvenliğinin Önemi

Kali Linux ile gelen Veil-Atlatma aracı, Antivirüsleri atlatmaya yarayan sızma kodları üretebilmektedir. Bu çalışmamızda Veil ile bir Powershell sızma kodu üreterek bunu düzenleyecek ve Excel belgesinin içine gömeceğiz. Ardından MS Windows 10 Güvenlik Duvarı, Defender ve dinamik analizi etkinleştirilmiş bir anti virüsle destekli bir ortamda test edeceğiz. Hadi başlayalım: Veil aracını başlatmak için öncelikle aşağıdaki komutu yazalım: python /usr/share/veil-evasion/Veil-Evasion.py Gelen ekrandan “list” seçeneği ile olası sızma kodlarını görelim: Burada “25” numaralı ve “powershell/shellcode_inject/virtual” isimli payload yani sızma kodunu seçelim.

Weaponizing MS Office Documents With Veil Powershell Payloads Bypassing Antivirusus and The Importance of Endpoint Security

Veil-Evasion tool coming with Kali Linux helps creating payloads capable of bypassing Anti Viruses. On this tutorial we are going to study creating a powershell payload with Veil and then embedding it into an Excel document to test it on an environment supported with MS Firewall, MS Defender and an Anti Virus tool with dynamic analysis options on. Let’s dive in: First run the following command to start Veil: python /usr/share/veil-evasion/Veil-Evasion.

CVE-2014-0282 (MS-35) CInput Use-After-Free Açıklığının Sömürülmesi

Sevgili Dostlar, bu makalemizde bilinen bir Microsoft Internet Explorer açıklığını istismar etme konusunu işleyeceğiz. CVE-2014-0282 isimli Haziran 2014 tarihinde Internet Explorer uygulamasında keşfedilen bir use-after-free (bellekteki nesnenin serbest bırakılmasına rağmen kullanılmaya çalışılması) açıklığıdır. IE6 sürümünden IE11 sürümüne kadar tüm ürünleri etkileyen bu açıklık MS14-035 ile kapanmıştır. Aslında İnternet üzerinde bu açıklıkla ilgili çalışan istismar kodu bulmak rahatlıkla mümkün ancak ben burada öğrenme maksatlı olarak gerekli tüm adımları sıralayacağım. Bu çalışma kapsamında exploit yani istismar, Return Oriented Programming ve Heap Spray kavramlarını biliyor olduğunuzu varsayıyorum.

Exploiting CVE-2014-0282 (MS-35) CInput Use-After-Free Vulnerability

In this article I want to introduce exploitation of a known Microsoft Internet Explorer vulnerability. CVE-2014-0282 is a use-after-free vulnerability discovered in Internet Explorer in June 2014. It affects all versions of the product between IE6 and IE11, and was fixed in MS14-035. It is possible now to find actual POC and exploitation code on Internet yet I want to retrace here all the steps for learning purposes. You need to be already familiar with the concepts of exploit, Return Oriented Programming, and Heap Spray etc.

Man in the Middle Analizi

MITM ile ilgili yaptığım bazı deneyler neticesinde ulaştığım sonuçlar: 1) Eğer bir http trafiği dinleyerek kullanıcı adı ve parola çalmak istiyorsanız, yalnızca arpspoof (ettercap) yapmanız yeterli. 2) Eğer hedefiniz https tabanlı hotmail ya da Outlook Web Access ise arpspoof + sslstrip araçlarını beraber çalıştırmalısınız. (Exchange 2016 için henüz test etmedim). 3) Eğer HSTS tabanlı gmail ya da linkedin trafiğini dinlemek istiyorsanız, arpspoof + sslstrip2 + dns2proxy araçlarını beraber çalıştırmalısınız (benim denemelerimde dörtte bir oranında başarılı sonuçlar almak mümkün oldu).

Man in the Middle Analysis

After some experiments, some results regarding MITM: 1) If you want to sniff a http traffic and retrieve username and password, just simply use arpspoof (ettercap). 2) If your target is hotmail or OWA, than use arpspoof + sslstrip (things may have changed for OWA on Exchange Server 2016). 3) If you want to eavesdrop with gmail or linked in, use arpspoof + sslstrip2 + dns2proxy (on my tests quarter of attacks were successful).

Whonix + Katoolin = Kali Linux + Tor (Anonim Modda)

Bir önceki gönderimizde, Kali Linux ortamında sqlmap aracının Tor altyapısı ile kullanımını araştırmıştık. Şimdi sizinle başka bir yaklaşımı paylaşmak istiyorum, bu defa işletim sistemindeki tüm ağ akışını kapsayacak şekilde. Ana fikir oldukça sade aslında. Öncelikle Whonix VM sanal makinelerini (Gateway geçidi ve çalışma istasyonu olmak üzere) indirip çalıştırın. Ardından da Katoolin (Kali Linux Tools) aracını indirip yükleyerek bu anonim işletim sistemine Kali yetenekleri kazandırın. Anonim işletim sistemi olan Whonix işletim sistemini buradan.

Whonix + Katoolin = Kali Linux + Tor in Anonymous Mode

On previous post, we investigated the possibility of using sqlmap with Tor in Kali Linux environment. Now, I want to share with you another approach, this time making the whole net flow anonymous. The idea is simple: Download Whonix VMs (the gateway and the workstation) and after running them, download Katoolin (Kali Linux Tools) to provide Kali functionality to your anonymous Linux OS. You can download Whonix here. You can download and install Katoolin as explained here.