PowerShell Empire Serisi – V | Oluşturulan Kodu Hedef Sisteme Ulaştırma Yöntemleri – 3: Zararlı HTML Sayfası Oluşturarak Silahlanma

Bu yazıda, oluşturduğumuz zararlı içeriği hedef sisteme ulaştırma yollarından sonuncusu olan ‘Zararlı web sayfası oluşturarak silahlanma’ yönteminden bahsedeceğim. Elbette ki silahlanma ve saldırma yöntemleri burada bahsi geçen konular ile sınırlı değil lakin temelleri anlamak adına üzerinden geçtiğimiz konular saldırı için yeterli olacaktır.

Bazı şirketler, bir önceki yazıda konuşmuş olduğumuz gibi, makro saldırılarının etkilerini bildiklerinden dolayı Microsoft Office dökümanlarının makro çalıştırma özelliğini şirket içinde devre dışı bırakmaktadırlar. Peki bu durumda saldırı için nasıl bir yöntem izleyebiliriz?

Başlıkta da adını zikrettiğimiz gibi, zararlı HTML sayfası ile saldırı vektörü oluşturabiliriz. Bu HTML sayfası oldukça basit bir sayfa olup, ActiveX scriptlerini(betik) içerecektir. Bu scriptler sayesinde hedef sistemde Stager kodu çalışabilecek, böylelikle hedefi kolay bir şekilde ele geçirebileceğiz.

Saldırı yönteminin aşamaları kısaca şunlar olacak. İlk olarak zararlı içeriğe sahip bir HTML sayfası oluşturacağız ve kendi yerel sunucumuz vasıtasıyla yayın yapacağız. Akabinde, kurban bu zararlı sayfaya erişim isteği gönderdiğinde zararlı kod kurbanın bilgisayarında çalışacak, böylelikle hedef sistemi ele geçirmiş olacağız.

Uygulamaya geçelim.

İlk olarak, Listener’ın aktif olduğuna emin oluyoruz.

Şimdi, zararlı içeriğe sahip “.hta” uzantılı bir dosya oluşturacağız. Kullanacağımız Stager ‘windows/hta’

Listener ataması yaptıktan sonra, daha önce de yapmış olduğumuz gibi generate komutu ile dosya içeriğini oluşturuyoruz.

Oluşan bu içeriği “.hta” uzantılı bir dosyaya koyacağız. Alıcı tarafta ilgi uyandırması için oluşturacağımız bu dosyayı sanki iş başvurusu cevabıymış gibi adlandıralım.

Ardından zararlı içeriği dosyaya yerleştirelim.

Ardından, yerel sunucu oluşturarak bu dizini paylaşalım.

7

Silahlanma aşamalarımızı bir bir tamamladık. Saldırı senaryosu ise şu şekilde: İlk olarak hedefin linke tıklamasını bekliyoruz. Eğer hedef kullanıcı Internet Explorer kullanıyorsa, hedef sisteme herhangi bir dosya indirilmeden zararlı içerik çalışabiliyor. Eğer başka bir tarayıcıya sahipse, o zaman dosyayı indirmeli ve çalıştırmalı. O nedenle bu saldırıda hedefimiz, tarayıcı olarak Internet Explorer kullanan bir kurban olacak.

İşleyiş nasıl oluyor hemen göz atalım.

Zararlı içerik hedef sistemde başarılı bir şekilde çalıştı ve ardından sistemi ele geçirdi.

Bu yazı ile, oluşturduğumuz zararlı içeriği hedef sisteme ulaştırmanın yollarından bahsetmiş ve konuyu bitirmiş olduk. Bir sonraki yazı ile birlikte ele geçirdiğimiz sistemde neler yapabiliriz, buna bakacağız.

Ahmet Selim Kaya

Ofansif Güvenlik Araştırmacısı, TOBB ETU Siber Güvenlik Yüksek Lisans öğrencisi. Bilmediklerinin öğrencisi, bildiklerinin öğretmeni.