Quick Tips Zafiyetler

Zararlı Giriş Noktaları | Windows Kısayol Dosyaları

Giriş

Windows kısayol dosyaları, tam anlamıyla binary çalıştırılabilir bir dosya değildir. Çoğunlukla başka bir konuma veya dosyaya işaret eder. Bu özellik, genellikle sistemi kapatma/yeniden başlatma gibi programlama görevlerinin kısayoldan yürütülmesi için kullanılır. Aynı zamanda Windows Shell komutlarını da çalıştırabilme özelliğine sahiptir.Bu potansiyel olarak tehlikeli bir özelliktir. Kısayol dosyaları bir binary çalıştırılabilir dosya olmadıklarından, “antivirüs” programları çoğu zaman bu tür dosyaları zararlı olarak görmezler.

Açıklama

Bu tehdidi daha iyi açıklayabilmek için öncelikle, Windows işletim sisteminin C:\Windows\System32\ konumunda bulunan mshta.exe dosyasından bahsetmek gerekiyor. Bu çalıştırılabilir dosya Windows’ta Internet Explorer ile birlikte gelmektedir. Açılımı, Microsoft HTML Application Host ‘dur. Bu dosya, .hta (HTML Application) uzantılı dosyaları çalıştırma işlevine sahiptir. HTA dosyaları VBScript, JScript ve HTML kodları içerebilen çalıştırılabilir dosyalardır. Online HTML den farklı olarak sistem erişimleri kısıtlanmamıştır.

Örnek olarak oluşturulacak mesaj kutusuna, “Hello From Infinitum” yazan bir HTA uygulaması aşağıdaki gibi verilmiştir:

Tarif

Kurban olarak belirlenen kişinin, bir “Kısayol” dosyasını indirip çalıştırması ile bilgisayar korsanının, kurbanın bilgisayarında kontrolü ele geçirdiği bir senaryo kurguluyoruz. Bunun için öncelikle, korsana erişim verecek zararlı kodun bulunduğu HTA Script’ini oluşturmalıyız.

Dilerseniz kendi oluşturabileceğiniz VB Script’inizi de kullanabilirsiniz. Biz bu senaryoda, Defcon’18 konferansında David Kennedy tarafından sunulan “Graeber’s PowerShell Attacks and The PowerShell Bypass Technique” sunumunu temel alan Magic Unicorn aracını kullanacağız.

İndirme linki: https://github.com/trustedsec/unicorn

komutu ile HTA Script’imizi oluşturuyoruz. Ardından oluşan dosyayı kısayol dosyamız ile çekebilmek üzere internette host ediyoruz. Bir sonraki aşamada, giriş noktamız olan kısayol dosyasını oluşturuyoruz ( bu dosyayı Windows’ta manuel olarak oluşturabiliriz).

Daha sonrasında, kısayol dosyasının istenilen şekilde çalışması için özelliklerine girerek hedef kısmını:

ve başlama yerini:

Şeklinde düzenlememiz gerekmektedir. Bu şekilde kısayol dosyası çalıştırıldığında, “mshta.exe” dosyası çalışmaya başlayıp URL parametresinde host ettiğimiz HTA zararlısını indirip çalıştıracaktır. Daha inandırıcı bir görüntü vermek için kısayol dosyasının ikonu ve ismi de değiştirilir. Ayrıca Windows’ta dosya uzantılarının görünümü açık olsa bile kısayol dosyalarının sahip olduğu “.lnk” uzantısı komut satırı haricinde gözükmez.

Son aşamada kurbanın, oluşturulan kısayol dosyasını indirip çalıştırmasını sağlamak için farklı yöntemler deneyebilirsiniz. Örnek verilecek olur ise, aşağıdaki gibi bir resim sitesinde indirme butonuna, oluşturduğunuz dosyayı gömebilirsiniz.

Resim yerine kısayol dosyasını indiren kurban bu durumun farkına varamaz. Çünkü ikonu ve ismi değiştirilmiştir. Kurban dosyayı indirmeden önce bilgisayar korsanı, Metasploit-Framework’te yer alan multi/handler ile gelecek olan Reverse Shell için dinlemeye geçmiştir.

Kurban, kısayol dosyasını çalıştırdığında Reverse Shell oturumu açılır.

Sonuç

Karşılaştığınız kısayollara asla doğrudan güvenmeyin!

En sevdiğiniz virüsten koruma yazılımınız tarafından algılanamayan kötü amaçlı bir kodun varlığını gizleyebilirler. Sonucu ele geçirilmiş veya kilitlenmiş bir sistem olabilir. Bilinmeyen bir kısayolun özelliklerini açmak için zaman ayırın ve hangi komut satırını çalıştırmaya çalıştığını görün. Herhangi bir şüpheniz varsa, kaldırın!