PESpin Dosya Sıkıştırma Uygulaması Kullanılarak Zararlı Yazılım Oluşturma

0
421
views
Sızma testleri sırasında anti-virüslerin atlatılarak hedef sistemin ele geçirilmesi kritik bir aşamadır. Bu yazıda, PESpin dosya sıkıştırma aracı kullanılarak antivirüslere yakalanmayan zararlı bir uygulama oluşturulacaktır.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Dosya sıkıştırma uygulamaları, aslında çalıştırılabilir dosya üzerinde sıkıştırma işlemi gerçekleştirip dosyanın işlevini değiştirmeyen sadece görünümünü değiştiren yazılımlardır. Normal sıkıştırıcılardan (zip, winrar) farklı olarak dosyanın nasıl açılıp yorumlanacağı yeni oluşturulan paketlenmiş dosyanın içerisinde yer alır. Bu yüzden yeni oluşturulan dosyalara kendi başına açılabilir arşiv (self-extracting archive) denilmektedir. Dosya sıkıştırma uygulamalarının, sıkıştırma ve antivirüslerden gizlenme gibi kullanımlarının yanında diğer bir kullanım amacı da tersine mühendislik yapmayı zorlaştırarak yazılımların kaynak kodunun elde edilmesini zorlaştırmaktır.

Dosya sıkıştırma uygulamaları, analiz işini zorlaştırmak için aşağıdaki özellikleri kullanabilirler:

  • Sıkıştırma
  • Şifreleme
  • Tersine mühendislik yöntemlerini zorlaştıran metotlar

Bu yazıda dosya sıkılaştırma uygulamaları ile mimikatz adlı bir zararlı yazılım PESpin adlı bir araçla yeniden paketlenecektir. Mimikatz aracının VirusTotal analiz sonucunda 16 AV tarafından tespit edildiği görülmektedir.

evading-anti-virus-detection-using-pespin-executable-compression-tool-01

PESpin aracı ile mimikatz dosyası seçilir.

evading-anti-virus-detection-using-pespin-executable-compression-tool-02

Sonuçta bu dosya yeniden paketlenir.

evading-anti-virus-detection-using-pespin-executable-compression-tool-03

Paketleme işlemi sonrasında yeni dosyanın 1 AV tarafından tespit edildiği görülmektedir.

evading-anti-virus-detection-using-pespin-executable-compression-tool-04

Yeni uygulamanın işlevselliğinde ise herhangi bir değişiklik olmadığı görülmektedir.

evading-anti-virus-detection-using-pespin-executable-compression-tool-05

 

Kaynaklar:

http://en.wikipedia.org/wiki/Executable_compression
https://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/paketleyiciler-packers-calistirilabilir-sikistiricilar.html

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.