6 Mayıs 2014 Salı

Cobalt Strike #3: MS Office Macro ile İstemci Taraflı Bir Saldırı Gerçekleştirme

Cobalt Strike #3: MS Office Macro ile İstemci Taraflı Bir Saldırı Gerçekleştirme

Bu yazıda Cobalt Strike ile üretilen bir macro MS Office Word içerisine eklenecek ve kurbana gönderilerek bu dosyanın çalıştırılması sağlanacaktır. Bu işlem 3 adımda gerçekleştirilecektir.

1) Makronun Cobalt Strike İle Hazırlanması

Öncelikle menüden Attacks > MS Office Macro adımları seçilir:


Daha önceki yazıda oluşturulan Listener seçilir:


Hangi adımların izlebneceğine dair bir mesaj kutusu ekrana çıkar:


Makro kopyalandığında aşağıdaki gibi bir mesaj ile karşılaşılır:


Bu mesaj kutusu kapatıldığında nelerin yapılacağını belirten macro adımlarına ait pencere geri gelir.

2) Word'e Makronun Eklenmesi

Öncelikle Word dosyası açılarak View > Macros adımları izlenerek yeni bir makro oluşturulur:


Gelen pencere aşağıdaki gibidir:


Kodun yazıldığı alandaki her şey silinir ve kopyalanan makro yapıştırılır ve sonrasında da makronun yazıldığı pencere kapatılır:

Not: Sarı renk ile gösterilen asıl işi gerçekleştirecek olan kod parçasıdır.

Word içeriği uygun bir şekilde doldurulur ve kapatılır:


Word'ün makro çalıştırması için yapılması gerekenler bir uyarı penceresi halinde çıkacaktır:


Dosya "docm" gibi bir uzantı ile Macro Enabled halde saklanır.


3) Kurbanın Saldırgan Bilgisayarına Bağlanması

Kurbana bir şekilde gönderilen bu dosya açıldığında bir uyarı ile karşılaşılır (eski sürümlerde karşılaşılmayabilir):


Makro çalıştırılmadan önce Cobalt Strike ekranında herhangi bir bilgisayar bulunmamaktadır:


Kurban, makroyu çalıştırdığında, saldırgan makinesine doğru bir bağlantı (Meterpreter Reverse HTTPS) oluşur:


Ek Not: Word Dosyasının Bir Link Üzerinden Kurbana Ulaştırılması

Oluşturulan Word dosyasının (veya herhangi bir payload'un) kurbana ulaştırılması için bir web sunucusu üzerinde saklanabilir. Bu amaçla KALI makine de kullanılabilir. Cobalt Strike ile bu işlem şu şekilde gerçekleştirilir:

Kurbana gönderilecek dosya, kurbanın göreceği link ayarlanır:

Link elde edilir:

Kurbana bu link gönderilir ve kurban bilgisayarında bu dokümana ulaşılmaya çalışılır:

Böylece döküman indirilir:

Kaynak:
http://www.youtube.com/playlist?list=PL9HO6M_MU2nesxSmhJjEvwLhUoHPHmXvz

Gönderen zaman:
Etiketler: , , , , ,

Hiç yorum yok:

Yorum Gönder

Kaydol: Kayıt Yorumları (Atom)