anonuser23532
Kıdemli Üye
- 9 Ara 2017
- 2,602
- 12
Nedir bu Fileless Malware ?
Fileless , aslında isminde saklı ne olduğu.. Dosyasız zararlı yazılım. Ne ? dediğinizi duyar gibiyim. Dosyasız bir zararlı yazılım nasıl çalışacak ? bakalım ;
Fileless Malware , ilk başta da dediğimiz gibi dosyasız çalışan zararlı yazılım. Bu zararlı yazılım bir cihaza bulaşmak için bir şey indirtmeyi değil de cihazda bulunan yazılımları kullanmayı tercih eder (Örnek senaryo yukarıdaki resimde). Hackerlar tarafından bu zararlı türünün tercih edilme nedenleri hem daha az sosyal mühendislik gerektirmesi hem de ortada imzası sorgulanacak bir yazılım olmadığı dolayısıyla imza tabanlı çalışan antivirüsler tarafından yakalanmamasıdır.
Çalışma prensibini daha iyi anlayabilmek amacıyla bir fileless malware yazalım :
İzleyeceğimiz yol :
1) Sadece kod çalıştırmayı göstermek amaçlı ekrana Kodlar çalıştırıldı yazısı bastıran bir powershell scripti yazalım.
2) Bu powershell scriptini bir Microsoft Word Macrosunda çalışabilecek hale getirelim ve powershell.exeye argüman vererek başlatalım.
PowerShell Scripti :
https://raikia.com/tool-powershell-encoder/ adresine gidip bu kodu parametre ile çalışabilecek hale getirelim.
Kod:
powershell.exe -exec bypass -enc VwByAGkAdABlAC0ASABvAHMAdAAgACIAQwBvAGQAZQAgAEUAeABlAGMAdQB0AGUAZAAuACIA
Şimdi geldik Makro yazma kısmına Word projemizi açalım ve makromuzu yazmaya başlayalım.
Word içerisinde yeni bir makro oluşturup sub ve end sub içerisine , Shell fonksiyonunu kullanarak Çalıştır da çalıştırmak istediğimiz komutu yazıyoruz.
Çalıştırdığımızda direkt olarak powershellde başladığını göreceğiz.
Daha fazlası için TIKLA
Moderatör tarafında düzenlendi: