VBScript Infection Method – Word Belgesine Zararlı Gömme

VBScript (Visual Basic Script) Infection Method

VBScript Infection Method, Word ve Excel dosyalarına zararlı yükler bulaştırmak için kullanılan bir yöntemdir. Bu yöntemde ele alınacak iki temel kavram vardır. Birincisi oluşturulacak olan yükün VBScript’e dönüştürüldükten sonraki macro kodu, ikincisi ise payload data kısmıdır.

İlk önce yapılacakları sıralayalım, daha sonra tek tek resimlerle gösterelim.

  • Msfvenom kullanılarak bir yükün VBScript’i alınır.
  • Windows bir makinada Word Belgesi oluşturulur.
  • Oluşturulan Word belgesinde sırayla Giriş > Görünüm > Macrolar ‘ a tıklanır.
  • Macro adı kısmına Auto_Open yazılır ve oluştur ‘ a tıklanır.
  • Daha sonra ekrana gelen Normal – NewMacros (Code) bölümündeki veriler silinerek msfvenom ile oluşturulan vbscript’in Macro Code kısmı buraya yapıştırılır ve Control + S kombinasyonu ile kaydedilir.
  • Word belgesinin giriş kısmına ise msfvenom ile oluşturulan VBScript’in Payload Data kısmı yapıştırılır.
  • Daha sonra dosya kaydedilir ve herhangi bir hedef’e herhangi bir yöntemle yedirilir ve hedefin Word belgesini açması beklenir.
  • Word belgesini açan hedeften session alınır.

Msfvenom Kullanarak Bir Yükün VBScript’inin Alınması

Auto_Open İsminde Bir Macro Oluşturulması

Macro Code Kısmının Normal – NewMacros (Code) ‘ a Yapıştırılıp Kaydedilmesi

Aşağıdaki resimde Macro kodların sadece bir kısmı görüntülenmektedir.

Payload Data Kısmının Word Belgesinin Giriş Kısmına Yapıştırılması ve Kaydedilmesi

Bu aşamadan sonra Msfconsole ‘ da exploit/multi/handler modülü kullanılarak VBScript oluşturulurken kullanılan LHOST, LPORT ve PAYLOAD değerleri set edildikten sonra exploit diyerek dinleme başlar. Daha sonra oluşturulan Word Belgesi çeşitli yöntemlerle kişilere yedirilmeye çalışılır. Kişi eğer VBScript Infection Method ‘ u yerde Word belgesini açarsa session alınmış olur.

NOT : İllaha metasploit modülleri yüklemek zorunda değilsiniz. Elinizdeki herhangi bir yük ile de VBScript Infection yapılabilir.

Korunma Yolları;

1-) Kullandığınız güvenlik ürünlerinin güncel olduğundan emin olun.
2-) Güvenmediğiniz dökümanları kesinlikle indirmeyin/açmayın.
3-) İndirdiğiniz dökümanları Virüstotal, NoDistrubute vb yerlerde taratın.
4-) Uyanık olun.