{"id":8738,"date":"2020-09-03T16:19:29","date_gmt":"2020-09-03T13:19:29","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=8738"},"modified":"2020-09-03T16:19:29","modified_gmt":"2020-09-03T13:19:29","slug":"black-hat-macos-macros-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/black-hat-macos-macros-attack\/8738\/","title":{"rendered":"K\u00f6t\u00fc ama\u00e7l\u0131 makrolar MacOS’ta fark edilmeden nas\u0131l ba\u015flat\u0131l\u0131r"},"content":{"rendered":"

Bir\u00e7ok macOS kullan\u0131c\u0131s\u0131, hala bilgisayarlar\u0131n\u0131n korumaya ihtiya\u00e7 duymad\u0131\u011f\u0131na inan\u0131yor. Daha da k\u00f6t\u00fcs\u00fc, \u00e7al\u0131\u015fanlar\u0131 Apple donan\u0131m\u0131 kullanan \u015firketlerdeki \u00e7o\u011fu sistem y\u00f6neticisi de ayn\u0131 fikirde.<\/p>\n

Black Hat ABD 2020<\/a> konferans\u0131nda ara\u015ft\u0131rmac\u0131 Patrick Wardle, macOS i\u00e7in haz\u0131rlad\u0131\u011f\u0131 k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m analizi ve bir dizi a\u00e7\u0131ktan yararlanarak bir Apple bilgisayar\u0131n\u0131n kontrol\u00fcn\u00fc ele ge\u00e7irmesiyle izleyicilerin bu yanl\u0131\u015f alg\u0131s\u0131n\u0131 k\u0131rmaya \u00e7al\u0131\u015ft\u0131.<\/p>\n

Microsoft, makrolar ve Mac\u2019ler<\/h2>\n

MacOS i\u015fletim sistemi kullanan bilgisayarlara sald\u0131rman\u0131n en yayg\u0131n yollar\u0131ndan biri, k\u00f6t\u00fc ama\u00e7l\u0131 makrolara sahip belgeleri kullanmakt\u0131r, yani Microsoft Office uygulamalar\u0131ndan faydalanmak. Asl\u0131nda, Apple\u2019\u0131n kendi \u00fcretkenlik uygulamalar\u0131 olmas\u0131na ra\u011fmen, bir\u00e7ok kullan\u0131c\u0131 Microsoft Office\u2019i kullanmay\u0131 tercih ediyor. Kimi bunu al\u0131\u015fkanl\u0131ktan yap\u0131yor; kimi de i\u015f arkada\u015flar\u0131n\u0131n olu\u015fturdu\u011fu belgelerle uyumlu \u00e7al\u0131\u015fabilmek ad\u0131na.<\/p>\n

Elbette, makro i\u00e7eren belgelerin olu\u015fturdu\u011fu potansiyel tehdit uzun bir s\u00fcredir herkes taraf\u0131ndan biliniyor. Bu nedenle, hem Microsoft hem de Apple, kullan\u0131c\u0131y\u0131 koruyacak y\u00f6ntemlere sahip.<\/p>\n

Microsoft, makro i\u00e7eren bir belgeyi a\u00e7arken kullan\u0131c\u0131lar\u0131 uyar\u0131r. Buna ek olarak, kullan\u0131c\u0131 yine de makroyu \u00e7al\u0131\u015ft\u0131rmaya karar verirse, makro kodu, Microsoft\u2019un geli\u015ftiricilerine g\u00f6re kullan\u0131c\u0131n\u0131n dosyalar\u0131na eri\u015fmesini veya sistemde ba\u015fka bir hasara neden olmas\u0131n\u0131 engelleyen korumal\u0131 bir alanda y\u00fcr\u00fct\u00fcl\u00fcr.<\/p>\n

Apple taraf\u0131nda ise, i\u015fletim sisteminin en g\u00fcncel s\u00fcr\u00fcm\u00fc olan macOS Catalina\u2019da birka\u00e7 yeni g\u00fcvenlik \u00f6zelli\u011fi tan\u0131t\u0131ld\u0131. Bu \u00f6zellikler, dosyan\u0131n karantinaya al\u0131nmas\u0131n\u0131 ve y\u00fcr\u00fct\u00fclebilir dosyalar\u0131n d\u0131\u015f kaynaklardan ba\u015flat\u0131lmas\u0131n\u0131 engelleyen bir teknoloji olan \u201cyetkili onay\u0131n\u0131\u201d i\u00e7eriyor.<\/p>\n

Temel olarak bir araya geldi\u011finde bu teknolojiler, k\u00f6t\u00fc niyetli makrolardan kaynakl\u0131 bir zarar\u0131 \u00f6nlemek i\u00e7in yeterli olmal\u0131d\u0131r. Teoride, her \u015fey olduk\u00e7a g\u00fcvenli g\u00f6r\u00fcn\u00fcyor.<\/p>\n\n

Bir dizi a\u00e7\u0131k, makroyu korumal\u0131 alandan \u00e7\u0131kar\u0131r<\/h2>\n

Ancak pratikte pek \u00e7ok g\u00fcvenlik mekanizmas\u0131 olduk\u00e7a sorunlu bir \u015fekilde uygulan\u0131yor. Bu nedenle, ara\u015ft\u0131rmac\u0131lar (veya sald\u0131rganlar) bunlar\u0131 atlatman\u0131n potansiyel yollar\u0131n\u0131 bulabilirler. Wardle da bir dizi a\u00e7\u0131\u011f\u0131 g\u00f6stererek sunumunu g\u00f6rselle\u015ftirdi.<\/p>\n

1. Makrolar\u0131 devre d\u0131\u015f\u0131 b\u0131rakan mekanizmay\u0131 a\u015fmak<\/h3>\n

\u00d6rne\u011fin, bir belgede bir makro alg\u0131lad\u0131\u011f\u0131nda kullan\u0131c\u0131y\u0131 uyaran sistemi ele alal\u0131m. \u00c7o\u011fu durumda sistem, geli\u015ftiricilerin ama\u00e7lad\u0131\u011f\u0131 \u015fekilde \u00e7al\u0131\u015f\u0131r. Ancak ayn\u0131 zamanda, ayarlarda makrolar devre d\u0131\u015f\u0131 b\u0131rak\u0131lm\u0131\u015f olsa bile, makronun otomatik olarak ve herhangi bir kullan\u0131c\u0131 bildirimi olmadan ba\u015flat\u0131ld\u0131\u011f\u0131 bir belge olu\u015fturmak da m\u00fcmk\u00fcnd\u00fcr.<\/p>\n

Bu, Sylk<\/a> (SLK) dosya format\u0131 kullan\u0131larak yap\u0131labilir. XLM makro dilini kullanan format 1980\u2019lerde geli\u015ftirildi ve en son 1986\u2019da g\u00fcncellendi. Ancak, Microsoft uygulamalar\u0131 (\u00f6rne\u011fin, Excel), geriye d\u00f6n\u00fck uyumluluk nedeniyle hala Sylk\u2019i destekliyor. Bu g\u00fcvenlik a\u00e7\u0131\u011f\u0131 yeni de\u011fil \u2013 2019\u2019da ayr\u0131nt\u0131l\u0131 olarak a\u00e7\u0131kland\u0131<\/a>.<\/p>\n

2. Korumal\u0131 alandan (sandbox) \u00e7\u0131kmak<\/h3>\n

Bir sald\u0131rgan\u0131n bir makroyu g\u00f6r\u00fcnmez bir \u015fekilde \u00e7al\u0131\u015ft\u0131rmas\u0131n\u0131n m\u00fcmk\u00fcn oldu\u011funu g\u00f6sterdik. Ancak kod hala MS Office\u2019in yal\u0131t\u0131lm\u0131\u015f korumal\u0131 alan\u0131nda \u00e7al\u0131\u015ft\u0131r\u0131l\u0131yor. Peki bir bilgisayar korsan\u0131 bilgisayara nas\u0131l sald\u0131rabilir? G\u00f6r\u00fcn\u00fc\u015fe g\u00f6re, bir Mac bilgisayarda Microsoft\u2019un korumal\u0131 alan\u0131ndan \u00e7\u0131kmak \u00e7ok da zor de\u011fil.<\/p>\n

Bilgisayarda depolanan dosyalar korumal\u0131 alandayken dosyalarda de\u011fi\u015fiklik yap\u0131lamad\u0131\u011f\u0131 biliniyor. Ancak dosya olu\u015fturmak m\u00fcmk\u00fcn<\/em>. Bu a\u00e7\u0131k, daha \u00f6nce korumal\u0131 alandan \u00e7\u0131kmak i\u00e7in kullan\u0131lm\u0131\u015ft\u0131 ve Microsoft, bu g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131 kapatmak i\u00e7in bir g\u00fcncelleme yay\u0131nlam\u0131\u015ft\u0131. Ancak, yamaya ili\u015fkin daha ayr\u0131nt\u0131l\u0131 bir incelemenin g\u00f6sterdi\u011fi gibi, sorun asl\u0131nda \u00e7\u00f6z\u00fclmemi\u015fti: Yama, baz\u0131 geli\u015ftiricilerin g\u00fcvenli olmad\u0131\u011f\u0131n\u0131 d\u00fc\u015f\u00fcnd\u00fc\u011f\u00fc yerlerden, \u00f6rne\u011fin bilgisayar\u0131 yeniden ba\u015flatt\u0131ktan sonra otomatik olarak ba\u015flat\u0131lan komut dosyalar\u0131 i\u00e7in saklama konumu olan LaunchAgents klas\u00f6r\u00fc gibi, dosya olu\u015fturulmas\u0131n\u0131 engelliyordu,<\/p>\n

Peki yamay\u0131 haz\u0131rlarken Microsoft\u2019un t\u00fcm \u201ctehlikeli konumlar\u0131\u201d hesaba katt\u0131\u011f\u0131na kim karar verdi? Python dilinde yaz\u0131lan, bir Office belgesinden ba\u015flat\u0131lan ve bu nedenle bir korumal\u0131 alanda \u00e7al\u0131\u015ft\u0131r\u0131lan bir komut dosyas\u0131n\u0131n, \u201cOturum A\u00e7ma \u00d6\u011fesi\u201d adl\u0131 bir nesne olu\u015fturmak i\u00e7in kullan\u0131lmas\u0131 m\u00fcmk\u00fcn oldu. Bu isimdeki bir \u00f6\u011fe, kullan\u0131c\u0131 sistemde oturum a\u00e7t\u0131\u011f\u0131nda otomatik olarak ba\u015flar. Sistem \u00f6\u011feyi ba\u015flat\u0131r, Microsoft\u2019un g\u00fcvenlik k\u0131s\u0131tlamalar\u0131n\u0131 a\u015far ve b\u00f6ylece \u00f6\u011fe Office\u2019in korumal\u0131 alan\u0131n\u0131n d\u0131\u015f\u0131nda<\/em> \u00e7al\u0131\u015ft\u0131r\u0131l\u0131r.<\/p>\n

3. Apple\u2019\u0131n g\u00fcvenlik mekanizmalar\u0131n\u0131 a\u015fmak<\/h3>\n

Art\u0131k nas\u0131l bir makroyu gizlice \u00e7al\u0131\u015ft\u0131raca\u011f\u0131m\u0131z\u0131 ve Oturum A\u00e7ma \u00d6\u011fesi olu\u015fturaca\u011f\u0131m\u0131z\u0131 biliyoruz. Tabii, macOS\u2019taki g\u00fcvenlik mekanizmalar\u0131, g\u00fcvenilmeyen bir korumal\u0131 alan i\u00e7indeki \u015f\u00fcpheli bir i\u015flemle sisteme giri\u015fe imkan vermiyor \u2014 de\u011fil mi?<\/p>\n

Bir yandan evet: Apple\u2019\u0131n g\u00fcvenlik mekanizmalar\u0131 ger\u00e7ekten bu \u015fekilde olu\u015fturulan bir kodun \u00e7al\u0131\u015ft\u0131r\u0131lmas\u0131n\u0131 engelliyor. Di\u011fer yandan, bunun a\u015f\u0131ld\u0131\u011f\u0131 bir yol var: Bir ZIP dosyas\u0131na Giri\u015f \u00d6\u011fesi\u2019ni ar\u015fivlerseniz, bilgisayar\u0131n\u0131zda tekrar oturum a\u00e7t\u0131\u011f\u0131n\u0131zda sistem otomatik olarak dosyay\u0131 ar\u015fivden \u00e7\u0131kar\u0131r.<\/p>\n

Sald\u0131rgan\u0131n yapmas\u0131 gereken tek \u015fey, dosyay\u0131 \u00e7\u0131karaca\u011f\u0131 do\u011fru konumu se\u00e7mektir. \u00d6rne\u011fin ar\u015fiv dosyas\u0131, kullan\u0131c\u0131 k\u00fct\u00fcphanesi ile ayn\u0131 dizine, LaunchAgent t\u00fcr\u00fcndeki \u00f6\u011felerin sakland\u0131\u011f\u0131 dizinin bir \u00fcst dizinine yerle\u015ftirilebilir (Microsoft\u2019un do\u011fru bir \u015fekilde tehlikeli olarak g\u00f6rd\u00fc\u011f\u00fc). Ar\u015fivin kendisi, Launch Agent komut dosyas\u0131n\u0131 i\u00e7eren LaunchAgents adl\u0131 bir dizini i\u00e7erebilir.<\/p>\n

Dosya ar\u015fivden \u00e7\u0131kar\u0131ld\u0131\u011f\u0131nda, komut dosyas\u0131 yeniden ba\u015flatma s\u0131ras\u0131nda \u00e7al\u0131\u015ft\u0131r\u0131lmak \u00fczere LaunchAgents klas\u00f6r\u00fcne yerle\u015ftirilir. G\u00fcvenilir bir program (Ar\u015fivleyici) taraf\u0131ndan olu\u015fturuldu\u011fu ve karantinaya al\u0131nmas\u0131 i\u00e7in gereken niteliklere sahip olmad\u0131\u011f\u0131 i\u00e7in, bu dosyalar daha tehlikeli bir \u015feyi \u00e7al\u0131\u015ft\u0131rmak i\u00e7in kullan\u0131labilir. G\u00fcvenlik mekanizmalar\u0131 bu dosyan\u0131n \u00e7al\u0131\u015ft\u0131r\u0131lmas\u0131n\u0131 engellemez.<\/p>\n

Sonu\u00e7 olarak, bir sald\u0131rgan uzaktan eri\u015fim elde etmek i\u00e7in Bash komut kabu\u011fu arac\u0131l\u0131\u011f\u0131yla bir mekanizmay\u0131 ba\u015flatabilir (b\u00f6ylece bir ters y\u00f6nl\u00fc kabuk elde edebilir). Bu Bash i\u015flemi, karantinaya al\u0131nmak i\u00e7in gereken \u00f6zelliklerden yoksun olan dosyalar\u0131 indirmek i\u00e7in kullan\u0131labilir, b\u00f6ylece sald\u0131rgan\u0131n ger\u00e7ekten k\u00f6t\u00fc ama\u00e7l\u0131 kodu indirmesine ve herhangi bir k\u0131s\u0131tlama olmaks\u0131z\u0131n bu dosyalar\u0131 \u00e7al\u0131\u015ft\u0131rmas\u0131na izin verir.<\/p>\n

\u00d6zet olarak:<\/h2>\n