Windows’ta Tehdit Oluşturabilecek Dosya Türleri
Siber saldırganlar hedeflemiş olduğu bir kurumun veya bir kişinin sistemini ele geçirmek veya zarar vermek amacıyla bir siber saldır gerçekleştirebilir. Bir sisteme saldırmak için saldırganların kullanmış olduğu yöntemlerden biride; saldırıda bulanacağı sistemi ele geçirmek adına gerekli malware (kötü amaçlı) dosyalarını yüklemektir. Saldırganlar bu dosyaları genellikle, bir e-posta yolu ile gönderebilir, bir usb bellek içerisinde tak çalıştır komutuyla bulaştırabilir, web sitesinden indirilen bir uygulama içerisine entegre edebilir gibi çeşitli senaryolarla bu zararlı dosyaları, phishing ya da spear phishing yöntemlerini kullanarak birazda işin içine sosyal mühendislik tekniklerini katarak saldırı aşamasını başlatır. Saldırganlar hedeflediği kişinin dosyalara tıklaması için cezbedici olması gerektiğini bilir kimi zaman bu iyi bir iş teklifi, tanınmış bir şirketin logosuyla yollanan bir hediye kartı, cinsellik, sözleşme, fatura vergi bildirimleri ve yönetim ekibinden geliyormuş gibi mesajları olabilmektedir. Bu mailler kişiyi cezbedecek, cazip teklifler sunarak zararlı dosyayı indirip, tıklamasını kolaylaştırır. Sisteme yüklenen zararlı dosyalar, uygulamalar sistem için önemli bir risk oluşturmaktadır. Bir çok saldırının ilk aşaması yalnızca kodu çalıştırmanın bir yolunu bulması gerekir. Dosya hedef sisteme yüklendikten sonra saldırının ilk adımı atmasına yardımcı olur. Bu ilk adımlar genellikle, sistemin tamamen ele geçirilmesi, veri tabanı çökertmesi, saldırgana arka kapı oluşturması gibi nedenlere sahip olabilir.
Saldırganların hedeflemiş oldukları hedefin genellikle bu dosyayı tıklayıp açması ile saldırganlar ilk amacına ulaşmaktadır. Kullanıcının bu durumlarda dosyanın açılmasının güvenli olup olmadığına karar verirken hangi dosya uzantılarının potansiyel olarak tehlikeli olduğunu bilmek önemlidir. Şüpheli bir dosya ile karşılaştığınız zaman ekstra özen göstermelisiniz.
Bu yazımda siber saldırganların en çok kullanmış olduğu dosya türleri, bu dosya türlerin neden kullanıldığı hakkında temel bilgiler vereceğim. Malware analizi (Malware forensics) kısmı biraz uzun olduğunda bu yazımda analiz kısmında bahsetmeyeceğim. Malware Forensics alanında yani dosyaların analizi hakkında https://www.muhammedaygun.com/2020/07/malware-analizine-giris-ve-kullanlan.html
https://www.muhammedaygun.com/2020/08/emotet-malware-n-incelenmesi-ve-yara.html
https://www.muhammedaygun.com/2020/08/wannacry-nedir-ve-wannacry-yara-kuralnn.html
https://www.muhammedaygun.com/2020/08/flare-vm-kurulumu.html
bu blog yazılarıma bakabilirsiniz.
Analiz hakkında bilmemiz gereken; bu tür dosyaların analiz edilirken iki türlü durumu göz önünde bulundurmalıyız. Birincisi dosyanın meta bilgileri yani dosya yolu ve dosya adı, dosya uzantısı gibi veriler. İkincisi ise dosya boyutu ve içeriği ile ilgili bilgiler. Bu tür bilgilere sahip olunduktan sonra bir zararlı yazılımın amaçları hakkında ön bir bilgi edinebiliriz. Ek olarak CTI kaynaklarına gerekirse şüphelendiğiniz dosyayı yükleyin veya hash taraması gerçekleştirin.
Dosya Uzantıları Neden Tehlikeli Olabilir?
Windows dosya adlarını nokta ile iki kısma ayırmıştır noktanın sağ tarafı dosya uzantısı genellikle 3 veya 4 karakterden oluşmaktadır, sol tarafı ise bizim dosyaya verdiğimiz adlardan veya default oluşan isimlerden oluşur. Microsoft Windows, dosya uzantılarını bilgisayarın hangi uygulamayı kullanarak çalıştıracağını veya oluşturduğunu görmek için kullanır. Örneğin .docx Microsoft Word tarafından oluşturduğunu ve Microsoft Word’ün açabildiğini bu sayede bilir. Dosya uzantısı manuel bir şekilde değiştirilirse dosyanın formatı değişmez.
Bu dosya uzantıları kod içerebildikleri veya isteğe bağlı komutlar yürütebildikleri için potansiyel olarak son kullanıcıya tehlike yaratabilir. Bir exe dosyası her şeyi yapabilen bir program olduğundan potansiyel olarak tehlikelidir. .jpeg veya .mp3 dosyaları gibi medya dosyaları, kod içermedikleri için exe dosyaları kadar tehlikeli değildir. Kötü amaçlarla oluşturulmuş bir medya dosyasını bir görüntüleyici uygulamasındaki bir güvenlik açığından yararlanabileceği bazı durumlar olmuştur, ancak bu sorunlar nadirdir ve hızlı bir şekilde yamalanır.
Dosya uzantılarını bilmemiz genellikle dosyanın ne için kullanıldığını potansiyel tehlikesini anlamız için gereklidir. Microsoft Windows tarafından kullanılan ve tehlike oluşturabilecek dosya uzantıları şu şekildedir;
Program Dosyaların Uzantıları:
.exe: Executable File Format, çalıştırılabilir dosya formatıdır. Windows üzerinde çalışan uygulamaların çoğu .exe dosyasıdır. Exe dosyaları bazen tek başına bir program olurken bazen de bir programın başlangıcı olabilmektedir. Exe dosyaları ya komut satırı yardımıyla ya da çift tıklayarak çalıştırılabilir. Exe dosyalarını editlemek için; Rource hacker, Akala EXE Locki ExeScope, ExeWrapper veya ResEdit Tools araçlarından herhangi biri kullanılabilir.
.pif: MS-DOS programları için bir program bilgi dosyasıdır. .pif dosyalarının yürütülebilir kod içermesi çoğu zaman görülmez fakat Windows’da çalıştırılabilir kod içeriyorsa PIF’ler exe dosyalarıyla aynı şekilde çalışabilir. Windows, shellExecute işleviyle pif dosyalarını analiz eder ve bunları yürütülebilir programlar olarak çalıştırabilir. Bu nedenle zararlı komut dosyalarını iletmek için pif dosyasını saldırganlar kullanılabilir.
.msi: Bir Microsoft Windows yükleyici dosyasıdır. Bu dosyalar sayesinde bilgisayara uygulamalar yüklenir.
.msp: Bir Microsoft Windows yükleyici yama dosyasıdır. msi dosyalarıyla dağıtılan uygulamaları yamalamak için kullanılır.
.scr: scr dosyası, vektör grafik veya metin animasyonları görüntülemek, slayt gösterileri, animasyon veya videoları oynatmak için kullanılan Windows için bir ekran koruyucu (screensaver) dosyasıdır ve bir bilgisayar özelleştirilmiş bir süre boyunca etkin olmadığından ses efektleri içerebilir. Windows ekran koruyucuları çalıştırılabilir kod içerebilir.
.hta: bir HTML uygulaması, tarayıcıdalar çalışan HTML uygulamaların aksine. HTA dosyaları korumalı alan olmadan güvenilir uygulamalar olarak çalıştırılır.
.cpl: Bir Denetim masası (Control Panel) dosyasıdır. Windows Denetim masasında bulunan bütün yardımcı programlar cpl dosyalarıdır.
.drv: dosyaları genellikle Windows ortamlarında aygıt sürücüleri (driver) için kullanılır. Bir driver ile daha üst düzey bilgisayar programlarının bir aygıta etkileşime girmesine izin veren bir bilgisayar programıdır. Bir driver tipik olarak donanımın bağlı olduğu bilgisayar veri yolu veya iletişim alt sistemi aracılığıyla aygıtla iletişim kurmaj için çalıştırılabilir kod içermektedir.
.msc: Microsft yönetim konsolu (Mirosoft Managment Console) dosyasıdır. Grup ilkesi düzenleyicisi ve disk yönetimi aracı gibi uygulamalar .msc dosyalarıdır.
.jar: jar dosyaları çalıştırılabilir java kodu içerir. Eğer javaruntime var ise jar dosyaları programlar gibi çalıştırılır.
.application: Microsftun CliskOne teknolojisiyle dağıtılan bir uygulama yükleyicisidr.
.gadget: Windows masaüstü gadget teknolojisini kullanmak için bir gadget dosyasıdır.
Scripts Dosya Uzantıları:
.bat: Bir toplu iş dosyasıdır. Açtığınızda bilgisayar çalıştırılacak komutların bir toplu listesini içerir.
.cmd: Bir toplu komut çalıştırma dosyasıdır. Bat dosyalarına benzerdir.
.vb, .vbs: Bir VBSScript (Virtual Basic) script dosyasıdır. Bir VBScrpit dosyasına benzer ancak çalıştırırsanız dosyanın gerçekte ne yapacağını söylemek kolay değildir. Bu script dosyasında kötü amaçlı komutlar burada kendilerini gizlemek için ideal bir biçimde kullanmaktadır.
.js: bir JavaScrpit dosyası. js dosyaları normalde web sayfaları tarafından kullanılır ve web tarayıcılarında çalıştığında güvenlidir. Ancak Windows JS dosyalarını korumalı alan olmadan tarayıcı dışında çalıştırır.
.jse: şifreli bir Javascrpit dosyasıdır.
.ws, .wsf: Bir Windows Komut dosyası. JScript veya VBscrpit kodunu kullanana Windows için çalıştırılabilir komut dosyaları içerir.
.wsc, .wsh: Windows Komut dosyası bileşeni ve Windows komut dosyasını ana bilgisayarı kontrol dosyaları, Windows komut dosyalarıyla birlikte kullanılır.
.ps1, ps1xml, ps2, ps2xml, .psc1, .psc2: Bir Windows PowerShell scrpiti, dosyada belirtilen sırada PowerShell komutlarını çalıştırır. Powershell Scripts (*.ps1), Powershell Modules (*.psm1), Powershell Data Files (*.psd1), Powershell Session Configuration Files (*.pssc), Powershell Role Capability Files (*.psrc), Powershell Xml Files (*.psxml, *.cdxml)
.msh, msh1, msh2, mshxml, msh1xml, msh2xml: Bir monad komut dosyasıdır. monad daha sonra Powershell olarak yeniden Microsft tarafından adlandırıldı. Microsoft Kabuk Komut Dosyası Biçimi dosyalarıyla ilişkilendirilen bir dosya uzantısıdır. msh dosyaları, Windows çalıştıran cihazlar için mevcut olan yazılım uygulamaları tarafından desteklenir.
.asp .aspx: asp Microsft tarafından geliştirilen ve yayınlanan sunucu taraflı bir scrpit dosyasıdır. asp Active Server Pages anlamına gelir. Aspx; asp.NET tarafından tasarlanan bir sayfanın dosya uzantısıdır. Asp .net sunucu taraflı bir web uygulama frameworktür. .aspx Active Server Pages Extended anlamına gelir. Dinamik web sayfaları üretmek için web geliştirme yapılması amacıyla tasarlanmıştır.
.xml: Extensible Markum Language, çeşitli uygulamalardan gelen verileri internet üzerinde depolamak ve aktarmak için kullanılan dosyalardır. İnternet, veri alışverişinin hızlı ve pratik şekilde gerçekleşmesi için kullanılmaktadır.
.jsp, .jspx: jsp Java Server Pages, HTML kodları içerisine java komutlarını kolay bir şekilde yerleştirmek için kullanılan JAVA EE API kütüphanesidir. Jspx, jsp sayfalarını oluşturmak için kullanılan bir XML biçimidir. Jspx farklı dosyalarda kodun görünüm katmanından ayrılmasını zorlar. Jspx sayesinde java kodu xml kodu jsp’de aynı dosyaya yazılır.
.chm: Sıkıştırılmış derlenmiş html dosyalarından oluşan bir dosyadır.
.php: php kaynak koduna sahip dosyalardır. php dosyaları interaktif fonksiyonları dinamik web sayfaları olarak uygulanmaktadır. Web forum verisini toplamak, sunucuda dosya yönetmek, veritabanlarını düzenlemek gibi çeşitli sunucu taraflı fonksiyonları gerçekleştir
Kısayol Dosya Uzantılar (Shotcuts)
.scf: Bir scf dosyası, bir dizinde yukarı veya aşağı hareket etme veya Desktop gösterme gibi bir eylemi gerçekleştirmek için kullanılan bir Windows Gezgini komutudur. Windows gezgini (Windows Explorer), komut dosyası zararı olabilecek komutları Windows explorer’a iletebilir Windows Explorer komut dosyası olduğundan, Windows Explorer bilgisayarınız için tehlikeli olan komutları çalıştırmak için kullanılabilir.
.lnk: Bilgisayarda programın bağlantısıdır, bir bağlantı dosyası dosyaları sormadan silmek gibi tehlikeli şeyleri yapmayı sağlayan komut satırları içerebilir.
.inf: AutoRun tarafından kullanılan bir metin dosyasıdır. Çalıştırılırsa bu dosya potansiyel olarak birlikte geldiği tehlikeli uygulamaları başlatabilir veya Windows’ta bulunan programlara tehlikeli seçenekler iletebilir.
Oficce dosya Uzantıları (Office Makroları)
.doc, .xls, .ppt: Microsoft Word, Excel ve PowerPoint belgeleri. Bunlar kötü amaçlı makro kodu içerebilir.
.docm, .dotm, .xlsm, .xltm, xlam, .pptm, .potm, ppam, .ppsm, .sldm: Office 2007’de sunulan yeni dosya uzantıları, dosya uzantısının sonundaki “m” dosya uzantısının belge makro içerir. Örneğin bir .docx dosyası makro içermezken .docm dosyası makro içerebilir.
Diğer Dosya Uzantıları (Other)
.reg: Windows regsitry dosyasıdır. .reg dosyaları çalıştırılırsa regstry tarafına key ekleyip kaldırabilir. Kötü amaçlı bir .reg dosyası önemli bilgileri kayıt defterinizde kaldırabilir değiştirebilir ve kötü amaçlı veriler ekleyebilir.
.pdf : PDF dosyalarında JavaScript dosyaları oluşturmak ve çalıştırmak için kullanılabilir. Ayrıca saldırganlar kötü amaçlı bağlantıları pdf içerisinde saklayabilmekteler.
.zip ve .rar: zip ve rar uzantılı dosyalar veri sıkıştırılması için kullanılan standart bir formata oluşturulmuş arşiv dosyalarıdır.
.dll: (Dynamic Link Library): DLL dosyaların görevi çalışan programların ortaklaşa yapmış olduğu işlemleri tek bir dosya içinde yapmak, program çalışma esnasında gerekli olan fonksiyonları kendi içerisinde bulunmaz ise bunu dll dosyasında aramaktadır. Bu şekilde programlar tek bir dosya üzerinde çalışarak programın hız kazanmasını ve çeşitli kaynaktan tasarruf etmesini sağlar.
.dat: Bir çok uygulama data veya kaynak dosyaları için dat dosyasını kullanır. Veri dosyaları doğrudan bir uygulamada açılmaz, genellikle yalnızca dahili amaçlar için DATA içerirler. Aynı dosya uzantısını paylaşan farklı biçimler. Dat dosyasının doğru çalışması için gerekli olan .dll dosya uzantısı tarafından kullanılır.
Bu tehdit oluşturabilecek dosyalardan korunmak için;
· Bilinmeyen adreslerden gelen şüpheli e-postaları açmayın. Belirli bir konuya sahip bir iletinin genel kutunuza neden geldiğini bilmiyorsanız muhtemelen buna ihtiyacınız yoktur.
· Güvenmediğiniz web sitelerinden program indirmemeye özen gösterin.
· İş nedeniyle bilinmeyen kullanıcılarla iletişime geçmek durumunda kalırsanız ekli dosyanın adresini ve adını dikkatlice kontrol edin, şüpheli veya garip bir şey fark ederseniz açmayın.
· E-posta ile gelen belgelerin makrolarının çalışmasına gerek olmadıkça izin vermeyin. (Office dosya ayalarında yapılabilir.)
· Crackli program kullanmayın.
Kaynaklar:
https://www.researchgate.net/figure/Top-10-malicious-file-extensions_fig3_264004054
https://thegeekpage.com/unblock-a-file-blocked-by-windows-10/
https://fileinfo.com/help/dangerous_windows_file_types
https://www.kaspersky.com/blog/top4-dangerous-attachments-2019/27147/
https://start.paloaltonetworks.com/five-dangerous-file-types.html
https://opencrdownloadfile.net/dangerous-extensions.html
Windows 101
Windows dosya uzantıları
Windows Forensics
Adli Bilişim