Windows’ta
Tehdit Oluşturabilecek Dosya Türleri
Siber saldırganlar
hedeflemiş olduğu bir kurumun veya bir kişinin sistemini ele geçirmek veya
zarar vermek amacıyla bir siber saldır gerçekleştirebilir. Bir sisteme saldırmak
için saldırganların kullanmış olduğu yöntemlerden biride; saldırıda bulanacağı
sistemi ele geçirmek adına gerekli malware (kötü amaçlı) dosyalarını yüklemektir.
Saldırganlar bu dosyaları genellikle, bir e-posta yolu ile gönderebilir, bir
usb bellek içerisinde tak çalıştır komutuyla bulaştırabilir, web sitesinden
indirilen bir uygulama içerisine entegre edebilir gibi çeşitli senaryolarla bu
zararlı dosyaları, phishing ya da spear phishing yöntemlerini kullanarak
birazda işin içine sosyal mühendislik tekniklerini katarak saldırı aşamasını
başlatır. Saldırganlar hedeflediği kişinin dosyalara tıklaması için cezbedici
olması gerektiğini bilir kimi zaman bu iyi bir iş teklifi, tanınmış bir
şirketin logosuyla yollanan bir hediye kartı, cinsellik, sözleşme, fatura vergi
bildirimleri ve yönetim ekibinden geliyormuş gibi mesajları olabilmektedir. Bu
mailler kişiyi cezbedecek, cazip teklifler sunarak zararlı dosyayı indirip, tıklamasını
kolaylaştırır. Sisteme yüklenen zararlı dosyalar, uygulamalar
sistem için önemli bir risk oluşturmaktadır. Bir çok saldırının ilk aşaması
yalnızca kodu çalıştırmanın bir yolunu bulması gerekir. Dosya hedef sisteme
yüklendikten sonra saldırının ilk adımı atmasına yardımcı olur. Bu ilk adımlar
genellikle, sistemin tamamen ele geçirilmesi, veri tabanı çökertmesi, saldırgana
arka kapı oluşturması gibi nedenlere sahip olabilir.
Saldırganların hedeflemiş oldukları
hedefin genellikle bu dosyayı tıklayıp açması ile saldırganlar ilk amacına
ulaşmaktadır. Kullanıcının bu durumlarda dosyanın açılmasının güvenli olup
olmadığına karar verirken hangi dosya uzantılarının potansiyel olarak
tehlikeli olduğunu bilmek önemlidir. Şüpheli bir dosya ile karşılaştığınız
zaman ekstra özen göstermelisiniz.
Bu yazımda siber saldırganların en çok
kullanmış olduğu dosya türleri, bu dosya türlerin neden kullanıldığı
hakkında temel bilgiler vereceğim. Malware analizi (Malware forensics)
kısmı biraz uzun olduğunda bu yazımda analiz kısmında bahsetmeyeceğim. Malware
Forensics alanında yani dosyaların analizi hakkında https://www.muhammedaygun.com/2020/07/malware-analizine-giris-ve-kullanlan.html
https://www.muhammedaygun.com/2020/08/emotet-malware-n-incelenmesi-ve-yara.html
https://www.muhammedaygun.com/2020/08/wannacry-nedir-ve-wannacry-yara-kuralnn.html
https://www.muhammedaygun.com/2020/08/flare-vm-kurulumu.html
bu blog yazılarıma bakabilirsiniz.
Analiz hakkında bilmemiz gereken; bu tür
dosyaların analiz edilirken iki türlü durumu göz önünde bulundurmalıyız.
Birincisi dosyanın meta bilgileri yani dosya yolu ve dosya adı, dosya uzantısı
gibi veriler. İkincisi ise dosya boyutu ve içeriği ile ilgili bilgiler. Bu tür
bilgilere sahip olunduktan sonra bir zararlı yazılımın amaçları hakkında ön bir
bilgi edinebiliriz. Ek olarak CTI kaynaklarına gerekirse şüphelendiğiniz
dosyayı yükleyin veya hash taraması gerçekleştirin.
Dosya Uzantıları Neden Tehlikeli Olabilir?
Windows dosya adlarını nokta ile iki kısma
ayırmıştır noktanın sağ tarafı dosya uzantısı genellikle 3 veya 4 karakterden
oluşmaktadır, sol tarafı ise bizim dosyaya verdiğimiz adlardan veya default
oluşan isimlerden oluşur. Microsoft Windows, dosya uzantılarını bilgisayarın
hangi uygulamayı kullanarak çalıştıracağını veya oluşturduğunu görmek için
kullanır. Örneğin .docx Microsoft Word tarafından oluşturduğunu ve Microsoft
Word’ün açabildiğini bu sayede bilir. Dosya uzantısı manuel bir şekilde
değiştirilirse dosyanın formatı değişmez.
Bu dosya uzantıları kod içerebildikleri
veya isteğe bağlı komutlar yürütebildikleri için potansiyel olarak son
kullanıcıya tehlike yaratabilir. Bir exe dosyası her şeyi yapabilen bir program
olduğundan potansiyel olarak tehlikelidir. .jpeg veya .mp3 dosyaları gibi medya
dosyaları, kod içermedikleri için exe dosyaları kadar tehlikeli değildir. Kötü
amaçlarla oluşturulmuş bir medya dosyasını bir görüntüleyici uygulamasındaki
bir güvenlik açığından yararlanabileceği bazı durumlar olmuştur, ancak bu
sorunlar nadirdir ve hızlı bir şekilde yamalanır.
Dosya uzantılarını bilmemiz genellikle
dosyanın ne için kullanıldığını potansiyel tehlikesini anlamız için gereklidir.
Microsoft Windows tarafından kullanılan ve tehlike oluşturabilecek dosya
uzantıları şu şekildedir;
Program Dosyaların Uzantıları:
.exe:
Executable
File Format, çalıştırılabilir dosya formatıdır. Windows üzerinde çalışan
uygulamaların çoğu .exe dosyasıdır. Exe dosyaları bazen tek başına bir program
olurken bazen de bir programın başlangıcı olabilmektedir. Exe dosyaları ya
komut satırı yardımıyla ya da çift tıklayarak çalıştırılabilir. Exe dosyalarını
editlemek için; Rource hacker, Akala EXE Locki ExeScope, ExeWrapper veya
ResEdit Tools araçlarından herhangi biri kullanılabilir.
.pif: MS-DOS
programları için bir program bilgi dosyasıdır. .pif dosyalarının yürütülebilir
kod içermesi çoğu zaman görülmez fakat Windows’da çalıştırılabilir kod içeriyorsa
PIF’ler exe dosyalarıyla aynı şekilde çalışabilir. Windows, shellExecute
işleviyle pif dosyalarını analiz eder ve bunları yürütülebilir programlar
olarak çalıştırabilir. Bu nedenle zararlı komut dosyalarını iletmek için pif
dosyasını saldırganlar kullanılabilir.
.msi: Bir
Microsoft Windows yükleyici dosyasıdır. Bu dosyalar sayesinde bilgisayara
uygulamalar yüklenir.
.msp:
Bir Microsoft Windows yükleyici yama dosyasıdır. msi dosyalarıyla dağıtılan
uygulamaları yamalamak için kullanılır.
.scr: scr
dosyası, vektör grafik veya metin animasyonları görüntülemek, slayt
gösterileri, animasyon veya videoları oynatmak için kullanılan Windows için bir
ekran koruyucu (screensaver) dosyasıdır ve bir bilgisayar özelleştirilmiş bir
süre boyunca etkin olmadığından ses efektleri içerebilir. Windows ekran
koruyucuları çalıştırılabilir kod içerebilir.
.hta:
bir HTML uygulaması, tarayıcıdalar çalışan HTML uygulamaların aksine. HTA
dosyaları korumalı alan olmadan güvenilir uygulamalar olarak çalıştırılır.
.cpl: Bir
Denetim masası (Control Panel) dosyasıdır. Windows Denetim masasında bulunan
bütün yardımcı programlar cpl dosyalarıdır.
.drv:
dosyaları genellikle Windows ortamlarında aygıt sürücüleri (driver) için
kullanılır. Bir driver ile daha üst düzey bilgisayar programlarının bir aygıta
etkileşime girmesine izin veren bir bilgisayar programıdır. Bir driver tipik
olarak donanımın bağlı olduğu bilgisayar veri yolu veya iletişim alt sistemi
aracılığıyla aygıtla iletişim kurmaj için çalıştırılabilir kod içermektedir.
.msc: Microsft
yönetim konsolu (Mirosoft Managment Console) dosyasıdır. Grup ilkesi
düzenleyicisi ve disk yönetimi aracı gibi uygulamalar .msc dosyalarıdır.
.jar: jar
dosyaları çalıştırılabilir java kodu içerir. Eğer javaruntime var ise jar
dosyaları programlar gibi çalıştırılır.
.application: Microsftun
CliskOne teknolojisiyle dağıtılan bir uygulama yükleyicisidr.
.gadget: Windows
masaüstü gadget teknolojisini kullanmak için bir gadget dosyasıdır.
Scripts Dosya Uzantıları:
.bat: Bir
toplu iş dosyasıdır. Açtığınızda bilgisayar çalıştırılacak komutların bir toplu
listesini içerir.
.cmd: Bir
toplu komut çalıştırma dosyasıdır. Bat dosyalarına benzerdir.
.vb, .vbs: Bir
VBSScript (Virtual Basic) script dosyasıdır. Bir VBScrpit dosyasına benzer
ancak çalıştırırsanız dosyanın gerçekte ne yapacağını söylemek kolay değildir. Bu
script dosyasında kötü amaçlı komutlar burada kendilerini gizlemek için ideal
bir biçimde kullanmaktadır.
.js: bir
JavaScrpit dosyası. js dosyaları normalde web sayfaları tarafından kullanılır
ve web tarayıcılarında çalıştığında güvenlidir. Ancak Windows JS dosyalarını
korumalı alan olmadan tarayıcı dışında çalıştırır.
.jse: şifreli
bir Javascrpit dosyasıdır.
.ws, .wsf: Bir
Windows Komut dosyası. JScript veya VBscrpit kodunu kullanana Windows için
çalıştırılabilir komut dosyaları içerir.
.wsc, .wsh: Windows
Komut dosyası bileşeni ve Windows komut dosyasını ana bilgisayarı kontrol
dosyaları, Windows komut dosyalarıyla birlikte kullanılır.
.ps1, ps1xml, ps2, ps2xml, .psc1, .psc2:
Bir Windows PowerShell scrpiti, dosyada belirtilen sırada PowerShell
komutlarını çalıştırır. Powershell Scripts (*.ps1), Powershell Modules (*.psm1),
Powershell Data Files (*.psd1), Powershell Session Configuration Files (*.pssc),
Powershell Role Capability Files (*.psrc), Powershell Xml Files (*.psxml,
*.cdxml)
.msh, msh1, msh2, mshxml, msh1xml,
msh2xml: Bir monad komut
dosyasıdır. monad daha sonra Powershell olarak yeniden Microsft tarafından adlandırıldı.
Microsoft Kabuk Komut Dosyası Biçimi dosyalarıyla ilişkilendirilen bir dosya
uzantısıdır. msh dosyaları, Windows çalıştıran cihazlar için mevcut olan
yazılım uygulamaları tarafından desteklenir.
.asp .aspx: asp
Microsft tarafından geliştirilen ve yayınlanan sunucu taraflı bir scrpit
dosyasıdır. asp Active Server Pages anlamına gelir. Aspx; asp.NET tarafından
tasarlanan bir sayfanın dosya uzantısıdır. Asp .net sunucu taraflı bir web
uygulama frameworktür. .aspx Active Server Pages Extended anlamına gelir.
Dinamik web sayfaları üretmek için web geliştirme yapılması amacıyla
tasarlanmıştır.
.xml: Extensible
Markum Language, çeşitli uygulamalardan gelen verileri internet üzerinde
depolamak ve aktarmak için kullanılan dosyalardır. İnternet, veri alışverişinin
hızlı ve pratik şekilde gerçekleşmesi için kullanılmaktadır.
.jsp, .jspx:
jsp Java Server Pages, HTML kodları içerisine java komutlarını kolay bir
şekilde yerleştirmek için kullanılan JAVA EE API kütüphanesidir. Jspx, jsp
sayfalarını oluşturmak için kullanılan bir XML biçimidir. Jspx farklı
dosyalarda kodun görünüm katmanından ayrılmasını zorlar. Jspx sayesinde java
kodu xml kodu jsp’de aynı dosyaya yazılır.
.chm: Sıkıştırılmış
derlenmiş html dosyalarından oluşan bir dosyadır.
.php: php
kaynak koduna sahip dosyalardır. php dosyaları interaktif fonksiyonları dinamik
web sayfaları olarak uygulanmaktadır. Web forum verisini toplamak, sunucuda
dosya yönetmek, veritabanlarını düzenlemek gibi çeşitli sunucu taraflı
fonksiyonları gerçekleştir
Kısayol Dosya Uzantılar (Shotcuts)
.scf: Bir
scf dosyası, bir dizinde yukarı veya aşağı hareket etme veya Desktop gösterme
gibi bir eylemi gerçekleştirmek için kullanılan bir Windows Gezgini komutudur. Windows
gezgini (Windows Explorer), komut dosyası zararı olabilecek komutları Windows
explorer’a iletebilir Windows Explorer komut dosyası olduğundan, Windows
Explorer bilgisayarınız için tehlikeli olan komutları çalıştırmak için
kullanılabilir.
.lnk: Bilgisayarda
programın bağlantısıdır, bir bağlantı dosyası dosyaları sormadan silmek gibi
tehlikeli şeyleri yapmayı sağlayan komut satırları içerebilir.
.inf: AutoRun
tarafından kullanılan bir metin dosyasıdır. Çalıştırılırsa bu dosya potansiyel
olarak birlikte geldiği tehlikeli uygulamaları başlatabilir veya Windows’ta
bulunan programlara tehlikeli seçenekler iletebilir.
Oficce dosya Uzantıları (Office Makroları)
.doc, .xls, .ppt:
Microsoft
Word, Excel ve PowerPoint belgeleri. Bunlar kötü amaçlı makro kodu içerebilir.
.docm, .dotm, .xlsm, .xltm, xlam, .pptm,
.potm, ppam, .ppsm, .sldm: Office
2007’de sunulan yeni dosya uzantıları, dosya uzantısının sonundaki “m” dosya
uzantısının belge makro içerir. Örneğin bir .docx dosyası makro içermezken
.docm dosyası makro içerebilir.
Diğer Dosya Uzantıları (Other)
.reg: Windows
regsitry dosyasıdır. .reg dosyaları çalıştırılırsa regstry tarafına key ekleyip
kaldırabilir. Kötü amaçlı bir .reg dosyası önemli bilgileri kayıt defterinizde
kaldırabilir değiştirebilir ve kötü amaçlı veriler ekleyebilir.
.pdf : PDF
dosyalarında JavaScript dosyaları oluşturmak ve çalıştırmak için kullanılabilir.
Ayrıca saldırganlar kötü amaçlı bağlantıları pdf içerisinde saklayabilmekteler.
.zip
ve .rar: zip ve rar uzantılı dosyalar veri sıkıştırılması
için kullanılan standart bir formata oluşturulmuş arşiv dosyalarıdır.
.dll: (Dynamic Link Library):
DLL dosyaların görevi çalışan programların ortaklaşa yapmış olduğu işlemleri
tek bir dosya içinde yapmak, program çalışma esnasında gerekli olan
fonksiyonları kendi içerisinde bulunmaz ise bunu dll dosyasında aramaktadır. Bu
şekilde programlar tek bir dosya üzerinde çalışarak programın hız kazanmasını
ve çeşitli kaynaktan tasarruf etmesini sağlar.
.dat:
Bir çok uygulama data veya kaynak dosyaları için dat dosyasını kullanır. Veri
dosyaları doğrudan bir uygulamada açılmaz, genellikle yalnızca dahili amaçlar
için DATA içerirler. Aynı dosya uzantısını paylaşan farklı biçimler. Dat
dosyasının doğru çalışması için gerekli olan .dll dosya uzantısı tarafından
kullanılır.
Bu tehdit oluşturabilecek dosyalardan
korunmak için;
· Bilinmeyen
adreslerden gelen şüpheli e-postaları açmayın. Belirli bir konuya sahip bir
iletinin genel kutunuza neden geldiğini bilmiyorsanız muhtemelen buna
ihtiyacınız yoktur.
· Güvenmediğiniz
web sitelerinden program indirmemeye özen gösterin.
· İş
nedeniyle bilinmeyen kullanıcılarla iletişime geçmek durumunda kalırsanız ekli
dosyanın adresini ve adını dikkatlice kontrol edin, şüpheli veya garip bir şey
fark ederseniz açmayın.
· E-posta
ile gelen belgelerin makrolarının çalışmasına gerek olmadıkça izin vermeyin.
(Office dosya ayalarında yapılabilir.)
· Crackli
program kullanmayın.
Kaynaklar:
https://www.researchgate.net/figure/Top-10-malicious-file-extensions_fig3_264004054
https://thegeekpage.com/unblock-a-file-blocked-by-windows-10/
https://fileinfo.com/help/dangerous_windows_file_types
https://www.kaspersky.com/blog/top4-dangerous-attachments-2019/27147/
https://start.paloaltonetworks.com/five-dangerous-file-types.html
https://opencrdownloadfile.net/dangerous-extensions.html
Windows
101
Windows
dosya uzantıları
Windows
Forensics
Adli
Bilişim
0 Yorumlar
Yorumunuz için teşekkür ederiz.