Blog'a Dön
CVE-2017–0199 Analizi: XLS → HTA → VBS → Steganografi Zinciriyle Gelişmiş Saldırı
Analizi Malware

CVE-2017–0199 Analizi: XLS → HTA → VBS → Steganografi Zinciriyle Gelişmiş Saldırı

Umid Mammadov
24 July 2025
24 July 2025 tarihinde güncellendi

https://sibermerkez.com

Siber güvenlik dünyasında sıkça karşılaştığımız saldırı zincirlerinden biri olan CVE-2017–0199, Microsoft Office belgeleri üzerinden uzaktan kod çalıştırmaya olanak tanıyan kritik bir güvenlik açığıdır. Bu yazımda, bu zafiyeti kullanan bir örnek zararlı yazılımı analiz ettim ve elde ettiğim bulguları DFIR (Digital Forensics and Incident Response) perspektifiyle paylaşıyorum.

Zoom image will be displayed

 

CVE-2017–0199 Nedir?

CVE-2017–0199, Microsoft Office’in RTF ve OLE nesneleriyle çalışırken uzaktan kod çalıştırmaya izin veren bir açığıdır. Saldırgan, özel hazırlanmış bir Office belgesi (örneğin .doc, .xls) aracılığıyla hedef sistemde kullanıcı etkileşimi olmadan zararlı kod çalıştırabilir.

Bu açık, özellikle HTA (HTML Application) dosyalarının Office belgelerine gömülmesiyle tetiklenir. Kullanıcı belgeyi açtığında, arka planda HTA dosyası çalıştırılır ve bu dosya üzerinden zararlı script’ler devreye girer.

İncelediğim Örnek: Saldırı Zinciri

Analiz ettiğim örnekte saldırı zinciri şu şekildeydi:

XLS → HTA → VBS → Steganografi → Payload (GuLoader / DBatLoader)

1. XLS Dosyası

  • Makrolar “Medium” seviyede etkinleştirilmişti.
  • Gömülü OLE nesnesi üzerinden HTA dosyası çağrılıyordu.

2. HTA Dosyası

  • HTML + VBScript içeren bu dosya, WScript.Shell ve CreateObject gibi fonksiyonlarla sistemde komut çalıştırıyordu.
  • HTA dosyası, VBS script’ini belleğe alıp çalıştırıyordu.

3. VBS Script

  • VBS script’i, dışarıdan bir .txt dosyası indiriyor ve bu dosyanın içeriğini analiz ediyordu.
  • Dosya içeriği base64 ile encode edilmişti ve steganografi teknikleriyle gizlenmişti.

 

4. Steganografi ve Payload

  • .txt dosyası aslında bir resim ya da şifreli binary içeriyordu.
  • Base64 çözümlemesi sonrası GuLoader benzeri bir loader ortaya çıktı.
  • Bu loader, şifreli payload’u bellekte unpack ederek çalıştırıyordu.

DFIR Perspektifi

Bu örnek, çok katmanlı saldırı zincirlerinin ne kadar karmaşık olabileceğini gösteriyor. Özellikle steganografi ve bellek içi çalıştırma teknikleri, geleneksel antivirüs çözümlerini atlatmak için kullanılıyor. DFIR uzmanları için bu tür örnekler, olay müdahale ve zararlı yazılım analiz becerilerini geliştirmek adına oldukça değerli.

Sonuç ve Öneriler

  • Office makrolarını yalnızca güvenilir kaynaklardan gelen belgelerde etkinleştirin.
  • Sistemlerinizi ve Office uygulamalarınızı güncel tutun.
  • EDR çözümleri ve davranışsal analiz sistemleri kullanarak bellek içi saldırılara karşı savunma sağlayın.