Adım Adım Oyun Hilesinin İçerisine Zararlı Kod Yerleştirme ( "Neden bu tür yazılımlara güvenmemeliyiz ? " sorusuna ithafen)

Merhabalar, bir önceki yazımda, internette sizlere sunulan ücretsiz yazılımların(oyun hilesi,crackli uygulamalar vs.) kullanımından kaçınmanız hakkında bir takım önerilerde bulunmuştum.Bu konunun neden bu denli zararlı olduğunu göstermek adına uygulamalı olarak konuyu işleyeceğiz.

Valorant adlı oyun için geliştirilen bir hilenin içerisine, yine bir önceki yazımda kullanmış olduğum Empire Framework te bağlantı sağlayan powershell kodumuzu enjekte edeceğiz.Programlama bilenler için tabii ki gereksiz bir konu olacaktır fakat, bilmeyenler için en azından işlemin basitliğini görmelerini sağlamış olmak istedim.Çünkü burada benim yaptığım hiçbir şey yok uygulama kısmında sizinde göreceğiniz üzere, yaptığım tek şey internette varolan ve çalışır vaziyette olan bir hile buldum ve içerisine kendi kodumu yerleştirdim.Burada hilenin çalışır vaziyette olması önemliydi çünkü kullanıcının işini görüp, o hilesini kullanırken biz de arka planda kendi bağlantımızı almış olacağız ki hilenin kullanıcının işini görmesi, gerek tavsiye, gerek olumlu dönüşlerle birlikte hilenin yayılımını hızlandıracaktır.

Bu tür size ücretsiz halde sunulan yazılımların arka planında ki mantık bu kadar basittir aslında.Şimdi uygulama kısmına geçeceğiz.Öncelikle hilemizin arayüzünü görmeniz için resimlerini bırakıyorum.

Görüldüğü üzere bir çok metin kutusu ve butonlardan oluşan bir arayüze sahip.Ben son görselde en altta yer alan "Start" buttonu içerisine zararlı kodumu enjekte edeceğim.Yani kullanıcı "Start" buttonuna bastığında hem hile başlasın,hemde bizim bağlantımızı verecek olan powershell kodu çalışsın.Button dışında direk Program.cs içerisine de enjekte edilebilirdi, yani Start buttonu tamamen benim tercihim.

İlk başta gördüğünüz arayüz, Form1 içerisinde yer almaktadır.Bizde Form1 içerisine girip "Start" butonunu bulacağız.

Start buttoning bulduk ve içerisine giriyoruz.

Start butonunun içeriğini görmektesiniz.Dikkat etmenizi istediğim en başta "synch()" methodu.Bu method bizim bağlantı almamızı sağlayan powershell kodunu içeriyor.Yapmaya çalıştığım ise, buttona tıklandığında ilk olarak bizim bağlantımızın sağlanması işlemidir.Tabii ki burada bir if bloğu ile eğer arka kapımız için 1 bağlantı mevcut ise, ikincisini çalıştırma deyip diğer kod bloğuna geçmesini söyleyebilirdik 1-2 satır kod ekleyerek, ya da saldırganlar çok daha yaratıcı çalışabilirler ama burada amacımız bir hile içerisine zararlı kodun eklenmesinin basitçe anlatımı olduğu için, işi çok detaylandırmak istemedim.

Burada, yukarıda gördüğümüz synch() methodunu görmekteyiz.Bir önceki yazımda yer alan kodun aynısı sizlerin de gördüğü üzere.Kısaca çalışma mantığını inceleyecek olursak, Aes256 şifreleme algoritması ile şifrelediğimiz powershell kodlarımız bir değişken içerisindedir.Decode edebilmemiz için gereken Key ve IV'lerimizi byte olarak tanımladıktan sonra Decrypter methodumuzu çağırarak powershell kodumuzu decode ediyoruz.Ardından powershell kodumuzu çağıracak kod bloğu geliyor ve bağlantımızı sağlamış oluyoruz.

Decrypter methodunun içeriğini de incelemeniz açısından buraya bırakıyorum, siz başka bir algoritma veya şifreleme tekniği de kullanabilirsiniz benim Aes kullanmam tamamen tercih meselesidir.

Tabii arka kapımızı sağlayacak kodumuzun çalışması için, gerekli kütüphaneleri de Form1 içerisinde çağırmayı unutmuyoruz.System.Management.Automation kütüphanesi powershell kodumuzun çalıştırılması için gerekli iken, Decrypt işlemi için Cryptography kütüphanesinden faydalanıyoruz.

Ve böylelikle zararlı kodumuzu yerleştirmekte atacağımız bütün adımları atmış oluyoruz.Peki madem bu kadar basit, o zaman üçüncü parti yazılımlarla(.net reflector vs.) analiz edip, bu tarz bir şüpheli işlem var mı inceleyelim, yoksa eğer gönül rahatlığıyla kullanalım diye düşünüyor olabilirsiniz fakat, iyi niyetli veya kötü niyetli yazılımlar yine üçüncü parti yazılımlarla "obfuscating" denilen kodun karmaşıklaştırılması işlemi uygulandığından anlamlı kodlar elde edilmediğinden davranış bazlı analiz yapılmadığı sürece anlaşılması çokta mümkün olmayacaktır.

Ben bu hileyi kleenscan.com üzerinden tarattığımda, 6 antivirüs yazılımı hile olarak tespit ediyordu, bende işe yararlılığını denemek adına .net reactor ile karmaşıklaştırmayı denedim ve tekrardan tarattığımda 7 antivirüs tespit etmişti :) . Bunu da ufak bir not olarak belirtmek istedim.

Bütün işlemlerimiz tamam olduktan sonra hilemizi çalıştırıp, start butonuna basıyoruz ve bağlantımızın düşmesi için bekliyorum.

Ve start butonuna basılmasından yaklaşık 3 saniye sonra bağlantımız geliyor.

Agents'larımızı listelediğimizde, İBaseult işlemine bağlı olan agentımızı PID numarası ve bir takım bilgiler ile birlikte görmekteyiz.

Agentımıza bağlanıp dilediğimiz komutları içeride çalıştırabiliyoruz.

Yazımın amacı, en başta da belirttiğim gibi internette size ücretsiz olarak sunulan yazılımların kötü niyetli olabilmesinin anlaşılmasıydı.Bizim kötü kotumuz aslında çok iyi niyetliydi, normal şartlar altında bizim kodumuzun yerini veri ihlali veya zombi ağına ekleyen kod blokları almaktadır.Umarım konuyu anlaşılabilir kılmışımdır, orijinal dosyanın değiştirildiğine dair şüpheniz oluşursa üretici firmanın sitesinde yer alan hash değerini, indirdiğiniz dosya ile karşılaştırıp orijinalliğini teyit edebilirsiniz.

Yazımla alakalı aklınıza takılan sorular veya takıldığınız noktalar için emrehuseyinkahyaoglu@gmail.com adresinden benimle iletişime geçebilirsiniz.İyi günler dilerim.

Mallware - AES256 Şifreleme İle Adım Adım Antivirüs Atlatma (Empire Framework Command & Control Bağlantısı İle)

Merhabalar, bu yazımda Empire Framework ile sorunsuz bağlantı alabilmek için, yine Empire Frameworkten aldığımız C# powershell payloadunda uygulayacağımız ufak bir şifreleme ile neredeyse bütün antivirüs çözümlerini atlatmanın aşamalarını aktaracağım.

Empire Framework kullanımı ayrı bir yazı konusu olduğu için, kullanımına hakim olduğunuzu varsayarak anlatımlar gerçekleştireceğim.Daha önce kullanmayanlar çeşitli kaynaklardan kullanımını rahatça öğrenebilirler, yaygın kullanılan Metasploit Framework'ten biraz farklı kullanıma sahip olsa da alışması çok uzun sürmemektedir.Girişimizi bitirdiğimize göre artık uygulama kısmına geçebiliriz.

Empire Framework arayüzüne girdikten sonra eğer oluşturmadıysanız Listener'ınızı oluşturmalısınız.Bu uygulamada http dinleyicisi üzerinden işlemlerimizi gerçekleştireceğiz.Listener oluşturduktan sonra stager oluşturma aşamasına geçiyoruz.Görüldüğü üzere sosyal mühendislik saldırılarında kullanmak için macrodan başlayıp çeşitli yöntemlere ve platformlara kadar uzanan geniş stager ağına sahibiz.Bizim bu uygulama için ihtiyacımız olan stager "windows/csharp_exe" çünkü bu stager ile powershell saldırısı ile bağlantı alabileceğimiz c# kod dökümünü elde edeceğiz.

Ayarlar kısmından Listener'ımızı seçip execute komutunu giriyoruz ve /tmp yoluna dosyamızı aktarıyor.Ben sanal makinemde bu dizine gidip ilgili dosyayı daha merkezi bir dizine aktarıyorum ve python modüllerinden SimpleHTTPServer ile dosyamı yayınlayıp, Windows sistemimden dosyayı çekiyorum.

Dosyayı açtığımda böyle bir kod dizini karşıma çıkıyor.Özetleyecek olursak, Base64 ile şifrelenen powershell scriptini Decode edip, decode edilen bu powershell scriptini sistemde çalıştırıyor.Base64 ile şifrelenen powershell kodları, günümüz antivirüs çözümleri tarafından tespit edilmeye başlandığından bizim aslında sıkıntıya düştüğümüz noktada bu kısımdır.Bu sorunu çözmek için de sadece şifreleme kısmında bir başka şifreleme tekniği olan Aes 256 kullanacağız.Şimdi öncelikle bu haliyle antivirüs çözümlerinden kaç tanesine takıldığını inceleyeceğiz.

Msfvenom ve diğer yazılımlarla üretilen payloadlara göre 36/10 iyi bir oranlama aslında ama yine de bunu daha optimal hale getirmemiz gerekmektedir.Ayrıca belirtmem gerekirse bu tespit eden 10 antivirüs içerisinde Windows Defender yok fakat, ilk çalıştırmadan sonra Defender da ".exe"mizi zararlı yazılım olarak algılamaktadır.Şimdi şifreleme tekniğini değiştireceğimiz kısıma geçeceğiz.

Ben Aes256 kullandım fakat siz istediğiniz herhangi bir şifreleme tekniğini kullanabilirsiniz.Bunun için kendi kodunuzu yazabilir veya internette paylaşılan c# şifreleme algoritmalarını kullanabilirsiniz.Ben kısaca Aes256 şifreleme tekniği için kullandığım algoritmayı göstereceğim.

Kodun detaylarınave içeriğine inmeden anlatacak olursam, Encrypter adında bir methodumuz var ve bu method şifrelemek için bir metin, ve Aes256 tekniğinde şifreleme için 256 bit uzunluğunda bir Key ve 128 bit uzunluğunda bir IV değeri alıyor.Şifreleme tekniğini uyguladıktan sonra string olarak şifrelenmiş metni değer olarak döndürüyor.

Decrypter da Encrypt methodu ile aynı parametleri alıyor ve şifreyi girdiğimiz Key ve IV ile çözüp, string olarak çözülmüş açık metni döndürüyor.

Şimdi yapmamız gereken, Empire'dan aldığımız kodda en başta yer alan şifrelenmiş metnimiz ve onu decode eden kodumuzu alıp şifreleyicimizin içine atmak.Ardından key ve ivlerimizi oluşturup bir değişken içerisine aes ile şifrelenmiş metnimizi aktarıyoruz ve ekrana çıktısını veriyoruz.

Şifrelenmiş metnimiz bu şekilde karşımıza geliyor.Çıktıyı kopyalayıp sonraki aşamaya geçiyoruz.

Şimdi yeni bir proje oluşturacağız çünkü empire dan aldığımız çözüm, .net sürümü 2 olarak geliyor ve Cryptography kütüphanemiz bize sorun çıkarıyor bu sürümde. Eğer en son .net sürümünde yeni proje açacak olursanız bu sefer de powershell çalıştırmamız için ihtiyaç duyduğumuz "system.management.automation" kütüphanemiz bize sorun çıkaracaktır.Ben her iki kütüphanenin de bu proje için sorunsuz çalıştığı .net sürümünün 3 olduğunu deneme yanılma yoluyla buldum, bu sebepten ötürü sizde yeni projenizi .net 3 sürümü ile oluşturun ve empire dan aldığınız kodu içerisine olduğu gibi yapıştırın. Decrypt için gereken methodumuzu da ekledikten sonra bir değişken içerisine Aes256 ile şifrelediğimiz metinimizi atıyoruz.Key ve IV değerlerimizi de oluşturduktan sonra decode edecek methodumuza gerekli parametreleri verip, dönen değeri de bir değişken içerisine atıyoruz.Bunun sonrasında yapacağımız tek adım "pipeline.Commands.Addscript" içerisine decode ettiğimiz shellcode umuzu vermek olacak.Bunun sonrasında Empire Frameworkun dinler halde olduğunu teyit ettikten sonra bağlantının gelmesini bekliyoruz.

Defenderda bütün ayarlar aktif haldeyken herhangi bir engele takılmadan çalışmamızı gerçekleştirdik ve aşağıda görüldüğü üzere bağlantımız aktif hale gelip, ilgili bağlantı için bir agent atanıyor.

Agentımıza bağlanmadan önce, antivirüsler tarafından tespit edilip edilmediğine bakacağız.

1 antivirüs tarafından tespit edildiği için FUD diyemeyeceğim ama, yaygın kullanılan antivirüsler hepsini atlatabilmiş olmamız da güzel bir oran diye değerlendiriyorum.FUD hale getirmek için ne gibi değişiklikler gerektiğini boş vaktimde kurcalayıp, ona göre güncellerim ilerleyen zamanlarda.

Burada önemli bir nokta var, biz dosyamızı antivirüsün zararlı yazılım olarak algılamamasını sağlamış bulunmaktayız.Aynı işlemi msfvenomdan aldığımız dosyalarda da uygulayıp antivirüsten kaçırabilirdik.Ama alacağımız meterpreter bağlantısının içerideki hareketlerini Defender yakalayıp bağlantımızı koparacaktı.Burada bir diğer önemli nokta, bağlantıyı aldıktan sonra içerde yapacağımız işlemlerin de güvenlik çözümleri tarafından tespit edilmemesidir ki Empire Frameworkun buradaki başarısının powershell kullanmasından kaynaklı olduğu yazılmakta.

Şimdi bağlantıyı aldığımızdaki WireShark paketlerini de buraya bırakıyorum ama açıklamasına girmeyeceğim, detaylı incelemek isterseniz şayet Windowsta dosyayı çalıştırmadan Kali üzerinde Wiresharkı çalıştırabilirsiniz.

Ekran alıntısını bağlantının gelmesinden itibaren aldım, burada kurban makine ipsi "192.168.161.1", saldırgan makine ipsi "192.168.161.128".

Agentımıza interact diyerek bağlanıyoruz.

İçerisinde çok güzel post exploit modülleri yer almaktadır, deneyerek görebilirsiniz.Ben burada trollsploit modüllerinden voicetroll modülünü kullanıp arkadan "Pwned" sesi çıkmasını sağlatıyorum.

Ne Öğrendik ? 

Bu uygulamada gördük ki, öyle üst düzey programcılık bilgilerine ihtiyaç duymadan bir kaç ufak dokunuşla antivirüsler atlatılabiliyor.Şimdi siz bu hazırladığımız kodu hangi projenin içerisine koyarsanız sorunsuz çalışacaktır.Mesela çemberin çevresini hesaplayan bir Windows Form Application hazırladınız, hesapla butonun tıklandığında hem gerekli hesaplamaları yaptırıp, hemde bu kodumuzu yerleştirdiğimizde kullanıcı her şeyden habersiz bir arka kapı açmış olacaktır.

Tabii günlük hayatta senaryolar bu kadar basit olmamaktadır.Mesela bir oyun için hile indirdiniz ve hile çalışıyor ama tam da olması gereken olay da bu.Siz hiçbir şeyden işkillenmeyeceksiniz, saldırgan da bunu kullanarak internete bedava olarak sürdüğü hilesiyle her çalıştıran bilgisayarı kendi ağına ekliyor.Empire Framework te bu C2 serverlerına güzel bir örnektir.Zararlı yazılım hazırlayıp piyasaya süren insanlar için bilinçsiz kullanıcılar, saldırganların zombi ağı için yeni düşen bir bağlantıdan ibarettir.Bu noktada çeşitli antivirüslere güvenmenin ne kadar yanlış olduğunu bu uygulamamızda görmüş olduk.Bizi en iyi koruyacak olan yine kendimiziz çünkü kaynağı belli olmayan veya crackli uygulamalar kullanmak bilgisayarlarımızı bu şekilde zombi ağına eklemektedir.Bu saldırıya kurban olmamak için;

    - Lisanssız ürün kullanmazsanız

    - Ürünü kaynağından temin ederseniz

    - Forumlarda dolaşan "X oyunu hilesi" şeklinde programlarını kullanmazsanız,

saldırı yüzeyini önemli ölçüde azaltmış olursunuz.

   

Uygulama aşamaları ile alakalı yaşadığınız sorunlar veya aklınıza takılan sorular ile alakalı emrehuseyinkahyaoglu@gmail.com adresinden ulaşabilirsiniz.Bir sonraki yazımda görüşmek dileğiyle.

Arduino Pro Micro(Arduino Leonardo) ile Usb Rubber Ducky Yapımı

Merhabalar, bugün Siber Güvenlik dünyasına meraklı olanların çoğunun adını bir kere de olsa duyduğu, veya çeşitli filmlerin sahnelerinde kullanıldığını gördüğü "USB Rubber Ducky" yapımını paylaşacağım.

Rubber Ducky Nedir ? 

Rubber Ducky'nin kısaca tanımını yapacak olursak, kendisini HID(Human Interface Device) olarak tanıtıp, bir dizi kodlarla payload enjekte etmemizi sağlayan bir saldırı tekniğidir.Rubber Ducky saldırısını cazip kılan nokta, işletim sistemine kendisini klavye olarak gösterdiği için herhangi bir güvenlik çözümü engeline takılmayıp, programlandığı amacı sorunsuz yerine getirebilmesidir.

Ducky'ler, saniyede 1000 kelime girişi gerçekleştirebilmekte olup, çok kompleks işlemler haricinde 10 saniyeden kısa bir süre zarfında hazırlanan payloadı sisteme enjekte edebilmektedirler.Bilgisayarlarda kullanılmasının dışında, otg ve benzeri dönüştürücüler vasıtasıyla tablet, telefon gibi her cihaza uyarlanabilmesi de popüleritesinin sebeplerinden birisidir.Günümüzde teknolojinin gelişmesiyle programlanabilir kartların boyutunun ciddi anlamda küçülmesi, hazırlanılan bu programlanabilir kartın bir usb kabına koyulmasıyla şüphe uyandıran durumlardan kurtarmaktadır.

Ducky hazırlamak için bir çok programlanabilir kart(Digispark Attiny85,Arduino Uno) kullanabiliriz.Ben Arduino Leonardo kullanmayı tercih ettim fakat seçimimden biraz pişmanlık duyduğum için önümüzdeki hafta Digispark Attiny85 ile çalışmaya başlayacağım.Leonardo'dan pişman olmamın tek sebebi Türkçe Q Klavye ile aşırı sorunlu çalışmasıdır.İnternette çeşitli kullanıcılar çeşitli kütüphaneler eklemişler bu sorunu aşmak için ki özel karakter kullanmayacaksınız "TRKeyboard" kütüphanesi işinizi sorunsuz görmektedir fakat bir powershell betiği çalıştırmak isterseniz en basitinden  " $ " işaretini yapamadığınız için betik hatalı çalışacaktır.Belki bu sorunun benim bilmediğim bir çözümü vardır ben bulamamışımdır tabii kesinlikle çözümü yok demiyorum ama uzunca araştırıp sorunun çözümüne ulaşamayınca "Keyboard" kütüphanesini düzenlemeye çalıştım ve 1 günden fazla vakit ayırmama rağmen istediğim karakterleri oluşturamadım.Bende powershellden vazgeçip ilerleyen aşamalarda da göreceğiniz gibi çok basit bir şekilde backdoor oluşturabileceğim, özel karakter içermeyen bir ducky scripti geliştirdim ve en azından ilk başarılı ducky scriptimi 2. günün sonunda oluşturabildim.Eğer copy-paste ile bir sorununuz yok ise veya fikir edinmek isterseniz github veya çeşitli platformlarda bir çok ducky scriptine erişip, inceleyebilirsiniz.

Hazırlık ve Ön Bilgi



Resimde gördüğünüz kart Arduino Pro Micro(Leonardo)dur.Küçük boyutu gayet güzel ve bence tek eksi yönü giriş noktası micro usb olmasıdır ama bu sorun da ufak lehim işlemi ile USB ye çevrilerek çözülebilmektedir.Ben digispark a geçeceğim için leonardo ile bu dönüştürme işlemini yapma gereğinde bulunmadım, ilerleyen zamanlarda VINN kutusu içerisine koyup o aşamayı da buraya ekleyeceğim eğer vakit bulabilirsem.

Programlama işlerimizi Arduino IDE üzerinden gerçekleştireceğimiz için üreticinin adresinden en güncel sürümünü edinebiliriz.Scriptlerin yazımına değinmeyeceğim ufak bir araştırmayla çok rahat nasıl kendi ducky scriptinizi geliştirebileceğinizi öğrenebilirsiniz.

Eğer internetten script edinecek olursanız aşağıdaki gibi bir görüntüyle karşılaşacaksınız ;

Arduino IDE platformunda C++ dilinde kodlama yapacağımız için bu türdeki scriptlerde dönüştürme işlemi uygulamamız gerekecektir.Bir çok converter denedim ve benim en hoşuma giden malduino oldu ama sizler diğerlerini de deneyerek herhangi birisini kullanabilirsiniz(Ayrıca bazı converterlar size kart üzerinde ledleri kontrol edeceğiniz hazır kodlar ile birlikte çıktı vermektedir.).Bu çevirinin ardından kodlar aşağıdaki gibi görünecektir ;

Uygulama

Cihazımın girişini Micro USB den USB ye çevirmediğim için kablo aracılığıyla Arduino'yu bilgisayara bağladıktan sonra Arduino IDE'yi açıyoruz.

Kart kısmından kart modelimizi seçip, port kısmından da cihazın bağlı olduğu portu seçeceğiz.

Bu işlem sonrasında kodlama aşamasına geçiyoruz, ben kendi kodum üzerinden gideceğim.

Bahsettiğim Türkçe Q Klavye uyumsuzluğunu en aza indirgeyen TRKeyboard kütüphanesini kullanarak klavye komutlarını kullandım. Kısaca kodu özetleyecek olursam, Ctrl + Esc kombinasyonu ile başlat çubuğuna erişip, arama kısmına cmd yazıp Ctrl + Shift + Enter kombinasyonu ile yönetici olarak başlat diyoruz.Bizden izin isteyen bir pencere açılıyor ve işaretçi varsayılan olarak hayır da geliyor.Sol ok tuşu ile evet üzerine getirip Enter tuşuna bastırıyoruz, cmd açıldıktan sonra diğer bilgisayarımda python modüllerinden SimpleHTTPServer üzerinden erişilebilir hale getirdiğim(başka senaryolar için anonfiles benzeri dosya paylaşım platformlarından faydalanılabilir), C# da hazırlanmış basit netcat reverse shell bağlantısı sağlayan dosyamı hedef bilgisayara indirip açtırıyorum.Ardından cmd ekranından çıkıp klavyeyi durduruyoruz.

Kodumuzu Arduinoya yükledikten sonra bağlantısını kesip tekrardan takıyoruz ve kırmızı ışığı yanmaya başlayınca işlerin yolunda gittiğini görüyoruz.

Ardından saldırgan bilgisayarımızda netcat ile 443 portunu gelecek bağlantı için dinlemeye alıyoruz ve bağlantı düşmesini bekliyoruz.Cihazı taktıktan sonra yaklaşık 3 saniye içerisinde bağlantımızı alabiliyoruz.

Görüldüğü üzere bağlantıyı sağlıyoruz ve herhangi bir güvenlik çözümü engeline de takılmıyoruz.

Arka Planda Neler Oldu
Biz cihazımı klavye olarak tanıttık ve herhangi bir güvenlik çözümü tarafından durdurulmadan dosyamızı indirdik ve çalıştırdık.Burada arka kapı için kullandığımız netcat reverse shellinin arka planında olanları özetleyecek olursak, aslında kurban bilgisayarda arka planda bir cmd konsolu açtık ve gelip bizden komut almasını söyledik.Kurban bilgisayar bizden çalıştırmak için komut alıp, kendi içerisinde çalıştırıp, çıktısını da bize verdi ve böylelikle amacımıza ulaşmış olduk.

Benim bu çalışmam giriş niteliğinde çok basit bir örnektir, çok daha gelişmişlerini hazırlamak mümkündür.

Rubber Ducky Saldırısından Korunmanın Yolları

Saldırıdan bahsedip korunma yolundan bahsetmemek olmaz diyerekten bu tarz bir saldırıya maruz kalmamak için gerekenlerden bahsedeceğim.

Öncelikle kısa süreliğine bilgisayar başından ayrılacaksanız ekranı kilitleyip gitmeniz saldırıdan korunmak için önemlidir.Bunlara ek olarak ;

• Group Policy'den tüm USB HID'leri devre dışı bırakın
• USB portlarını BIOS üzerinden kontrol edin
• Bilgisayara USB HID takıldığında bir kontrol aşaması ekleyin

diyebiliriz.

Yazımın burada sona ermektedir.Digispark Attiny85 çalışmamda görüşmek dileğiyle.