Windows Sızma Testi Eğitim Ortamının Hazırlanması & Windows Sızma Testi Senaryolarının Uygulanması

Windows Sızma Testi Eğitim Ortamının Hazırlanması - Windows Sızma Testi Senaryolarının Uygulanması

Önceki bir yazıda etki alanı sızma testinin temel adımları incelenmişti. Bir başka yazıda da bir senaryo üzerinde etki alanı sızma testi gerçekleştirilmişti. Bu yazıda ise etki alanı sızma testinin nasıl gerçekleştirildiği birbirinden farklı yöntemlerle incelenecektir. Bu amaçla, 4 bilgisayardan oluşan bir eğitim ve senaryo ortamı oluşturulacak, daha sonra da senaryolara ait adımlar sırasıyla gerçekleştirilecektir.

Not: Belirtilen adımlardan bir kısmı aynı işlemi farklı yöntemlerle gerçekleştirmektedir. Bu yazının amaçlarından biri de, farklı yöntemlerin incelenmesidir.

Ortamın Hazırlanması

XP SP0, W7, WS 2008 R2 makineler ve saldırı amacıyla da güncel bir Kali kullanılacaktır.

• Bütün makineler aynı ağ ortamında birbirine erişebilir halde olmalıdır. 
• XP ve W7'de ortak bir kullanıcı oluşturulup bu kullanıcı yerel yönetici yapılacaktır. Bu kullanıcının adı Ahmet, parolası ise Aa123456 olarak belirlenebilir.
• W7 üzerindeki Administrator hesabının parolası Test123 olarak ayarlanır. Bu hesap devre dışı bırakılabilir.
• W7 üzerinde Cain&Abel, Winscp, Filezilla, Tortoisesvn uygulamaları yüklü olmalıdır. Winscp, Filezilla ve Tortoisesvn üzerinde kayıtlı erişim bilgileri (kullanıcı adı ve parola) bulunmalıdır.
• WS üzerinde Avast gibi (Services.msc konsoluyla devre dışı bırakılabilecek) bir antivirüs yüklenir.
• W7 ve WS'da UAC devre dışı bırakılır.
• W7 ve WS'da RDP kapalı olarak bırakılır.
• WS'da bir etki alanı (ornek.local) kurulur.
• WS'da 3 adet etki alanı hesabı oluşturulacaktir. Bu hesapların bilgileri şu şekilde belirlenebilir: Jale/Jj123456, Halit/Hh123456, Zeynep: Zz123456. Ayrıca Administrator parolası Test123 olarak ayarlanır. Zeynep hesabı Domain Admins grubuna eklenir.
• WS'da bir grup ilkesiyle Halit kullanıcısının parolası ayarlanır. Bu işlem için bakınız. 
• WS'da Zeynep hesabının oturumu açık bırakılır.
• WS'da güvenlik duvarı devre dışı bırakılır.
• W7 etki alanına dahil edilir. 
• W7'de güvenlik duvarı devre dışı bırakılır.
• Jale hesabı W7 bilgisayarda yerel yönetici olarak ayarlanır.
• W7 üzerinde Jale hesabının oturumu açık bırakılır.
• Kali üzerinde Veil kurulur.
• Kali üzerinde Everyone için bir SAMBA paylaşımı açılır. Bu işlem için bakınız.
• Kali üzerindeki paylaşıma Mimikatz, WCE, putty, MS procdump, MS psexec araçları eklenir. Ayrıca bu paylaşıma oluşturulacak olan zararlı yazılımlar konulacaktır. Meterpreter bağlantısı elde edilen bilgisayara "upload" komutuyla veya Windows bilgisayarından SMB paylaşımına gidilerek bu dosyalar Windows bilgisayarlara alınacaktır.

XP SP0 Senaryoları

İstismar Adımları - Exploitation

• Fiziksel olarak erişim sağlandığı varsayılan bilgisayardan SAM ve SYSTEM dosyaları elde edilebilir. İlgili yazı için bakınız. 
• Ağ üzerindeki bilgisayarlarda bulunan zafiyetler tespit edilebilir. İlgili yazı için bakınız. 
• Zafiyet tespit edilen bilgisayar, bir C kodu ile istismar edilip Windows komut satırı elde edilebilir. İlgili yazı için bakınız. 
• XP SP0 üzerindeki zafiyet, MSF ms08_067_netapi modülü ile istismar edilip Meterpreter komut satırı elde edilebilir. İlgili yazı için bakınız.

İstismar adımları sonucunda elde edilenler şu şekildedir:

• Kali bilgisayarından, XP bilgisayarına Windows komut satırı
• Kali bilgisayarından, XP bilgisayarına Meterpreter komut satırı
• SAM ve SYSTEM dosyaları

İstismar Sonrası Adımlar - Post Exploitation

Bu başlıkta, XP bilgisayarı elde edildikten sonra gerçekleştirilebilecek olan adımlar incelenecektir.

• Meterpreter bağlantısı ele geçirilmiş olan Windows bilgisayarda yerel hesapların parola özetleri elde edilebilir. İlgili yazı için bakınız. 
• XP bilgisayarında elde edilen SAM ve SYSTEM dosyaları Kali üzerindeki Ophcrack aracına verilip, yerel hesapların parola özetleri elde edilebilir. İlgili adım için bakınız. 

İstismar sonrası adımlar sonucunda elde edilenler şu şekildedir:

• Ahmet hesabının parola özeti

W7 Senaryoları

XP bilgisayarından elde edilen bilgiler kullanılarak, etki alanındaki W7 bilgisayarındaki adımlar gerçekleştirilecektir.

İstismar Adımları - Exploitation

• Fiziksel olarak erişim bulunulan bir bilgisayarda Windows komut satırı SYSTEM haklarıyla elde edilebilir. İlgili yazı için bakınız. 
• XP üzerinden elde edilen Ahmet hesabının parola özeti ile aynı erişim bilgilerini kullanan diğer bilgisayarlar MSF smb_login modülü ile tespit edilebilir. İlgili yazı için bakınız. 
• MSF smb_login modülü ile erişim sağlanabilecek bilgisayarlarda, MSF psexec modülü ile Meterpreter komut satırı elde edilebilir. İlgili yazı için bakınız. 
• Putty aracı MsfPayload ve MsfEncode ile kullanılarak, zararlı bir yazılım oluşturulabilir. İlgili yazı için bakınız. Oluşan zararlı yazılım Kali üzerindeki paylaşıma konulup, Ahmet hesabının parola özeti kullanılarak pth-winexe aracı ile Meterpreter komut satırı elde edilebilir. İlgili yazı için bakınız. 

İstismar adımları sonucunda elde edilenler şu şekildedir:

• Kali bilgisayarından, W7 bilgisayarına Windows komut satırı
• Kali bilgisayarından, W7 bilgisayarına Meterpreter komut satırı

İstismar Sonrası Adımlar - Post Exploitation

Bu başlıkta, W7 bilgisayarı ele geçirildikten sonra gerçekleştirilebilecek olan adımlar incelenecektir.

• Meterpreter bağlantısı ele geçirilmiş olan W7 bilgisayarında kayıtlı Winscp parolası açık olarak elde edilebilir. İlgili yazı için bakınız (6. adım).
• Meterpreter bağlantısı ele geçirilmiş olan W7 bilgisayarında kayıtlı Filezilla parolası açık olarak elde edilebilir. İlgili yazı için bakınız. 
• Meterpreter bağlantısı ele geçirilmiş olan W7 bilgisayarında kayıtlı Tortoisesvn parolası açık olarak elde edilebilir. İlgili yazı için bakınız.
• Windows komut satırı elde edilmiş W7 bilgisayarında uzak masaüstü bağlantısı açılabilir. Bu amaçla, kullanılabilecek komut şu şekildedir: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
• Windows komut satırı elde edilmiş W7 bilgisayarında işletim sistemi ve etki alanı hakkında bilgi edinilebilir. İlgili yazı içib bakınız.
• Meterpreter bağlantısı ele geçirilmiş olan W7 bilgisayarında getgui betiğiyle uzak masaüstü bağlantısı açılabilir. İlgili yazı için bakınız. 
• Meterpreter bağlantısı ele geçirilmiş olan W7 bilgisayarında MSF hashdump betiği, MSF hashdump post modülü ve meterpreter migrate komutu ile yerel yönetici parola özetleri elde edilebilir. İlgili yazı için bakınız. 
• Windows komut satırı elde edilmiş W7 bilgisayarında SAM ve SYSTEM dosyaları elde edilebilir. İlgili yazı için bakınız. 
• XP veya W7 bilgisayarında elde edilen SAM ve SYSTEM dosyaları, W7 bilgisayarı üzerindeki Cain&Abel aracına verilip, yerel hesapların parola özetleri elde edilebilir. İlgili yazı için bakınız. Cain&Abel aracının "Import Hashes from local system" seçeneği ile yerel hesapların parola özetleri direk olarak da elde edilebilir.
• Meterpreter oturumu ele geçirilmiş olan W7 bilgisayarında MSF gpp post modülü kullanılarak Halit hesabının parolası açık olarak elde edilebilir. İlgili yazı için bakınız. 
• Meterpreter bağlantısı ele geçirilmiş olan W7 bilgisayarında Mimikatz eklentisiyle RAM üzerindeki Jale hesabının kimlik bilgileri açık olarak elde edilebilir. İlgili yazı için bakınız. 
• Windows komut satırı elde edilmiş W7 bilgisayarında (W7 bilgisayarın disk sistemindeki veya Kali paylaşımındaki) WCE veya Mimikatz araçları ile RAM üzerindeki Jale hesabının kimlik bilgileri açık olarak elde edilebilir. İlgili yazı için bakınız. 
• Meterpreter bağlantısı ele geçirilmiş olan W7 bilgisayarında Meterpreter Persistence aracı kullanılarak erişimin sürekliliği sağlanabilir. İlgili yazı için bakınız. 
• Meterpreter bağlantısı ele geçirilmiş olan W7 bilgisayarında Meterpreter keyscan komutları kullanılarak W7 bilgisayarında klavye hareketleri tespit edilebilir. İlgili yazı için bakınız. 
• Meterpreter bağlantısı ele geçirilmiş olan W7 bilgisayarında Meterpreter incognito eklentisi kullanılarak Jale hesabının jetonu elde edilebilir. İlgili yazı için bakınız. 
• W7 üzerinden elde edilen Administrator hesabının parola özeti ile aynı erişim bilgilerini kullanan bilgisayarlarda oturum açan hesaplar MSF smb_enumusers_domain modülü ile elde edilebilir. İlgili yazı için bakınız. 
• W7 üzerinden elde edilen Administrator hesabının parola özeti ile aynı erişim bilgilerini kullanan bilgisayarlarda oturum açan belli hesaplar ("Domain Admins" grubu hesapları gibi) KACAK aracı ile elde edilebilir. İlgili yazı için bakınız. 
• W7 üzerinden elde edilen Jale hesabının parolası ve SID bilgisi ile MS14-068 zafiyeti istismar edilip, Domain Admin yetkisine sahip olunabilir. İlgili yazı için bakınız. 

İstismar sonrası adımlar sonucunda elde edilenler şu şekildedir:

• Winscp üzerinde kayıtlı hesabın kimlik bilgileri
• Filezilla üzerinde kayıtlı hesabın kimlik bilgileri
• Tortoisesvn üzerinde kayıtlı hesabın kimlik bilgileri
• W7 bilgisayara uzak masaüstü bağlantısı
• Administrator hesabının parola özeti
• SAM ve SYSTEM dosyaları
• Halit hesabının parolasının açık hali
• Jale hesabının parolasının açık hali
• W7 bilgisayarına sürekli bağlantı
• W7 bilgisayarındaki klavye hareketleri
• Jale hesabının yetkileri
• WS üzerinde oturum açan hesabın adı (Zeynep)
• Domain Admin yetkileri

WS Senaryoları

W7 bilgisayarından elde edilen bilgiler kullanılarak, etki alanındaki WS bilgisayarındaki adımlar gerçekleştirilecektir.

İstismar Adımları - Exploitation

• W7 bilgisayarında RDP ile erişim sağlanmış iken; Administrator hesabının parola özeti kullanılarak WCE, MS Net ve MS PsExec araçları ile RAM üzerindeki bilgiler değiştirilip, Windows komut satırı elde edilebilir. İlgili yazı için bakınız. 
• Veil aracı kullanılarak, zararlı bir yazılım oluşturulabilir. İlgili yazı için bakınız. Oluşan zararlı yazılım Kali üzerinde paylaşıma konulup, Administrator hesabının parola özeti kullanılarak MSF psexec_command modülü ile Meterpreter komut satırı elde edilebilir. İlgili yazı için bakınız. 

İstismar adımları sonucunda elde edilenler şu şekildedir:

• W7 bilgisayarından, WS bilgisayarına Windows komut satırı
• Kali bilgisayarından, WS bilgisayarına Meterpreter komut satırı

İstismar Sonrası Adımlar - Post Exploitation

Bu başlıkta, WS bilgisayarı ele geçirildikten sonra gerçekleştirilebilecek olan adımlar incelenecektir.

• WCE ve MS Net araçları ile RAM üzerindeki bilgileri değiştirilen W7 bilgisayarında iken, WS Registry Editor konsoluna bağlanılarak uzak masaüstü bağlantısı açılabilir. İlgili yazı için bakınız (4. adım). 
• WCE ve MS Net araçları ile RAM üzerindeki bilgileri değiştirilen W7 bilgisayarından, WS Services konsoluna bağlanılarak arzu edilen servis (antivirüs servisi) devre dışı bırakılabilir. İlgili yazı için bakınız (5. adım). 
• Windows komut satırı elde edilmiş WS bilgisayarında (WS/W7 bilgisayarın disk sistemindeki veya Kali paylaşımındaki) Procdump ve Mimikatz araçları ile RAM üzerindeki Zeynep hesabının kimlik bilgileri açık olarak elde edilebilir. İlgili yazı için bakınız. 
• Meterpreter oturumu ele geçirilmiş olan WS bilgisayarında MSF smart_hashdump post modülü kullanılarak yerel hesapların parola özetleri elde edilebilir. İlgili yazı için bakınız. 
• WS üzerinden elde edilen Krbtgt hesabının parola özeti (ve etki alanı SID değeri) ile Golden Ticket oluşturulabilir. İlgili yazı için bakınız. 
• Windows komut satırı veya masa üstü bağlantısı ele geçirilmiş olan WS bilgisayarında Volume Shadow dosyaları kullanılarak yerel hesapların parola özetleri elde edilebilir. İlgili yazı için bakınız.

İstismar sonrası adımlar sonucunda elde edilenler şu şekildedir:

• WS bilgisayara uzak masaüstü bağlantısı
• WS bilgisayarındaki antivirüsün devre dışı bırakılması
• Zeynep hesabının parolasının açık hali
• KRBTGT hesabının parola özeti
• Etki alanına ait Golden Ticket
• NTDS.dit ve SYSTEM dosyaları

Ek Adımlar

• Ruby ile hazırlanmış, ancak MSF üzerinde bulunmayan istismar kodu kullanılarak istismar işlemi gerçekleştirilebilir. İlgili yazı için bakınız. 
• Evilgrade ve Ettercap aracı ile Windows güncellemesi istismar edilebilir. İlgili yazı için bakınız. 
• Etki alanı denetleyicisi (DC) üzerinde iken, yönetimsel paylaşımı veya uzak masaüstü bağlantısı kapalı olan etki alanındaki bir bilgisayarın yönetimsel paylaşımı veya uzak masaüstü bağlantısı açılabilir. İlgili yazı için bakınız. 

Bu yazıda belirtilenlerin haricindeki adımlar da sırası geldiğince eklenmeye çalışılacaktır.

Bu yazıda, etki alanına yapılabilecek saldırılar - eğitim ve bilgilendirme amacıyla - ele alınmıştır. Bu saldırılara yönelik alınması gereken temel önlemler için bağlantıdaki yazı incelenebilir.

MS14-068 Kritik Windows Güncellemesi ve Zafiyetin İstismarı

MS14-068 Kritik Windows Güncellemesi ve Zafiyetin İstismarı

Microsoft tarafından MS14-068 hak yükseltme zafiyetine ait bülten 18 Kasım 2014 tarihinde yayınlanmıştı. Zafiyete ait güncelleme KB3011780 güncelleme paketi bulunmaktadır. Bu paketin sistemde mevcudiyetini kontrol etmek için bağlantıdaki Powershell betiği kullanılabilir veya daha basit olarak aşağıdaki komut çalıştırılabilir:

wmic qfe where HotFixID="KB3011780" get Caption, HotFixID

Yazının devamı için bakınız:
http://www.siberportal.org/blue-team/securing-microsoft-domain-environment/mitigating-the-vulnerability-in-kerberos-could-allow-elevation-of-privilege-ms14-068/
ve
http://www.siberportal.org/red-team/microsoft-domain-environment-penetration-tests/obtaining-domain-admin-privileges-by-exploiting-ms14-068-vulnerability-with-the-python-kerberos-exploitation-kit-pykek/
ve
http://www.siberportal.org/blue-team/securing-microsoft-domain-environment/analysis-vulnerability-in-kerberos-could-allow-elevation-of-privilege-ms14-068/

Post Exploitation: Mimikatz ve WCE ile Bellekten Parolaların Elde Edilmesi

Post Exploitation: Mimikatz ve WCE ile Bellekten Parolaların Elde Edilmesi

Günümüzde sistemlere karşı gerçekleştirilen saldırılar artmaktadır. Bunun paralelinde sızma testlerine (Penetration Test) verilen önem de gün geçtikçe artış göstermektedir. Sızma testlerinin adımlarından birisi de Microsoft ortamındaki kullanıcıların (özellikle etki alanı kullanıcılarının) hesap bilgilerinin elde edilmesidir. Son yıllarda bu bilgilerin elde edilmesi için yeni bir yöntem kullanılmaya başlanmıştır. Bu yazı, kullanıcı hesap bilgilerinin yeni bir yöntem ile nasıl ele geçirildiği konusuna değinecektir. Yeni tekniğe geçilmeden önce konu ile ilgili bazı ön bilgiler verilecektir.

Yazının devamı için bakınız:

http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/obtaining-clear-text-password-from-ram-using-wce-tool/
ve
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/obtaining-clear-text-password-from-ram-using-mimikatz-tool/
ve
http://www.siberportal.org/blue-team/securing-windows-operating-system/working-principle-of-tools-wce-and-mimikatz-that-obtains-clear-text-passwords-on-windows-session/

Post Exploitation: Golden Ticket ile Etki Alanına Sürekli ve Yetkili Erişimin Sağlanması

Post Exploitation: Golden Ticket ile Etki Alanına Sürekli ve Yetkili Erişimin Sağlanması

Kurum içine yapılan saldırılarda veya sızma testlerinde bir Domain Admin yetkisini elde eden bir saldırgan etki alanındaki (neredeyse) her bilgisayarı ele geçirmiş olur denebilir. Eğer güven (trust) ilişki varsa diğer etki alanları da tehlike altına girebilir. Bunun yanında yönetim kolaylığı olması açısından saldırıya uğrayan etki alanına dahil olan kritik sistemler de tehlikeye girebilir. Bu sebeplerle etki alanı yönetici hesaplarının korunması kurumlar için oldukça önemlidir.

Yazının devamı için bakınız:
http://www.siberportal.org/red-team/microsoft-domain-environment-penetration-tests/golden-ticket-generation-by-using-meterpreter-kiwi-extenion-and-mimikatz-tool/

http://www.siberportal.org/blue-team/securing-microsoft-domain-environment/mitigating-the-vulnerability-about-kerberos-golden-ticket/

5) Kıssada Hisse: Önlemler

Etki alanını kurum için oldukça önemlidir. Bir saldırı olması durumunda etki alanındeki kritik nesnelerin (Domain Controller makineleri, Domain Admins veya Enterprese Admins grubu üyeleri,... gibi) güven altında olması oldukça önemlidir. Etki alanını korumaya yönelik atılacak adımlar için bakınız. Ayrıca, gerçekleşen bir saldırı sonucunda kaybedilecek bazı bilgilerin (krbtgt hesabının NTLM parola özeti gibi) kurum etki alanını sürekli olarak tehlike altında bulunduracağı göz önünde bulundurulmalıdır.

Bu yazıda bahsedilen saldırıdan korunmak için gerçekleştirilebilecek işlemler için bakınız.Özetlemek gerekirse,

• Etki alanı saldırılara karşı korunmalıdır. Saldırgan etki alanında yönetici hakkına sahip olamamalıdır. Bu amaçla gerekli sıklaştırma adımları gerçekleştirilmelidir.
• Saldırı gerçekleşmişse, KRBTGT hasabının parolası iki kere sıfırlanmalıdır (resetlenmelidir). Ancak bu durumda manuel olarak başlatılması gereken bazı servislerin başlayamamasına, akıllı kart ile kimlik doğrulayan kullanıcıların yeni bilet talep ederek DC üzerinde yük oluşturmasına,... sebep olabilir. Hatta, bazı durumlarda kullancıların kimlik doğrulayamamasına, bilgisayarların etki alanından düşmesine de sebep olabilir.
• Çok etkili olmasa da 4769 olay kaydı izlenebilir.

Golden Ticket kullanarak etki alanında uzun süreli yetki sahibi olunması şeklinde özetlenebilecek bu saldırı, 2014 Ocak ayında yayınlanmış olmasına rağmen daha önce kullanılmadığı anlamına gelmemektedir. Bu sebeple, özellikle 2014 yılından itibaren, etki alanına yapılan saldırıların incelenmesi ve DC'ye yetkisiz / uygunsuz erişimlerinin elde edilip edilmediğinin tespit edilmesi, bunun sonucunda da gerekli değişikliklerin yapılması kurum etki alanını korumak için önem arz etmektedir. Özellikle kritik kurumlar için, bu kontrollerin geçmişe yönelik gerçekleştirilmesi ve gerekli müdahalelerde bulunulması gerekmektedir.

Kaynak:
http://blog.gentilkiwi.com/securite/mimikatz/golden-ticket-kerberos
http://rycon.hu/papers/goldenticket.html
https://www.christophertruncer.com/golden-ticket-generation/

Post Exploitation: Meterpreter ile Klavye Hareketlerinin Elde Edilmesi

Post Exploitation: Meterpreter ile Klavye Hareketlerinin Elde Edilmesi

Bir sistem ele geçirildikten sonra kurban kullanıcının yaptığı işlemler incelenmek istenebilir. Son kullanıcının yaptığı işlemleri öğrenmenin bir yolu da klavyede bastığı tuşların dinlenmesidir. Bu yazıda, Meterpreter bağlantısı kurulan bir bilgisayardaki klavye tuşları dinlenecektir.

Yazının devamı için bakınız:
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/capturing-keyboard-activities-on-windows-session-via-meterpreter-keyscan-commands/
ve
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/capturing-keyboard-activities-on-winlogon-screen-via-meterpreter-keyscan-commands/

Post Exploitation: MSF Persistence Post Modülü

Post Exploitation: MSF Persistence Post Modülü

Bir sisteme girildikten bir süre sonra bilgisayar ile bağlantı kesilebilmektedir. Bu durumda o bilgisayarı tekrar exploit etmek gerekebilir. Bunun yerine bilgisayar arka kapı da bırakılabilir. Bu yazıda, Metasploit Framework içerisindeki Persistence modülü kullanılarak arka kapı bırakılması incelenecektir.

Yazının devamı için:
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/obtaining-permanent-meterpreter-session-on-windows-by-using-meterpreter-persistence-script/

Grup İlkeleri (Preferences) ile Yerel Kullanıcı Parolalarının Ayarlanması ve Bu Özelliğin Kötüye Kullanılması

Grup İlkeleri (Preferences) ile Yerel Kullanıcı Parolalarının Ayarlanması ve Bu Özelliğin Kötüye Kullanılması

Grup ilkeleri Policy ve Preferences olmak üzere iki şekilde kullanılır. Eğer kullanıcı isteğine bırakılmadan bir ilkenin grup ilkeleri ile ayarlanması isteniyorsa Policy kullanılır. Eğer kullanıcı tarafından değişiklik yapılmasına izin verilecek ayarlar yapılacak ise Preferences tercih edilir.

Preferences ile yerel kullanıcı ve grupların bir takım özellikleri ayarlanabilir. Bu özelliklerden birisi de yerel kullanıcıların parolasıdır. Böylelikle, yerel kullanıcıların parolası merkezi bir şekilde yönetilebilir. Ancak bu ayarın yapılması durumunda bu parolalar (parolaların açık hali), etki alanındaki herhangi bir bilgisayardan elde edilebilir.

Bu yazıda Windows Server 2008 R2 olan bir bilgisayar DC olarak kullanılmaktadır. Bu bilgisayarın adı (hostname) "SRV1", oluşturulan etki alanının adı ise "sizma.local" olarak belirlenmiştir.Senaryo için, etki alanında W7 adlı bir bilgisayar ve "Akif Pinar" adlı standart bir etki alanı kullanıcısı kullanılacaktır.

W7 bilgisayar "Orijinal Makineler" adlı bir OU içerisindedir:

"Akif Pinar", "Bilgi Islem" adlı bir OU içerisindedir:

"Akif Pinar" standart bir etki alanı kullanıcısıdır:

Not: W7 bilgisayarında "Akif Pinar" adlı kullanıcı ile oturum açılmasaydı, aşağıda belirtilen modül çalıştırılıp, Preferences içerisindeki parola bilgileri elde edilebilirdi.

Senaryonun en son aşamasında "GPO_AdministratorPassword", "Policy2" ve "Policy3" adlı grup ilkeleri aşağıdaki gibi konumlandırılacaktır.

Ancak ilk durumda "Policy2" ve "Policy3" oluşturulmamış ve herhangi bir OU altına bağlanmamıştır (link edilmemiştir).

İlk durumda, W7 bilgisayarın bulunduğu OU altına sadece "GPO_AdministratorPassword" ilkesi uygulanmaktadır. Bu ilke ile yerel "Administrator" hesabının parolası ayarlanmıştır:

Not: W7 üzerinde oturum açan "Akif Pinar" hesabının bulunduğu OU'ya özel bir politika uygulanmamıştır.

"Akif Pinar" kullanıcısı ile W7 üzerinde oturum açıldığında 5 adet grup ilkesi görülmektedir (\\SRV1\sysvol\sizma.local\Policies dizini altında):

Not: 4. ekran görüntüsünde bulunan Group Policy Management arayüzünde, "Group Policy Objects" altında ilk durumda 5 adet grup ilkesi bulunmaktaydı.

SYSVOL dizini altındaki "Groups.xml" dosyası 2 grup ilkesinde bulunmaktadır. Bunlardan birisi "GPO_AdministratorPassword", diğeri ise "GPO_TubitakDisable" ilkesidir:

Not: Groups.xml haricinde aranabilecek diğer 2 dosya Printers.xml ve Drives.xml dosyalarıdır.

Bu XML dosyalarının içeriği aşağıdaki gibidir:

Yukarıdaki ekran görüntüsünde de görüldüğü gibi, "GPO_TubitakDisable" ilkesi ile "tubitak" adlı yerel kullanıcının hesabı devre dışı bırakılmıştır. Bunun yanında "GPO_AdministratorPassword" ilkesi ile yerel "Administrator" kullanıcısının parolası ayarlanmıştır. Ancak parola açık halde değil, şifreli (değişikliğe uğramış şekilde) olarak "cpassword" değerinin karşısında saklanmaktadır. Kullanılan AES şifresi Microsoft tarafından bağlantıdaki linkte internete sunulmuştur. İnternet üzerindeki betikler kullanılarak cpassword değerinden parolanın açık hali elde edilebilir. Bunun yanında MSF post exploit modülü ile bu işlemler kolay bir şekilde gerçekleştirilebilir.

Bu amaçla öncelikle W7 makinesine Meterpreter oturumu açılır:

Daha sonra da açılan Meterpreter oturumunda post/windows/gather/credentials/gpp modülü (Windows Gather Group Policy Preference Saved Passwords) çalıştırılmak üzere ayarlanır.

Gerekli ayarlamalardan sonra bu modül çalıştırılır:

Yukarıdaki ekran görüntüsünde de görüldüğü gibi, "GPO_AdministratorPassword" ve "GPO_TubitakDisable" grup ilkeleri içerisinde "Groups.xml" dosyaları tespit edilmiştir. Ancak, sadece "GPO_AdministratorPassword" içerisinde parola bilgisi (cpassword) tespit edilmiştir. Tespit edilen bu değer deşifre edilmiş ve yerel "Administrator" kullanıcısının parolası "Test#12345." olarak tespit edilmiştir.

Daha sonra "Policy2" adı verilen grup ilkesi herhengi bir OU için oluşturulmuş ve bu ilke W7 bilgisayarına alınmıştır (gpupdate /force). Bu grup ilkesi; W7 bilgisayarından, "Akif Pinar" oturumunda görülmektedir:

MSF modülünün yeniden çalıştırılmasıyla, W7 bilgisayara ve oturum açan "Akif Pinar" adlı kullanıcıya yeni oluşturulan grup ilkesi uygulanmamasına rağmen, yeni oluşturulan "Policy2" adlı grup ilkesindeki parola bilgisi ("Deneme123456.") elde edilmiştir.

Sonraki aşamada ise, "Policy3" adlı bir grup ilkesi oluşturulmuş hiç bir OU'ya uygulanmamıştır. Bu ilke de W7 bilgisayarına alınmıştır (gpupdate /force). Bu greup ilkesi; W7 bilgisayarından, "Akif Pinar" oturumunda görülmektedir:

MSF modülünün yeniden çalıştırılmasıyla, W7 bilgisayara ve oturum açan "Akif Pinar" adlı kullanıcıya yeni oluşturulan grup ilkesi uygulanmamasına rağmen, yeni oluşturulan "Policy3" adlı grup ilkesindeki parola bilgisi ("Misafir123") elde edilmiştir.

Sonuç:

• Preferences kullanılarak yerel kullanıcıların parolaları ayarlanmamalıdır.
• Gereksiz grup ilkeleri oluşturulmamalıdır.
• Grup ilkeleri üzerindeki erişim ayarları (ACL) uygun şekilde yapılandırılmalıdır.
• MS14-025 zafiyeti kapatılmalıdır. Bu amaçla, KB2962486 güvenlik yaması geçilmelidir.

Etki Alanı Sızma Testi İçin Eğitim Amaçlı Örnek Senaryo

Etki Alanı Sızma Testi İçin Örnek Senaryo

Önceki yazıda etki alanı sızma testinin nasıl gerçekleştirildiğine dair örnek bir metodoloji sunulmuştu. Bu yazıda EĞİTİM AMAÇLI örnek bir senaryo gerçekleştirilecektir.

Ortam Bilgisi

Hazırlanan senaryoda 6 bilgisayar kullanılmaktadır:

1) XP: Standalone bir bilgisayardır. C diskinde kritik bilgi (SAM/SYSTEM dosyaları) bulunacaktır.
2) W7: Etki alanına dahil olan istemci bilgisayardır.
3) W7-Test: Etki alanına dahil edilecek olan istemci bilgisayardır. Etki alanında "Domain Admins" grubuna üye olan kullanıcının standart hesabı ile oturum açılacaktır. Üzerinde antivirüs yüklüdür. Üzerinde yüklü olan Winscp içerisinde bir de UN/PW kayıtlı bulunmaktadır. Ayrıca DC bilgisayarına RDP ile bağlantı kurulmuştur.
4) DC: Etki alanı denetleyicisidir.
5) S_Kali: Saldırı amacıyla kullanılacak KALI bilgisayardır.
6) S_W7: Saldırı amacıyla kullanılacak W7 bilgisayardır. 

Senaryo Videosu

Senaryo ile ilgili video aşağıdaki gibidir:

Videoyu indirmek için tıklayınız.

Senaryo Adımları

Senaryo 7 adımdan oluşmaktadır:

1) XP bilgisayara sızılacak ve kritik bir bilgi (C:\SAM ve C:\SYSTEM) edinilecektir.
2) 1. adımda elde edilen kritik bilgi ile etki alanına dahil olan W7 bilgisayarına erişim sağlanacaktır. Bu bilgisayardan yerel kullanıcıların parola özetleri elde edilecektir.
3) 2. adımda elde edilen yerel kullanıcıların parola özetleri ile W7-Test bilgisayarına (AV'e yakalanmadan) sızılacaktır.
4) W7-Test bilgisayarındaki mevcut kullanıcı oturumuna erişim sağlanacak. Bu bilgisayarda DC makineye yapılan RDP'ye fark edilecek. Oturum açan (Sizma\Cemil Ustun) ve Domain Admins grubundaki bir kullanıcının ("Sizma\Cemil.ustun2") parolası elde edilecek.
5) W7-Test bilgisayarına "Sizma\Cemil Ustun" adlı kullanıcı haklarıyla RDP yapılacaktır. W7-Test bilgisayarındaki AV devre dışı bırakılacaktır.
6) W7-Test bilgisayarına MSF psexec ile bağlanılacak ve Winscp ile kayıtlı bağlantı bilgileri elde edilecektir.
7) Etki alanındaki kullanıcıların parola özetleri elde edilecektir.

Senaryo Adımlarına Yönelik Resimler:

0) Ağ Keşfi ve Zafiyet Taramasi 

1) Zafiyetin Sömürülmesi: MS08-067

1-2 Geçişi) SMB Oturum Sorgulaması

2) W7 Bilgisayarına PTH ile Erişim

3) WCE ile PTH & RDP Etkinleştirme

4) Parola Çalma & Domain Admin Olma

5) AV Kapatma

6) WinSCP’de Kayıtlı Parolalarını Elde Etme

7) Domain Hesaplarının Parola Özetleri

Metasploit Unleashed: Introduction

Metasploit Unleashed: Introduction

Saldırı amaçlı bir çok araç kullanılmaktadır. Bu araçlardaki bazısı bilgisayarlardaki zafiyetleri kullanarak ele geçirmeye, bazısı uygulamalardaki açıklıkları tespit etmeye, bazısı bir kurum veya sistem hakkında bilgi toplamaya, … yarar. Kullanılan araçlar farklı ortamlarda / platformlarda çalışmakta, farklı programlama dillerinde yazılmaktadır. Metaploit ile saldırı araçları tek bir platforma taşınmıştır.

Metasploit ana çatısının başlıca getirileri aşağıdaki gibidir:

• Birbirinden farklı alanlardaki saldırı tekniklerini bir araya toplar.
• Farklı platformalarda hazırlanmış kodlar yerine, modüller ruby dili hazırlanmıştır.
• Kodların derlenmesi ile uğraşmaya gerek kalmamıştır.
• Kullanılabilecek exploit’ler veya payload’lar için uygun olan tavsiye edilerek zaman kaybının önüne geçilir.
• Birbirinden farklı exploit’ler için kullanılabilecek payload’lar otomatik olarak sunulmuştur.
• Exploitler açık kaynaklı olup topluluk tarafından veya lişisel olarak güncellemeye imkan sunmaktadır.
• Mevcut modüller kullanılarak amaca uygun şekilde farklı uygulamalar geliştirmeye açıktır.

Metasploit, 2003 yılında HD Moore tarafından önce Perl tabanlı olarak geliştirilmiş olup, sonrasında Ruby tabanlı olarak baştan geliştirilmiştir. 2009 yılında ise Metasploit projesi açık kaynaklı bir proje olarak Rapid7 bünyesine katılmıştır. Rapid 7 firması ayrıca ücretli olarak Metasploit Pro başta olmak üzere bir çok ürünün de ticaretini gerçekleştirmektedir. Ayrıca Rapid 7’nin açık kaynaklı zafiyet tarama aracı olan Nexpose ile de entegre çalışabilmektedir.

Metasploit ana çatısının bazı kullanım amaçları şu şekildedir:

• Hedef ağ, sistem ve uygulamalarının güvenliğinin değerlendirilmesine yardımcı olmak
• Sistemler hakkında bilgi toplanmasına yardımcı olmak
• Güvenlik açıklıklarını bulmak
• Sistemlerin açıklıklarının kullanılarak istismar edilmesini sağlamak
• Anti-forensic tekniklerini kullanmak
• Sistemlerdeki koruyucu mekanizmaları atlatmak
• İhtiyaca göre yeni modüller geliştirmek veya mevcut modülleri kullanmak

Ana çatının hitap ettiği kullanıcılardan bazıları şu şekildedir:

• Güvenlik denetleyicileri ve uzmanları
• Saldırganlar
• Modül geliştiriciler

1) Gereksinimler

Metasploit anaçatısını sorunsuz (en az sorunlu) olarak kullanabilmek için yazılımsal ve donanımsal bir takım gereksinimleri karşılamak gereklidir.

1.1) Donanımsal Gereksinimler

1.1.1) Disk Alanı

En az 10 GB olmak üzere 30 GB alan tavsiye edilmektedir. Snapshot alınma ihtiyacına göre, daha fazla disk alanının alınması tavsiye edilektedir. Büyük boyutta dosyalar kullanıldığı için, disk formatı olarak FAT32 yerine NTFS veya ext3 kullanılmalıdır.

1.1.2) Bellek

Fiziksel ve sanal makinelerdeki bellek gereksinimleri şu şekildedir:

• Linux Host için en az 1 GB olmak üzere 2 GB veya daha üstü
• Her bir Windows Guest için en az 256 MB olmak üzere 1 GB veya daha üstü
• Kali Guest (Saldırı makinesi) için en az 512 MB olmak üzere 1 GB veya daha üstü 
• Metasploitable Guest (Kurban makinesi) için en az 256 MB olmak üzere 512 MB veya daha üstü 

Daha az kullanılması durumunda sistem yavaşlayacak hatta çalışmaz duruma gelecektir.

1.1.3) İşlemci

VMware Player kullanımı için işlemci frekansı en az 400 Mhz olmak üzere 500 Mhz veya daha üstü olması tavsiye edilmektedir.

1.1.4) Internet Erişimi

Ağ cihazına bağlantı için cat5 kablo veya kablosuz bağlantı (yayın ile bağlantı uzaklığı ve bağlantı kuvveti göz önünde bulundurulmalı) kullanılabilir. DHCP sunucusu yoksa, Guest sanal makinelere statik IP verilmelidir.

1.2) Yazılım Gereksinimleri

Gerekli başlıca yazılımlar aşağıdaki gibidir:

• Gerekli ilk yazılım sanallaştırma sistemidir. VmWare Converter, VmWare Player, VirtualBox gibi araçlar ücretsizdir ancak kayıt olunmalıdır. Bunun yanında Vmware Workstation, Vsphere, Vmware Fusion gibi sanallaştırma altyapıları ücret karşılığı temin edilebilir.
• Bir diğer yazılım ise Metasploit anaçatısındaki kodlardır. Bu yazılımların son sürümü için “msfupdate” komutu kullanılmalıdır. Kali’nin son versiyonu için bakınız: http://www.kali.org/downloads/
• Metasploitable, Metasploit anaçatsının öğrenilmesi, güvenlik eğitimlerinde kullanılması, güvenlik araçlarının test edilmesi için kullanılan, tarama ve saldırıların gerçekleştirilebileceği, içerisinde zafiyetler bulunduran Linux bir sanal makinedir. Makine http://sourceforge.net/projects/metasploitable/files/Metasploitable2/ bağlantısından indirilebilir. Makinenin varsayılan kullanıcı adı ve parolası “msfadmin” olarak belirlenmiştir. Bu makineler yerel ağa direk bağlanmamalı, NAT veya Host-Only olarak bağlanmalıdır. Ayrıntılı bilgi için bakınız: https://community.rapid7.com/docs/DOC-1875

2) Metasploit Mimarisi

Metaploit ana çatısının mimarisi için aşağıdaki resim kullanılabilir.

Mesaploit anaçatısında kullanılan Ruby dilinin bazı özellikleri şu şekildedir:

• Her sınıf bir başka sınıftan türer.
• Bir sınıf bir veya birden fazla modül içerebilir.
• Modüller metodlar içerir. Modüllere yeni metodlar eklenebilir, eski modüller aşırı yüklenebilir. Böylece bir modülde farklı parametrelerle program akışında değişiklikler gerçekleştirilebilir.
• Modüller Msf::Module ana modülünden türer.
• Modüller arasında ortak bir API bulunur ve bu API ile modüller arasında etkileşim (değişken gönderimi, fonksiyon kullanımı, …) gerçekleştirilir.

2.1) Dosya Sistemi

MSF dosya sistemi 8 dizinde incelenebilir:

• Veriler (Data): Metasploit tarafından kullanılan ve değiştirilerek kullanılabilen verilerdir.
• Bilgilendirme Belgeleri (Documentation): Sistem anaçatısını (framework) açıklamak için kullanılan dokümanlardır.
• Harici Kaynaklar(External): Kaynak kodlar ve 3. taraf kütüphanelerdir.
• Kütüphaneler (Lib): Geliştirme için kullanılan ve sistem anaçatısının (framework) omurgasını oluşturan kütüphane kodlarıdır.
• Modüller (Modules): Kullanılan modüllerdir.
• Eklentiler (Plugins): Çalışma annda (runtime) yüklenen ve çalışan kod parçacıklarıdır. Anaçatının tüm işlevlerini kullanarak, direk olarak API’ler ile birlikte çalışırlar. Bazı işlemleri el ile gerçekleştirmek yerine otomatik gerçekleştirirler.
• Betikler (Scripts): Meterpreter ve diğer betiklerdir.
• Araçlar (Tools): Komut satırında çalışan ve çeşitli görevleri yerine getiren araçlardır.

2.2) Kütüphaneler

• Rex: Çeşitli görevleri gerçekleştirmek için kullanılan en temel kütüphanedir. Bu görevler soket açmak veya dinlemek, hedef sistemle bir protokol için anlaşmak, veri transferi gerçekleştirmek olabilir. 
• Msf::Core: Temel API’leri sağlar. Metasploit anaçatısını tanmlar, geliştiriciler için temel programlama arayüzünü sağlar.
• Msf::Base: Metasploit anaçatısı için geliştiricilerin daha rahat kullanabileceği API’leri sağlar.

2.3) Modüller

Modüller iki ana dizinde tutulurlar:

• MSF tarafından hizmete sunulan modüller “/usr/share/metasploit-framework/modules/” dizini altında tutulmaktadır.
• Kullanıcıya özel modüller “~/.msf4/modules/” altında bulunur.

MSF tarafından 6 ana modül sunulmaktadır.

2.3.1) Exploitler

Sistem, uygulama, yazılım, donanım veya bir servisteki çatlağın (hata veya açıklığın) kötüye kullanılarak hedeflenen sonuca ulaşmak için kullanılan güvenlik açıklıklarına ait kod parçası veya komut dizinidir. Payload kullanan modüller olarak da tanımlanabilir (Payload kullanılmayan exploit’lere auxiliary modül adı verilir.). Bu kodlar ile hedef sistem olağan dışı olarak (beklenmeyen ve istenmeyen sonuçlar doğuracak şekilde) saldırganın belirlediği işlemi gerçekleştirirler. Buffer taşması, web uygulaması zafiyetleri, konfigürasyon hataları bazı exploit çeşitleridir. Hedef makineye dosya atmak veya hedef makineden dosya almak, hedef ağı dinlemek, hedef sistemin sürekliliğini devre dışı bırakmak, hedef sistemin ayarlarını değiştirmek, hedef sisteme program yüklemek için kullanılabilir.

Exploit modülleri genelde payload kullanırlar. Payload kullanmayan expolit Auxiliary modül olarak adlandırılır.

Exploitler, önce işletim sistemine göre (aix, linux, unix, windows gibi) sonra da servisine (ftp, smb, smtp gibi) göre çeşitli alt dizinlere ayrılmıştır. 

Bütün exploit listesini görmek için, MSF üzerinde show komutu kullanılır: “show exploits”

2.3.2) Auxiliaryler

Exploit modüllerinin aksine saldırıdan ziyade, bilgi toplama amacıyla kullanılan yardımcı modüllerdir.  Port taraması, zafiyet taraması gibi işlevleri yerine getirerek saldırı öncesinde sistem dökümünü elde etmeye yararlar. Payload kullanmayan exploit’lerdir.

Auxiliary modüller, önce işlevine göre (admin, dos, fuzzers, gather, scanner gibi) sonra da servisine (portscan, smb gibi) göre çeşitli alt dizinlere ayrılmıştır. 

2.3.3) Payload’lar

Exploit sonrasında (zafiyet sömürüldükten sonra), ana çatı (framework) tarafından hedef sisteme gönderilen (uzak makinede çalışan), hedef sisteme sızmayı sağlayan ve istenilen işlemleri gerçekleştirmek için çalıştırılması istenen kod parçasıdır. Örneğin, bir servisin açığından faydalanarak sistemde kullanıcı oluşturulması, SYSTEM veya root hakları ile kabuk erişimi elde edilmesi, arka kapı açılması gibi işlemler payloadların kullanılması ile gerçekleştirilir. Veya hedef makine ile bağlantının gerçekleşmesi payloadlar ile gerçekleşir. Reverse shell (hedef makinenin, saldırganın makinesine bağlantı kurmasını sağlar), bind shell (saldırganın daha sonra bağlanması için, hedef sistemin dinlediği porta komut satırı bağlantısı (bind) kurulur) bağlantıyı kuran bazı payload çeşitleridir.

Başlıca özellikleri aşağıdaki gibidir:

• Payloadlar diğer modüllerden farklı olarak çalışma anında çeşitli bileşenlerin beraber çalışmasıyla oluşurlar.
• Payload genellikle assembly dili kullanılarak geliştirilir. 
• Payload platform ve işletim sistemi bağımlıdır; Windows işletim sistemi için geliştirilen bir payload Linux işletim sistemleri için çalışmayabilir. Bunun yanında Windows 7 için hazırlanan bir payload Windows 8’de, 64 bit için hazırlanan bir payload 32 bit mimaride, SP1 için hazırlanan ise SP2’de çalışmayabilir.

Zafiyet, exploit ve payload ilişkisi için aşağıdaki resim kullanılabilir.

Zafiyet, exploit ve payload kavramlarını anlatmak için şu örnek kullanılabilir:

• Zafiyet (İnsan): İnsanın karşısındakine inanması, daha çok getiri elde etme düşüncesi (hırsı) birer zafiyettir.
• Exploit (Sosyal Mühendislik): İnsandaki bu zafiyeti kullanarak sosyal mühendislik teknikleri ile istismar etmektir.
• Payload (Hesabı Kullanma): İnsani zafiyetlerin sömürülmesi sonucunda gerçekleştirilen eylemlerin (EFT yapma, parayı çekme, hesabı bloke etme, …) her biridir.

Daha teknik olarak da “Vulnerability in Server Service Could Allow Remote Code Execution (958644)” bir zafiyet, Metasploit ana çatısındaki “exploit/windows/smb/ms08_067_netapi” bir exploit, meterpreter kabuğunun elde edilmesi ise bir payload olarak tanmlanabilir.

2.3.4) Encoder’lar

Eploit ve payloadların hedef sistemde çalışan mekanizmalar (Antivirüs, IPS/IDS, FW vs) tarafından yakalanmaması için farklı bir forma çeviren modüllerdir. İmza tabanlı sistemlerin atlatılaran hedef sistemin ele geçirilmesine yardımcı olurlar.

2.3.5) NOP’lar

Payload’un kalıcı olmasını sağlayarak hedef sistemi ele geçirme ihtimalini arttırmak için NOP komutları oluşturan modüllerdir. Bu komutlar her hangi bir işlem gerçekleştirmezler, sadece çalıştırılması istenen kodun bellekteki yerine kadar belleği dolduran boş (\00) bitlerdir.

2.3.6) Post Modüller

Sisteme sızıldıktan ve erişim elde edildikten (örneğin, meterpreter oturumu elde edildikten) sonra gerçekleştirilen işlemleri yerine getirmekle görevli program ve betiklerdir. Pivoting işlemleri, parola özetlerinin alınması, sistem bilgilerinin alınması bir sisteme sızıldıktan sonra gerçekleştirilen işlemlerden bazılarıdır.

Kaynak:
http://www.offensive-security.com/metasploit-unleashed/Introduction

Post Exploitation: Yönetimsel Paylaşımların Açılması

Post Exploitation: Yönetimsel Paylaşımların Açılması

Etki alanı saldırılarında Domain Admin olduktan sonra diğer sistemlere (veritabanı, ağ cihazları, sanallaştırma sistemler vs) giriş sağlamak için bu sistemlerin yöneticilerinin bilgisayarları tespit edilir. Örneğin, bir bilgisayarda önemli bir kullanıcının (EaKullanicisi1, Oracle DB yoneticisi, Network Yoneticisi vs) oturum açtığı ve bu bilgisayarın ilgili kişinin istemci bilgisayar olduğu tespit edilir.

Not: Bilgisayarı tespit etmek için KACAK adlı betik hedefe yönelik sonuç alma konusunda oldukça yararlıdır. Bunların haricinde birbirinden daha farklı yöntemler de vardır. Ancak belli kullanıcının oturum açtığı istemci bilgisayarını tespit etme konusu kapsam dışındadır.

Aranılan bilgisayar tespit edildikten sonra bu bilgisayara bağlantı kurulmaya çalışdığında RDP ile bağlanılamamakta ve yönetimsel paylaşımına girilememektedir. Çünkü bu bilgisayar kullanıcısı tarafından sıkılaştırılmış olabilmektedir.

Çünkü bu bilgisayarın yönetimsel paylaşım ve uzak masaüstü bağlantı ayarları aşağıdaki gibidir:

net share
reg query HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareWks
reg query HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareServer
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

Mevcut port tarama sonucu şu şekildedir:

Not: Paylaşım portu (445) açıkken, masaüstü erişim portu (3389) kapalıdır. Ancak 445. port açık olmasına (servis çalışmasına) rağmen daha önceki resimde de görüldüğü gibi ynetimsel paylaşımlar (C$ ve Admin$) kapalıdır.

Ancak bu metod etki alanı sızma testlerinde  etki alanı yönetici haklarına sahip olunduktan sonra saldırgan rolündeki kişi tarafından atlatılabilir. Bu bilgisayara erişmek için yönetimsel paylaşımı veya RDP bağlantısı açılması gerekmektedir. Bu işlem Remote Registry Editor (regedit.exe) ile kolaylıkla gerçekleştirilebilir. Eğer birden fazla bilgisayar (veya kullanıcı) söz konusu ise bu işlem zorlaşabilmektedir. Bunun gibi bir durumda ise betikler veya DC üzerindeki Grup İlkeleri kullanılabilir.

1) Remote Registry Editor (regedit.exe) veya Betik ile
smb_enumusers_domain modülünde kullanılan veya hedef istemci bilgisayarda yetkili olan bir hesap ile aşağıdaki komutlar çalıştırılarak ilgili kayıt değerleri değiştirilebilir:

reg add \\192.168.8.143\HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareWks /t REG_DWORD /d 1 /f
reg add \\192.168.8.143\HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareServer /t REG_DWORD /d 1 /f
reg add "\\192.168.8.143\HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

Not: Bu işlemin geçerli olması için istemcideki "Remote Registry" adlı servisi çalışıyor olmalıdır.
Not: Eğer birden fazla bilgisayar için işlem yapmak gerekiyorsa bir betikle her IP değeri için bu işlem gerçekleştirilmelidir.

Bunun yanında görsel olarak da editor üzerinden bu işlem gerçekleştirilebilir. Herhangi bir Windows makinede Registry Editor üzerinde "File > Connect Network Registry" adımları ile istenilen bilgisayara bağlanılabilir.

Daha sonra da istenilen değişiklik gerçekleştirilir.

Not: Yönetimsel paylaşımların etkinliği için gerçekleştirilen değişikliklerin gerçekleşmesi için bilgisayar yeniden başlamalıdır. Yeniden başlama işlemi için yine uzaktan bir komut ile (shutdown /m \\PC1 /f /r /t 0) bilgisayar yeniden başlatılmaya zorlanmalıdır.

Not: Yeniden başlatmaya gerek kalmadan lanmanworkstation ve lanmanserver servisleri durdurulup tekrar başlatılırsa (net stop <ServisAdi> ve net start <ServisAdi>) da ilgili değişiklikler yansıyabilir. Ancak bu durum her zaman geçerli olmayabiliyor. Bu sebeple bilgisayarn yeniden başlatılması daha garanti bir yöntemdir.

Son durumda (kayıt değerleri değiştirildikten ve bilgisayar yeniden başladıktan sonra) istemci üzerinde aşağıdaki komutlar kullanıldığında uygulanan değişikliklerin yansıdığı görülmüştür:

net share
reg query HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareWks
reg query HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareServer
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

Böylece yetkili herhangi bir Windows makineden, yönetimsel paylaşımların açıldığı ve uzak masaüstü bağlantısının etkinleştiriği görülmektedir.

2) Grup İlkeleri ile
Kayıt Defteri (veya regedit) ile kayıt değerlerinin değiştirilmesi için Remote Registry adlı servisin başlatılmış olması gerekir. Eğer başlatılmamışsa Grup İlkeleri ile daha önceden gerçekleştirilen aynı işlemler gerçekleştirilebilir.

Bu amaçla ilgili bilgisayarın [(PC1) veya kullanıcının (eakullanicisi1)] bulunduğu OU (sirket.local/Bilgisayarlar/Ankara/Bilgi Islem/Sistem ve Guvenlik/PC1) altındaki grup ilke nesnesi (GPO) kullanılacaktır. Grup ilkesinin ilk hali şu şekildedir:

Grup ilkesi için kayıt değeri aşağıdaki şekilde güncellenir:

• Bu amaçla Registry Wizard kullanılabilir. Ayrıntılı bilgi için bakınız: http://technet.microsoft.com/en-us/library/cc771001.aspx
• Diğer bir yöntem de şu şekildedir: http://technet.microsoft.com/en-us/library/cc753092.aspx
• Ayrıca betiklerle de bu işlem gerçekleştirilebilir: http://technet.microsoft.com/en-us/library/cc779329(v=ws.10).aspx

Son durumdaki grup ilkesi aşağıdaki gibi olacaktır.

Grup ilke nesnesi güncellendikten sonra ilgili değişiklikler gerçekleşmiştir (Bilgisayarın kendi kendine politikayı alması beklenmemesi için "gpupdate /force" komutu kullanılmıştır)

UYARI: Grup ilkelerinin kullanılması durumunda, ilkenin uygulanacağı nesneler (kulalnıcı hesabı, bilgisayar hesabı vs) iyi belirlenmelidir. Aksi halde istenilmeyen durumlar oluşabilir. Örneğin, bir kişiye veya gruba uygulanmak istenen üstteki politika aynı zamanda o kullanıcıların oturum açtığı her bilgisayarda etkin olabilir. Bu durumda bu kullanıcıların oturum açtığı her bilgisayarda RDC ve yönetimsel paylaşımlar açılabilir.

AV Bypass: Paketleyiciler

AV Bypass: Paketleyiciler

Dosya sıkıştırma uygulamaları, aslında çalıştırılabilir dosya üzerinde sıkıştırma işlemi gerçekleştirip dosyanın işlevini değiştirmeyen sadece görünümünü değiştiren yazılımlardır. Normal sıkıştırıcılardan (zip, winrar) farklı olarak dosyanın nasıl açılıp yorumlanacağı yeni oluşturulan paketlenmiş dosyanın içerisinde yer alır. Bu yüzden yeni oluşturulan dosyalara kendi başına açılabilir arşiv (self-extracting archive) denilmektedir. Dosya sıkıştırma uygulamalarının, sıkıştırma ve antivirüslerden gizlenme gibi kullanımlarının yanında diğer bir kullanım amacı da tersine mühendislik yapmayı zorlaştırarak yazılımların kaynak kodunun elde edilmesini zorlaştırmaktır.

Dosya sıkıştırma uygulamaları, analiz işini zorlaştırmak için aşağıdaki özellikleri kullanabilirler:

• Sıkıştırma
• Şifreleme
• Tersine mühendislik yöntemlerini zorlaştıran metotlar

Dosya sıkıştırma uygulamaları ile ilgili ayrıntılı bilgi için bakınız.

Bu yazıda dosya sıkılaştırma uygulamaları ile mimikatz adlı bir zararlı yazılım PESpin adlı bir araçla yeniden paketlenecektir. Mimikatz aracının VirusTotal analiz sonucunda 16 AV tarafından tespit edildiği görülmektedir.

PESpin aracı ile mimikatz dosyası seçilir.

Sonuçta bu dosya yeniden paketlenir.

Paketleme işlemi sonrasında yeni dosyanın 1 AV tarafından tespit edildiği görülmektedir.

Yeni uygulamanın işlevselliğinde ise herhangi bir değişiklik olmadığı görülmektedir.