Etki Alanı Sızma Testi İçin Eğitim Amaçlı Örnek Senaryo

Etki Alanı Sızma Testi İçin Örnek Senaryo

Önceki yazıda etki alanı sızma testinin nasıl gerçekleştirildiğine dair örnek bir metodoloji sunulmuştu. Bu yazıda EĞİTİM AMAÇLI örnek bir senaryo gerçekleştirilecektir.

Ortam Bilgisi

Hazırlanan senaryoda 6 bilgisayar kullanılmaktadır:

1) XP: Standalone bir bilgisayardır. C diskinde kritik bilgi (SAM/SYSTEM dosyaları) bulunacaktır.
2) W7: Etki alanına dahil olan istemci bilgisayardır.
3) W7-Test: Etki alanına dahil edilecek olan istemci bilgisayardır. Etki alanında "Domain Admins" grubuna üye olan kullanıcının standart hesabı ile oturum açılacaktır. Üzerinde antivirüs yüklüdür. Üzerinde yüklü olan Winscp içerisinde bir de UN/PW kayıtlı bulunmaktadır. Ayrıca DC bilgisayarına RDP ile bağlantı kurulmuştur.
4) DC: Etki alanı denetleyicisidir.
5) S_Kali: Saldırı amacıyla kullanılacak KALI bilgisayardır.
6) S_W7: Saldırı amacıyla kullanılacak W7 bilgisayardır. 

Senaryo Videosu

Senaryo ile ilgili video aşağıdaki gibidir:

Videoyu indirmek için tıklayınız.

Senaryo Adımları

Senaryo 7 adımdan oluşmaktadır:

1) XP bilgisayara sızılacak ve kritik bir bilgi (C:\SAM ve C:\SYSTEM) edinilecektir.
2) 1. adımda elde edilen kritik bilgi ile etki alanına dahil olan W7 bilgisayarına erişim sağlanacaktır. Bu bilgisayardan yerel kullanıcıların parola özetleri elde edilecektir.
3) 2. adımda elde edilen yerel kullanıcıların parola özetleri ile W7-Test bilgisayarına (AV'e yakalanmadan) sızılacaktır.
4) W7-Test bilgisayarındaki mevcut kullanıcı oturumuna erişim sağlanacak. Bu bilgisayarda DC makineye yapılan RDP'ye fark edilecek. Oturum açan (Sizma\Cemil Ustun) ve Domain Admins grubundaki bir kullanıcının ("Sizma\Cemil.ustun2") parolası elde edilecek.
5) W7-Test bilgisayarına "Sizma\Cemil Ustun" adlı kullanıcı haklarıyla RDP yapılacaktır. W7-Test bilgisayarındaki AV devre dışı bırakılacaktır.
6) W7-Test bilgisayarına MSF psexec ile bağlanılacak ve Winscp ile kayıtlı bağlantı bilgileri elde edilecektir.
7) Etki alanındaki kullanıcıların parola özetleri elde edilecektir.

Senaryo Adımlarına Yönelik Resimler:

0) Ağ Keşfi ve Zafiyet Taramasi 

1) Zafiyetin Sömürülmesi: MS08-067

1-2 Geçişi) SMB Oturum Sorgulaması

2) W7 Bilgisayarına PTH ile Erişim

3) WCE ile PTH & RDP Etkinleştirme

4) Parola Çalma & Domain Admin Olma

5) AV Kapatma

6) WinSCP’de Kayıtlı Parolalarını Elde Etme

7) Domain Hesaplarının Parola Özetleri

Etki Alanı Saldırılarından Korunma Yolları: İmaj Yapılandırması

Etki Alanı Saldırılarından Korunma Yolları: İmaj Yapılandırması

Etki alanı sızma testlerinde gerçekleştirilen adımlardan birisi de yayılma adımıdır. Bir bilgisayardan yerel yöneticilerinin parolaları alındıktan sonra, aynı kullanıcı bilgilerini kullanan diğer bilgisayarlara giriş yapılmaya çalışılır. Bu amaçla aşağıdaki 2 yazı incelenebilir:

http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-smblogin-modulu-ile-yaylabilecek.html

http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-psexec-modulu-ile-yeni.html

Bu adımlardan gerçekleştirilmesinin önüne geçilmesi için etki alanındaki bir bilgisayarda bir şekilde elde edilen yerel yönetici kullanıcı parola bilgileri kullanılarak  (özet veya açık halinin) diğer bilgisayarlara erişim sağlanamamalıdır. Bu amaçla, kurum içinde kullanılan imajlar uygun şekilde oluşturulmalı ve özelleştirilerek kullanılmalıdır.
İmaj yapılandırılması için, en az aşağıdaki ayarların uygulanması gerekmektedir.

a) İmajlar güncellenmeli ve en güncel hali ile kullanılması sağlanmalıdır. Sıkılaştırma işlemleri için güvenlik şablonları kullanılabilmektedir. Güvenlik şablonları için aşağıda belirtilen kaynaklar tercih edilebilir:

http://www.bilgiguvenligi.gov.tr/kilavuz-dokumanlar/index.phphttps://benchmarks.cisecurity.org/downloads/multiform/http://web.nvd.nist.gov/view/ncp/repository

b) Etki alanına eklenen bir bilgisayar özel bir OU altına yönlendirilmesi sağlanarak (redircmp aracıyla veya hazırlanabilecek betiklerle) bu bilgisayarlar için özel grup ilkeleri kullanılmalıdır. Böylece etki alanına eklenen bir bilgisayarın otomatik olarak sıkılaştırılması da gerçekleştirilebilir. 

c) İmajlar kullanılarak işletim sistemi kurulurken, sadece gerektiği kadar kullanıcı oluşturulması saldırı yüzeyini azaltacaktır. Yerel yönetici haklarına sahip kullanıcılar oluşturulmamalı veya kontrollü bir şekilde oluşturulmalıdır. 

d) Etki alanı saldırılarından korunma için kullanılan en temel yöntemlerden biri de tuzak kullanıcı oluşturmaktır. Bu amaçla, etki alanında kullanılan yerel ilkede üç adım gerçekleştirilebilir.

• Bilgisayardaki gömülü (built-in) yerel yönetici kullanıcısı (Administrator) devre dışı bırakılarak, adı “Test” veya “Deneme” gibi şüphe çekmeyecek şekilde güncellenir. Parolası uzun ve karmaşık verilebilir. Bu işlem grup ilkelerindeki Preferences özelliği kullanılarak aşağıdaki gibi gerçekleştirilebilir.

Gömülü Yerel Yönetici Kullanıcı Bilgilerinin Güncellenmesi

• Gerçek yerel yönetici kullanıcısının kimliği güncellendikten sonra, yerel yönetici olarak kullanıcı adı Administrator, tanımı gömülü yerel yönetici tanımı ile aynı olan ("Built-in account for administering the computer/domain") tuzak bir kullanıcı oluşturulur. Tuzak kullanıcı parolası çok uzun ve karmaşık seçilerek parolanın açık halinin elde edilmesi zorlaştırılabilir. Ayrıca bu kullanıcı devre dışı bırakılarak, saldırganın zaman kaybetmesi sağlanabilir.Bu işlem grup ilkelerindeki Preferences özelliği kullanılarak aşağıdaki gibi gerçekleştirilebilir.

Tuzak Yerel Yönetici Kullanıcısının Oluşturulması

Not: Tuzak kullanıcı yukarıdaki gibi önleyici amaçla kullanılabildiği gibi, tespit amaçlı da kullanılabilir. Bu amaçla, tuzak kullanıcı parolası kolay elde edilebilecek şekilde kısa olarak ayarlanır. Daha sonra bu hesap ile bir kez oturum açılarak hesap etkin olarak bırakılır. Bu hesap ile yapılan işlemlerin denetim kayıtları tutularak bu hesaplar ile yapılan işlemlerden anlık olarak haberdar olunması sağlanabilir. Bu yöntem kullanılırken anlık haberleşme sisteminin etkin şekilde çalıştığından emin olunmalıdır.

• Son adım olarak da, oluşturulan tuzak kullanıcı Users veya Guests gibi bir gruba üye yapılabilir ve bilgisayar üzerindeki tüm hakları alınır.

 

Oluşturulan Tuzak Yerel Yönetici Kullanıcısının Guests Grubuna Üye Yapılması

Not: Tuzak kullanıcı oluşturma oldukça yaygın kullanılan bir yöntemdir. Bu sebeple sızma testi sırasında deneyimli kişilerce veya saldırı anında deneyimli saldırganlarca kullanıcıların SID değerleri kontrol edilerek tespit edilebilir. Ayrıca tuzak kullanıcı oluşturulurken Preferences üzerinden parola atanması işlemi çok güvenilir bir yöntem değildir. Konu ile ilgili bir sunum için bakınız. Bu sebeple, yerel yönetici parolalarının yönetimi için özelleşmiş uygulamaların veya betiklerin kullanılması tavsiye edilmektedir. 

- Bazı özel uygulamalar ile hem parola değişiklikleri otomatik, birbirinden farklı, rastgele ve periyodik olarak sağlanabilmekte; hem de gerektiği süre boyunca bu parolaların hangi kullanıcı tarafından, hangi amaç için kullanıldığı takip edilebilmektedir. Bu uygulamaların kullanılması yerel kullanıcıların yönetimini kolaylaştıracaktır. 

- Yerel yöneticilerin parolasının verilmesi betikler kullanılarak da gerçekleştirilebilir. Bu amaçla, bilgisayar adının (hostname) özelleştirilerek kullanılması yerel yönetici parolalarının farklılaşmasını sağlamaktadır. Yerel yöneticilerin ve BIOS şifrelerinin otomatik / birbirinden farklı olarak ayarlanması ve merkezi olarak yönetilmesi konusu ile ilgili bir yazı Bilgi Güvenliği Kapısı'nda yayınlanmıştır.

Etki Alanı ve Son Kullanıcıları Sızma Testi Metodolojisi

Etki Alanı ve Son Kullanıcıları Sızma Testi Metodolojisi

Microsoft domainin kullanıldığı sistemlerde yerel yönetici hesaplarına çok fazla ihtiyaç olmamakla birlikte, gerek sistem destek elemanları tarafından olsun, gerekse yerel yönetici haklarına ihtiyaç duyan yazılım geliştiriciler veya benzeri kullanıcılar tarafından olsun, bu hesaplar hâlâ kullanılabilmektir. Yerel yönetici hesapları ile çalışan bir kullanıcının hakları ile bir makineye sızıldığı takdirde, bu makinede normal kullanıcılar tarafından mümkün olmayan birçok saldırı gerçekleştirilebilmektedir. Örneğin; makinedeki şifre özetlerinin alınabilir veya o makinede oturumu halen aktif olan hesapların hakları kullanılabilir. Bu sebeple bir bilgisayarda yerel yönetici haklarının ele geçirilmesi sızma testi için oldukça önemlidir.

Kurumlarda yönetim kolaylığı için veya varsayılan ayar olarak kaldığı için birçok yerel yönetici hesabının ismi ve şifresi diğer birçok kullanıcı bilgisayarında da aynı olabilmektedir. Sonuç olarak bir makineden ele geçirilen yerel yönetici şifre özetleri, aynı şifreyi kullanan diğer bütün makineleri ele geçirmek amacıyla kullanılabilmektedir. Bu sebeple aynı parola özetlerinin kullanılması sızma testi için oldukça önemlidir.

Etki alanı ve son kullanıcıları bilgisayarları sızma testlerindeki hedef - aynı şifreyi kullanan diğer bütün bilgisayarları ele geçirmekten ziyade - domain admin kullanıcısının şifresini/biletini elde etmek ve/veya domain controller makinesine yetkili kullanıcı ile erişebilmektir. Domain yöneticisi hesapları, domaine dâhil makinelerde yüksek yetkilere sahip olmalarından dolayı kritik hesaplardır. Herhangi bir şekilde ele geçirilen bir domain yöneticisi hesabının sahip olduğu hakları kullanılarak domaine dâhil bütün sunuculara ve kullanıcı makinelerine erişilebilir. Bu erişim sonucunda bütün domain kullanıcılarının parolaları veya parola özetleri alınabileceği gibi,  ele geçirilen makinelerde; kritik bilgi içeren dosyaların incelenmesi, iletişim hattının kaydedilmesi, “key logger” çalıştırma gibi saldırılar da mümkündür. Bu saldırıların sonucunda daha kritik olan gizli bilgilere erişilebilmesi an meselesidir.

Etki alanı ve son kullanıcıları sızma testinin metodolojisi temel olarak aşağıdaki gibidir:

Etki alanı ve son kullanıcıları bilgisayarları sızma testi için akış şeması

Akış şemasının özetle şu şekildedir:

0-1-2-3) Bir makinedeki açıklıktan faydalanarak, o makinenin yerel yöneticiye ait hesap bilgileri ele geçirilir. Bu hesap bilgileri kullanıcı adı ve o kullanıcıya ait şifre ve/veya şifrenin özetidir.
4-7-8) Bu makineden domain hakkında bilgi edinilir. Bu makinedeki yerel kullanıcının hesap bilgileri ile domaindeki diğer makinelere sızılır.
5-6) Sızılan makinelerde domain yöneticisi veya domain üzerinde yetkili kullanıcıya ait şifre, şifre özeti veya bilet aranır.

Bu adımların nasıl gerçekleştirildiği hakkında ayrıntılı bilgi aşağıdaki sayfalar izlenerek edinilebilir:

0 - Makineye Fiziksel Olarak Erişerek CD/USB'den Boot Edilmesi

http://ertugrulbasaranoglu.blogspot.com.tr/2012/12/ipucu-makineye-fiziksel-olarak-eriserek.html

1 - Zafiyet Taramasının Gerçekleştirilmesi

http://ertugrulbasaranoglu.blogspot.com.tr/2012/12/ipucu-zafiyet-taramasnn.html 

2 - Zafiyetin Kullanılarak Bir Bilgisayara Sızılması

http://ertugrulbasaranoglu.blogspot.com.tr/2013/08/ipucu-zafiyetin-kullanlarak-bir.html 

3 - Yerel Yöneticilere Ait Şifre Özetlerinin Ele Geçirilmesi

http://ertugrulbasaranoglu.blogspot.com.tr/2013/09/ipucu-yerel-yoneticilere-ait-sifre.html 

4 - Hedef Makineden Sistem ve Domain Hakkında Bilgi Edinme

http://ertugrulbasaranoglu.blogspot.com.tr/2012/12/ipucu-ms08-067-zafiyetinin-kullanlmas.html

7 - smb_login Modülü ile Yayılabilecek Makinelerin Belirlenmesi

http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-smblogin-modulu-ile-yaylabilecek.html

8 - psexec Modülü ile Yeni Makinelerde Oturumun Açması

http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-psexec-modulu-ile-yeni.html

5 - Yüksek Yetkili Kullanıcı Haklarının İncelenmesi

http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-yuksek-yetkili-kullanc-haklarnn.html

6 - Domainde Yetkili Kullanıcının Haklarına ve Şifresine Sahip Olma

http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-domainde-yetkili-kullancnn.html

Her bir sayfada gerçekleştirilen adımın amacı, yöntemi ve bu saldırı adımından korunulması için gerçekleştirilmesi gerekilen önlemler belirtilmiştir.Etki alanı ve son kullanıcılarına karşı gerçekleştirilen saldırılardan ve sızma testinden korunmak için alınması gerekilen önlemler için bakınız.

Etki alanı sızma testi ile ilgili örnek bir senaryo için tıklayınız.

İpucu: smb_enumusers_domain Modülü ile Domain Admin Olma Senaryosu

smb_enumusers_domain Modülü ile Domain Admin Olma Senaryosu

Etki alanı sızma testlerinde en çok kullanılan yöntemlerden biri, aynı gömülü yerel yönetici (Built-in Administrator) parolasını kullanan bilgisayarların tespit edilmesidir. Bu amaçla öncelikle port taraması gerçekleştirilir ve tarama sonucunda 445. portu açık olan bilgisayarlarda smb_login modülü (http://www.offensive-security.com/metasploit-unleashed/SMB_Login_Check) çalıştırılır. Bu modül temel olarak hedef IP adreslerine, kimlik doğrulaması yapılacak kullanıcıya (genelde gömülü yerel yönetici kullanılır) ait etki alanı adına (genelde WORKGROUP kullanılır), kullanıcı adına (genelde Administrator kullanılır) ve parola (genelde parola direk elde edilemediği için parola özeti kullanılır) bilgilerine ihtiyaç duyar. Bu (smb_login) modül ile hedef bilgisayarlara verilen kullanıcı bilgileri ile giriş yapılabilecek bilgisayarların listesi elde edilir. Örnek bir sonuç aşağıdaki gibidir:

Bu modül ile tespit edilen bilgisayarlar için psexec modülü (http://www.offensive-security.com/metasploit-unleashed/PSExec_Pass_The_Hash) çalıştırılarak hedef bilgisayarlara yetkili kullanıcı (SYSTEM) hakları ile giriş yapılmaya çalışılır. Giriş yapılan her bilgisaayrda hem kritik veri aranır hem de Domain Admin kullanıcısına ait jeton (token) araştırması yapılır.
Yukarıda temel olarak belirtilen bu işlemler sırasında Domain Admin jetonuna ulaşmak zahmetli olabilmektedir. Bu amaçla smb_enumusers_domain (http://www.rapid7.com/db/modules/auxiliary/scanner/smb/smb_enumusers_domain) adlı bir modül kullanılır. Bu modül ile bilgisayara giriş yapan kullanıcılar tespit edilebilir. Modülün örnek bir çıktısı aşağıdaki gibidir:

Bu (smb_enumusers_domain) modül, smb_login modülü ile yaklaşık olarak aynı parametreleri (hedef IP adresleri, kullanıcı adı, parola veya parola özeti, etki alanı adı başta olmak üzere diğer parametreler de özelleştirilebilir) alarak ilgili bilgisayarlarda oturumu olan hesapları listeler. Bu modülün çıktısından Domain Admin kullanıcıları seçilirse, hedef olarak bu bilgisayarlar üzerine yoğunlaşılabilir.

Bu modülün çıktısını ve etki alanındaki tüm yöneticilerin hesaplarının bulunduğu dosyayı parametre olarak alan bir betiğin sonucu aşağıdaki gibidir.

Bu modülün yaptığı işi ve daha kapsamlı seçenekler sunan KACAK adı uygulama ile ilgili ayrıntılı bilgi için bakınız.

İpucu: smb_login Modülü ile Yayılabilecek Makinelerin Belirlenmesi

smb_login Modülü ile Yayılabilecek Makinelerin Belirlenmesi

Amaç

• Port taraması ile SMB (Server Message Block protokolü) dosya paylaşımını sağlayan TCP 445. portu açık olan makineler bulunacaktır.
• Elde edilen bir yerel kullanıcı hesap bilgilerinin, organizasyondaki diğer makinelerde de yetkili olup olmadığı belirlenecektir.

Yöntem
Önceki adım ile elimizde sadece bir makinede yerel yönetici hesabı dahil olmak üzere yerel kullanıcı hesaplarına ait şifrenin özeti bulunmaktadır:

Hedef makinedeki kullanıcıların şifre özetlerinin listelenmesi

Bu özet halindeki şifreyi ve Administrator (yerel yönetici) kullanıcısı kullanarak, diğer makinelere de girilmeye ve böylece organizasyondaki diğer makinelere yayılım gerçekleşecektir. Yayılım işlemi; port taraması yapıldıktan sonra veya direk olarak zafiyetle ilgili modül kullanılarak gerçekleştirilebilir.
SMB dosya paylaşım portu (TCP/445) açık olan makinelerin bulunması nmap komutu ile (veya Zenmap kullanarak) gerçekleştirilebilir:

nmap –Pn –sT –p 445 192.168.172.0/24 --open

nmap komutu ile 445. portu açık olan makinelerin tespit edilmesi

Büyük bir ağda çok uzun bir sonuç gelebileceğinden sadece IP’lerin alınmasını isteyebiliriz. Bunun için düzenli ifadeler (regex) kullanılabilir:

nmap –Pn –sT –p 445 192.168.172.0/24 --open | grep -oE '.*((25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9][0-9]|[0-9])\.){3}(25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9][0-9]|[0-9])'

veya

nmap –Pn –sT –p 445 192.168.172.0/24 --open | grep –oE '[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}'

veya

nmap –Pn –sT –p 445 192.168.172.0/24 --open | grep –oE ‘[0-9]{1,3}[\.]'

nmap komutu ile 445. portu açık olan makinelerin listelenmesi

SMB dosya paylaşımı açık olan IP'ler bulunduktan sonra sadece bu makinelere sızılmaya çalışılabildiği gibi, tüm ağdaki makineler için de sızma işlemi denemesi yapılabilir.
Sızma işlemini deneyeceğimiz makinelerde, hashdump ile şifresinin özetini elde ettiğimiz yerel yönetici hesabı ile aynı şifreyi kullanan kullanıcılar araştırılır:

search smb_login
use auxiliary/scanner/smb/smb_login
show options

smb_login modülünün incelenmesi

Seçenekler uygun şekilde ayarlanır:

set BLANK_PASSWORDS false
set RHOST 192.168.172.0/24
set SMBPASS aad3b435b51404eeaad3b435b51404ee:da8aef7a322d9ecf8d1d7e220f837176
set SMBUSER administrator
set THREADS 15
set USER_AS_PASS false

smb_login modülünün düzenlenmesi

Exploit işlemi gerçekleştirilir:

exploit

SUCCESSFUL LOGIN sonucunu dönenler "administrator" kullanıcısına ait şifrenin özeti, elimizdeki özet değer ile aynı olan makinelerdir:

smb_login kontrolünde başarılı dönen sonuç örneği

Not: FAILED LOGIN sonucunu dönenler ise başarısız exploit denemeleridir:

smb_login kontrolünde başarısız dönen sonuç örneği

Not: smb_login modülü yerine hedef odaklı olarak smb_enumusers_domain modülü de kullanılabilir. Bu modülle ilgili ayrıntılı bilgi için bakınız:

http://ertugrulbasaranoglu.blogspot.com.tr/2013/11/ipucu-smbenumusersdomain-modulu-ile.html

Önlem

• Ağ üzerinde kurallar tanımlayarak; belirlenen IP’lere, belirlenen portlardan kontrollü bir şekilde izin verilmelidir.
• “administrator” gibi varsayılan yerel yönetici hesaplarının isminin değiştirilmelidir. Böylece yapılacak birçok saldırıda yerel yönetici hesabının isminin kolayca ve otomatik olarak bulunmasını zorlaştıracaktır.
• Organizasyondaki makinelerde bulunan yerel kullanıcıların şifreleri farklı ayarlanmalıdır.
• Yerel yönetici hesaplarının şifreleri,  şifre kırma saldırılarına karşı korumak amacıyla karmaşık seçilmelidir.
• Kullanılmayan ve ihtiyaç duyulmayan yerel yönetici hesapları kaldırılmalı veya devre dışı bırakılmalıdır.