Herkese Selam TürkHackTeam Sakinleri Ben 19.Tümen Üyesi MoİZ
Bugün sizlere Credential Dumping Technicals yani Kimlik Bilgisi Sızdırma Tekniklerini anlatacağım.
Öncelikle Credential Dumping – Kimlik Bilgisi Sızdırmanın ne olduğunu öğrenelim.
Credential Dumping, bir kötü niyetli saldırgan ya da saldırganlar tarafından hedefi bir sisteme ya da ağa yetkisiz şekilde erişmek ve erişilen sistemdeki bilgileri parolaları, hashleri, ticketları ve aklınıza değerli olarak ne gelirse hepsini izinsiz bir şekilde çalmak çaldıktan sonra yayımlamak ya da lazım olacağı bir zamanda tekrardan kullanmak üzere kopyalamaktır.
Saldırganlar için hedef sistemde bilgisayarda önemli bir kaç nokta vardır
Bunlar;
⦁ Microsoft Windows’ta LSAA yani (Local Security Authority Subsystem Service) belleği.
⦁ Active Directory olarak kullanılan bir server üzerinde NTDS.dit adlı dosya, klasör.
⦁ Microsoft Windows’ta tekrar kayıt defterinde tutulan LSA(Local Security Authority) ki bu Windows güvenlik duvarının kalbi olarak görülür.
⦁ Linux/Unix tabanlı işletim sistemlerindeki passwd ve shadow dosyaları.
⦁ Ve GPP (Group Policy Preferences) Password’ dur.
Şimdi de gelin bunların içlerinde neyi tutup neyi tutmadıklarına bakalım ki yapılan sömürge ataklarında saldırganların neyi elde etmek isteyip istemediğini anlayalım ve öğrenelim.
⦁ Microsft Windows’taki LSAA kısaltımını yukarıda verdim, içerisinde şunu tutuyor arkadaşlar: Kullanıcılara ya da kullanıcıya ait kimlik ve oturum bilgileri ve parolalar, parola hashleri.
⦁ Active Directory üzerinde NTDS.dit dosyası neyi tutuyor: Domain içerisindeki tüm kullanıcı ve oturumlarına ait kimlik bilgilerini tutuyor sayın türkhackteam sakinleri.
⦁ Mc. Windows’ta kayıt defterinde tutulan LSA ise içerisinde tuttuğu bilgiler şunlar: Tekrar kullanıcılara ya da kullanıcıya ait parolalar ve bilgiler ayrıca şunu da tutuyor işletim sistemi içerisindeki servislerin hesap şifrelerini.
⦁ Passwd ve shadow dosyalarının tuttuklarına gelir isek onlarda şunlardır:
Passwd: Kullanıcı hesap bilgilerini
Shadow: Passwd içerisindeki kullanıcıların hashli parolalarını tutuyor.
⦁ GPP: Plain Text parolaları
Hemen açıklayalım Plain Text parolaları ne demektir:
Türkçesi açık metin parolalarına anlamına gelen bu terim bize şunu demek istiyor, içerisinde bir değer taşıyan ve şifreleme yapılmamış olan bu sebeple de şifreleme anahtarı bulunmayan dümdüz apaçık okunabilen parolalardır.
Peki arkadaşlar şimdi buraya kadar ne öğrendik güzel soru hadi bi bakalım.
Buraya kadar şunları öğrendik:
Credential Dumping nedir?
Credential Dumping Yapmak İçin Hedef Alınan Noktalar Nerelerdir Ve Bu Noktalar İçerlerinde Neler Barındırmaktadır?
Şimdi çok güzel buraya kadar öğrendik tamam ama bize ne lazım bu atakları yapabilmemiz için araçlar,yazılımlar lazım tabii ki de e peki bu araçlar ve yazılımlar hangileri hadi öğrenelim.
⦁ Mimikatz
⦁ Cobalt Strike
⦁ LaZagne
⦁ Metasploit
⦁ Impacket
⦁ John The Ripper
Evet işte arkadaşlar bu 6 tane yukarıdaki mükemmel araçlarımız iyi niyetli kullanıldıklarında adeta bir melek ama kötü niyetli kullanıldıklarında ise tamamen birer şeytana dönüşürler çünkü bu uygulamalar aşırı güçlüdürler. İsterseniz hepsinin ortak bir özelliklerine bakalım.
Bu arkadaşların ortak özellikleri şunlardır sevgili sakinler sistem ele geçirildikten sonra uzaktan devreye girebilirler, kendileri kendilerini kullanan kötü niyetli saldırganlara yetki yükseltebilme yapabilirler, yanal olarak hareket edebilirler ve ele geçirdikleri her ne var ise onlar hakkında detaylı bir şekilde rapor verebilirler.
Peki arkadaşlar şimdi varsayalım ki saldırganlar bizim sistemimize girmek istediler peki bunu nasıl yapacak bunlar?
Öncelikle yapmaları gereken şey şu sisteme ya da ağa erişim sağlamalılar. Erişim sağlandıktan sonra kullanıcya veya kullanıcılara ve bilgisayarlara , ağa ait kimlik bilgilerini sistem belleğinden bulup çıkartıp ele geçirmelidirler. Elde ettikleri bu veriler ile dilerler ise büyük çaplı kritik bir saldırı yapabilir ya da sızdırabilirler ya da yeniden tekrardan kullanmak üzere kopyalama yapabilirler ki bu durumda şu da devreye girebilir. Bir backdoor da oluşturabilirler. Öyle ki bu backdoor oluşturulduğunda saldırgan için tamamen hedef sisteme girip çıkmak çok rahat gelecektir.
Yukarıda da dedik ya şimdi arkadaşlar yanal hareket yapabilir bu süper 6’lı arkadaşlar peki yanal hareket derken ne demek istedik şunu demek istedik ki eğer kötü niyetli saldırganlar bir sisteme erişebilir ve sistemden kritik bilgileri elde edebilirler ise ağa ait diğer sistemlere de rahat bir şekilde kendilerini aktarabilir ve giriş yapabilirler. Girdikleri bu yeni sistemlerde kendilerine daha yüksek yetkiler verebilir ve hatta yeni etki alanı dahi bile oluşturabilirler.
Tabii ki dilerler ise ağı devre dışıda bırakabilirler. Ya da şöyle de denilebilir bir siber güvenlik uzmanı tarafından böyle bir atağın gerçekleştirildiği anlaşıldı o durumda da bu ataklar ağı devre dışı bıraktırabilir arkadaşlar ve bu tabii ki de istemediğimiz bir durumdur.
Hemen şimdi size şu alt tarafa bir resim bırakıyorum bu resim arkadaşlar kötü niyetli siber saldırganların bir sisteme erişmesi sırasındaki izledikleri adımlardır yukarıda da
anlattığım gibi.
Arkadaşar eğer sorarsınız ki iyi güzel bak şimdi biz öğrendik bu credential dumping’in ne olduğunu nereye saldırdıklarını , saldırdıklarında neyi hedefleyip elde etmek istediklerini ve hatta hangi araçlar programlar ile bunu yaptıklarını.
Peki ya bu araçlar içerisinde kullanılan modüller ne ?
Arkadaşlar kötü niyetli saldırganlar sadece size söylediklerim bu hedefler ile sabit kalmayıp ayrıca baktıkları yerler de var oralar da şuralar günlük tutulan log kayıtları ve veritabanları çünkü neden şu sebepten ötürü ki buralarda da önemli kritik bilgiler tutulabilir örneğin düşünün bir veritabanına veya bir sistemin loglarına sızdınız ve orada geziniyorsunuz karşınıza çıkabilecek kritik bilgileri bir düşünün.
Işte tam buralara girdiklerinde ve buradan elde ettikleri hash’ler ticket’lar ve parola’lar için şu modülleri kullanıyorlar pass-the-hash ya da pass-the-ticket.
Peki ya bu pass-the-hash ve pass-the-ticket ne?
Şimdi de bunların ne demek olduğunu öğrenelim.
Pass-the-hash; ile kötü niyetli saldırgan kullanıcının parolasına bile bilmesine gerek olmadan sadece hash değeri ile başka bir sistemde kullanıcı adını kullanarak oturum açabilir ve kimlik doğrulaması yapabilir.
Pass-the-ticket; ile saldırgan ele geçirdiği ticketları kullanıcı adına kullanıcının yetkilerini kullanarak ağda yetkili kişi olarak önemli bilgilere ulaşabilir ve ele geçirebilir.
Hatırlıyor musunuz arkadaşlar yukarıda size süper 6’lı arkadaşlar bahsetmiştim şimdi onlar hakkında biraz daha fazla bilgi vermek istiyorum.
Öncelikle Mimikatz ile başlayalım.
Mimikatz
Bu Mimikatz denilen araç olan arkadaş bilgisayar korsanları ve siber güvenlik uzmanları tarafından sistem içerisindeki bellekten parola ve kimlik bilgileri gibi hassas bilgileri dump etmek yani çıkarmak için yaygın olarak kullanılır.
Kötü niyetli saldırganlar mimikatz’i genelde ağlara, sistemlere veya uygulamara yetkisiz erişim sağlayabilmek veya privilege escalation(yetki yükseltme) yapabilmek ya da yatay olarak hareket edebilmek gibi kötü amaçlı faaliyetler gerçekleştirmek için kullanırlar.
Mimikatz aracı saldırganın nasıl bir atak dilediğine göre farklı şekillerde kullanılabilir
Örneğin:
Sistemlerin belleklerinden kullancılara ait parola, hash , ticketlar çalarak saldırganların kullanıcının kayıtlı olduğu ağlara, sistemlere ya da uygulamalara erişmesini sağlar.
Kullanıcılara ait bilgileri çalarak 2FA doğrulamalarını geçmesinde kolaylık sağlar.
Sistemin içerisindeki gücü ile saldırgana yetki yükseltme imkanı vererek yetkisin yükseltebilir ve bu sayede daha kritik hassas verilere ele geçirmesine veya saldırganın isteği doğrultusunda daha kötü sonuçlara yol açacak bir saldırı gerçekleştirebilir.
Yukarıda da söylediğim gibi yatay olarak hareket edebilmesinin imkanı ile diğer sistemlere veya ağlara rahatça erişebilirlik sağlar.
Peki bu kadar değerli bir aracı kim buldu geliştirdi değil mi bu kişi Benjamin Delpy arkadaşlar.
Benjamin Delpy 2007 yılında mimikatz aracı geliştirdi.
Örneğin size LSA dan bahsetmiştim. Mimikatz orada da devreye girebiliyor bir örnek daha verir isek.
Şimdi sıra geldi LaZagne’yi anlatmaya
LaZagne
LaZagne sömürülmek üzere ele geçirilmiş sistemlerde kayıtlı olan şifreleri ele geçirebilmek çalabilmek için tasarlanmış açık kaynak kodlu ve çok modüllü bir şifre çalma aracıdır. Bu aracı ilk önce ne kadar da Microsoft Windows için tasarlanmış olsa da daha sonra Linux’u da destekleyecek şekilde gelişti. Eğer bir sınıflandırma içerisine alır isek LaZagne’yi şu sınıfa kesinlikle koyabiliriz saldırı sonrası kullanılan yazılımlar.
Saldırganlar LaZagne ile ilk öncelikle kritik oturum hesaplarına ve kritik bilgilere yetkisiz erişim sağlayabilmek amacı ile kullanırlar. LaZagne’nin siber güvenlikleteki önemi ne diye sorar isek o da şudur ki zayıf güvenlik uygulamalarını , servislerini ortaya çıkarır ve siber güvenlik uzmanlarının güvenlik açıklarını belirlemesinde yardımcı olur.
Bir diğer soru şu LaZagne ne zaman keşfedildi ?
LaZagne ilk olarak adli amaçlar doğrutulsunda tasarlandı. Fakat LaZagne’nin yaptıkları kısacası yeteneği kötü amaçlı siber saldırganlar tarafından fark edildi ve kötüye kullanılmak üzere ilgi altına alındı böylelikle LaZagne siber suçlular arasında şöhret kazanmış oldu.
LaZagne’nin Dağıtım Yöntemi Nedir ?
LaZagne kimlik avında, zararlı yazılım indirmelerinde, aracı saldırılarda ve diğer zararlı yazılımlar ile birlikte paketlenerek dağıtılır. Açık kaynak kod yapısı, diğer tehlikeli yazılımlar veya araçlar ile birlikte çalışmasına elverişli oldu.
LaZagne Kullanım Alanları: İnternet Tarayıcıları, Veritabanları, E-Posta Sistemleri, WiFi Ağları ve İşletim Sistemleri
LaZagne Çalışma Mantığı?
Bu araç hedef sistemi tarayarak yukarıda belirtmiş olduğum kullanım alanlarında bilgiler, veriler aramaya başlar. Verileri bulduktan sonra verileri raporlayarak kontrol sunucusuna gönderir veya ağ içerisinde yatay olarak hareket ederek depolar. Tespit edilebilme olasılığı zordur.
Cobalt Strike
Bu araçta siber güvenlik uzmanları ve kötü amaçlı saldırganlar tarafından popüler olan bir sızma testi aracıdır. Siber güvenlik uzmanları Cobalt Strike’ı ağların ve sistemlerin güvenliğini değerlendirmek üzere kullanmakta iken kötü niyetli saldırganlar tarafından da güvenlik açıklıklarını , sistemlerin zayıf noktalarını bulmak amacı ile kullanılır.
Saldırganlar neden Cobalt Strike’ı tercih ederler çünkü Cobalt Strike güçlü yapısı ve saldırıları da uzaktan kontrol edebilme, raporlayabilme potansiyeline sahip bir araç. Bu güçlü yönleri sebebi ile siber suçlular tarafından tercih edilir.
Cobalt Strike’ın Modülleri Nelerdir ?
⦁ Beacon, nedir bu beacon; saldırganların uzaktan istediklerini yapmasına izin veren ve saldırıları izleyip sonuçlarını görüntüleyebilmesine olanak tanıyan modüldür. Bir nevi uzaktan erişim aracıdır.
⦁ Empire, saldırganlara yatay olarak hareket edebilme yeteneği, yetki yükseltme ve veri sızdırma gibi etkinlikleri yapabilmesine izin veren araç.
⦁ Web Drive-By bu araç saldırganların hedef altına aldığı kimselerin bir web sitesini ziyaret etmeleri sonrasında kötü amaçlı yazılımlara maruz kalmasını sağlar.
Siber Suçlular Neden Cobalt Strike’ı Nasıl Kullanıyor?
Siber Suçlular Cobalt Strike’ı şöyle kullanıyor:
⦁ Saldırgan öncelikle sızdırılmış veya kırılmış bir Cobalt Strike elde eder.
⦁ Saldırgan hedef bilgisayarı kendi teknikleri ile Cobalt Strike indirme işlemine davet eder.
⦁ Kurulum tamamlandıktan sonra saldırgan hedef bilgisayardaki açıkları aramak için Beacon’ı başlatır.
⦁ Saldırıya başlanmak istediğinde Beacon tarafından soru-cevap yapılır ve istenilen saldırı türü ne ise başlatılır.
⦁ Saldırı sonrasında Beacon elde ettiği bilgileri raporlayarak saldırgana iletir.
Pratik bölüme geçmeden önce şunu söyleyerek başlamak istiyorum.
Credential Dumping yapar iken en önemli ve asıl amaç şudur ki sistemde ve domain , ağ üzerinde en yetkili kişi olmak.
Bu şu yollar ile yapılabilir ya; domain admin oturumunu ele geçiririz, ya da yatay hareket ile domain üzerinde tam hak sahibi oluruz.
LSAA üzerinden veri alabilmemiz için yönetici hak ve yetkilerine sahip olan bir hesaba (oturuma) ihtiyacımız var.
Ancak bu şart ile lsass.exe belleğinden veri çekebiliriz.
Peki veri çekme işlemini nasıl yapıyoruz?
Öncelikle hedef sisteme mimikatz aracımız ile sızıyoruz.
Sızma sonrası görev yöneticisini açıyoruz ve detaylar kısmındaki lsass.exe dosyamıza sağ tıklayarak “Create Dump File” seçeneğini seçiyoruz.
Bu seçeneği seçtiğimizden sonra otomatik olarak bir işlem başlatılacak.
Bu işlemi bekliyoruz ve sonuç olarak bize verileri nereye çektiğimizi gösteren bir bildirim durumu ile karşılaşıyoruz.
Bu belirtilmiş olunan dosya yoluna gittiğimizde göreceğiz ki verileri çekilmiş olan yani dump edilmiş olan .DMP uzantılı bir dosya var.
Burada da görüldüğü üzere .DMP uzantılı dump( çıkarmak , çekmek) dosyamız var.
Bu dosya ile işimiz şimdi ne onu cevaplandıralım. Bu dosyayı gördüğümüz gibi hemen üzerine vs. Tıklamıyoruz öncesinde de yapmamızz gereken işlem şu ki bu dosyayı bulunduğu dosya dizininden çıkartıp Mimikatz aracımızın bulunduğu dizine alıyoruz.
Buraya kadar çok güzel ilerleme kaydettik. Sonraki adımımız Mimikatz aracımızı çalıştırmak olacak tabii ki de yönetici modunda çalıştıracağız.
Mimikatz aracını başlattığımızdan sonra içerisinde girmemiz gereken bir kaç komut kodu yapısı var.
Bunları sırası ile işlem işlem göreceğiz.
Yönetici modunda aracımızı çalıştırdak sonra açılan pencerede “privelege::debug” komutunu girerek aracımızı debug modunu geçirelim.
Daha sonrasında bir önemli komut kodumuz daha var ki o da şu ki “sekurlsa::minidump lsass.DMP” farkettiyseniz buradaki son kısım bizim dosyamızın ismidir.
Bu komut kodu ne işimize yaracak önce onu öğrenelim ki kafamız karışmasın.
Bu komut kodu ile .DMP dosyası içerisindeki yazılan verileri, şifreleri bize göstermesini istiyoruz.
Böylelikle lsass.DMP dosyamızın içerisindeki verileri görebileceğiz.
LaZagne Aracı ile Sistem İçerisindeki Parolaları Çıkarmak
Bu işlemi gerçekleştirebilmemiz için yapmamız gereken her şeyden önce LaZagne aracına sahip olmak.
Bu araca nasıl sahip olacağız, indirme işlemi yaparak tabii ki de.
(indirme sırasında antivirüs yazılımlarını kapatılması tavsiye edilir.)
LaZagne aracını github üzerinde açık kaynak kodlu bir şekilde bularak indirebilirisniz.
Örneğin: Releases · AlessandroZ/LaZagne bu adres gibi.
Resimde görülen kırmızı kutucuklu “lazagne.exe” yazısına tıklayarak indirme sürecini başlatabilirisiniz.
İndirme işlemi bittikten sonra indirdiğimiz lazagne’yi yönetici modunda çalıştırmamız gerekli.
Bu işlemleri yaptıktan sonra arama çubuğundan ya da windows + r tuşlarına basarak cmd yani (command line) açıyoruz.
Yapmamız gereken bir sonraki adım şu indirilmiş olunan lazagne.exe dosyasını command line üzerinde tanımlamamız gerekli.
Bunu şu yol ile yapabilirsiniz.
Lazagne.exe dosyasının dosya dizinini kopyalarak cmd üzerinde yapıştırıp sonuna lazagne.exe yazabilirsiniz.
Daha sonrasında “enter” tuşuna basın.
Karşınıza bir kaç seçilebilir komut kodları gelecek, Aşağıdaki gibi.
Burada istenilen, yapılmak istenen işlem türüne göre seçilebilir komut kodları var.
Fakat tüm parolaları elde etmek isterseniz takip etmeniz gereken komut lazagne all dur.
Bugün sizlere Credential Dumping Technicals yani Kimlik Bilgisi Sızdırma Tekniklerini anlatacağım.
Öncelikle Credential Dumping – Kimlik Bilgisi Sızdırmanın ne olduğunu öğrenelim.
Credential Dumping, bir kötü niyetli saldırgan ya da saldırganlar tarafından hedefi bir sisteme ya da ağa yetkisiz şekilde erişmek ve erişilen sistemdeki bilgileri parolaları, hashleri, ticketları ve aklınıza değerli olarak ne gelirse hepsini izinsiz bir şekilde çalmak çaldıktan sonra yayımlamak ya da lazım olacağı bir zamanda tekrardan kullanmak üzere kopyalamaktır.
Saldırganlar için hedef sistemde bilgisayarda önemli bir kaç nokta vardır
Bunlar;
⦁ Microsoft Windows’ta LSAA yani (Local Security Authority Subsystem Service) belleği.
⦁ Active Directory olarak kullanılan bir server üzerinde NTDS.dit adlı dosya, klasör.
⦁ Microsoft Windows’ta tekrar kayıt defterinde tutulan LSA(Local Security Authority) ki bu Windows güvenlik duvarının kalbi olarak görülür.
⦁ Linux/Unix tabanlı işletim sistemlerindeki passwd ve shadow dosyaları.
⦁ Ve GPP (Group Policy Preferences) Password’ dur.
Şimdi de gelin bunların içlerinde neyi tutup neyi tutmadıklarına bakalım ki yapılan sömürge ataklarında saldırganların neyi elde etmek isteyip istemediğini anlayalım ve öğrenelim.
⦁ Microsft Windows’taki LSAA kısaltımını yukarıda verdim, içerisinde şunu tutuyor arkadaşlar: Kullanıcılara ya da kullanıcıya ait kimlik ve oturum bilgileri ve parolalar, parola hashleri.
⦁ Active Directory üzerinde NTDS.dit dosyası neyi tutuyor: Domain içerisindeki tüm kullanıcı ve oturumlarına ait kimlik bilgilerini tutuyor sayın türkhackteam sakinleri.
⦁ Mc. Windows’ta kayıt defterinde tutulan LSA ise içerisinde tuttuğu bilgiler şunlar: Tekrar kullanıcılara ya da kullanıcıya ait parolalar ve bilgiler ayrıca şunu da tutuyor işletim sistemi içerisindeki servislerin hesap şifrelerini.
⦁ Passwd ve shadow dosyalarının tuttuklarına gelir isek onlarda şunlardır:
Passwd: Kullanıcı hesap bilgilerini
Shadow: Passwd içerisindeki kullanıcıların hashli parolalarını tutuyor.
⦁ GPP: Plain Text parolaları
Hemen açıklayalım Plain Text parolaları ne demektir:
Türkçesi açık metin parolalarına anlamına gelen bu terim bize şunu demek istiyor, içerisinde bir değer taşıyan ve şifreleme yapılmamış olan bu sebeple de şifreleme anahtarı bulunmayan dümdüz apaçık okunabilen parolalardır.
Peki arkadaşlar şimdi buraya kadar ne öğrendik güzel soru hadi bi bakalım.
Buraya kadar şunları öğrendik:
Credential Dumping nedir?
Credential Dumping Yapmak İçin Hedef Alınan Noktalar Nerelerdir Ve Bu Noktalar İçerlerinde Neler Barındırmaktadır?
Şimdi çok güzel buraya kadar öğrendik tamam ama bize ne lazım bu atakları yapabilmemiz için araçlar,yazılımlar lazım tabii ki de e peki bu araçlar ve yazılımlar hangileri hadi öğrenelim.
⦁ Mimikatz
⦁ Cobalt Strike
⦁ LaZagne
⦁ Metasploit
⦁ Impacket
⦁ John The Ripper
Evet işte arkadaşlar bu 6 tane yukarıdaki mükemmel araçlarımız iyi niyetli kullanıldıklarında adeta bir melek ama kötü niyetli kullanıldıklarında ise tamamen birer şeytana dönüşürler çünkü bu uygulamalar aşırı güçlüdürler. İsterseniz hepsinin ortak bir özelliklerine bakalım.
Bu arkadaşların ortak özellikleri şunlardır sevgili sakinler sistem ele geçirildikten sonra uzaktan devreye girebilirler, kendileri kendilerini kullanan kötü niyetli saldırganlara yetki yükseltebilme yapabilirler, yanal olarak hareket edebilirler ve ele geçirdikleri her ne var ise onlar hakkında detaylı bir şekilde rapor verebilirler.
Peki arkadaşlar şimdi varsayalım ki saldırganlar bizim sistemimize girmek istediler peki bunu nasıl yapacak bunlar?
Öncelikle yapmaları gereken şey şu sisteme ya da ağa erişim sağlamalılar. Erişim sağlandıktan sonra kullanıcya veya kullanıcılara ve bilgisayarlara , ağa ait kimlik bilgilerini sistem belleğinden bulup çıkartıp ele geçirmelidirler. Elde ettikleri bu veriler ile dilerler ise büyük çaplı kritik bir saldırı yapabilir ya da sızdırabilirler ya da yeniden tekrardan kullanmak üzere kopyalama yapabilirler ki bu durumda şu da devreye girebilir. Bir backdoor da oluşturabilirler. Öyle ki bu backdoor oluşturulduğunda saldırgan için tamamen hedef sisteme girip çıkmak çok rahat gelecektir.
Yukarıda da dedik ya şimdi arkadaşlar yanal hareket yapabilir bu süper 6’lı arkadaşlar peki yanal hareket derken ne demek istedik şunu demek istedik ki eğer kötü niyetli saldırganlar bir sisteme erişebilir ve sistemden kritik bilgileri elde edebilirler ise ağa ait diğer sistemlere de rahat bir şekilde kendilerini aktarabilir ve giriş yapabilirler. Girdikleri bu yeni sistemlerde kendilerine daha yüksek yetkiler verebilir ve hatta yeni etki alanı dahi bile oluşturabilirler.
Tabii ki dilerler ise ağı devre dışıda bırakabilirler. Ya da şöyle de denilebilir bir siber güvenlik uzmanı tarafından böyle bir atağın gerçekleştirildiği anlaşıldı o durumda da bu ataklar ağı devre dışı bıraktırabilir arkadaşlar ve bu tabii ki de istemediğimiz bir durumdur.
Hemen şimdi size şu alt tarafa bir resim bırakıyorum bu resim arkadaşlar kötü niyetli siber saldırganların bir sisteme erişmesi sırasındaki izledikleri adımlardır yukarıda da
anlattığım gibi.
Arkadaşar eğer sorarsınız ki iyi güzel bak şimdi biz öğrendik bu credential dumping’in ne olduğunu nereye saldırdıklarını , saldırdıklarında neyi hedefleyip elde etmek istediklerini ve hatta hangi araçlar programlar ile bunu yaptıklarını.
Peki ya bu araçlar içerisinde kullanılan modüller ne ?
Arkadaşlar kötü niyetli saldırganlar sadece size söylediklerim bu hedefler ile sabit kalmayıp ayrıca baktıkları yerler de var oralar da şuralar günlük tutulan log kayıtları ve veritabanları çünkü neden şu sebepten ötürü ki buralarda da önemli kritik bilgiler tutulabilir örneğin düşünün bir veritabanına veya bir sistemin loglarına sızdınız ve orada geziniyorsunuz karşınıza çıkabilecek kritik bilgileri bir düşünün.
Işte tam buralara girdiklerinde ve buradan elde ettikleri hash’ler ticket’lar ve parola’lar için şu modülleri kullanıyorlar pass-the-hash ya da pass-the-ticket.
Peki ya bu pass-the-hash ve pass-the-ticket ne?
Şimdi de bunların ne demek olduğunu öğrenelim.
Pass-the-hash; ile kötü niyetli saldırgan kullanıcının parolasına bile bilmesine gerek olmadan sadece hash değeri ile başka bir sistemde kullanıcı adını kullanarak oturum açabilir ve kimlik doğrulaması yapabilir.
Pass-the-ticket; ile saldırgan ele geçirdiği ticketları kullanıcı adına kullanıcının yetkilerini kullanarak ağda yetkili kişi olarak önemli bilgilere ulaşabilir ve ele geçirebilir.
Hatırlıyor musunuz arkadaşlar yukarıda size süper 6’lı arkadaşlar bahsetmiştim şimdi onlar hakkında biraz daha fazla bilgi vermek istiyorum.
Öncelikle Mimikatz ile başlayalım.
Mimikatz
Bu Mimikatz denilen araç olan arkadaş bilgisayar korsanları ve siber güvenlik uzmanları tarafından sistem içerisindeki bellekten parola ve kimlik bilgileri gibi hassas bilgileri dump etmek yani çıkarmak için yaygın olarak kullanılır.
Kötü niyetli saldırganlar mimikatz’i genelde ağlara, sistemlere veya uygulamara yetkisiz erişim sağlayabilmek veya privilege escalation(yetki yükseltme) yapabilmek ya da yatay olarak hareket edebilmek gibi kötü amaçlı faaliyetler gerçekleştirmek için kullanırlar.
Mimikatz aracı saldırganın nasıl bir atak dilediğine göre farklı şekillerde kullanılabilir
Örneğin:
Sistemlerin belleklerinden kullancılara ait parola, hash , ticketlar çalarak saldırganların kullanıcının kayıtlı olduğu ağlara, sistemlere ya da uygulamalara erişmesini sağlar.
Kullanıcılara ait bilgileri çalarak 2FA doğrulamalarını geçmesinde kolaylık sağlar.
Sistemin içerisindeki gücü ile saldırgana yetki yükseltme imkanı vererek yetkisin yükseltebilir ve bu sayede daha kritik hassas verilere ele geçirmesine veya saldırganın isteği doğrultusunda daha kötü sonuçlara yol açacak bir saldırı gerçekleştirebilir.
Yukarıda da söylediğim gibi yatay olarak hareket edebilmesinin imkanı ile diğer sistemlere veya ağlara rahatça erişebilirlik sağlar.
Peki bu kadar değerli bir aracı kim buldu geliştirdi değil mi bu kişi Benjamin Delpy arkadaşlar.
Benjamin Delpy 2007 yılında mimikatz aracı geliştirdi.
Örneğin size LSA dan bahsetmiştim. Mimikatz orada da devreye girebiliyor bir örnek daha verir isek.
Şimdi sıra geldi LaZagne’yi anlatmaya
LaZagne
LaZagne sömürülmek üzere ele geçirilmiş sistemlerde kayıtlı olan şifreleri ele geçirebilmek çalabilmek için tasarlanmış açık kaynak kodlu ve çok modüllü bir şifre çalma aracıdır. Bu aracı ilk önce ne kadar da Microsoft Windows için tasarlanmış olsa da daha sonra Linux’u da destekleyecek şekilde gelişti. Eğer bir sınıflandırma içerisine alır isek LaZagne’yi şu sınıfa kesinlikle koyabiliriz saldırı sonrası kullanılan yazılımlar.
Saldırganlar LaZagne ile ilk öncelikle kritik oturum hesaplarına ve kritik bilgilere yetkisiz erişim sağlayabilmek amacı ile kullanırlar. LaZagne’nin siber güvenlikleteki önemi ne diye sorar isek o da şudur ki zayıf güvenlik uygulamalarını , servislerini ortaya çıkarır ve siber güvenlik uzmanlarının güvenlik açıklarını belirlemesinde yardımcı olur.
Bir diğer soru şu LaZagne ne zaman keşfedildi ?
LaZagne ilk olarak adli amaçlar doğrutulsunda tasarlandı. Fakat LaZagne’nin yaptıkları kısacası yeteneği kötü amaçlı siber saldırganlar tarafından fark edildi ve kötüye kullanılmak üzere ilgi altına alındı böylelikle LaZagne siber suçlular arasında şöhret kazanmış oldu.
LaZagne’nin Dağıtım Yöntemi Nedir ?
LaZagne kimlik avında, zararlı yazılım indirmelerinde, aracı saldırılarda ve diğer zararlı yazılımlar ile birlikte paketlenerek dağıtılır. Açık kaynak kod yapısı, diğer tehlikeli yazılımlar veya araçlar ile birlikte çalışmasına elverişli oldu.
LaZagne Kullanım Alanları: İnternet Tarayıcıları, Veritabanları, E-Posta Sistemleri, WiFi Ağları ve İşletim Sistemleri
LaZagne Çalışma Mantığı?
Bu araç hedef sistemi tarayarak yukarıda belirtmiş olduğum kullanım alanlarında bilgiler, veriler aramaya başlar. Verileri bulduktan sonra verileri raporlayarak kontrol sunucusuna gönderir veya ağ içerisinde yatay olarak hareket ederek depolar. Tespit edilebilme olasılığı zordur.
Cobalt Strike
Bu araçta siber güvenlik uzmanları ve kötü amaçlı saldırganlar tarafından popüler olan bir sızma testi aracıdır. Siber güvenlik uzmanları Cobalt Strike’ı ağların ve sistemlerin güvenliğini değerlendirmek üzere kullanmakta iken kötü niyetli saldırganlar tarafından da güvenlik açıklıklarını , sistemlerin zayıf noktalarını bulmak amacı ile kullanılır.
Saldırganlar neden Cobalt Strike’ı tercih ederler çünkü Cobalt Strike güçlü yapısı ve saldırıları da uzaktan kontrol edebilme, raporlayabilme potansiyeline sahip bir araç. Bu güçlü yönleri sebebi ile siber suçlular tarafından tercih edilir.
Cobalt Strike’ın Modülleri Nelerdir ?
⦁ Beacon, nedir bu beacon; saldırganların uzaktan istediklerini yapmasına izin veren ve saldırıları izleyip sonuçlarını görüntüleyebilmesine olanak tanıyan modüldür. Bir nevi uzaktan erişim aracıdır.
⦁ Empire, saldırganlara yatay olarak hareket edebilme yeteneği, yetki yükseltme ve veri sızdırma gibi etkinlikleri yapabilmesine izin veren araç.
⦁ Web Drive-By bu araç saldırganların hedef altına aldığı kimselerin bir web sitesini ziyaret etmeleri sonrasında kötü amaçlı yazılımlara maruz kalmasını sağlar.
Siber Suçlular Neden Cobalt Strike’ı Nasıl Kullanıyor?
Siber Suçlular Cobalt Strike’ı şöyle kullanıyor:
⦁ Saldırgan öncelikle sızdırılmış veya kırılmış bir Cobalt Strike elde eder.
⦁ Saldırgan hedef bilgisayarı kendi teknikleri ile Cobalt Strike indirme işlemine davet eder.
⦁ Kurulum tamamlandıktan sonra saldırgan hedef bilgisayardaki açıkları aramak için Beacon’ı başlatır.
⦁ Saldırıya başlanmak istediğinde Beacon tarafından soru-cevap yapılır ve istenilen saldırı türü ne ise başlatılır.
⦁ Saldırı sonrasında Beacon elde ettiği bilgileri raporlayarak saldırgana iletir.
Pratik Bölümü
Mimikatz’ı Kullanarak Sistemin Bellek Dökümünden yani LSAA (Local Security Authority Subsystem Service) ‘den Parola Nasıl Elde Edilir ?Pratik bölüme geçmeden önce şunu söyleyerek başlamak istiyorum.
Credential Dumping yapar iken en önemli ve asıl amaç şudur ki sistemde ve domain , ağ üzerinde en yetkili kişi olmak.
Bu şu yollar ile yapılabilir ya; domain admin oturumunu ele geçiririz, ya da yatay hareket ile domain üzerinde tam hak sahibi oluruz.
LSAA üzerinden veri alabilmemiz için yönetici hak ve yetkilerine sahip olan bir hesaba (oturuma) ihtiyacımız var.
Ancak bu şart ile lsass.exe belleğinden veri çekebiliriz.
Peki veri çekme işlemini nasıl yapıyoruz?
Öncelikle hedef sisteme mimikatz aracımız ile sızıyoruz.
Sızma sonrası görev yöneticisini açıyoruz ve detaylar kısmındaki lsass.exe dosyamıza sağ tıklayarak “Create Dump File” seçeneğini seçiyoruz.
Bu seçeneği seçtiğimizden sonra otomatik olarak bir işlem başlatılacak.
Bu işlemi bekliyoruz ve sonuç olarak bize verileri nereye çektiğimizi gösteren bir bildirim durumu ile karşılaşıyoruz.
Bu belirtilmiş olunan dosya yoluna gittiğimizde göreceğiz ki verileri çekilmiş olan yani dump edilmiş olan .DMP uzantılı bir dosya var.
Burada da görüldüğü üzere .DMP uzantılı dump( çıkarmak , çekmek) dosyamız var.
Bu dosya ile işimiz şimdi ne onu cevaplandıralım. Bu dosyayı gördüğümüz gibi hemen üzerine vs. Tıklamıyoruz öncesinde de yapmamızz gereken işlem şu ki bu dosyayı bulunduğu dosya dizininden çıkartıp Mimikatz aracımızın bulunduğu dizine alıyoruz.
Buraya kadar çok güzel ilerleme kaydettik. Sonraki adımımız Mimikatz aracımızı çalıştırmak olacak tabii ki de yönetici modunda çalıştıracağız.
Mimikatz aracını başlattığımızdan sonra içerisinde girmemiz gereken bir kaç komut kodu yapısı var.
Bunları sırası ile işlem işlem göreceğiz.
Yönetici modunda aracımızı çalıştırdak sonra açılan pencerede “privelege::debug” komutunu girerek aracımızı debug modunu geçirelim.
Daha sonrasında bir önemli komut kodumuz daha var ki o da şu ki “sekurlsa::minidump lsass.DMP” farkettiyseniz buradaki son kısım bizim dosyamızın ismidir.
Bu komut kodu ne işimize yaracak önce onu öğrenelim ki kafamız karışmasın.
Bu komut kodu ile .DMP dosyası içerisindeki yazılan verileri, şifreleri bize göstermesini istiyoruz.
Böylelikle lsass.DMP dosyamızın içerisindeki verileri görebileceğiz.
LaZagne Aracı ile Sistem İçerisindeki Parolaları Çıkarmak
Bu işlemi gerçekleştirebilmemiz için yapmamız gereken her şeyden önce LaZagne aracına sahip olmak.
Bu araca nasıl sahip olacağız, indirme işlemi yaparak tabii ki de.
(indirme sırasında antivirüs yazılımlarını kapatılması tavsiye edilir.)
LaZagne aracını github üzerinde açık kaynak kodlu bir şekilde bularak indirebilirisniz.
Örneğin: Releases · AlessandroZ/LaZagne bu adres gibi.
Resimde görülen kırmızı kutucuklu “lazagne.exe” yazısına tıklayarak indirme sürecini başlatabilirisiniz.
İndirme işlemi bittikten sonra indirdiğimiz lazagne’yi yönetici modunda çalıştırmamız gerekli.
Bu işlemleri yaptıktan sonra arama çubuğundan ya da windows + r tuşlarına basarak cmd yani (command line) açıyoruz.
Yapmamız gereken bir sonraki adım şu indirilmiş olunan lazagne.exe dosyasını command line üzerinde tanımlamamız gerekli.
Bunu şu yol ile yapabilirsiniz.
Lazagne.exe dosyasının dosya dizinini kopyalarak cmd üzerinde yapıştırıp sonuna lazagne.exe yazabilirsiniz.
Daha sonrasında “enter” tuşuna basın.
Karşınıza bir kaç seçilebilir komut kodları gelecek, Aşağıdaki gibi.
Burada istenilen, yapılmak istenen işlem türüne göre seçilebilir komut kodları var.
Fakat tüm parolaları elde etmek isterseniz takip etmeniz gereken komut lazagne all dur.
