- 3 Mar 2019
- 52
- 2
Merhaba Değerli THT Ailesi
Başlıkta da gördüğünüz üzere size siber istihbarat nedir anlatacağım.
Siber İstihbarat,kurum ve kuruluşlara yapılacak saldırıları atakları önceden tahmin etmeye çalışan ve bu konuda bilgi toplayan bir istihbarat türüdür.Peki Nasıl bilgi toplayacağız saldırı yapıcak kişi hakkında veya saldıracağımız kişi hakkında? Aktif bilgi toplama ve pasif bilgi toplamayı duydunuz mu daha önce ? Ben duydum aslında bu konuda TurkHackTeam'den temel düzeyde eğitim aldım.Şimdi ben size önce hedef hakkında bilgi toplamayı sonrada kendi sistemimize düzenlenen saldırılardan nasıl korunabileceğimizi ve saldırgan hakkında bilgi toplamayı anlatacağım.
Hedef hakkında bilgi toplama aktif ve pasif olarak ikiye ayrılır.
Aktif ve Pasif Bilgi Toplama Teknikleri
Bir saldırgan gözü ile bir sisteme baktığımızda önce hedef sistem hakkında bilgi toplarız.Bu bilgiler aktif ve pasif bilgi toplama gibi bazı teknikler ve araçlar ile elde edilmektedir.Bilgi toplama adımları sızma testlerinin en önemli adımlarıdır. Sistem hakkında ne kadar bilgi toplanmışsa sonraki adımlarda hangi yolların izlenmesi gerektiği ile ilgili kararlar daha net verilmektedir.
Pasif bilgi toplama: Bu bilgi toplama çeşidinde hedef ile aktif bir bağlantı kurmadan, çevrimiçi kaynaklardan bilgi edinilmektedir.Ancak aktif bilgi toplamaya göre fazla bilgi vermediği söylenebilir saldırganlar tarafından sıkça tercih edilirler çünkü saldırganlar kendilerini gizli tutmak isterler kendi sistemlerinden bir tarama yaptıkları zaman hedef sistemde log oluşuyor.
Aktif bilgi toplama: Hedef sistem ile erişim sağlanarak veya hedef sistemde eş zamanlı olarak tarama yapılan bilgi toplama çeşitidir.Bu şekilde bilgi toplanmak istenirse, karşı tarafın sisteminde log oluşturacağı unutulmamalıdır.Bu loglarda ip adresleriniz tutuluyor bilginize
Pasif Bilgi Toplama Araçları
1)Whois Servisleri
Hedef alan adı için, name server, admin iletişim bilgileri, tescil ettiren kuruluş/kişi gibi bilgilerin pasif bilgi toplama tekniği ile elde edilmesinde yardımcı olmaktadır. Yapılan WHOIS sorguları ile aşağıdaki bilgilere ulaşılabilmektedir;
- Hedef IP adresi üzerinde çalışan tüm web sayfaları açığa çıkarılabilir.
- Alan Adı geçmişi bitiş süreleri ile birlikte tespit edilebilir.
- Hedefe ait olan ip aralıkları açığa çıkabilir.
- Hedefe ait web sayfasının nerede tutulduğu öğrenilebilir.
- Çeşitli iletişim bilgileri de tespit edilebilir.
Kullanımı:
Terminali açıp whois hedefsite.com yazalım.Bu komut hedef site hakkındaki bütün bilgiyi bize getirecektir ve isterseniz daha fazla komut için whois -h yazabilirsiniz.
terminale whois yazdıktan sonra hedef siteyi giriyoruz.
Kod:
[COLOR="green"][SIZE="4"]whois youtube.com[/SIZE][/COLOR]
2)Arama Motorları Kullanımı
Google,Bing,Yahoo,Yandex gibi arama motorlarını kullanarak hedef web sitesi hakkında bilgi toplanabilir.'Google Hacking' parametreleri bu konuda yarar sağlamaktadır.Aslında bu google hacking konusu çok geniş bir konu bunun hakkında makaleler yazmaya devam edeceğim ama şimdilik genel olarak bahsedeceğim.
Kullanımı:
Hedef web sitesi hakkında tarama yapmak için veya belli .com .gov gibi adresli siteleri bulmak için kullanılan "site:hedefsite.gov" ile "inurl:.php?id=" kullanarak hedef sitede tüm .php?id= içeren sayfaları bulacağız
parametremiz: inurl:.php?id= site:hedefsite.com (Ben bir amerikan sitesini taratacağım.)
3)Sosyal Paylaşım Ağları
Twitter,İnstagram,Facebook,Pipl,LinkedIn gibi sosyal paylaşım ağlarını kullanarak da çok güzel bilgiler edinebiliyoruz.Bu bilgiler Facebook üzerindeyse kişiler için email,telefon,irtibatta olduğu kişiler kurumlar için email,kurumsal telefon,adres,şirket çalışanları vs. tabi burda şirket çalışanlarına dikkat etmek lazım eğer iyi bir sosyal mühendis iseniz şirket çalışanlarından birini kandırarak sisteme ulaşabilirsiniz.
İnstagram üzerindeyse çok fazla bilgi toplayacağınızı düşünmüyorum ama eğer açık profil ise bilgi toplayabilirsiniz kurumlar genellikle bir telefon numarası,email,adres, web site adresi gibi bilgiler bırakıken kişiler genellikle sevdikleri şeyler dinledikleri müzikler,tuttukları takım (Örn:FB ) Twitter üzerindeyse kişilerin kurumların attıkları tweetlere,takip ettikleri kişiler veya kurumlara,retweet yaptıkları tweetlere bakarak kişinin veya kurumun bilinçaltını analiz edebilirsiniz.Ayrıca nadirde olsa email,telefon vs. bırakanlar var. Pipl üzerindeyse isim ,soyisim,telefon,mail bilgilerini bildiğimiz bir kişiyi sosyal medyada aratabiliriz.Linkedin kariyer sitesi gibi bir sosyal paylaşım sitesi olduğu için email telefon bulma şansınız çok yüksek ayrıca kişilerin yaptıkları iş,tecrübeleri,çalıştıkları firmalar,çalıştığı firma gibi bilgileri size sunabilir.
4)Bloglar ve tartışma forumları
Bu sitelerden kişiler veya kurumlar hakkında bilgi edinilmektedir.Bu kişiler hakkında başka insanların
yorumları veya bilgi sızıntıları olabilir.Mesela adam diyelim ki x firmasında çalışıyor x firmasından kovulmuş ve bunu birilerine
anlatıyor siz bu adamla iletişime geçerseniz şirket hakkında bilgi sahibi olma ihtimaliniz var.
5)Arşiv Siteleri
archieve.org ZoneH gibi sitelerden geçmişe yönelik aramalar yapıldığında, sistemin geçmiş sürümlerine
yönelik de birçok bilgi edinilebilmektedir.
6)Shodan
Kameralar,web sunucuları,yazıcılar gibi internet arayüzü olan her makine hakkında bilgi edinebildiğimiz bir web sitesidir.
Aktif Bilgi Toplama Araçları
1)NMAP
Aktif bilgi toplamada tartışmasız en çok kullanılan araçtır windowsda linuxda kullanılabilir.Windows için zenmap linux için her ikisi kullanılabilir.Taranmak istenen hedef ağın haritasını çıkarılmasında, ağdaki cihazlarda çalışan servis bilgilerinin veya işletim sistemlerinin öğrenilmesinde kullanılan bir güvenlik tarayıcısıdır.Hedef sistemde açık olan portlar,hangi yazılımların kullanıldığı kullanılan yazılımların sürüm detayları vs. çıkabilmektedir. Aynı zamanda gelişmiş özellikleri de kullanılmak istenirse zaafiyet keşfi yapılabilmekte ve Güvenlik Duvarı/IDS atlatma girişimlerinde başarılı sonuç alınabilmektedir.
2)MASSCAN
Masscan NMAP ile aynı sonuçları verirken bunu daha hızlı bir şekilde yapmaktadır.
3)MALTEGO
Maltego ile domain adlarının WHOIS, DNS, Ağ yapısı bilgisi ve kişiler ile ilgili bilgi edinilebilmektedir.
Telefon numaraları falan hakkında da bilgi edinebilirsiniz.
4)PhoneInfoga
Telefon numarasından konum,hattı aldığı şirket (Turkcell,Avea) vs. verir hatta ben bunu bilgisayarda size göstereyim.
Kod:
[COLOR="green"]python3 phoneinfoga.py -n numara[/COLOR]
Siber Saldırganlardan Nasıl Korunuruz?
Siber saldırganlar her zaman sizden bir adım öndedir.Yani siz güncellemeleri vb yapsanız dahi siber saldırganlar sizden daha çok sizin sisteminizi takip ediyorlardır.Bu yüzden sürekli güncel sistemler kullanmaya dikkat etmeliyiz kullandığımız sistemin güvenliği hakkında kendimiz araştırma yapmalıyız veya bir siber güvenlik şirketinden yardım almalıyız.
Kendimiz Ne Yapabiliriz?
Sistemimizi sürekli açık tarama programları ile tarayabiliriz,kendimiz manuel olarak açıkları arayabiliriz,sistemimizde OWASP TOP 10 açıklarına bakabiliriz.Ancak bir sistemde illaki açık tarama programları tüm açıkları bulacak diye bir şey yok bu yüzden en başta dediğim gibi bir siber güvenlik şirketi şarttır.Çünkü siber güvenlik şirketleri güvenliğinizi sağlamak adına açık tarama programlarını kullanarak ve kendileri bir grup halinde sistemde açık arayarak (manuel olarak) kodlara bakarak güvenliğinizi sağlarlar.Bu sizin kendi sisteminizde kendinizin manuel olarak taradığı açıklardan daha detaylı sonuç verecektir.Çünkü siber güvenlik uzmanları bu konuda grup olarak çalışmakla beraber bu konuda çok bilgililer.
Siber Suç Takibi Nasıl Yapılır?
1)Delil Toplama OSINT
OSINT (open source intelligence - açık kaynak istihbarat). Tamamen ücretsiz, herkese açık olan internet bilgi
kaynaklarıdır yani. Google, bing, linkedin, reddit, twitter,İnstagram aklıma ilk gelen kaynaklar. Nadiren teker teker araştırma yapmak gerekse de genellikle.Pipl.com gibi bu işi otomatik yapan sitelerden yardım alıyoruz.Ad-soyad, telefon numarası veya mail bilgilerini birçok ortamda tarayıp bize sunuyor.Birçok senaryo için osint kaynakları idealdir. Mesela bir şirkete ait çalışanların mail bilgilerini, şirketin web sitesine ait subdomainleri, webserver haricinde mail server, dns zone, gibi bilgileri de edinebiliriz. Bu noktada pipl.com haricinde theharvester, nmap nse scripts, maltego gibi hazır programlardan da yardım alırız.
2)Malware Analistlerden Yardım Almak
Hacker'ın honeypota sızmak için kullandığı malware yazılımının analizi yapılıp hangi web sunucusuna reverse shell bağlantısı ile bilgi çekildiği bulunur. Böylece web sunucunun kurulum zamanı, domain gibi bilgileri üzerinden daha somut bilgiler elde edebiliriz.Veya localhost üzerinden web server açılmış da olabilir. Bu durumda hackerin o andaki public IP bilgilerine erişmiş oluruz.
3)Fiziksel Delile Erişim
Hacker'ın IP adresi elimizde ise bulunduğu konuma gidilir.Eğer bir kütüphaneden veya internet kafeden saldırı düzenlediyse fazla vakti olmadığı için güçlü bir wiping yapamaz bu durumda saldırdığı bilgisayardan güzel bilgiler edinilebilir.Eğer kendi bilgisayarından saldırdıysa ve bilgisayarı masaüstü ise saldırganı bulma şansımız olabilir.Eğer masaüstü değil de dizüstü kullanıyorsa ve başka bir yerde internete girip saldırı düzenlediyse internete girdiği yerin ağ trafiği incelenir saldırganın ip adresi bulunur ancak vpn kullanıyor da olabilir.
4)Adli Bilişim Uzmanlarından Destek Almak
Saldırgan ile alakası olduğu düşünülen bütün cihazların (usb flash, bilgisayar, telefon vs.) read-only biçimde imajı alınır.Tüm imajların SHA256 ve MD5 hashleri ile veri bütünlüğü doğrulanır. Ardından bu imajların kopyaları alınarak onlar üzerinden analize başlanır.
FTK Access data, encase, prodiscover,osforensics gibi birçok ücretli- ücretsiz program yardımıyla veriler incelenir.İmajlar üzerindeki telefon,mail,domain bilgileri not edilir.
Kayıt defteri analizine geçilir. Bilgisayara bağlanmış tüm USB cihazların bilgileri not edilir, en son çalıştırılan cmd
komutlarına bakılır, autorun anahtar dizinine bakılır, ortam değişkenlerine bakılır. Silinmiş veriler için birkaç undeleter uygulamasından yardım alınır. Bütün executable dosyalar, txt ve şüpheli resim dosyaları not edilir.
İmajlar üzerinde cluster analiz yapılır. Bu, tüm hard diskin raw formatında incelenmesidir. Çok zordur,
fakat gözden kaçmış şüpheli işlemleri bulabilmek için gereklidir.
5)Son Aşama
Tüm bu aşamalardan sonra tüm bilgiler değerlendirilir.Hacker bu bilgilerle bulunursa ne mutlu size bulunamazsa tekrar 1. aşamaya geri dönülür ve bu kovalamaca bir döngü halinde devam eder.Dikkatli bir hacker ise bulunması birkaç yıl alabilir.
Beni dinlediğiniz için teşekkürler turkhackteam ailesi
