İPUCU

Off Topic Her türlü paylaşım ve sohbetin yapılabileceği serbest alan.

Seçenekler

Sızma Testi - Pentest Hikayesi

Pentester - ait Kullanıcı Resmi (Avatar)
Researcher
Üyelik tarihi:
09/2016
Mesajlar:
1.169
Konular:
89
Teşekkür (Etti):
613
Teşekkür (Aldı):
485
Ticaret:
(0) %
30-01-2017 15:56
#1
Sızma Testi - Pentest Hikayesi
Merhaba,

Bir Güvenlik uzmanının kişisel sitesinde paylaştığı pentest hikayesini paylaşmak istedim. Eğitici-oğretici olmuş aynı zamanda..

Sabahın 05:00 sularında uyandırıldım. Uyku sersemiyle telefonda anladığım kadarıyla sektöründe Türkiye'nin önemli firmalarından birinin terminal sunucusu ransomware saldırısına uğramış. Hemen hazırlandım ve patronum beni almaya geldi. Diğer ekip arkadaşlarımda saldırıya maruz kalan firmaya doğru yol aldılar.

Firmaya vardığımızda tahmin ettiğimiz şekilde sunucuya bir text dosyası bırakılmış ve ilgili firmanın verilerini encrypt ettiğini ve encrypt edilen verilerin açılması için fidye istenmekteydi.




Birkaç saat boyunca çeşitli yöntemlerle (windows logları, şüpheli exe dosyaları, sistem başlangıç programları, regedit, çalışan servisler, portların taranması, dinlenen portların tespiti vs..) saldırıya dair izleri araştırdık.
Aslında olay ile sık karşılaştığımız için yukarıdaki işlemleri prosedür gereği yapmıştık belki farklı sonuçlar çıkabilirdi.
Şahsen IT sorumlusuna sunucunun Local Administrator şifresinin ne olduğunu sordum. Ve tahmin ettiğim yanıt hiç gecikmeden geldi: 123456
Bu tip hacking saldırıları genellikle; zayıf şifre kullanımıyla beraber dışarıya açık olan uzak masaüstü servisi (RDP), eski işletim sistemi zafiyeti, mail yoluyla gönderilen fatura gibi görünen zararlı dosyaların kullanıcının sisteme bulaştırılmasıyla böyle sonuçlara zemin oluşturmaktadır.

Firma çok şanslıydı.. Logları incelememiz sonucunda bu olayın başlangıç zamanından tam 1 dakika önce şirketimizin sistem çözümleri departmanında çalışan arkadaşımız tarafından farklı bağımsız bir lokasyona yedek alınmıştı. Bu yüzden verilerin kurtarılmasıyla uğraşmamıştık direkt olarak çözüm odaklı davrandık çünkü business continuity (iş sürekliliği) önemliydi.
Öncelikle güncel sürümde yeni Windows sunucu hazırlandı. Güçlü bir parola belirlendi.. Ve arkadaşımızın aldığı yedek geri yüklendi, ayarları vs. yapıldı. Sistem gayet iyi çalışıyordu. Siber Güvenlik departmanı olarak biz de gözden geçirdik hiç bir problem görünmüyordu. Sistem ayağa kalktığında firma yetkililerinin içlerinden "ohh" çektiklerini hissedebiliyordum Bu serüvenin ardından şirketimiz tarafından kendi sistemleri için Secure System projesi adı altında çözüm teklifleri talep edildi. İlgili sistem için müşteriye Firewall'lar, NAC cihazı, Endpoint çözümü, Penetrasyon Testi vs.. barındıran tam teşeküllü bir proje teklifi sunulmuştu. Tabi burada artık bizi ilgilendiren ve eğlendirecek kısım Penetrasyon Testi idi White Box, Black Box kapsamında bir pentest bizi bekliyordu artık.

Pentest için tarih aldıktan sonra hazırlanıp belirlenen tarihte firmaya gittik. Vakit kaybetmeden testlere başladık. Sırasıyla önce sistemleri keşfetme-bilgi toplama, sonra elde edilenleri tarama son olarak da exploiting işlemlerinin akabinde manuel denetimlerimizi yaptık. Ayrı olarak değerlendirdiğimiz sosyal mühendislik testine geçiş yaptık. Arama motorlarından elde ettiğimiz firma çalışanlarının mail adreslerine belirlediğimiz senaryo kapsamında zararlı yazılım (trojan) bulaştırılmaya çalışıldı. 20 kişiden 13 tanesi zararlı yazılımı açtı ve bilgisayarına bulaştırmıştı. Onlardan elde ettiğimiz bilgiler ve yaptığımız bu iş müşteri için her ne kadar iyi gibi gözükse de bizim iştahımızı daha kabartamamıştı ve moralimiz bozuktu..

Testin son demleriydi, elde ettiğimiz bulguları toparlıyorduk. Ben son kez sunucuların bulunduğu IP bloğunda farklı metotlarla tekrar bir port taraması gerçekleştirdim ve önceden keşfedemediğimiz bir sunucu keşfettim. 8090 portunda Apache Tomcat koşuyordu. Hemen web browserden kontrol ettim. Default Apache Tomcat parolalarını denedim ve bir tanesi tuttu. Yönetim bölümünün Deploy kısmından örnek ekran görüntüsünde görüldüğü gibi içeriye komut çalıştırabileceğim basit bir JSP shell (cmd) import ettim:






Yüklenen "cmd" isimli shell ile Windows üzerinde SYSTEM yetkileriyle komutlar yürütübilecektik. Bu shell ile Windows için Administrator yetkilerine sahip bir kullanıcı hesabı yaratıldı ve bu kullanıcı Remote Desktop User grubuna dahil edilerek işletim sistemine uzaktan bağlantı sağladık. Daha sonra bu işletim sisteminde daha önce oturum açmış olan kullanıcıların şifrelerini mimkatz aracıyla ele geçirdik.
Elde edilen bu şifreler ile networkte bulunan diğer (SQL Server, SharePoint, Exchange vs..) sunuculara erişim sağlandı. Tüm sistem elimizin altındaydı. Son olarak Domain sunucusuna sızdığımızı IT müdürüne bildirdik. Müdür telaşla gelip "testi sonlandırın artık, tüm sistem deşifre oldu" demesiyle işte o zaman yüzümüz gülmüştü..


İsmail Saygılı
---------------------
"Benim naçiz vücudum, bir gün elbet toprak olacaktır. Fakat Türkiye Cumhuriyeti, ilelebet payidar kalacaktır."
Mustafa Kemal ATATÜRK

Yapabildiğimiz her şeyi yapsaydık, buna kendimiz bile şaşardık.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı