Kurumsal Ağlarda Etki Alanı Sızma Testi Metodolojisi

0
5133
views
Günümüzde merkezi yönetimi kolaylaştırmak ve kurum içindeki sistemlerin güvenliğini sağlamak amacıyla Microsoft tarafından sunulan Etki Alanı (Domain) yapısı kullanılmaktadır. Etki alanı güvenli bir şekilde yapılandırılmaz ise, merkezi yapının yönetimi saldırganların eline geçebilir ve büyük zararlara sebep olabilir. Bu yazıda saldırgan bakış açısıyla Microsoft etki alanı sızma testlerinin temel adımları ve bu adımları gerçekleştirmek için bazı temel yöntemler ifade edilecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Etki alanı sızma testleri için – zorunlu olmamakla birlikte – kurum sistem yöneticilerinden çeşitli taleplerde bulunulabilir. Bu taleplerin en önemli iki tanesi aşağıdaki gibidir.

  • Kurumda yeni işe başlamış bir personele verilen standart haklara sahip etki alanı kullanıcısı hesabı
  • Bu personele verilebilecek ve etki alanına dahil olan standart bir kurum bilgisayarı

Bu talepler karşılandıktan sonra, etki alanı sızma testine başlanabilir. Etki alanı sızma testleri 10 adımda gerçekleştirilebilir. Bu adımlar aşağıdaki akış içerisinde gösterilmiştir.

microsoft-domain-environment-penetration-testing-methodology-on-corporate-networks-01

 

Akış içerisinde de görüldüğü gibi, saldırıların iki temel başlangıç noktası bulunmaktadır. Bu noktalardan ilki, fiziksel güvenliğin atlatılarak kurum bilgisayarında yerel yönetici haklarına sahip olunmasıdır. İkinci başlangıç noktası ise erişim sağlanabilen ağ üzerinden bilgi toplanarak zafiyetlerin tespit edilmesi ve bu zafiyetlerin istismarı ile ağ üzerindeki diğer Windows bilgisayarlara erişim sağlanmasıdır. Erişim sağlanan her bilgisayardan daha sonraki adımlarda kullanılabilecek ve değerli olabilecek yeni bilgiler elde edilmeye çalışılır. Eğer erişim sağlanan bu bilgisayarda Microsoft etki alanının yönetimi için gerekli haklar elde edilebildi ise ise -örneğin etki alanı yöneticisi hakkı-, etki alanı sızma testinin en önemli aşamalarından birisi tamamlanmıştır denilebilir. Eğer hedefe ulaşılamamış ise, mevcut ağda ve erişim sağlanabilen ek ağlarda, ele geçirilen bilgisayarlardan elde edilen yeni bilgilerle tekrardan ikinci başlangıç noktasındaki adımlar gerçekleştirilir ve zafiyetler istismar edilerek ağ üzerindeki başka bilgisayarlara erişim sağlanır.

Etki alanı sızma testleri sırasında çok büyük olasılıkla istemcilerdeki koruma sistemlerini atlatma gereği duyulur. Koruma sistemlerini atlatmak için de çeşitlik teknikler (-Bakınız-) bulunmaktadır. Bunun yanında sistemleri ele geçirme sırasında veya sonrasında kullanılan zararlı yazılımlar, arka kapılar, kullanıcılar gibi tüm değişikliklerin not edilmesi ve sızma testi sonrasında bu değişikliklerin eski haline döndürülmesi / temizlik yapılması ve sistem yöneticilerinin durumdan haberdar edilmesi unutulmamalıdır..

Etki alanı yönetimi elde edildikten sonra, bir taraftan Windows ve etki alanı denetimleri gerçekleştirilir, diğer taraftan da diğer sızma testleri (ağ, web, veritabanı, sosyal mühendislik gibi) için ek bilgiler çıktı olarak verilir. Benzer olarak da, diğer sızma testleri sırasında elde edilen bilgiler de etki alanı sızma testine girdi olarak kullanılabilir.

Etki alanı sızma testlerinin adımları birbirinden farklı yöntemlerle gerçekleştirilebilir. Her bir adım için kullanılabilecek çeşitli yöntemler aşağıdaki başlıklarda anlatılmaya çalışılmıştır.

Gerek bilgi toplama (uzaktan, yerelde veya etki alanı içerisinde), gerek istismar işlemleri sırasında kullanılabilecek komutlar için bağlantıdaki yazı incelenebilir.

 

1) Fiziksel Güvenliği Atlatma

Kurumlardaki bilgisayarların fiziksel güvenliği kritik öneme sahiptir. Windows ve etki alanı sızma testlerinin başlangıç noktalarından birisi de fiziksel güvenliğin bir şekilde atlatılarak, bilgisayarın disk sistemine erişim sağlanmasıdır. Fiziksel erişim sağlanan bir bilgisayar, USB veya CD-ROM aygıtlarına takılan bir Live bir işletim sistemi ile açılabilir. Ancak bu bilgisayarda çeşitli sıkılaştırma işlemleri gerçekleştirilmiş ise, bilgisayar, bu işletim sistemi ile başlatılamayabilir. Sabit diskin şifrelenmediği bu gibi durumda, bilgisayarın sabit diski çıkartılarak Dock Station gibi cihazlarla disk sistemine erişim sağlanması veya boot işlemi gerektirmeyen yöntemlerin tercih edilmesi gerekebilmektedir.

Fiziksel güvenliğin atlatılmasına ait yöntemler, 3 ana alt başlıkta incelenebilir.

1.1) Disk sistemine erişim

Bilgisayarın disk sistemine erişim sağlanarak yerel hesaplara ait bilgiler elde edilebilir. Bu bilgiler disk sistemi üzerindeki herhangi bir bilgi olabileceği gibi; SAM veya SYSTEM dosyaları veya bu dosyalardan elde edilen yerel hesaplara ait parola özetleri de olabilir. Bu adım için uygulanabilecek yöntemler aşağıdaki gibidir:

  • SAM ve SYSTEM dosyalarının elde edilmesi ve sonrasında samdump2 ve bkhive araçları ile yerel hesaplara ait parola özetlerinin elde edilmesi –Bakınız
  • SAM ve SYSTEM dosyalarının elde edilmesi ve sonrasında Ophcrack ile yerel hesaplara ait parola özetlerinin elde edilmesi –Bakınız

1.2) Oturuma erişim

Bilgisayarın disk sistemine erişim sağlandıktan sonra, çeşitlihileler (trick) kullanılarak, Windows komut satırına SYSTEM hakları ile erişim sağlanır. SYSTEM hakları ile elde edilen komut satırında yeni bir yerel yönetici oluşturulur ve Windows işletim sisteminde yerel yönetici hakları ile oturum elde edilir. Bir diğer yol da işletim sisteminde yerel yönetici hesabına ait parolanın sıfırlanmasıdır. Bu adımlar için uygulanabilecek yöntemler aşağıdaki gibidir:

  • Disk sistemine erişim sağlanması ve Ease of Access özelliğinin kötüye kullanılarak komut satırının SYSTEM hakları ile elde edilmesi –Bakınız
  • Disk sistemine erişim sağlanması ve Yapışkan Tuşlar özelliğinin kötüye kullanılarak komut satırının SYSTEM hakları ile elde edilmesi –Bakınız
  • Launch Startup Repair özelliği kötüye kullanılarak erişim disk sistemine erişim sağlanması ve komut satırının SYSTEM hakları ile elde edilmesi –Bakınız
  • chntpw aracı kullanılarak işletim sistemindeki yerel yönetici parolasının sıfırlanması ve işletim sisteminde bu kullanıcı ile oturum açılması –Bakınız (Harici)

 

2) İşletim Sistemi Erişimi

Sızma testleri sırasında, olası zafiyetler istismar edilerek Windows işletim sistemine erişim sağlamaya ve bilgisayarda oturum açılmaya çalışılır. Bu oturum; masaüstü oturumu olabileceği gibi, uzaktan kontrol edilen bir komut satırı oturumu da olabilir.

İstemci taraflı saldırılar ile de işletim sistemleri ele geçirilebilir. Ancak, istemci taraflı saldırılar sosyal mühendislik kapsamında değerlendirileceği için etki alanı sızma testleri kapsamında ele alınmamıştır.

İşletim sistemine erişimin sağlanması sırasında istismar edilebilecek zafiyetler 3 ana alt başlıkta incelenebilir.

2.1) İşletim sistemi zafiyetleri

İşletim sisteminden (servisten) kaynaklı olan çeşitli zafiyetler istismar edilerek, herhangi bir kimlik bilgisi olmaksızın, işletim sisteminde çeşitli (servisi çalıştıran hesaba ait) yetkilere sahip olunabilir. İşletim sistemi zafiyetlerinin istismar edilmesine yönelik çeşitli örnekler aşağıdaki gibi sıralanabilir.

  • MS03-026 işletim sistemi zafiyetinin istismar edilerek meterpreter bağlantısının elde edilmesi –Bakınız
  • MS03-026 işletim sistemi zafiyetinin C dili ile yazılmış kod ile istismar edilerek komut satırı bağlantısının elde edilmesi –Bakınız
  • MS04-007 işletim sistemi zafiyetinin istismar edilerek meterpreter bağlantısının elde edilmesi –Bakınız
  • MS08-067 işletim sistemi zafiyetinin istismar edilerek meterpreter bağlantısının elde edilmesi –Bakınız
  • MS17-010 işletim sistemi zafiyetinin istismar edilerek meterpreter ve komut satırı bağlantısının elde edilmesi –Bakınız

2.2) Uygulama zafiyetleri

İşletim sistemindeki bir uygulamadan kaynaklı olan çeşitli zafiyetler istismar edilerek, herhangi bir kimlik bilgisi olmaksızın, işletim sisteminde bazı (uygulamayı çalıştıran hesaba ait) yetkilere sahip olunabilir. Uygulama zafiyetlerinin istismar edilmesine yönelik çeşitli örnekler aşağıdaki gibi sıralanabilir.

  • Achat 0.15 Beta uygulamasına ait zafiyetin MSF achat_bof istismar modulü ile istismar edilerek meterpreter bağlantısının elde edilmesi –Bakınız
  • Achat 0.15 Beta uygulamasına ait zafiyetin manuel olarak istismar edilerek meterpreter bağlantısının elde edilmesi –Bakınız
  • Freesshd uygulamasına ait zafiyetin MSF freesshd_authbypass istismar modülü ile istismar edilerek meterpreter bağlantısının elde edilmesi –Bakınız

2.3) Konfigürasyon zafiyetleri

Kurumlarda bilgisayarda ortak hesapların kullanılmasından kaynaklı konfigürasyon zafiyeti ile sık sık karşılaşılmaktadır. Bu sebeple, bir bilgisayardan elde edilen kimlik bilgisi ile başka bilgisayarlara erişim sağlanabilir. Bir diğer önemli konfigürasyon zafiyeti ise, fiziksel erişim sağlanan bilgisayarda, fiziksel güvenliğin atlatılarak oturum elde edilmesidir. Konfigürasyon zafiyetlerinin istismar edilmesine yönelik çeşitli örnekler aşağıdaki gibi sıralanabilir.

  • Elde edilen kimlik bilgileri kullanılarak MSF psexec istismar modülü ile meterpreter bağlantısının elde edilmesi –Bakınız
  • Elde edilen kimlik bilgileri kullanılarak MSF psexec istismar modülü ve özel olarak hazırlanmış uygulama ile meterpreter bağlantısının elde edilmesi –Bakınız
  • Elde edilen kimlik bilgileri kullanılarak MSF psexec_psh istismar modülü ile meterpreter bağlantısının elde edilmesi –Bakınız
  • Elde edilen kimlik bilgileri kullanılarak MSF psexec betiği ve özel olarak hazırlanmış uygulama ile meterpreter bağlantısının elde edilmesi –Bakınız
  • Elde edilen kimlik bilgileri kullanılarak Sysinternals psexec aracı ile meterpreter bağlantısının elde edilmesi –Bakınız
  • Elde edilen kimlik bilgileri kullanılarak WCE ve Sysinternals psexec aracı ile meterpreter bağlantısının elde edilmesi –Bakınız
  • Elde edilen kimlik bilgileri kullanılarak Mimikatz ile meterpreter bağlantısının elde edilmesi –Bakınız (Harici)
  • Elde edilen kimlik bilgileri kullanılarak Linux pth-winexe aracı ile Windows komut satırı bağlantısının elde edilmesi –Bakınız
  • Elde edilen kimlik bilgileri kullanılarak WCE aracı ile Windows servis konsoluna erişim elde edilmesi –Bakınız
  • Elde edilen kimlik bilgileri kullanılarak WCE aracı ile Windows bilgisayar yönetimi konsoluna erişim elde edilmesi –Bakınız
  • Elde edilen kimlik bilgileri kullanılarak WCE aracı ile Windows kayıt defteri konsoluna erişim elde edilmesi –Bakınız
  • Elde edilen kimlik bilgileri kullanılarak WCE aracı ile Windows disk sistemine erişim elde edilmesi –Bakınız
  • Elde edilen kimlik bilgileri kullanılarak reg aracı ile güvenlik ayarları değiştirilen Windows işletim sistemine erişim elde edilmesi –Bakınız
  • Elde edilen kimlik bilgileri kullanılarak MSF psexec_command auxiliary modülü ile meterpreter bağlantısının elde edilmesi –Bakınız
  • Evilgrade & Ettercap ile Windows Update özelliğinin kötüye kullanılarak Windows işletim sisteminin ele geçirilmesi –Bakınız
  • Yönetici hakları ile RDP erişimi elde edilen bilgisayarda oturumu açık olan başka bir kullanıcılarn oturumuna erişim elde edilmesi –Bakınız
  • Fiziksel erişim sağlanan bilgisayarda oturumun elde edilmesi –Bakınız

 

3) Hak Yükseltme

Windows işletim sisteminde en yetkili kullanıcı hesabı SYSTEM hesabıdır. Etki alanındaki en yetkili kullanıcı hesabı ise, Domain Admins grubundaki bir hesap olduğu söylenebilir. Windows işletim sistemine erişim sağlandıktan sonra, işletim sisteminde ve etki alanındaki bir zafiyet kullanılarak, hak yükseltilmeye çalışılır.

Hak yükseltme için girilen her sistemin bazı özelliklerini kontrol etmek ve zafiyet olup olmadığını incelemek gerekir. Kontrol maddeleri aşağıdaki gibi sıralanabilir.

  • Çekirdek (kernel) ve işletim sistemi sürümü
  • Sonradan veya varsayılan olarak kurulu olan uygulamaların sürümü
  • Yönetici veya SYSTEM yetkisi ile çalışan servisler ve uygulamalar
  • Kullanıcılar ve gruplar
  • Çalışan prosesler
  • Yapılandırma ayarları
  • Aygıtlar
  • Dosya içerisinde yazılı bilgiler (parola gibi)
  • Herkes tarafından çalıştırılabilir veya yazılabilir dosyalar (özellikle betikler) ve içerikleri
  • Servisler
  • Zamanlanmış görevler
  • Çevresel değişkenler
  • Kritik kimlik bilgileri veya anahtarlar

Belirtilen kontrolleri otomatik olarak gerçekleştiren bir çok araç bulunmaktadır. Bu araçlardan en çok tercih edilenler aşağıdaki gibidir.

  • Windows-Privesc-Check: https://www.siberportal.org/red-team/windows-operating-system-penetration-tests/windows-privesc-check-betigi-kullanilarak-tespit-edilen-yanlis-yetkilendirilmis-servis-zafiyetinin-istismar-edilerek-windows-isletim-sisteminde-yetki-yukseltilmesi
  • Windows-Exploit-Suggester: https://www.siberportal.org/red-team/windows-operating-system-penetration-tests/obtaining-missing-patches-on-a-windows-machine-by-using-windows-exploit-suggester/
  • Sherlock: https://www.siberportal.org/red-team/windows-operating-system-penetration-tests/sherlock-betigi-ile-tespit-edilen-ms10-092-hak-yukseltme-zafiyetinin-msf-ms10-092-schelevator-modulu-ve-exploit-db-betigi-ile-istismar-edilmesi
  • WinCheck: https://www.siberportal.org/red-team/windows-operating-system-penetration-tests/wincheck-betigi-kullanilarak-tespit-edilen-yanlis-yapilandirilmis-servis-zafiyetinin-istismar-edilerek-windows-isletim-sisteminde-yetki-yukseltilmesi
  • MSF local_exploit_suggester: https://www.rapid7.com/db/modules/post/multi/recon/local_exploit_suggester
  • PowerUp: https://www.siberportal.org/red-team/windows-operating-system-penetration-tests/powerup-betigi-ile-tespit-edilen-kimlik-bilgilerini-kullanarak-hak-yukseltme/
  • JAWS: https://411hall.github.io/JAWS-Enumeration/
  • BeRoot: https://www.kitploit.com/2017/04/beroot-windows-privilege-escalation-tool.html

Hak yükseltme yöntemi belirlendikten sonra bir takım yöntemler ile hak yükseltme işlemi gerçekleştirilebilir. Bu yöntemlerden en öne çıkanlar aşağıdaki gibi sıralanabilir.

  • Sysinternals Psexec Aracı Kullanılarak Windows işletim sisteminde yerel yönetici haklarından SYSTEM haklarına erişim sağlanması –Bakınız
  • Meterpreter oturumu elde edilmiş Windows işletim sisteminde MSF bypassuac_injection istismar modülü kullanılarak UAC korumasının atlatılması ve yerel yönetici hakları ile işlem yapılması –Bakınız
  • MS10-015 işletim sistemi zafiyeti istismar edilerek standart yerel kullanıcı haklarından SYSTEM haklarına erişim sağlanması –Bakınız-ve-Bakınız
  • MS10-059 işletim sistemi zafiyeti istismar edilerek standart yerel kullanıcı haklarından SYSTEM haklarına erişim sağlanması –Bakınız
  • MS10-092 işletim sistemi zafiyeti istismar edilerek standart yerel kullanıcı haklarından SYSTEM haklarına erişim sağlanması –Bakınız
  • MS11-011 işletim sistemi zafiyeti istismar edilerek standart yerel kullanıcı haklarından SYSTEM haklarına erişim sağlanması –Bakınız (Harici)
  • MS11-046 işletim sistemi zafiyeti istismar edilerek standart yerel kullanıcı haklarından SYSTEM haklarına erişim sağlanması –Bakınız
  • MS11-080 işletim sistemi zafiyeti istismar edilerek standart yerel kullanıcı haklarından SYSTEM haklarına erişim sağlanması –Bakınız
  • MS13-053 işletim sistemi zafiyeti istismar edilerek standart yerel kullanıcı haklarından SYSTEM haklarına erişim sağlanması –Bakınız
  • MS13-053 işletim sistemi zafiyeti istismar edilerek standart yerel kullanıcı haklarından SYSTEM haklarına erişim sağlanması –Bakınız
  • MS13-081 işletim sistemi zafiyeti istismar edilerek standart yerel kullanıcı haklarından SYSTEM haklarına erişim sağlanması -Bakınız (Harici)-
  • MSF ms14_058_track_popup_menu istismar modülü ile MS14-058 işletim sistemi zafiyeti istismar edilerek standart yerel kullanıcı haklarından SYSTEM haklarına erişim sağlanması –Bakınız
  • MSF ms14_068_kerberos_checksum auxiliary modülü ile MS14-068 işletim sistemi zafiyeti istismar etmeye yaran biletin hazırlanması –Bakınız (Harici)
  • Pykek betiği ile MS14-068 işletim sistemi zafiyeti istismar edilerek standart etki alanı kullanıcı haklarından etki alanı yönetici haklarına erişim sağlanması –Bakınız
  • MSF ms14_070_tcpip_ioctl istismar modülü ile MS14-070 işletim sistemi zafiyeti istismar edilerek standart yerel kullanıcı haklarından SYSTEM haklarına erişim sağlanması –Bakınız
  • MS15-051 işletim sistemi zafiyeti istismar edilerek standart etki alanı kullanıcı haklarından etki alanı yönetici haklarına erişim sağlanması –Bakınız
  • MS15-078 işletim sistemi zafiyeti istismar edilerek standart yerel kullanıcı haklarından SYSTEM haklarına erişim sağlanması -Bakınız (Harici)-
  • MS16-016 işletim sistemi zafiyeti istismar edilerek standart yerel kullanıcı haklarından SYSTEM haklarına erişim sağlanması -Bakınız (Harici)-
  • MS16-032 işletim sistemi zafiyetinin Powershell betiği ile istismar edilerek standart yerel kullanıcı haklarından SYSTEM haklarına erişim sağlanması –Bakınız
  • MS16-034 işletim sistemi zafiyeti istismar edilerek standart yerel kullanıcı haklarından SYSTEM haklarına erişim sağlanması -Bakınız (Harici)-
  • MS16-098 işletim sistemi zafiyeti istismar edilerek standart yerel kullanıcı haklarından SYSTEM haklarına erişim sağlanması –Bakınız
  • MS16-135 işletim sistemi zafiyeti istismar edilerek standart yerel kullanıcı haklarından SYSTEM haklarına erişim sağlanması -Bakınız (Harici)-
  • Capcom.sys sürücü zafiyetinin istismar edilerek standart yerel kullanıcı haklarından SYSTEM haklarına erişim sağlanması –Bakınız (Harici)
  • Nessus Agent 6.6.2 – 6.10.3 üzerindeki zafiyeti istismar edilerek standart yerel kullanıcı haklarından SYSTEM haklarına erişim sağlanması -Bakınız (Harici)-
  • Yerel yönetici hakları var iken, başka bir kullanıcının prosesindeki jetonu alarak daha yetkili kullanıcı haklarına erişim sağlanması –Bakınız
  • Credential Manager üzerinde kayıtlı kimlik bilgileri kullanılarak yetkili kullanıcı haklarına erişim sağlanması –Bakınız
  • Yetkilendirmesi yanlış yapılandırılmış servis zafiyetinin istismar edilerek yetkili kullanıcı haklarına erişim sağlanması –Bakınız
  • Kayıt değeri yetkilendirmesi yanlış yapılandırılmış servis zafiyetinin istismar edilerek yetkili kullanıcı haklarına erişim sağlanması –Bakınız
  • Çalışacağı dosya yolu yanlış yapılandırılmış servis zafiyetinin istismar edilerek yetkili kullanıcı haklarına erişim sağlanması –Bakınız
  • Çalışacağı dizin veya çalıştırdığı dosya yetkilendirmesi yanlış yapılandırılmış servis zafiyetinin istismar edilerek yetkili kullanıcı haklarına erişim sağlanması –Bakınız (Harici)
  • AlwaysInstallElevated yapılandırma zafiyetinin istismar edilerek yetkili kullanıcı haklarına erişim sağlanması –Bakınız (Harici)
  • Windows ortamındaki servis yetkilendirmesinin Juicy Potato aracı ile istismar edilerek SYSTEM haklarına erişim sağlanması –Bakınız
  • Otomatik oturum açma ayarı etkinleştirilmiş işletim sisteminde oturum kimlik bilgileri ele geçirilerek yetkili kullanıcı haklarına erişim sağlanması –Bakınız
  • Exchange Web Service üzerinceki API’deki (PushSubscription sınıfının) zafiyetin (CVE-2018-8581) istismarı ile standart mail hesabı yetkillerinden etki alanı üzerinde yetkili kullanıcı haklarına erişim sağlanması –Bakınız (Harici)
  • İşletim sistemi zafiyetlerinin listesi –Bakınız (Harici)
  • İşletim sistemi zafiyetlerine ait istismar kodu listesi –Bakınız (Harici)
  • Kritik dosyalar içerisindeki bilgiler kullanılarak yetkili kullanıcı haklarına erişim sağlanması –Bakınız

 

4) Bilgisayar Üzerinde Kritik Bilgi Elde Etme (İstismar Sonrası İşlemler)

Windows işletim sistemine erişim sağlandıktan sonra, mevcut yetkilerle bilgisayar üzerinde hedefe yönelik kritik bilgiler aranır. Bu bilgilerden en önemlileri aşağıdaki gibidir:

  • Bilgisayarın etki alanı, yereldeki ve etki alanındaki kullanıcılar ve gruplar
  • Bilgisayarda oturumu açık olan veya daha önceden oturum açmış olan yerel veya etki alanındaki kullanıcılar ve bu kullanıcılara ait bilgiler
  • Bilgisayarın diskinde kayıtlı olan bilgiler
  • Bilgisayardaki uygulamalardan elde edilen bilgiler

İşletim sistemine erişimin sağlandıktan sonra, tespit edilebilecek kritik veriler 3 ana alt başlıkta incelenebilir.

4.1) Yerel bilgisayar veya etki alanı hakkında bilgiler

Bir Windows bilgisayara erişim sağladıktan sonra, gerçekleştirilebilecek adımlardan ilki oturum elde edilen bilgisayar hakkında bilgi elde etmektir. Bu bilgiler aşağıdaki gibi listelenebilir.

  • Windows komut satırında işletim sistemi hakkında bilgilerin elde edilmesi –Bakınız– . Bu bilgiler temel olarak aşağıdaki gibi sıralanabilir:
  • Bilgisayarda sahip olunan yetki
  • Bilgisayarın işletim sistemi
  • Bilgisayarın dahil olduğu etki alanı
  • Yerel gruplar ve yereldeki kritik gruplar (Administrators, Remote Desktop Users grupları gibi)
  • Yereldeki kritik gruplara ait kullanıcılar
  • Etki alanındaki gruplar ve kritik gruplar (Administrators, Domain Admins, Domain Computers gibi)
  • Etki alanındaki kritik gruplara ait kullanıcılar (veya bilgisayarlar)
  • Parola politikası
  • Paylaşımlar
  • Bilgisayara gerçekleştirilen ve bu bilgisayardan gerçekleştirilen bağlantılar
  • Ağ bilgileriXXX
  • Etki alanındaki servis hesaplarının tespit edilmesi –Bakınız (Harici)
  • Yüklü olan programların meterpreter komut satırında elde edilmesi –Bakınız
  • Yönetici hakları ile Meterpreter erişimi elde edilen Windows istemcide MSF multi_post modülü ile toplu olarak bilgi toplama –Bakınız

4.2) Parola özetleri veya bu bilgileri içeren dosyalar

Yerel yönetici veya SYSTEM yetkileriyle bilgisayara erişim sağlandıktan sonra, bilgisayardaki kullanıcılara ait parola özetleri elde edilmeye çalışılır. Bu amaçla, SAM / NTDS.dit ve SYSTEM dosyaları alınabileceği gibi, parola özetleri de elde edilebilir. Parola özetlerinin edilmesine yönelik çeşitli örnekler aşağıdaki gibi sıralanabilir.

  • Windows komut satırı erişimi elde edilen istemci bilgisayarda reg aracı ile SAM ve SYSTEM dosyalarının elde edilmesi –Bakınız
  • Elde edilen SAM ve SYSTEM dosyaları kullanılarak samdump2 ve bkhive araçları ile yerel hesaplara ait parola özetlerinin elde edilmesi –Bakınız
  • Elde edilen SAM ve SYSTEM dosyaları kullanılarak Ophcrack aracı ile yerel hesaplara ait parola özetlerinin elde edilmesi –Bakınız
  • Elde edilen SAM ve SYSTEM dosyaları kullanılarak Cain & Abel aracı ile yerel hesaplara ait parola özetlerinin elde edilmesi –Bakınız
  • Masaüstü erişimi elde edilen bilgisayarda Cain & Abel uygulaması ile yerel hesaplara ait parola özetlerinin elde edilmesi –Bakınız
  • Meterpreter erişimi elde edilen istemci bilgisayarda Meterpreter hashdump komutu, MSF hashdump post modülü ve MSF smart_hashdump post modülü ile yerel hesaplara ait parola özetlerinin elde edilmesi –Bakınız
  • Meterpreter erişimi elde edilen etki alanı denetleyicisi üzerinde Meterpreter hashdump komutu, MSF hashdump post modülü ve MSF smart_hashdump post modülü ile yerel hesaplara ait parola özetlerinin elde edilmesi –Bakınız
  • Masaüstü veya Windows yetkili komut satırı oturumu elde edilen etki alanı denetleyicisi üzerinde, VSSAdmin, NTDSUtil veya DiskShadow araçları ile Volume Shadow Copy özelliği kullanılarak NTDS.dit ve SYSTEM dosyalarının elde edilmesi; libesedb ve ntdsxtract aracları ile bu dosyalardan faydalanarak etki alanı kullanıcı hesaplarına ait parola özetlerinin elde edilmesi –Bakınız
  • MSF domain_hashdump post modülü kullanılarak etki alanı kullanıcı hesaplarına ait parola özetlerinin elde edilmesi –Bakınız (Harici)
  • PSNTDS aracı kullanılarak etki alanı kullanıcı hesaplarına ait parola özetlerinin elde edilmesi –Bakınız (Harici)
  • Fiziksel güvenlik atlatılarak SAM ve SYSTEM dosyalarının elde edilmesi –Bakınız

4.3) RAM üzerinde kayıtlı jetonlar ve oturumlar

Yerel yönetici veya SYSTEM yetkileriyle bilgisayara erişim sağlandıktan sonra, bilgisayardaki kullanıcılara ait jetonlar (token) elde edilmeye çalışılır. Bu amaçla, mevcut durumda çalışan prosesler ve prosesleri çalıştıran kullanıcı hesapları incelenerek jetonlar çalınır ve kritik yetkiler elde edilebilir. Jetonların elde edilmesine yönelik çeşitli örnekler aşağıdaki gibi sıralanabilir.

  • Yönetici hakları ile Meterpreter erişimi elde edilen Windows istemcide meterpreter steal_token komutu ile RAM üzerinde jetonu bulunan başka bir hesabın kimliğine bürünme –Bakınız
  • Yönetici hakları ile Meterpreter erişimi elde edilen Windows istemcide meterpreter migrate komutu ile jetonu RAM üzerinde bulunan başka bir hesabın kimliğine bürünme –Bakınız
  • Yönetici hakları ile Meterpreter erişimi elde edilen Windows istemcide meterpreter incognito eklentisi ile RAM üzerinde jetonu bulunan başka bir hesabın kimliğine bürünme –Bakınız

4.4) RAM üzerinde kayıtlı parolalar

Yerel yönetici veya SYSTEM yetkileriyle bilgisayara erişim sağlandıktan sonra, bilgisayarda oturum açan kullanıcılara ait parolaların açık hali elde edilmeye çalışılır. Bu amaçla, LSASS dosyası alınabileceği gibi, çeşitli uygulamalar çalıştırılarak parolanın açık hali doğrudan da elde edilebilir. Parola özetlerinin edilmesine yönelik çeşitli örnekler aşağıdaki gibi sıralanabilir.

  • Yönetici hakları ile Windows komut satırı elde edilen bilgisayarda Mimikatz aracı kullanılarak oturumu açık olan hesapların parolalarının elde edilmesi –Bakınız
  • Yönetici hakları ile Windows komut satırı elde edilen bilgisayarda WCE aracı kullanılarak oturumu açık olan hesapların parolalarının elde edilmesi –Bakınız
  • Yönetici hakları ile Windows komut satırı elde edilen bilgisayarda uzak bilgisayardaki Mimikatz aracı kullanılarak oturumu açık olan hesapların parolalarının elde edilmesi –Bakınız (Harici)
  • Yönetici hakları ile Meterpreter komut satırı elde edilen bilgisayarda Meterpreter Mimikatz eklentisi kullanılarak oturumu açık olan hesapların parolalarının elde edilmesi –Bakınız
  • Yönetici hakları ile Windows komut satırı elde edilen bilgisayara ait LSASS proses dump dosyasının ele geçirilmesi ve Mimikatz aracı kullanılarak oturumu açık olan hesapların parolalarının elde edilmesi –Bakınız
  • Yönetici hakları ile Windows disk sistemi erişimi elde edilen bilgisayara ait LSASS proses dump dosyasının ele geçirilmesi ve Mimikatz aracı kullanılarak oturumu açık olan hesapların parolalarının elde edilmesi –Bakınız
  • Yönetici hakları ile uzak masaüstü bağlantısı elde edilen bilgisayara ait LSASS proses dump dosyasının ele geçirilmesi ve Mimikatz aracı kullanılarak oturumu açık olan hesapların parolalarının elde edilmesi –Bakınız

4.5) Disk veya uygulamalar üzerinde kayıtlı veriler

Windows bir bilgisayara erişim sağlandıktan sonra, disk üzerinde kayıtlı kritik bilgiler elde edilmeye çalışılır. Bu işlem el ile gerçekleştirilebildiği gibi, betikler kullanılarak da gerçekleştirilebilir.

El ile gerçekleştirilen aramalarda aşağıda belirtilen alanlarda aramalar yapılır.

  • C:\Users altındaki Desktop, Documents ve Downloads dizinlerin incelenmesi
  • Harici disklerin (D, E,…) incelenmesi
  • Windows-Run tuş takımına tıklanarak erişim sağlanan dizinlerin incelenmesi
  • En son girilen dizinlerin ve dosyaların incelenmesi
  • Ekli ağ paylaşımlarının (Mapped network share) incelenmesi
  • Kullanılan web tarayıcılarda kritik sistemlere erişimlerin, favori web sayfalarının incelenmesi
  • En son kullanılan uygulamaların tarihçesinde erişim sağlanan verilerin incelenmesi
  • Kullanılan uygulamalara (TOAD, Filezilla, OpenVpn…) ait konfigürasyon dosyalarının (tnsnames.ora, *.ovpn) uygulamaya özel dizinlerde incelenmesi
  • Yapılandırma dosyalarının (Sysprep, web.config dahil), logların, betiklerin, yedeklerin,… incelenmesi
  • Aktif Dizin içindeki yorum alanlarının, nesne özelliklerinin incelenmesi
  • Kayıtlı kablosuz ağ erişim bilgileri elde edilmesi –Bakınız

Not: Ele geçirilen bilgisayarda C:\Users dizininde son değişiklik tarihine göre en yakın tarihe ait oturuma daha fazla önem verilmelidir.

Betikler veya Metasploit modülleri kullanılarak disk sistemi üzerinden veya uygulamalardan kritik bilgilerin elde edilmesine yönelik çeşitli örnekler aşağıdaki gibi sıralanabilir.

  • Powershell komutları ile disk sistemindeki kritik bilgilerinin elde edilmesi –Bakınız
  • PowerUp betiği kullanılarak tespit edilen AutoLogin / AutoLogon kimlik biglilerinin kayıt defteri üzerinden elde edilmesi –Bakınız
  • Yönetici hakları ile Meterpreter komut satırı elde edilen bilgisayarda MSF winscp post modülü kullanılarak Winscp uygulamasında kayıtlı erişim bilgilerinin elde edilmesi –Bakınız
  • Yönetici hakları ile Meterpreter komut satırı elde edilen bilgisayarda MSF filezilla post modülü kullanılarak Filezilla uygulamasında kayıtlı erişim bilgilerinin elde edilmesi –Bakınız
  • Yönetici hakları ile Meterpreter komut satırı elde edilen bilgisayarda MSF Tortoisesvn post modülü kullanılarak Tortoisesvn uygulamasında kayıtlı erişim bilgilerinin elde edilmesi –Bakınız (Harici)
  • Yönetici hakları ile Meterpreter komut satırı elde edilen bilgisayarda Meterpreter keyscan komutları kullanılarak oturum açma (Winlogon) ekranında ve Windows oturumunda (Explorer) klavye hareketlerinin elde edilmesi –Bakınız (I) – ve –Bakınız (II)
  • Yönetici hakları ile Meterpreter komut satırı elde edilen etki alanı bilgisayarında MSF gpp post modülü kullanılarak grup ilkelerindeki erişim bilgilerinin elde edilmesi (MS14-025) –Bakınız
  • Credential Manager üzerinde kayıtlı kimlik bilgileri kullanılarak yetkili kullanıcı haklarına erişim sağlanması –Bakınız
  • Linux keytab dosyasından NTLM parola özeti değerinin elde edilmesi –Bakınız (Harici)

Bunun haricinde çalıştırılabilecek temel komutlar aşağıdaki gibi sıralanabilir.

 

5) Erişim Sürekliliğini Sağlama

Windows işletim sistemine erişim sağlandıktan sonra, mevcut yetkilerle bilgisayar üzerinde erişimin sürekliliği sağlanmaya çalışılır. Erişimin sürekliliğini sağlamak için kullanılabilecek yöntemler aşağıdaki gibi sıralanabilir.

  • Yönetici hakları ile Meterpreter komut satırı elde edilen bilgisayarda Meterpreter persistence betiği kullanarak erişim sürekliğinin sağlanması –Bakınız
  • Yönetici hakları ile Meterpreter komut satırı elde edilen bilgisayarda MSF s4u_persistence istismar modülü kullanarak erişim sürekliğinin sağlanması –Bakınız (Harici)
  • Elde edilen servis kullanıcısının parola özeti ile oluşturulan Silver Ticket ile etki alanı üzerinde erişim sürekliğinin sağlanması –Bakınız (Harici)
  • Etki alanında yönetici hakları elde edilerek oluşturulan Skeleton Key ile etki alanı üzerinde yönetici hakları ile erişim sürekliğinin sağlanması –Bakınız (Harici)
  • Etki alanında yönetici hakları elde edilerek oluşturulan Golden Ticket ile etki alanı üzerinde yönetici hakları ile erişim sürekliğinin sağlanması –Bakınız
  • Yönetici hakları ile Windows komut satırı elde edilen bilgisayarda Image File Execution Options özelliği ile arka kapı bırakılarak erişim sürekliğinin sağlanması –Bakınız
  • Yönetici hakları ile WMI üzerinden erişim sağlanan uzak bilgisayarda Wmic aracı ve Image File Execution Options özelliği ile arka kapı bırakılarak erişim sürekliğinin sağlanması –Bakınız
  • Yönetici hakları ile Meterpreter komut satırı elde edilen bilgisayarda MSF getgui istismar modülü kullanarak RDP erişiminin etkinleştirilmesi –Bakınız
  • Yönetici hakları ile oturum elde edilen bilgisayarda Autorun, kayıt defteri, servisler, DLL’ler,… üzerinden arka kapı bırakılarak erişim sürekliğinin sağlanması –Bakınız (Harici)

 

6) Yeni Ağlara Erişim Sağlama

Windows işletim sistemine erişim sağlandıktan sonra, normalde doğrudan erişim sağlanamayan ağlara, ele geçirilen bilgisayar üzerinden erişim sağlanmaya çalışılır. Yeni ağlara erişim sağlamak için kullanılabilecek yöntemler aşağıdaki gibi sıralanabilir.

  • Meterpreter oturumu elde edilen bilgisayarda Meterpreter route komutu kullanılarak yeni bir ağa erişimin elde edilmesi –Bakınız
  • Meterpreter oturumu elde edilen bilgisayarda Meterpreter portpwd komutu kullanılarak yeni bir ağa erişimin elde edilmesi –Bakınız
  • Meterpreter oturumu elde edilen bilgisayarda MSF autoroute post modülü kullanılarak yeni bir ağa erişimin elde edilmesi –Bakınız
  • Meterpreter oturumu elde edilen bilgisayarda MSF autoroute post modülü, MSF socks4a auxiliary modülü ve Linux proxychains uygulaması kullanılarak yeni bir ağa erişimin elde edilmesi –Bakınız

Bunların yanında masaüstü erişimi veya komut satırı erişimi elde edilen bilgisayar üzerinden klasik yöntemlerle (bilgisayarın komut satırı veya masaüstü arayüzü üzerinden) de doğrudan erişim sağlanamayan yeni ağlara bağlantı kurulabilir.

 

7) Ağ Keşfi

Ağ sızma testlerinin kapsamlı başlıklarından biri olan ağ keşfi adımı, diğer bir çok sızma testi kapsamında olduğu gibi etki alanı sızma testinin de önemli adımlarındandır. Windows bilgisayarları tespit edebilmek için 445/TCP, 139/TCP, 3389/TCP gibi standart portların keşfi ilk aşamada yeterli olmaktadır. Ağ keşfi için kullanılabilecek yöntemler aşağıdaki gibi sıralanabilir.

  • Nmap aracının temel komutları ile ağ keşfinin gerçekleştirilmesi –Bakınız

 

8) Zafiyet Tarama

Ağ üzerindeki Windows bilgisayarlar tespit edildikten sonra, bilgisayarlar üzerinde işletim sisteminden, uygulamalardan ve konfigürasyondan kaynaklı zafiyetler/açıklıklar tespit edilir. Zafiyet taraması için kullanılabilecek yöntemler aşağıdaki gibi sıralanabilir.

  • Kimlik bilgisi verilerek (uygulamalara ve konfigürasyonlara ait zafiyetler de tespit edilebilir) veya verilmeden Nessus aracı ile zafiyet taramasının gerçekleştirilmesi –Bakınız
  • Kimlik bilgisi verilerek (uygulamalara ve konfigürasyonlara ait zafiyetler de tespit edilebilir) veya verilmeden OpenVas aracı ile zafiyet taramasının gerçekleştirilmesi –Bakınız
  • İşletim sistemine erişim sağladıktan sonra eksik yamaların windows-exploit-suggester betiği ile elde edilmesi –Bakınız
  • İşletim sistemine erişim sağladıktan sonra hak yükseltme saldırılarına sebep olabilecek eksik konfigürasyonların windows-privesc-check betiği ile elde edilmesi –Bakınız

 

9) Ağ Üzerinde Kritik Bilgi Elde Etme

Ağ üzerinde etki alanına veya diğer Windows sistemlere ait parola, parola özeti gibi kimlik bilgileri başta olmak üzere çeşitli kritik bilgiler ağ trafiğinden veya paylaşımlardan elde edilebilir. Ağ üzerinden kritik bilgi elde etmek için kullanılabilecek yöntemler aşağıdaki gibi sıralanabilir.

  • Aynı ağdaki iki bilgisayar arasındaki trafiğin Cain & Abel uygulaması ile dinlenerek kritik erişim bilgilerinin elde edilmesi –Bakınız
  • Aynı ağdaki bir bilgisayarın farklı bir ağ ile arasındaki trafiğin Cain & Abel uygulaması ile dinlenerek kritik erişim bilgilerinin elde edilmesi –Bakınız
  • Aynı ağdaki bir bilgisayarın farklı bir ağ ile arasındaki trafiğin Ettercap uygulaması ile dinlenerek kritik erişim bilgilerinin elde edilmesi –Bakınız
  • LLMNR ve NBT-NS protokollerinin Responder betiği ile NTLMv2 parola özetlerinin elde edilmesi –Bakınız (Harici)
  • RDP protokolünün Seth betiği ile açık metin parolanın ve NTLMv2 parola özetlerinin elde edilmesi –Bakınız
  • Windows paylaşımlarının MSF smb_enumshares Auxiliary modülü ile tespiti ve paylaşımlardan kritik bilgi elde edilmesi –Bakınız
  • Windows bilgisayardaki kullanıcı isimlerinin MSF smb_lookupsid Auxiliary modülü ile tespit edilmesi –Bakınız
  • NFS paylaşımının Nmap nfs-showmount betiği ile tespiti ve paylaşımdan kritik bilgi elde edilmesi –Bakınız
  • SMB paylaşımının Nmap smb-enum-shares betiği ile tespiti ve paylaşımdan kritik bilgi elde edilmesi –Bakınız (Harici)

 

10) Erişim Sağlanabilecek Bilgisayarların ve Kullanıcıların Tespiti

Ağ trafiğinden, paylaşımlardan, erişim sağlanan bilgisayarlardan, diğer sızma testi kapsamlarından elde edilen erişim bilgileri kullanılarak yayılabilecek diğer Windows kaynakları tespit edilir. Ayrıca erişim sağlanabilecek bu bilgisayarlarda hedefe özel aramalar (Domain Admins oturumlarının tespiti gibi) da gerçekleştirilebilir. Erişim sağlanabilecek diğer Windows bilgisayarları tespit etmek için kullanılabilecek yöntemler aşağıdaki gibi sıralanabilir.

  • Kullanıcı listesi ile Pre-Authentication (DONT_REQ_PREAUTH / ASREPRoast) özelliği etkin olmayan etki alanı kullanıcıların MSF kerberos_enumusers auxiliary modülü ile tespit edilmesi –Bakınız (Harici)
  • Kullanıcı listesi ile Pre-Authentication (DONT_REQ_PREAUTH / ASREPRoast) özelliği etkin olmayan etki alanı kullanıcıların Nmap krb5-enum-users betiği ile tespit edilmesi –Bakınız (Harici)
  • Kullanıcı listesi ile Pre-Authentication (DONT_REQ_PREAUTH / ASREPRoast) özelliği etkin olmayan etki alanı kullanıcıların Rubeus aracı ile tespit edilmesi –Bakınız (Harici)
  • Kullanıcı listesi ile Pre-Authentication (DONT_REQ_PREAUTH / ASREPRoast) özelliği etkin olmayan etki alanı kullanıcıların Kerbrute aracı ile tespit edilmesi –Bakınız (Harici)
  • Elde edilen kimlik bilgileri ile oturum açılabilecek Windows bilgisayarların Hydra aracı ile tespit edilmesi –Bakınız
  • Elde edilen kimlik bilgileri ile oturum açılabilecek Windows bilgisayarların Hydra aracı ile tespit edilmesi –Bakınız
  • Elde edilen kimlik bilgileri ile oturum açılabilecek Windows bilgisayarların Medusa aracı ile tespit edilmesi –Bakınız
  • Elde edilen kimlik bilgileri ile oturum açılabilecek Windows bilgisayarların MSF smb_login Auxiliary modülü ile tespit edilmesi –Bakınız
  • Elde edilen kimlik bilgileri ile RDP yapılabilecek Windows bilgisayarlarının Levye betiği ile tespit edilmesi –Bakınız
  • Elde edilen kimlik bilgileri ile oturum açılabilecek Windows bilgisayarlardaki kullanıcılara ait hesapların MSF smb_enumusers_domain Auxiliary modülü ile tespit edilmesi –Bakınız
  • Elde edilen kimlik bilgileri ile oturum açılabilecek Windows bilgisayarlardaki kullanıcılara ait hesapların MSF psexec_loggedin_users Auxiliary modülü ile tespit edilmesi –Bakınız
  • Elde edilen kimlik bilgileri ile oturum açılabilecek Windows bilgisayarlardaki belirli kullanıcılara ait jetonların Kacak betiği ile tespit edilmesi –Bakınız
  • Elde edilen kimlik bilgileri ile SPN kaydı olan servis hesaplarının Kerberoasting saldırısı ile tespit edilmesi –Bakınız

 

 

Sonuç

Sızma testlerinde mevcut ortamın durumuna göre saldırıların gerçekleştirildiği, yeni zafiyetlerin ve yeni saldırı tekniklerinin günden güne artış gösterdiği unutulmamalıdır. Yazının başında da belirtildiği gibi, bir noktadaki zafiyetin başka noktalardaki hususları etkileyeceği göz önünde bulundurulmalı, güvenlik konusu geniş bir bakış açısı ile ele alınmalıdır. Eetki alanında gerçekleşebilecek saldırılara karşı alınabilecek önlemler için aşağıdaki kaynaklar incelenebilir.

https://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/etki-alani-saldirilarina-karsi-temel-korunma-yontemleri-1.html

https://www.bilgiguvenligi.gov.tr/siniflandirilmamis/etki-alani-saldirilarina-karsi-temel-korunma-yontemleri-2.html

Sızma testleri, sızma testini gerçekleştiren kişi/kişilerin tecrübelerine ve ortamın mevcut durumuna göre şekillenmektedir. Bu yazıda belirtilen tekniklerin yanı sıra daha bir çok teknik bulunmaktadır. Etki alanı sızma testi ile ilgili diğer tekniklerin buraya eklenmesi konusunda yardımcı olmak için, ekleme yapmak istediğiniz tekniği linki ile birlikte yorum olarak gönderirseniz seviniriz.

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.