Siber Güvenlik Açısından Bir Linke Tıklamanın Maliyeti

Kişisel bilgisayarlar, yapılan saldırıların zorluğu ve getirileri oranlandığında siber suçlular için oldukça cazip birer hedef halindedirler. Hem kurulu uygulamaların çeşitliliği ve güncel olmaması, hem de kullanıcıların dikkatsizliği ve güvenlik bilincinin gelişmemiş olmasından dolayı genellikle sistemlerin zayıf halkası olarak görülürler. 

Sosyal mühendislik saldırılarında çoğunlukla ilk hedef yine kişisel bilgisayar kullanıcılarıdır. Bu yazıda olaya bir saldırgan gözünden bakıp, kullanıcının sadece bir linke tıklamasıyla ne gibi güvenik ihlallerinin gerçekleşebileceği ele alınmıştır.

Senaryo 1: Güncel Windows 7 x64 , Güncel Tarayıcı IE10, Son Birkaç Yaması Eksik Java(JRE 7)

Bu senaryoda amaç, java açığını istismar edip hedef kullanıcının bilgisayarına sızmak. İlk adımda metasploit başlatılır. Örnek exploit olarak kullanıcı onayı gerekmeden çalışabilen “java_jre17_driver_manager” kullanılmıştır. Tarayıcı üzerinden tetiklenebilecek, gerek tarayıcının kendisini gerekse eklentilerini hedef alan başka istismar kodları da tercih edilebilir. Örnek ayarlar şu şekildedir.
Hedef kullanıcının bağlanması gereken “port 80”, “path /” olarak belirlenip payload olarak java/meterpreter/reverse_tcp kullanılmıştır. LHOST ve LPORT değerleri de sanal makinada çalışan win7 nin kali hosta ters bağlantı yapabilmesini sağlayacak şekilde ayarlanmıştır.
İkinci adımda hazırladığımız tuzak sisteme/sunucuya kullanıcının bağlanmasını sağlamak gerekmektedir. Bunun için bir oltalama maili kullanılabilir veya kullanıcının kullandığı xss zafiyeti barındıran bir sistem üzerinden haberi olmadan yönlendirme yapılabilir. Hatta kullanıcı ile aynı ağda isek dns zehirlemesi gibi yöntemler de kullanılabilir.
Kullanıcı linke tıkladığında bir java meterpreter oturumu başlar ve hedef sistemde, kullanıcınının yetkileri dahilinde işlemler yapılabilir. Tabi yetki yükseltme saldırıları gerçekleştirerek daha yetkili oturumlar elde etmek de mümkündür.
En basitinden ekran görüntüsü almak için screenshot, dosyaları indirmek için download gibi komutlar kullanılabilir.

Alternatif olarak SET (social engineering toolkit) kullanarak yine benzer saldırılar gerçekleştirilebilir.

Senaryo 2: Güncel Windows 7 x64, Güncel Tarayıcı Chrome, Güncel Tarayıcı Eklentileri ve Güncel Antivirüs

Bu senaryoda amaç, kullanıcının bilgisayarına sızılamadığı durumlarda BeEF üzerinden ne gibi işlemler yapılabileceğini göstermektir. Hatırlatma olarak, bu senaryoda hedef sisteme sızmanın mümkün olmadığı fikrine kapılmak yanlış olur, çünkü 0day açıklar kullanılarak sisteme sızmak ya da antivirüsler tarafından tanınmayan zararlı kodları çalıştırması için kullanıcıyı ikna etmek gibi yöntemler mevcuttur.
BeEF servisi çalıştırılıp, http://adres/ui/authentication/ adresinden yönetim arayüzüne erişilebilir. BeEF’in varsayılan portu 3000 olarak belirlenmiştir ancak dikkat çekmemesi açısından config.yaml (kali de tam yolu /usr/share/beef-xss/config.yaml) dosyasından port değerini 80 yapmak faydalı olacaktır. Kullanıcı BeEF’in bulunduğu sayfaya yönlendirildiğinde (örnekte http://192.168.41.1:3000/demos/basic.html) beef aktif olur ve kullanıcının tarayıcısına, eklentilerine ve işletim sistemine uygun beef modülleri çalıştırılabilir.
Sol menüden Online Browser bölümünden hedef sistem seçilip Current Browser sekmesine geçilir. Details sekmesinde sistemle ilgili tarayıcı üzerinde elde edilebilen veya tahmin edilebilen hemen her bilgiye ulaşılabilir.

Commands tabında tarayıcı exploitleriyle sisteme sızmaktan sosyal mühendislikle kamera görüntüsü almaya kadar birçok modül mevcut. Örnek senaryoda Social Engineering -> Pretty Theft modülü kullanılarak kurbanın facebook giriş bilgileri alınmıştır. Modül Dialog Type = Facebook seçilip çalıştırıldığında, kullanıcı, ilgisini çekecek şekilde hazırlanmış tuzak sayfada gezerken karşısına şöyle bir pencere çıkar.

Eğer kurban facebook bağlantısının bir şekilde koptuğunu düşünüp tekrar giriş yaparsa bu bilgiler beef ekranında gözükecektir.

Misc->Create Invisible Iframe modülü ile hedef tarayıcının kurbanın haberi olmadan istenilen bir adrese bağlanması sağlanabilir veya Misc->Raw Javascript ile hedef tarayıcıda istenilen javascript kodu çalıştırılabilir.

Kullanıcılara yönelik saldırıların etkisi kurbanın farkındalık seviyesi ve saldırganın yaratıcılığı ile doğrudan alakalıdır. Kullanıcının tüm kişisel bilgilerini çaldırması veya çalıştığı kurumun ağını saldırgana açması gibi bilgi güvenliği açısından oldukça tehlikeli sonuçlar doğurabilir.
Onur ALANBEL <onur.alanbel@bga.com.tr>