12 Ocak 2018 Cuma

Tarayıcı İSTİSMARI

Image result for Browser logo

Her geçen gün tarayıcılar üzerinden gerçekleşen daha fazla saldırı ile karşılaşıyoruz. Bunun birkaç nedeni var.  Kullanıcıya internet üzerinde istediği yere gidebilme özgürlüğünü verdiğinizde ona aynı zamanda kendine ve çalıştığı kurum/kuruluşa zarar verecek sayfaları ziyaret etme özgürlüğü de veriyorsunuz. Unutmamak gerekir ki sayfayı tarayıcıyla ziyaret ettiğinizde, otomatik olarak sayfada bulunan kodu tarayıcınız üzerinde çalıştırıyorsunuz. Zararlı bir siteyi veya zafiyet barındıran iyi niyetli bir siteyi ziyaret ettiğinizde, tarayıcınızda çalışan bu kod, en iyi ihtimalle tarayıcınızı daha pesimist olmak gerekirse,  işletim sisteminizi ele geçirebilir.

Not: Saldırgan çoğu zaman istediğini almak için işletim sisteminizi ele geçirmeye ihtiyaç duymaz.

Karşılaştığımız saldırı vektörlerini ikiye ayırabiliriz:


  • Tarayıcı üzerinden işletim sistemi üzerinde kod çalıştırılması ile gerçekleştirilebilecek saldırılar
  • Tarayıcının üzerinde kod çalıştırılması ile gerçekleştirilebilecek saldırılar 
Eğer kullandığınız tarayıcı bilinen, iyi bir tarayıcıysa ve üzerinde bir 0-day açığı barındırmıyorsa (ki bunu kimse garanti edemez) ilk şıktan korkmanızı gerektirecek bir şey olmamalı. Fakat eğer çalışan bir istismar kodunun var olduğu bir sayfayı ziyaret edecek olursanız ve tarayıcınız bu kodun istismar ettiği açıktan etkileniyorsa, istismar kodu büyük ihtimalle işletim sisteminizi ele geçirecektir. Başka şeyler yapan istismar kodları da mevcut. Bununla birlikte tarayıcı açıklarından yararlanan istismar kodlarını internette bulmak oldukça kolay.

Not2: Tarayıcı RCE istismar kodları genellikle heap based buffer overflow açıklarından yararlandığı  için, ASLR atlatmak çoğu zaman "daha mümkün". (Bkz:Heap Spraying)




Öte yandan, bu tür saldırıların büyük çoğunluğunun oltalama vektörleri, sonra XSS, CSRF gibi açıkların istismarları üzerinden gerçekleştiğini görüyoruz. Bunun nedeni kullanıcının bir linke tıklamasının ya da telefonuna bir QR kod okutmasının saldırganın perspektifinde daha kolay olması.


Geliştirmesi 1 ay süren bir istismar kodu 
VS 
20.000 kişiye aynı anda atılan 1 tane "İphone X Çekilişi" maili (bkz:twitter.com/rumeysabzdmr)


Hangisi daha kolay?


Phishing vektörlerini bir kenara bırakacak olursak, önde gelen vektörlerden biri de persistent XSS açığı barındıran iyi niyetli web sayfaları üzerine enjkekte edilen HTML kodunun, ziyaretçilerin tarayıcıları üzerinde gerçekleştirdiği saldırılar. Bu tür saldırıların da birçok farklı şekilde kullanıldığına şahit oluyoruz. Bazen CSRF açıkları ile birlikte istismar edilerek kullanıcılar adına işlemler yapıldığını bazen ise kullanıcının haberi olmadan seçtiği bir sayfaya facebook like'ları gönderildiğine şahit oluyoruz. (bkz:clickjacking)



Tarayıcı İstismarı Serisi 

Bu seride tarayıcı üzerinden yapılan saldırıların nasıl gerçekleştiğini ve bu tür saldırılara karşı ne tür önlemler alınması gerektiğini yazacağım. Bunlara ek olarak tarayıcı istismar kodlarının nasıl kullanıldığı ve tarayıcı istismar kodlarının nasıl geliştirildiğini gerçek örnekler üzerinde anlatacağım. 

Bu seride anlatılacaklar aşağıdaki gibidir,


Sosyal Mühendislik Saldırıları
  • Setoolkit Kullanımı
  • Mass Mailing Saldırıları
  • Zararlı Java Applet Yöntemi
  • Credential Harvester 
  • Tabnabbing Saldırıları
  • Webjacking Saldırıları
  • HTA dosyaları üzerinden Powershell enjeksiyonu
  • QR kod üzerinden zararlı yazılım teslimi
  • IDN Homograph Saldırısı (ve scripti)
  • Clickjacking
XSS Saldırı Vektörleri
  • XSS Açığından Yararlanarak Oturum Çerezi Çalma
  • Session Hijacking
  • BeEF Browser Exploitation Framework
Tarayıcı İstismarı

  • Tarayıcı İstismar Kodlarının Kullanımı
  • Tarayıcı İstismar Kodu Geliştirme
  • Az biraz shellcode üretimi
  • Heap Spraying ile ASLR Bypass





on 12 Ocak by Berk Cem Göksel |   Edit