14 Nisan 2018 Cumartesi

Tarayıcı Istısmari - Mass Mailing Saldırıları


Amaç

Bu bölümün amacı siber suçluların kullandığı yöntemlerden sadece bir tanesinin nasıl işlediğini görmek. Buna ek olarak sosyal mühendislik testlerinde kullanılabilecek bir takım teknikleri göreceğiz. 

Saldırı Vektörü: Mass Mailing

Bir kurumun bütün çalışanlarına gönderilecek zararlı bir link veya dosya barındıran bir e-posta çok güçlü bir sosyal mühendislik eylemi olabilir. Birçok saldırgan, kurum ve kuruluşlara sızarken ilk erişimi mail yoluyla teslim edilen macro dosyaları üzerinden gerçekleştiriyor. 

MuddyWater APT Grubu'nun benzer bir şekilde ilk erişimi zararlı macro dosyaları üzerinden sağladığını hatırlayalım. 

Başlayalım

Gerçekleştireceğimiz mass mailing işlemi için Setoolkit'i kullanabiliriz. Kendimiz küçük bir script de yazabiliriz fakat Setoolkit bizim için bunu hızlı bir şekilde yapıyor. 

Öncelikle karşı tarafa göndereceğimiz inandırıcı bir dosya bulmak için küçük bir Google araması yapalım.






Hoşumuza giden bir PDF dosyasını indirelim.


Şimdi ise sıra PDF dosyasının içine zararlı yazılımımızı gömmekte. Bunu Metasploit kullanarak aşağıdaki gibi yapabiliriz


Şaka... :)

Bu biraz eskide kaldı. Artık bu işi macro dosyaları üzerinden yapıyoruz. Bu işlem için çoğu saldırganın da siber güvenlik uzmanının da kullandığı Powershell Empire Framework'ü kullanacağız. 


Hedef işletim sistemimize göre bir macro stager seçtikten sonra bunu kullanacağımız listener'a bağlayıp modülü çalıştıralım.


Bu bize bir dizi macro komutunu çıktı veriyor. Çıktıyı olduğu gibi kopyalayalım ve bir macro dosyası oluşturalım.



Kopyaladığımız çıktıyı macro dosyası içine yapıştırıyoruz ve dosyayı bir yere kaydedelim.



Teslim

Şimdi sıra oluşturduğumuz macro'yu teslim etmekte.

Öncelikle "zararlı" bir gmail hesabı oluşturalım ve daha az güvenilir uygulama desteğini etkinleştirelim. Bu özelliği etkinleştirmezsek Setoolkit mail göndermek için Gmail'i kullanamayacaktır.


Setoolkit'i çalıştıralım, Mass Mailing saldırılarını seçelim ve devam edelim. Şimdilik 1. şıkkı seçerek tek bir e-posta adresini hedef alalım. 


Eğer istersek bir e-posta adresi listesi tanımlayarak 2. seçeneği seçebiliriz. Böylece birçok e-posta adresine e-posta gönderebiliriz.

Ben bu işlem için hayali dostumuz Ramiz'in e-posta adresini kullandım.

Şimdi sırada e-posta'nın içeriğini hazırlamak var. Bu işlemi kurbanımızın zeka seviyesini göz önünde bulundurarak itina ile gerçekleştirmeliyiz. Bol bol yazım hatası, anlatım bozuluğu ve mantık hatası kullanmayı unutmamalıyız. (bkz: istihza)


Fakat bu şekilde gelen kutumuza baktığımızda orada bir e-posta göremeyeceğiz. Bu, Gmail zararlı yazılımı tespit ettiği için. Bunun üstesinden gelmek için ise, dosyayı basitçe zip ile sıkıştırıp şifreleyebiliriz.

Bunun için aşağıdaki gibi bir komut kullanabiliriz:

zip --encrypt Macro.zip macro.docx

Tabii ki, buna göre phishing e-postamızı da yenilemek gerekecek.


Şimdi gelen kutumuza bakacak olursak, e-posta'nın başarılı bir şekilde karşı tarafa ulaştığını görebiliriz.





Anlaşılan Setoolkit'e '/root/Blog/' gibi absolute path vermek pek da akıllıca değilmiş. Göndermek istediğimiz dosyaya dizinine cd'ledikten sonra Setoolkit çalıştırarak bu sıkıntıyı atlatabiliriz.

Kurban zip parolasını girip Word dokümanını açtığı takdirde ürettiğimiz stager çalışacaktır. Buna rağmen birçok mail sunucusu (hatta bazı güvenlik ürünleri) birden fazla kişiye gönderilen şifreli zip dosyalarını bloklayacaktır.

Peki Ama Tarayıcı Bunun Neresinde?

Şimdi aynı mass mailing saldırısını zararlı bir dosya yerine, zararlı bir link göndererek gerçekleştirelim. Gönderdiğimiz link ise bir kullanıcı giriş formu olsun. 


Setoolkit'i çalıştırdıktan sonra,

> 1) Social-Engineering Attacks 
> 2) Website Attack Vectors 
> 3) Credential Harvester Attack Method
> 2) Site Cloner

seçimlerini yaptıktan sonra, POST isteğinin yönlendirileceği IP adresini girelim. Şimdi sıra kopyalayacağımız sayfanın URL'sini bulmakta. 

Tamamen örnek vermek amacıyla,  CERN'ün kullanıcı giriş sayfasını kullandım.


Not: CERN'de çalışan biri hayatta buraya kullanıcı adı parolasını girmez diyecekseniz, demeyin. Mesele insanlara gelince ne olacağı hiç bilinmez. Burada kinaye yok. Gerçekten, çok daha saçma phishing senaryolarına kurban olan iş yerleri ile karşılaştım.


Hayali dostumuz Ramiz'e gelince, kendisi phishing e-mailimizi aldığında içindeki linke tıklayarak yukarıdaki sayfayı ziyaret ediyor. CERN nedir bilmediğinden sayfayı iş yerinin OWA sayfası ile karıştırıyor ve kullanıcı bilgilerini giriyor :)

Terminal ekranımıza dönecek olursak, "zararlı" sayfamıza bir POST isteğinin gönderildiğini görüyoruz.


Ramiz zayıf parola kullanımından dersini almış olmasına rağmen, güvenli tarayıcı kullanmayı bilmemekten gol yiyor. Setoolkit Ramiz'i orjinal sayfaya yönlendiriyor ve böylece Ramiz bilgilerini çaldırdığını farketmiyor.

Not: Eğer bir sayfaya kullanıcı bilgisi girdikten sonra sayfa yenilenir ve/veya tekrar giriş sayfasına yönlendirilirse, ilk ziyaret ettiğiniz sayfanın sahte olup olmadığını anlamak için tarayıcı geçmişine bakabilirsiniz. Bu bazı durumlarda işe yaramayabilir fakat phishing sayfalarının büyük çoğunluğu tarayıcıyı ele geçirmekten veya istismar kodu çalıştırmaktansa sadece giriş bilgisi avlarlar.

Sosyal Mühendislik Testlerinde Kullanımı

Setoolkit kurum ve şirketlere gerçekleştirilen sosyal mühendislik testlerinde tercih edilebilir. Saldırı bittikten sonra CTRL + C ile Setoolkit'i kapattığımızda, Setoolkit bizim için bir rapor hazırlıyor ve raporun absolute pathini terminal ekranına basıyor.


Bu raporu yukarıdaki gibi HTML dosyasını açarak veya Setoolkit'in oluşturduğu XML dosyasını açarak görüntüleyebiliriz.


Yukarıda da görüldüğü üzere, Setoolkit bizim için kaç kişinin linke tıkladığının, kaç kişinin ise formu doldurduğunun kaydını tutuyor. Geriye, bize olanları raporlamak kalıyor.


on 14 Nisan by Berk Cem Göksel |   Edit