06 - Bilgi Toplama ve Sosyal Muhendislik¨Bilgi Toplama Yontemleri¨ Sosyal M¨uhendislik Bilgisayar Tabanlı Sosyal Muhendislik Y¨ ¨ontemleri Social-Engineer Toolkit 06 - Bilgi

Bilgi Toplama Yontemleri Sosyal Muhendislik Bilgisayar Tabanlı Sosyal Muhendislik Yontemleri Social-Engineer Toolkit

06 - Bilgi Toplama ve Sosyal MuhendislikBGM 553 - Sızma Testleri ve Guvenlik Denetlemeleri-I

Bilgi Guvenligi MuhendisligiYuksek Lisans Programı

Dr. Ferhat Ozgur [email protected]

Istanbul Sehir Universitesi2016 - Guz

Dr. Ferhat Ozgur Catak [email protected] 06 - Bilgi Toplama ve Sosyal Muhendislik


Icindekiler

1 Bilgi Toplama YontemleriSosyal MuhendislikSaldırılara Karsı Zafiyet IcerenDavranıslarBilgi ToplamaBilgi Toplama Yontemleri

2 Sosyal MuhendislikGirisSaldırı TeknikleriSosyal Muhendislik SızmaTesti AsamalarıGuvenlik Bilesenlerini AtlatmaTaktikleri

3 Bilgisayar Tabanlı SosyalMuhendislik Yontemleri

Giris

Custom Payload OlusturmaListener/Handler KavramıPayload OlusturulmasıCalıstırılabilir WindowsProgramlarına Zararlı IcerikEklenmesiOffice Dosyalarına ZararlıIcerik EklenmesiFirefox Eklentisine ZararlıIcerik EklenmesiMobil Cihazlara Yonelik SosyalMuhendislik

4 Social-Engineer ToolkitGirisCredential Harvester AttackMethod



Icindekiler




Giris





Sosyal Muhendislik

Tanım

Sosyal muhendislik, internette insanların zaafiyetlerinden faydalanarak cesitliikna ve kandırma yontemleriyle istenilen bilgileri elde etmeye calısmaktır.Insanların karar verme sureclerini degistirmeye yonelik teknikler icerir.

Motivasyon

I Insanlar sahip oldukları degerli bilgilerin farkında degillerI Bu nedenle bunu koruma konusunda oldukca dikkatsizler



Saldırılara Karsı Zafiyet Iceren Davranıslar

I Guven uzerine kurulu saldırılarI Kisi uzerinde baskı kurarak kisinin korkmasını saglamaI Sosyal muhendisler, bilgiyi acıga vurmak icin hedefleri cezbeder. Ac

gozlulukI Hedeflere yardım istenir ve ahlaki sorumluluk duygusuna uymaları

saglanır.



Kurulusları Buna Acık Bırakan Nedenler

SosyalMuhendislik

YetersizEgitim

BilgiyeErisimde

YeterliKural

Olmaması

FarklıBIrimlerArasında

Iletisimsizlik

GuvenlikPolitika-larının

Eksikligi



Sosyal Muhendislik Saldırılarının Adımları

Arastırma Web siteleri

KurbanSecimi Kurulusta korkan calısanların tespit edilmesi

IliskininGelistirilmesi

Kurban ile iliskinin gelistirilmesi

IliskininSomurulmesi

Hassas hesaplar



Bilgi Toplama

Bilgi Toplama YontemleriI Pasif Bilgi Toplama:

Hedef sistemle etkilesim yoktur.

I Aktif Bilgi Toplama:hedef sistem uzerinde arama/tarama gerceklestirilir.



Bilgi Toplama Yontemleri

Bilgi Toplama YontemleriI Web ve mail arsivleriI Port ve servis taramalarıI Arama motorlarıI Sosyal paylasım siteleriI DNS



WHOIS

WHOIS Sorgulama Sonucları

I DNS Sunucu BilgisiI Etki alanı adı detaylarıI Fiziksel yerleskeI Yonetimsel BaglantılarI Telefon ve Fax NumaralarıI E-posta adresi

WHOIS Arama Aracları

I DomainTools -http://whois.domaintools.com

I WhoisNet -http://www.whois.net

I WHO.IS - http://www.who.isI Linux whois komutu



Banner Bilgisi



Arama Motorları

Elde Edilecek BilgilerI Hassas dizinlerI Kullanıcı adı, e-posta adresi, sicil no v.s.I Sunucu veya sistem zafiyetleriI Kritik bilgi iceren dosyalarI Kullanıcı Giris Sayfaları



Google Hacking I

Google Anahtar Kelimeler

I site: Ilgili sitede arama yapar. site:tubitak.gov.trI inurl: Belirtilen ifadeyi URL icerisinde arar. inurl:gov.trI allinurl: Belirtilen ifadeleri URL icerisinde arar. allinurl: google faqI filetype: Ilgili dosya uzantısında arama yapar. filetype:pdfI intitle: Belirtilen ifadeyi baslıkta arar. intitle:secretI allintitle: Belirtilen ifadeleri baslıkta arar. allintitle:secret file



Google Hacking II



Shodan I

www.shodan.ioShodan, cevirimici spesifik cihazlar icin arama motorudur. En populerolanları: webcam, linksys, cisco, SCADA, v.s.



Shodan II



Shodan III

Anahtar KelimelerI country: Belirtilen ulke kodunda arama yapar.I city: Belirtilen sehirde filtreleme yapar.I geo: Koordinatlarda arama yapar.I hostname: Hostname yada domain bilgisine gore filtreleme yapar.I net: Ozel IP yada subnet aralıgında filtreleme yapar.I os: Isletim sistemine gore filtreleme yapar.I port: Port bilgisine gore filtreleme yapar.



Pipl - People Search



Checkusernames

http://checkusernames.com/



TheHarvester



Icindekiler




Giris





Sosyal Muhendislik

TanımI Temel olarak insan iliskilerini veya insanların dikkatsizliklerini

kullanarak hedef kisi veya kurum hakkında bilgi toplamak olaraktanımlanabilir.

I Amac:I Hedef kurum veya kisi yapısıI Kurumsal agın yapısıI Calısanların/yoneticilerin kisisel bilgileriI SifrelerI Saldırıda kullanılabilecek her turlu materyalin toplanmasıdır.



Sosyal Muhendislik Kavramı

KavramI Sosyal Muhendislik: Normalde insanların tanımadıkları biri icin

yapmayacakları isleri yapma islemidir.I Insanların hile ile kandırılarak bilgi elde edilmesidir. sahte websiteleri,

sahte e-postalar



Saldırı Teknikleri

Sosyal Muhendislik Saldırı Teknikleri

I Omuz Sorfu (Eavesdropping): Sifre yazılırken ya da erisim kısıtlı sistemlere erisilirkensaldırıların izlenmesi

I Isyerinde meraklı/kotu niyetli calısanlarI Cafe, restaurant, park, otobus gibi yerlerde yanınızda oturanlarI Kredi kartı ve bankamatik kartı icin atmlerde sifre elde edilmesi

I Cop Karıstırma (Dumpster Diving): kagıtlara/bilgisayar cıktılarına bakmak icin copkutularını karıstırmak

I Sifreler I Sunucu adresleri

I Truva Atları: Zararsız bir islevi varmıs gibi gorunen ama aslında zararlı olan yazılımlara truvaatı denir. Yayılmak icin kullanıcılardan yararlanırlar.

I guvensiz kaynaklardanI bilinen bir yazılım goruntusunde

indirilen programlarlaI paylasma aglarından indirilen

dosyalarlaI kimligi supheli kaynaklardan

gonderilen yazılımlara guvenilmesisonucunda

kullanıcının erisimindeki sistemlere yerlesebilir.

I Oltalama (Phishing): Saldırganın kendisini bir kurumu temsil eder gibi gosterdigi yontemdir.I Genellikle, saldırgan kurbanıyla e-posta uzerinden gorusme saglar.I mail icerisinde bilgilerinin dogrulanmasını,hatalarının duzeltilmesini ister.I clone/fake siteler aracılıgıyla bilgi girmesini isteyebilir.



Sosyal Muhendislik Sızma Testi Asamaları

KesifI Internet uzerinden hedef

kurum ve kisiler hakkındabilgi toplanması

I Kurumdaki guvenlikbilesenleri

I Internet tarayıcısı vesurumu

I Program guncellestirmeleriI Hassas olunan konular

ExploitationI Telefon yoluyla hassas bilgi

elde etmeI Tarayıcı tabanlı exploitationI Ofis dokumanı, PDF

tabanlı exploitationI Programlara zararlı icerik

eklemeI Web sayfası zafiyetinin

kullanılmasıI Form tabanlı Web

sayfalarıyla bilgi calma

Post-ExploitationI Sistemde hak yukseltmeI Hassas bilgilere / sistemlere erisim



Guvenlik Bilesenlerini Atlatma Taktikleri

Guvenlik Bilesenlerini AtlatmaI Guvenlik bilesenlerinin atlatılması, hedefe zararlı icerigimizin yuklenmesi

ve yuklendikten sonra bize baglantı acması icin onemlidir.I Genellikle kurumlarda kullanıcıların 80 ve 443 tcp portları dısındaki

portlardan dısarıya baglantı acması kısıtlanmıstır. Sosyal muhendisliksaldırılarında kurban ile test baglantı kurmak icin 80 ve 443 tcp portlarıkullanılmalıdır. Proxy kullanan kurumlarda kurban ile ters baglantıkurmak icin reverse http veya reverse https payload’ları kullanılmalıdır.

I E-posta eklentisi olarak yollanılan dosyaları zararlı icerik barındırdıgıtanınabilmektedir. E-posta sistemi exe vb. dosya uzantılarını iletmiyorsa,dosya parola korumasıyla arsivlenip kurbana gonderilir.



Icindekiler




Giris





Bilgisayar Tabanlı Sosyal Muhendislik Yontemleri I

Bilgisayar tabanlı YontemlerI Oltalama saldırılarında insan zafiyetinin yanında sistem zafiyetleri de

kullanılmaktadır.I Cesitli senaryolar ile zararlı kod iceren uygulamaları kullanıcının acması

saglanır.I Sahte web sayfaları uretilecek kullanıcının bilgileri calmaya yonelik

senaryolarla da sosyal muhendislik saldırıları yapılmaktadır.



Bilgisayar Tabanlı Sosyal Muhendislik Yontemleri II

UygulamalarI Pop-up windows: Bir sayfaya outurum acmak (login) icin kullanıcıdan

cesitli bilgiler istemeI Sahte mesajlar: Virus, trojan gibi zararlı yazılımlar hakkında uyarıp bazı

uygulamalar indirmeyi isteyen sayfalarI Zincirleme mektup (chain letters): Kullanıcıdan bazı bilgiler isteyerek

cesitli hediyeler (para veya ucretsiz yazılım) verdigini soyleyen mesajlarI Spam e-mail

I Internet TarayıcılarıI Java UygulamalarıI PDF Okuyucular

I Office YazılımlarıI Mobil uygulamalarI Form Tabanlı Web Sayfaları



PhishTank



Custom Payload Olusturma

Custom PayloadI Custom payload olusturmak icin msfpayload, msfencode, msfvenom

modulleri bulunmaktadır.I Kali uzeriden artık msfvenom kullanılmaktadır.

msfvenomI -p : PayloadI -f : Cıktı formatıI -x : Sablon programI -k : Zararlı kod enjekte edilen programın fonksiyonlarını korumasını

saglar.I -i : Encoding iterasyon sayısı

–k parametresini kullanarak –x parametresiyle belirttigimiz calıstırılabilir birdosyanın ozelliklerini korumasını saglayabiliriz.Kullanıcı uygulamayı calıstırdıgında program arka planda bizim ekledigimizzararlı kodla birlikte normal isleyisinde calısacak ve bize baglantı acacaktır.



Listener/Handler Kavramı

I Payload’u calıstıran sistemlerden gelen trafigin, dinlenmesi vekomut gonderilmesi icin haberlesilmesi gereklidir.

I Metasploit’te bulunan multi/handler birden fazla session’ıyonetmek ve haberlesmek icin kullanılan moduldur.

I Olusturdugumuz payload’un ozelliklerini handler acarkenkullanırız.

Multi/handler’da sık kullanılan komutlar asagıdaki gibidir:I set ExitOnSession false: Meterpreter baglantısı kopsa dahi

dinleme modu devam eder.I exploit -j: parametresi handler’ın arka planda calısmasını saglar.I sessions -l: Aktif oturumları listeler.I sessions -i: session id’si belirtilen hedefle etkilesime gecilir.I sessions -k: session id’si belirtilen oturumla baglantıyı

sonlandırır.I sessions -K: Aktif tum oturumlarla baglantıyı sonlandırır.



Payload Olusturulması



Calıstırılabilir Windows Programlarına Zararlı Icerik Eklenmesi I



Calıstırılabilir Windows Programlarına Zararlı Icerik Eklenmesi II



Calıstırılabilir Windows Programlarına Zararlı Icerik Eklenmesi III



Office Dosyalarına Zararlı Icerik Eklenmesi I

Makro Virus OlusturulmasıI Olusturulan exe payload vba uzantısına cevrilir.

I /usr/share/metasploit-framework/tools/exe2vba.rbI vba dosyası acıldıgında 2 kısım gorulmektedir.

I ”Macro code” kısmı, View > Macros > View Macros > Create kısmınamakro kodu olarak eklenir.

I ”Payload data” kısmı ofis belgesinde metin olarak eklenir.



Office Dosyalarına Zararlı Icerik Eklenmesi II



Office Dosyalarına Zararlı Icerik Eklenmesi III



Office Dosyalarına Zararlı Icerik Eklenmesi IV



Office Dosyalarına Zararlı Icerik Eklenmesi V



Firefox Eklentisine Zararlı Icerik Eklenmesi I

FirefoxI Metasploit aracında ”firefox xpi bootstrapped addon” modulu

kullanılarak zararlı icerik barındıran Firefox eklentisi olusturulabilir.I Zafiyeti barındıran Firefox uygulamasında kullanıcı onayı gerektiren

uyarılarda sırasıyla ”izin ver” ve ”Simdi Kur” ifadelerine tıklanması ilehedef sisteme uzaktan baglantı kurulabilmektedir.



Firefox Eklentisine Zararlı Icerik Eklenmesi II



Firefox Eklentisine Zararlı Icerik Eklenmesi III



Mobil Cihazlara Yonelik Sosyal Muhendislik I

Android PayloadI Mobil cihaz kullanıcısının olusturulan apk uzantılı dosyayı kurmasıyla saldırganın

mobil cihaza erismesini saglar.I Saldırgan acılan baglantı uzerinden

I ses kaydı alabilirI fotograf cekebilirI dosya sistemine yetkisiz olarak erisip upload, download islemlerini yapabilir



Mobil Cihazlara Yonelik Sosyal Muhendislik II



Icindekiler




Giris





Giris I

Social-Engineer Toolkit (SET)I Tanım: Programlama bilgisi ve deneyim gerektirmeden hızlı bir sekilde

gelismis saldırı vektorleri gelistirmeye yarayan aracI SET, sosyal muhendislik saldırıları aracılıgıyla kuruluslara yapılan sızma

testlerinde standart bir arac olarak kullanılmaya baslamıstır.I Menu aracılıgıyla bir cok islem yapılabilmektedir.I Komut satırında: setoolkit



Giris II

Sekil: SET icerisinde yer alan secenekler



Giris III

Sekil: ”Social-Engineering Attacks” icerisinde yer alan secenekler



SET-Credential Harvester Attack Method I



SET-Credential Harvester Attack Method II



SET-Credential Harvester Attack Method III



SET-Credential Harvester Attack Method IV



SET-Credential Harvester Attack Method V



SET-Credential Harvester Attack Method VI

Saldırı Etkisini ArtırılmasıI Benzer bir domain alınabilir. UrlcrazyI DNS istegi degistirilebilir. DNS-Spoofing


Documents

06 - Bilgi Toplama ve Sosyal Muhendislik¨Bilgi Toplama Yontemleri¨ Sosyal M¨uhendislik Bilgisayar Tabanlı Sosyal Muhendislik Y¨ ¨ontemleri Social-Engineer Toolkit 06 - Bilgi