Sosyal muhendislik 1

Bilgi Toplama ve Sosyal MuhendislikBGM 553 - Sızma Testleri ve Guvenlik Denetlemeleri-IBilgi Guvenligi MuhendisligiYuksek Lisans Programı

Dr. Ferhat Ozgur [email protected]

Istanbul Sehir Universitesi2016 - Guz

Dr. Ferhat Ozgur Catak [email protected] Bilgi Toplama ve Sosyal Muhendislik Istanbul Sehir Universitesi 2016 - Guz 1 / 49

Icindekiler

1 Bilgi Toplama YontemleriBilgi ToplamaBilgi Toplama Yontemleri2 Sosyal MuhendislikGirisSaldırı TeknikleriSosyal Muhendislik Sızma TestiAsamalarıGuvenlik Bilesenlerini AtlatmaTaktikleri3 Bilgisayar Tabanlı Sosyal MuhendislikYontemleriGirisCustom Payload Olusturma

Listener/Handler KavramıPayload OlusturulmasıCalıstırılabilir WindowsProgramlarına Zararlı IcerikEklenmesiOffice Dosyalarına Zararlı IcerikEklenmesiFirefox Eklentisine Zararlı IcerikEklenmesiMobil Cihazlara Yonelik SosyalMuhendislik4 Social-Engineer ToolkitGirisCredential Harvester AttackMethod


Icindekiler




Bilgi Toplama

Bilgi Toplama YontemleriI Pasif Bilgi Toplama:Hedef sistemle etkilesim yoktur.I Aktif Bilgi Toplama:hedef sistem uzerinde arama/tarama gerceklestirilir.


Bilgi Toplama Yontemleri

Bilgi Toplama YontemleriI Web ve mail arsivleriI Port ve servis taramalarıI Arama motorlarıI Sosyal paylasım siteleriI DNS


WHOIS

WHOIS Sorgulama SonuclarıI DNS Sunucu BilgisiI Etki alanı adı detaylarıI Fiziksel yerleskeI Yonetimsel BaglantılarI Telefon ve Fax NumaralarıI E-posta adresi

WHOIS Arama AraclarıI DomainTools -http://whois.domaintools.comI WhoisNet -http://www.whois.netI WHO.IS - http://www.who.isI Linux whois komutu


Banner Bilgisi


Arama Motorları

Elde Edilecek BilgilerI Hassas dizinlerI Kullanıcı adı, e-posta adresi, sicil no v.s.I Sunucu veya sistem zafiyetleriI Kritik bilgi iceren dosyalarI Kullanıcı Giris Sayfaları


Google Hacking I

Google Anahtar KelimelerI site: Ilgili sitede arama yapar. site:tubitak.gov.trI inurl: Belirtilen ifadeyi URL icerisinde arar. inurl:gov.trI allinurl: Belirtilen ifadeleri URL icerisinde arar. allinurl: google faqI filetype: Ilgili dosya uzantısında arama yapar. filetype:pdfI intitle: Belirtilen ifadeyi baslıkta arar. intitle:secretI allintitle: Belirtilen ifadeleri baslıkta arar. allintitle:secret file


Google Hacking II


Shodan Iwww.shodan.io

Shodan, cevirimici spesifik cihazlar icin arama motorudur. En populer olanları:webcam, linksys, cisco, SCADA, v.s.


Shodan II


Shodan III

Anahtar KelimelerI country: Belirtilen ulke kodunda arama yapar.I city: Belirtilen sehirde filtreleme yapar.I geo: Koordinatlarda arama yapar.I hostname: Hostname yada domain bilgisine gore filtreleme yapar.I net: Ozel IP yada subnet aralıgında filtreleme yapar.I os: Isletim sistemine gore filtreleme yapar.I port: Port bilgisine gore filtreleme yapar.


Pipl - People Search


Checkusernames

http://checkusernames.com/


TheHarvester


Icindekiler




Sosyal Muhendislik

TanımI Temel olarak insan iliskilerini veya insanların dikkatsizliklerini kullanarakhedef kisi veya kurum hakkında bilgi toplamak olarak tanımlanabilir.I Amac:

I Hedef kurum veya kisi yapısıI Kurumsal agın yapısıI Calısanların/yoneticilerin kisisel bilgileriI SifrelerI Saldırıda kullanılabilecek her turlu materyalin toplanmasıdır.


Sosyal Muhendislik Kavramı

KavramI Sosyal Muhendislik: Normalde insanların tanımadıkları biri icinyapmayacakları isleri yapma islemidir.I Insanların hile ile kandırılarak bilgi elde edilmesidir. sahte websiteleri, sahtee-postalar


Saldırı TeknikleriSosyal Muhendislik Saldırı Teknikleri

I Omuz Sorfu (Eavesdropping): Sifre yazılırken ya da erisim kısıtlı sistemlereerisilirken saldırıların izlenmesiI Isyerinde meraklı/kotu niyetli calısanlarI Cafe, restaurant, park, otobus gibi yerlerde yanınızda oturanlarI Kredi kartı ve bankamatik kartı icin atmlerde sifre elde edilmesi

I Cop Karıstırma (Dumpster Diving): kagıtlara/bilgisayar cıktılarına bakmakicin cop kutularını karıstırmakI SifrelerI Sunucu adresleri

I Truva Atları: Zararsız bir islevi varmıs gibi gorunen ama aslında zararlı olanyazılımlara truva atı denir. Yayılmak icin kullanıcılardan yararlanırlar.I guvensiz kaynaklardanI bilinen bir yazılım goruntusunde indirilen programlarlaI paylasma aglarından indirilen dosyalarlaI kimligi supheli kaynaklardan gonderilen yazılımlara guvenilmesi sonucunda

kullanıcının erisimindeki sistemlere yerlesebilir.I Oltalama (Phishing): Saldırganın kendisini bir kurumu temsil eder gibigosterdigi yontemdir.

I Genellikle, saldırgan kurbanıyla e-posta uzerinden gorusme saglar.I mail icerisinde bilgilerinin dogrulanmasını,hatalarının duzeltilmesini ister.I clone/fake siteler aracılıgıyla bilgi girmesini isteyebilir.


Sosyal Muhendislik Sızma Testi Asamaları

Kesif

I Internet uzerinden hedefkurum ve kisiler hakkında bilgitoplanmasıI Kurumdaki guvenlik bilesenleriI Internet tarayıcısı ve surumuI Program guncellestirmeleriI Hassas olunan konular

Exploitation

I Telefon yoluyla hassas bilgielde etmeI Tarayıcı tabanlı exploitationI Ofis dokumanı, PDF tabanlıexploitationI Programlara zararlı icerikeklemeI Web sayfası zafiyetininkullanılmasıI Form tabanlı Web sayfalarıylabilgi calma

Post-Exploitation

I Sistemde hak yukseltmeI Hassas bilgilere / sistemlere erisim


Guvenlik Bilesenlerini Atlatma Taktikleri

Guvenlik Bilesenlerini AtlatmaI Guvenlik bilesenlerinin atlatılması, hedefe zararlı icerigimizin yuklenmesi veyuklendikten sonra bize baglantı acması icin onemlidir.I Genellikle kurumlarda kullanıcıların 80 ve 443 tcp portları dısındaki portlardandısarıya baglantı acması kısıtlanmıstır. Sosyal muhendislik saldırılarındakurban ile test baglantı kurmak icin 80 ve 443 tcp portları kullanılmalıdır. Proxykullanan kurumlarda kurban ile ters baglantı kurmak icin reverse http veyareverse https payload’ları kullanılmalıdır.

I E-posta eklentisi olarak yollanılan dosyaları zararlı icerik barındırdıgıtanınabilmektedir. E-posta sistemi exe vb. dosya uzantılarını iletmiyorsa,dosya parola korumasıyla arsivlenip kurbana gonderilir.


Icindekiler




Bilgisayar Tabanlı Sosyal Muhendislik Yontemleri

Bilgisayar tabanlı YontemlerI Oltalama saldırılarında insan zafiyetinin yanında sistem zafiyetleri dekullanılmaktadır.I Cesitli senaryolar ile zararlı kod iceren uygulamaları kullanıcının acmasısaglanır.I Sahte web sayfaları uretilecek kullanıcının bilgileri calmaya yoneliksenaryolarla da sosyal muhendislik saldırıları yapılmaktadır.

I Internet TarayıcılarıI Java UygulamalarıI PDF Okuyucular

I Office YazılımlarıI Mobil uygulamalarI Form Tabanlı Web Sayfaları


Custom Payload OlusturmaCustom Payload

I Custom payload olusturmak icinmsfpayload,msfencode,msfvenommodulleri bulunmaktadır.I Kali uzeriden artıkmsfvenom kullanılmaktadır.msfvenom

I -p : PayloadI -f : Cıktı formatıI -x : Sablon programI -k : Zararlı kod enjekte edilen programın fonksiyonlarını korumasını saglar.I -i : Encoding iterasyon sayısı

–k parametresini kullanarak –x parametresiyle belirttigimiz calıstırılabilir birdosyanın ozelliklerini korumasını saglayabiliriz.Kullanıcı uygulamayı calıstırdıgında program arka planda bizim ekledigimiz zararlıkodla birlikte normal isleyisinde calısacak ve bize baglantı acacaktır.


Listener/Handler Kavramı

I Payload’u calıstıran sistemlerden gelen trafigin, dinlenmesi ve komutgonderilmesi icin haberlesilmesi gereklidir.

I Metasploit’te bulunanmulti/handler birden fazla session’ı yonetmekve haberlesmek icin kullanılan moduldur.I Olusturdugumuz payload’un ozelliklerini handler acarken kullanırız.

Multi/handler’da sık kullanılan komutlar asagıdaki gibidir:I set ExitOnSession false: Meterpreter baglantısı kopsa dahi dinlememodu devam eder.I exploit -j: parametresi handler’ın arka planda calısmasını saglar.I sessions -l: Aktif oturumları listeler.I sessions -i: session id’si belirtilen hedefle etkilesime gecilir.I sessions -k: session id’si belirtilen oturumla baglantıyı sonlandırır.I sessions -K: Aktif tum oturumlarla baglantıyı sonlandırır.


Payload Olusturulması


Calıstırılabilir Windows Programlarına Zararlı Icerik Eklenmesi I


Calıstırılabilir Windows Programlarına Zararlı Icerik Eklenmesi II


Calıstırılabilir Windows Programlarına Zararlı Icerik Eklenmesi III


Office Dosyalarına Zararlı Icerik Eklenmesi I

Makro Virus OlusturulmasıI Olusturulan exe payload vba uzantısına cevrilir.

I /usr/share/metasploit-framework/tools/exe2vba.rbI vba dosyası acıldıgında 2 kısım gorulmektedir.

I ”Macro code” kısmı, View > Macros > View Macros > Create kısmına makro koduolarak eklenir.I ”Payload data” kısmı ofis belgesinde metin olarak eklenir.


Office Dosyalarına Zararlı Icerik Eklenmesi II


Office Dosyalarına Zararlı Icerik Eklenmesi III


Office Dosyalarına Zararlı Icerik Eklenmesi IV


Office Dosyalarına Zararlı Icerik Eklenmesi V


Firefox Eklentisine Zararlı Icerik Eklenmesi I

FirefoxI Metasploit aracında ”firefox xpi bootstrapped addon”modulu kullanılarakzararlı icerik barındıran Firefox eklentisi olusturulabilir.I Zafiyeti barındıran Firefox uygulamasında kullanıcı onayı gerektiren uyarılardasırasıyla ”izin ver” ve ”Simdi Kur” ifadelerine tıklanması ile hedef sistemeuzaktan baglantı kurulabilmektedir.


Firefox Eklentisine Zararlı Icerik Eklenmesi II


Firefox Eklentisine Zararlı Icerik Eklenmesi III


Mobil Cihazlara Yonelik Sosyal MuhendislikAndroid Payload

I Mobil cihaz kullanıcısının olusturulan apk uzantılı dosyayı kurmasıyla saldırganın mobilcihaza erismesini saglar.I Saldırgan acılan baglantı uzerinden

I ses kaydı alabilirI fotograf cekebilirI dosya sistemine yetkisiz olarak erisip upload, download islemlerini yapabilir


Icindekiler




Giris I

Social-Engineer Toolkit (SET)I Tanım: Programlama bilgisi ve deneyim gerektirmeden hızlı bir sekildegelismis saldırı vektorleri gelistirmeye yarayan aracI SET, sosyal muhendislik saldırıları aracılıgıyla kuruluslara yapılan sızmatestlerinde standart bir arac olarak kullanılmaya baslamıstır.I Menu aracılıgıyla bir cok islem yapılabilmektedir.I Komut satırında: setoolkit


Giris II

Sekil: SET icerisinde yer alan secenekler


Giris III

Sekil: ”Social-Engineering Attacks” icerisinde yer alan secenekler


SET-Credential Harvester Attack Method I


SET-Credential Harvester Attack Method II


SET-Credential Harvester Attack Method III


SET-Credential Harvester Attack Method IV


SET-Credential Harvester Attack Method V


SET-Credential Harvester Attack Method VISaldırı Etkisini Artırılması

I Benzer bir domain alınabilir. UrlcrazyI DNS istegi degistirilebilir. DNS-Spoofing


Software

Sosyal muhendislik 1