Hedef Odaklı Sızma Testleri Huzeyfe ÖNAL <huzeyfe.onal@bga.com.tr> BGA Bilgi Güvenliği Bilgi Güvenliğinde E- Crime Turkey Sızma - Testleri/2012
Huzeyfe ÖNAL Kurumsal Güvenlik Hizmetleri Yöne;cisi BGA Bilgi Güvenliği Bilgi Güvenliği Danışmanı www.bga.com.tr Blogger www.lifeoverip.net
Neden Hedef Odaklı Sızma Testleri? Sızma testleri hakkıyla yapıldığında- bilişim güvenliğinin en önemli bileşenlerinden biri olmaktadır. Yapılan güvenlik yaprımlarının dogrulayıcısı niteligindedir. Son zamanlarda saldırılar kurumlara özel olarak gerçekleş;rilmekte ve sonuçları daha maliyetli olmaktadır. Klasik güvenlik yöntemlerinin yeterli olmayacağı zamanlara doğru gidiyoruzj Güvenlikcilerin hackerlardan öğreneceği hem teknik, hem yöntem- çok şey var.
Siber Güvenlikte Güncel Durum Saldırılar hedef odaklı gerçekleşmeye başlamışpr Kamu kurumlarına/firmalara doğrudan zarar vermeyi hedef alan saldırılar Sadece tek bir konu(web, mobil, network) üzerine degil tüm bileşenlerin ak;f kullanıldığı siber saldırılarla daha sık karşılaşmaya başladık. Zararlı yazılımlar her zamankinden daha fazla önem kazanmaya başlamışpr. Hem saldırganlar için hem de savunma yazılımı geliş;renler için. Savunma sistemleri malesef yeterli olmamaktadır. Temel sebep: Firmaların çoğu güvenliği sağlamak değil satmak üzerine çalışıyorlar
Klasik Güvenlik Yaklaşımı
Bilgi Güvenliği Harcamaları Harcamaların %90 ı savunma(defensive) sistemlere ayrılmaktadır Savunma sistemleri %90 Firewall, IPS, An;virus, Content Filtering, VPN,... %10 %5- %10 penetra;on test, eği;m, bilinçlendirme, dene;m, standartlara uyumluluk... APT tarzı atakları engelleyecek türde yaprımlar henüz %0,0X seviyesinde
Offensive Security
Penetra;on Test/PenTest Çeşitli yazılım ve yöntemler kullanarak hedef sistemlere sızma girişimlerine verilen ad Literatürde Sistem sızma testleri/güvenlik testleri olarak da geçer. «Gerçek pentest»lerde hedef sisteme sızmak için her şey meşrudur. Hackerlar için Sadece zafiyet bulma çalışması Sızma test değildir.
İş Dünyası Açısından Sızma Testleri Masraf Ticari geri dönüşü olmayan bir yaprım Pazardan alınan meyve/sebze misali en ucuzu bulunup yapprılan IT işi Dene;mlerde checklist maddesi İhalelerde en sonlarda bir kalem İşe yeni giren sistem/ağ/güvenlik yöne;cisinin de rahatlıkla(!) yapacağı bir iş
Klasik Sızma Testleri Kapsam müşteri taralndan belirlenir Müşterinin bakış açısıyla pentesterin bakış açısı çok faklıdır Amaç daha cok bulgu iceren görsel ögeleri bol, okuması güç rapor Ortalama rapor sayfası 100~olmaktadır Tüm tes; tek kişilik dev kadro lar gerçekleş;rir Web, Voip, Wireless, Mobil, network, Windows, Linux, applica;on, ddos. Sızma tes; yerine zafiyet tes; tanımı cok daha uygun düsmektedir. İmkansız istekler: DDoS tes;ni sistemlere zarar vermeden gerçekleş;rme Zafiyetleri parametrelerle oynamadan bulma (tahmin oyunu)
kapsam.jpg Kapsam Belirlemenin Zorluğu
Klasik Bir Pentest Projesi Kapsam belirlenir Kapsama yönelik port tarama yapılır Genellikle ön tanımlı ayarlar kullanılır, Dönen cevaplar yorumlanamaz, UDP taramaları es geçilir Nessus, Fondstone, Nexpose çalışprılır zafiyetler belirlenmeye calisilir. Genellikle default ayarlar kullanılır Basit honeypot: 8083/Tomcat ve Nessus Netsparker, Acune;x ile tarama yapılır bir sürü bulgu çıkar, rapora oldugu gibi aktarılır. Bruteforce için bir iki deneme yapılır, başarısız olunca bırakılır. Prosedüre uysun diye wifi a da bakılır ama WPA2 diye çok bir şey yapılmaz. Sızma tes; tamamlanmışpr. Raporlama kısmına geçiş yapılır. Rapora gerekli gereksiz her bulgu yazılır maksat rapor zengin gözüksün- Fatura kesilir J Müşteriye mutlu, mesut ve güvenli oldugu hissi verilir
Basit Hatalar En basit ve temel hata sızma test işini basite almak ve sıradan bir IT işi gibi düşünmek;r. Amaç sisteme sızmak degil büyük kücük tüm hataları ortaya çıkarmakpr. Kapsam dışına çıkılamamaktadır.
Örnek Hata:Tüm Portlar Açık Bunu pentest raporuna yazan adamı uzun süreliğine ta;le göndermek gerekir.
Örnek Hata:Nessus Taraması Sızma testlerinde sadece Nessus gibi araçlara güvenmek yanılpcı sonuçlar verir. Versiyon bilgisi saklanmış uygulamalar Farklı porza çalışan servisler Ücretsiz Nessus sürümü ile yapılan taramalar Güvenlik duvarı/ips ile korunan sistemlere yönelik gerçekleş;rilen taramalar
Örnek Hata:Web Güvenlik Tarayıcılar Klasik web security scanner programları sadece linkleri tarayarak keşif yapmaya çalışırlar Bazı araçlar dosya/dizin keşif için brute force yapar. Scannerlar ikili/üçlü dogrulama gerek;ren ekranlardan içeri giremez, girse de tarama süreci başarılı olmaz. Kontrolü zordur, captcha olmayan form ekranlarından bilinçsizce DoS a sebep olabilirler. URL rewrite kullanılan ortamlarda boşa çalışırlar. Ek ayar yapılmazsa
Örnek Hata:Sosyal Mühendislik Testleri Google/Bing üzerinden e- posta adresleri toplanır Bazı kurumlarda 5-6 nın üzerinde adres çıkmayabilir Bulunan adreslere lrsat sitesi ya da benzeri içerikte e- posta gönderilir ve sonuçları beklenir Genellikle masraf olmasin diye yeni bir site domain- alınmaz, ip adresi üzerinden gerçekleş;rilir. Dogrusu: Her test icin temiz bir domain almak LinkedIN den faydalanmak Örnek.
Hedef Odaklı Sızma Testleri Amaç APT saldırılarında olduğu gibi hedef üzerine yogun mesai harcamak ve sisteme zarar vermeden tüm ih;malleri değerlendirerek sisteme dışardan bir hackerin neler yapabileceğini göstermek. Yeri geldiğinde bu çalışmaların süresi iki ayı bulabilmektedir. Genellikle zararlı yazılım ve sosyal mühendislik kullanılmaktadır. Kapsam kavramı yoktur.
Advanced Persistent Threat Advanced Persistent Threat (APT), bilgisayar dünyasında hükümetleri, şirketleri, kişileri hedef olan karmaşık ve uzun süreli saldırı yöntemlerini ifade etmek için kullanılan yeni nesil saldırı yöntemidir. APT türündeki saldırıda bulunanlar iyi organize olmuş ve finanse edilen gruplardır Sonuçları çok daha maliyetli olur.
APT, Devam Siber suçlular gibi çabuk para, şan peşinde değillerdir, uzun vadeli düşünür ve buna uygun hareket ederler. Hayallerindeki başarı, kurbanlarının en iyi fikirlerini ve ürünlerini çalıp kendi ülkelerine kazandırmak ya da aldıkları bilgiyi en çok parayı verene satmakpr. Genellikle devletler taralndan organize edilmektedirler.
Türkiye den APT Örnekleri
Saudi Aramco Örneği hzp://jeffreycarr.blogspot.com/2012/08/saudi- aramcos- security- nightmare- poor.html
Örneklerle APT Tarzı Pentest Öncelikle firma bu kapsamda bir teste ih;yacı olduğu ikna edilmeli Ortalama iki aylık bir zaman alacağı kabul edilmeli Profesyonelce hazırlanmış Sahte twizer, LinkedIN hesapları kullanılmalı. IK şirke; yöne;cisi gözükerek bir ay boyunca firmaya ait bilgilerin alınması
Senaryo- I Başlangıç noktası:sosyal mühendislik Klasik taramalar tamam, kapsam detaysız, sonuç temiz. Alterna;f yöntem olarak sosyal müh. denendi Sosyal muh. Icin kullanılan klasik yontem Google dan mail adreslerini bul. Bir kisiye ait mail adresinden 500 çalışana ait e- postaların bulunması
Senaryo- I.I Outlook geçiş ile ilgili sahte e- postanın gönderimi Bir kişiye ait hesabın ele geçirilmesi Maillerin okunarak şirket iç yapısının ve telefon numaralarının öğrenilmesi Maillerde bir adet parolaya }p- ulaşılması FTP e zararlı yazılımı yüklenmesi Güncelleme e- postasının gönderilerek zararlı yazılımı herkesin kurmasının sağlanması.
Senaryo- II Giriş Noktası: SQL Injec;on Adım adım taramalar SQL injec;on dan veritabanı ve tablo isimlerinin alınması Google üzerinden site:domain.com kullanılarak hata sayfalarının ararılması Amaç hedef sistemin dizin yapısının öğrenilmesi ve sqli üzerinden sisteme arka kapı yüklenmesi Veri tabanı tabloları detaylıca incelenir ve baska domaine ait hesap bilgileri edinilir.
Senaryo- II.I Hedef sisteme web tabanlı arka kapı yerleş;rilir Sıkı güvenlik duvarı poli;kaları nedeniyle işle;m sisteminden internete doğru geri kanal açma işlemi başarısız olur. İşle;m sistemine yüklenmeye çalışılan zararlı yazılım AV taralndan silinir. Aradan iki gün geçer
Senaryo- II.II Geri kanal açma işlemleri başarısız olunca Dışa doğru güvenlik duvarı kuralları IP- ANY DROP Makienin dns sorgulamaları yapabildiği belirlenerek DNS tünelleme üzerinden yöne;m paneli (arka kapı yüklendi) Symantec EPS koruması aşıldı İç ağa erişmek için VPN kuruldu
Senaryo- III Giriş noktası: Arama motoru shodan Kapsam dahilinde tüm testler tamamlanır, birşey çıkmaz. Aynı sistem beş senedir testlerden başarıyla geçmektedir. Yöntem değiş;rilir, bilgi toplama yöntemleri tekrar tekrarlanır ve basit bir girdi noktası yakalanır. Sistemleri fiziksel olarak uzaktan yonetmek icin bir adet ilo portu
Senaryo- III.I Ilo portundan sisteme girilerek kri;k noktadaki sunuculardan biri ele geçirildi. Sunucu üzerinde tüm dosya ve dizinler grep, strings komutlarıyla arandı egrep - i 'Password Sifre Kullanici user R / Baska bir sisteme ait }p hesabina rastlanıldı ve ssh için bu hesap bilgileri kullanılarak sisteme erişim saglandı.
Senaryo- III.II Erişim sağlanan makine detaylı incelendiğinde bu sistemin ağdaki diğer tüm sistemlere parolasız SSH erişimi olduğu belirlendi. Root haklarına geçiş için exploit çalışprıldı Ardından ağdaki haya; öneme sahip tüm sunuculara SSH üzerinden ROOT yetkileri ile başarıyla erişim sağlandı.
Senaryo- IV Dışa açık FTP uygulaması:risk seviyesi Düşük Ak;f network servislerine (hzp,}p,smtp vb.) yönelik brute force demesine başlandı ve bir süre sonra bir FTP hesabı ele geçirildi. FTP sunucunun tüm dosya ve dizin yapısı incelendi, önemli görülen dosyalar ve uygulamalar incelenmek için sıralandı ve aşağıdaki uygulamalar ile konfigurasyon dosyaları elde edildi;
Senaryo- IV.I - Firma verilerini raporlamak için kullanılan "Rapor.exe dosyasına rastlanıldı Rapor.exe uygulamasını kendi bilgisayarımızda çalışprdığımızda, 10.x.x.x ip adresine bağlanp kurmak istedi, biz internet dünyasında yer aldığımız için 10.x.x.x ip adresine bağlanp kurulamadı dolayısıyla rapor verilerine ulaşamadık.
Senaryo- IV.II Linux'da "strings" ve "egrep" komutları ile aşağıdaki komut zinciri kullanılacak Rapor.exe dosyasından önemli bulgular elde e k; $ strings Rapor.exe egrep - i 'Password Sifre Kullanici user Provider=SQLOLEDB. 1;Password=hedehödö;Persist Security Info=True;User ID=SA;Ini;al Catalog=xyzdb;Data Source=10.x.x.
Senaryo- IV.III Bu bilgiler ile bağlanp kurmayı denediğimizde, başarılı bir şekilde Mssql 2008 sunucuya "sa" hakları ile giriş yapabildik. Veritabanları ve tablolar incelendiğinde firmanın müşteri verileri vb. kri;k bilgiler yer alıyordu fakat bir pentester için kri;k veriler (kullanıcı adı ve parola gibi) yer almıyordu.
Mssql sunucu üzerinden işle;m sistemini ele geçirmek "sa" yetkilerini kullanarak, mssql sunucunun işle;m sisteminde komut çalışprmaya yarayan xp_cmdshell özelliğini ak;f e k. Xp_cmdshell özelliği ile hede}e komut çalışpracağız fakat hangi haklarla? Burada bir güvenlik eksikliği daha keşfedildi; mssql server 2008 windows 2008 üzerine Administrator hakları ile kurulmuş.bu demek oluyor ki, mssql üzerinden çalışpracağımız her komut hedef işle;m sisteminde Administrator hakları ile çalışacakpr.
Sistemi Ele Geçirme Hedef işle;m sisteminde çalışan symantec endpoint security yazılımını bypass etmek zor olmadı, meterpreter payloadını.exe yaparken çeşitli encoding teknikleri uygulayarak hedef sistemde çalışprmayı ve ters bağlanp ile komut saprını ele geçirmeyi başardık. ArPk hedef sistemde yetkili bir hesapla istenen işlemler gerçekleş;rilebilir.
Domain Admin Olma Hedef işle;m sistemini Administator hakları ile ele geçirdikden sonra, karşılaşpğımız ilk ve en büyük süpriz bu makinanın Windows Domain Controller olmasıydı. Hızlı bir şekilde memory den AD domain hesabına ait kullanıcı tokenlari ele geçirilerek domain admin haklarıyla bir kullanıcı oluşturuldu
İle;şim Bilgileri Blog www.lifeoverip.net Blog.bga.com.tr Twizer @bgakademisi @huzeyfeonal İle;şim huzeyfe@lifeoverip.net Huzeyfe.onal@bga.com.tr