Bir Saldırının Analizi (Bölüm 3)

Kaydolun ve günde 1000 $ kazanın ⋙

Bir Saldırının Analizi (Bölüm 3)Bir Saldırının Analizi (Bölüm 1)
Bir Saldırının Analizi (Bölüm 3)Bir Saldırının Analizi (Bölüm 2)

Don Parker

Bu serinin 2. bölümünde, kurbanın ağına yapılacak bir saldırı için gerekli olan tüm bilgileri bıraktık. Bunu aklımızda tutarak gerçek bir saldırıya geçelim. Bu saldırı, bir saldırıyı daha ileri götürebilmek için birden fazla istek programının iletilmesini gerektirir.

Bir bilgisayara saldırıp sonra geri çekilmenin bir anlamı olmaz, bu yüzden güçlü bir saldırı yapacağız. Kötü niyetli bir saldırganın amacı genellikle sadece bilgisayar ağındaki varlığını artırmak değil, aynı zamanda bu ağı korumaktır. Bu, saldırganın varlığını gizlemeye devam etmek ve başka bazı eylemlerde bulunmak istediği anlamına geliyor.

İlginç Konular

Şimdi gerçek bir saldırıyı kolaylaştırmak için Metasploit Framework'ü kullanacağız. Bu çalışma mekanizması gerçekten ilginç çünkü size birçok farklı madencilik türü sunmanın yanı sıra, yükleri seçerken de birçok farklı seçenek sunuyor. Belki ters bir yardımcı program veya VNC enjeksiyonu istemiyorsunuz. Faydalı yük genellikle yaklaşan hedefinize, ağ mimarinize ve nihai amacınıza bağlıdır. Bu durumda bunu ters bir yardımcı programla yapacağız. Bu, özellikle hedefimizin yönlendiricinin arkasında olduğu ve doğrudan erişilemediği durumlarda, genellikle daha avantajlı bir yaklaşımdır. Örneğin, bir web sunucusuna "ulaşırsınız" ancak yük hala dengelidir. Buna ileri bir yardımcı programla bağlanmanın mümkün olacağının bir garantisi yoktur, bu nedenle bilgisayarınızın ters bir yardımcı program üretmesini isteyeceksiniz. Metasploit Framework'ün nasıl kullanılacağını başka bir makalede anlatılmış olabileceği için burada ele almayacağız. O yüzden sadece paket seviyeleri gibi şeylere odaklanalım.

Bu sefer her saldırı adımını kısa görseller ve kod parçacıklarıyla tanıtma yöntemini kullanmak yerine farklı bir saldırıyı sunacağız. Yapılacak şey Snort'un yardımıyla saldırıyı yeniden yaratmaktır. Gerçekleştirdiğimiz saldırıda ikili logdan faydalanıp, Snort üzerinden bunu ayrıştıracağız. İdeal olarak yaptığımız her şeyin aynısı olması gerekirdi. Aslında uygulanacak olan bir prova paketidir. Buradaki amaç, olan biteni ne kadar doğru bir şekilde bir araya getirebileceğimizi görmek. Bunu aklımızda tutarak, yürütülen her şeyi kaydeden ikili paket günlüğünü kullanacağız ve bunu Snort'un varsayılan kurallarından bazılarını kullanarak ayrıştıracağız.

Snort Çıktısı

Snort'u çağırmak için kullanılan sözdizimi aşağıdaki gibidir:

C:\snort\bin\snort.exe –r c:\article_binary –dv –c snort.conf –A full

Bu söz dizimi Snort'un article_binary adlı ikili paketi analiz etmesine neden olur, sonuç aşağıda gösterilmiştir. Her bir bölüme detaylı bakabilmemiz için Snort çıktısını kısalttık.

==============================================================
Snort processed 1345 packets.
==============================================================
Breakdown by protocol:
TCP: 524 (38.959%)
UDP: 810 (60.223%)
ICMP: 11 (0.818%)
ARP: 0 (0.000%)
EAPOL: 0 (0.000%)
IPv6: 0 (0.000%)
ETHLOOP: 0 (0.000%)
IPX: 0 (0.000%)
FRAG: 0 (0.000%)
OTHER: 0 (0.000%)
DISCARD: 0 (0.000%)
==============================================================
Action Stats:
ALERTS: 63
LOGGED: 63
PASSED: 0

Bu bölüm ilginçtir çünkü tek bir saldırı eylemi tarafından tetiklenen 63 uyarı vardı. Olayla ilgili çok fazla ayrıntı sağlayabilecek olan alert.ids dosyasına bakacağız. Şimdi, saldırganın yaptığı ilk şeyin Nmap'i kullanarak bir ağ taraması yapmak olduğunu hatırlarsanız, bu aynı zamanda Snort tarafından tetiklenen ilk uyarıyı da oluşturmuştu.

[**] [1:469:3] ICMP PING NMAP [**]
[Classification: Attempted Information Leak] [Priority: 2]
08/09-15:37:07.296875 192.168.111.17 -> 192.168.111.23
ICMP TTL:54 TOS:0x0 ID:3562 IpLen:20 DgmLen:28
Type:8 Code:0 ID:30208 Seq:54825 ECHO
[Xref => http://www.whitehats.com/info/IDS162]

Bu şekilde saldırgan, web sunucusunun ne tür bir web sunucusu olduğunu bulmak için netcat'i kullanmıştır. Bu eylem herhangi bir Snort uyarısını tetiklemedi. Biz de neler olduğunu öğrenmek istiyoruz, o yüzden paketin kayıtlarına daha yakından bakalım. Normal TCP/IP el sıkışma prosedürünü gözlemlediğimizde aşağıdaki paketi göreceğiz.

15:04:51.546875 IP (tos 0x0, ttl 128, id 9588, offset 0, flags [DF], proto: TCP (6), length: 51) 192.168.111.17.1347 > 192.168.111.23.80: P, cksum 0x5b06 (correct), 3389462932:3389462943(11) ack 2975555611 win 64240
0x0000: 4500 0033 2574 4000 8006 75d7 c0a8 6f11 E..3%[email protected].
0x0010: c0a8 6f17 0543 0050 ca07 1994 b15b 601b ..o..C.P.....[`.
0x0020: 5018 faf0 5b06 0000 4745 5420 736c 736c P...[...GET.slsl
0x0030: 736c 0a sl.

Bu pakette dikkat çekici bir şey yok, sadece slslsl örneğinde olduğu gibi bir GET isteğinin ardından gelen bazı dahili sorunlar var. Yani aslında Snort'un yapabileceği hiçbir şey yok. Bu nedenle, bu tür bir numaralandırma girişimini tetikleyecek etkili bir IDS imzası (veya imzası) oluşturmak çok zordur. Bu yüzden böyle bir imza bulunmuyor. Bundan sonraki paket ise kurbanın ağının web sunucusunun kendisini listelediği pakettir.

Numaralandırma tamamlandıktan sonra saldırgan, istismarı yürütmek için derhal web sunucusuna bir kod gönderir. Bu kod daha sonra Snort imzaları etkinleştirildiğinde bazı sonuçlar verecektir. Özellikle aşağıda gösterilen exploit için bu Snort imzasını görebiliriz.

[**] [1:1248:13] WEB-FRONTPAGE rad fp30reg.dll access [**]
[Classification: access to a potentially vulnerable web application] [Priority:
2]08/09-15:39:23.000000 192.168.111.17:1454 -> 192.168.111.23:80
TCP TTL:128 TOS:0x0 ID:15851 IpLen:20 DgmLen:1500 DF
***A**** Seq: 0x7779253A Ack: 0xAA1FBC5B Win: 0xFAF0 TcpLen: 20
[Xref => http://www.microsoft.com/technet/security/bulletin/MS01-035.mspx][Xref
=> http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0341][Xref => http://www.s
ecurityfocus.com/bid/2906][Xref => http://www.whitehats.com/info/IDS555]

Saldırgan web sunucusuna erişim sağladıktan sonra TFTP istemcisini kullanarak 4 dosyayı aktarmaya başlayacak: nc.exe, ipeye.exe, fu.exe, msdirectx.exe. Bu dosyalar aktarıldıktan sonra saldırgan netcat'i kullanarak bilgisayarına bir yardımcı program gönderir. Oradan, ilk saldırıdan kaynaklanan diğer yardımcı programı devre dışı bırakabilir ve kalan tüm işi netcat yardımcı programında yapabilir. İlginçtir ki, saldırganın ters yardımcı program aracılığıyla gerçekleştirdiği eylemlerin hiçbiri Snort tarafından kaydedilmedi. Ancak buna rağmen saldırgan, TFTP üzerinden ilettiği bir rootkit kullanarak netcat için işlem bilgilerini gizlemiş.

Sonuç

Bu serinin üçüncü bölümünde Snort kullanılarak yapılmış bir saldırının gösterimini gördük. Rootkit kullanımı dışında yapılanlardan bir tanesini tamamen tekrar yapabiliriz. IDS oldukça kullanışlı bir teknoloji ve ağ savunma sisteminizin bir parçası olmasına rağmen her zaman mükemmel değildir. IDS'ler yalnızca algılayabildiği trafik konusunda sizi uyarabilir. Bunu aklımızda tutarak bu serinin son bölümünde Snort imzalarının nasıl oluşturulacağını öğreneceğiz. Bununla birlikte dijital imzanın (imza) etkinliğini değerlendirmek için nasıl test edileceğini de öğreneceğiz.

Sign up and earn $1000 a day ⋙

Leave a Comment

Normal TV ile Akıllı TV arasındaki fark

Normal TV ile Akıllı TV arasındaki fark

Akıllı televizyonlar gerçekten dünyayı kasıp kavurdu. Teknolojinin sunduğu pek çok harika özellik ve internet bağlantısı, televizyon izleme şeklimizi değiştirdi.

Dondurucuda ışık yokken buzdolabında neden ışık var?

Dondurucuda ışık yokken buzdolabında neden ışık var?

Buzdolapları evlerde sıkça kullanılan cihazlardır. Buzdolapları genellikle 2 bölmeden oluşur, soğutucu bölme geniştir ve kullanıcı her açtığında otomatik olarak yanan bir ışığa sahiptir, dondurucu bölme ise dardır ve hiç ışığı yoktur.

Wi-Fiyi Yavaşlatan Ağ Tıkanıklığını Gidermenin 2 Yolu

Wi-Fiyi Yavaşlatan Ağ Tıkanıklığını Gidermenin 2 Yolu

Wi-Fi ağları, yönlendiriciler, bant genişliği ve parazitlerin yanı sıra birçok faktörden etkilenir; ancak ağınızı güçlendirmenin bazı akıllı yolları vardır.

Tenorshare Reiboot Kullanarak Veri Kaybı Olmadan iOS 17den iOS 16ya Nasıl Geri Dönülür

Tenorshare Reiboot Kullanarak Veri Kaybı Olmadan iOS 17den iOS 16ya Nasıl Geri Dönülür

Telefonunuzda kararlı iOS 16'ya geri dönmek istiyorsanız, iOS 17'yi kaldırma ve iOS 17'den 16'ya geri dönme konusunda temel kılavuzu burada bulabilirsiniz.

Her gün yoğurt yediğinizde vücudunuzda neler olur?

Her gün yoğurt yediğinizde vücudunuzda neler olur?

Yoğurt harika bir besindir. Her gün yoğurt yemek faydalı mıdır? Her gün yoğurt yediğinizde vücudunuzda nasıl değişiklikler olur? Hadi birlikte öğrenelim!

Hangi pirinç türü sağlık açısından daha iyidir?

Hangi pirinç türü sağlık açısından daha iyidir?

Bu yazıda en besleyici pirinç türleri ve seçtiğiniz pirincin sağlık yararlarından nasıl en iyi şekilde yararlanabileceğiniz ele alınıyor.

Sabahları zamanında nasıl uyanılır

Sabahları zamanında nasıl uyanılır

Uyku düzeninizi ve uyku vakti rutininizi oluşturmak, çalar saatinizi değiştirmek ve beslenmenizi buna göre ayarlamak, daha iyi uyumanıza ve sabahları zamanında uyanmanıza yardımcı olabilecek önlemlerden birkaçıdır.

Rent Please! oynamak için ipuçları Yeni Başlayanlar İçin Ev Sahibi Simülasyonu

Rent Please! oynamak için ipuçları Yeni Başlayanlar İçin Ev Sahibi Simülasyonu

Kiralayın Lütfen! Landlord Sim, iOS ve Android'de oynanabilen bir simülasyon mobil oyunudur. Bir apartman kompleksinin ev sahibi olarak oynayacak ve dairenizin içini iyileştirme ve kiracılar için hazır hale getirme amacıyla bir daireyi kiralamaya başlayacaksınız.

En Son Banyo Kule Savunma Kodları ve Kodların Nasıl Girileceği

En Son Banyo Kule Savunma Kodları ve Kodların Nasıl Girileceği

Bathroom Tower Defense Roblox oyun kodunu alın ve heyecan verici ödüller için kullanın. Daha yüksek hasara sahip kuleleri yükseltmenize veya kilidini açmanıza yardımcı olacaklar.

Transformatörlerin yapısı, sembolleri ve çalışma prensipleri

Transformatörlerin yapısı, sembolleri ve çalışma prensipleri

Transformatörlerin yapısını, sembollerini ve çalışma prensiplerini en doğru şekilde öğrenelim.

Yapay Zekanın Akıllı TVleri Daha İyi Hale Getirmesinin 4 Yolu

Yapay Zekanın Akıllı TVleri Daha İyi Hale Getirmesinin 4 Yolu

Daha iyi görüntü ve ses kalitesinden ses kontrolüne ve daha fazlasına kadar, bu yapay zeka destekli özellikler akıllı televizyonları çok daha iyi hale getiriyor!

ChatGPT neden DeepSeekten daha iyidir

ChatGPT neden DeepSeekten daha iyidir

Başlangıçta DeepSeek'e yönelik büyük umutlar vardı. ChatGPT'ye güçlü bir rakip olarak pazarlanan bir yapay zeka sohbet robotu olarak, akıllı sohbet yetenekleri ve deneyimleri vadediyor.

Fireflies.ai ile tanışın: Size Saatlerce Çalışma Kazandıran Ücretsiz AI Sekreteri

Fireflies.ai ile tanışın: Size Saatlerce Çalışma Kazandıran Ücretsiz AI Sekreteri

Önemli ayrıntıları not alırken gözden kaçırmak kolaydır ve sohbet ederken not almaya çalışmak dikkat dağıtıcı olabilir. Çözüm Fireflies.ai'dır.

Axolotl Minecraft nasıl yetiştirilir, Minecraft Salamander nasıl evcilleştirilir

Axolotl Minecraft nasıl yetiştirilir, Minecraft Salamander nasıl evcilleştirilir

Axolot Minecraft, oyuncuların su altında görev yaparken nasıl kullanacaklarını bilmeleri durumunda harika bir yardımcı olacaktır.

Sessiz Bir Yer: Önümüzdeki Yol PC Oyun Yapılandırması

Sessiz Bir Yer: Önümüzdeki Yol PC Oyun Yapılandırması

A Quiet Place: The Road Ahead'in yapılandırması oldukça yüksek olarak derecelendirilmiştir, bu yüzden indirmeye karar vermeden önce yapılandırmayı göz önünde bulundurmanız gerekecektir.