Bellekten Hassas Bilgi Toplama - Volatility

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

Saldırganlar tarafından ele geçirilmiş cihazların belleklerinden hassas bilgilerin okunması.

Açıklama:

Ele geçirilen sistemlerde konsol erişimi yüksek yetkilerle elde edildiğinde hedef sistem tamamiyle tehlike altındadır. Elde edilen konsol erişimi sayesinde sistemde bazı dizinlere erişim yetkisi açılabilir. Böylece dizinlere zararlı yazılımlar yüklenebilir ve çalıştırılabilir. Sonrasında ise bu yazılımlar aracılığıyla sistemde bellek üzerinde hassas bilgiler okunabilir.

Kullanılan Araçlar:

Lab senaryosu:

Bir şekilde ele geçirilmiş (pass the hash yöntemi veya bir servisin zafiyeti kullanılarak) sistemin belleği okunulacaktır. Burada sistemi ele geçirmek için kullanılan zafiyet yerel ağda aynı parolaya sahip sistemlerinin kullanılmasıdır.

Adımlar:

1. Adım: Sistemin bilinen bir hesapla ele geçirilmesi

Sistemin bu metodla ele geçirilmesi için hedef sistemin başka sistemlerle aynı parolaya sahip olması gerekmektedir. Hedef sistem Windows 7 işletim sistemine sahiptir. Windows 7 (Windows Server 2008) ve öncesi için sistemlerde var olan ve sistemlere müdehaleyi kolaylaştıran bir servis olan “PSEXESVC.exe” sayesinde sistemlere yerel kullanıcı hesapları ile bağlanılabilmektedir.

Hedef sisteme bağlanabilmek için kullanılan komut;

PsExec.exe \\172.16.16.121 -u 172.16.16.121\administrator -p 123 -s cmd

Burada PsExec programının bulunduğu dizinde olmamız gerekmektedir.

Hedef bir sisteme PsExec ile bağlanabilmek için ihtiyaç duyulan parametreler;

  • Hedef IP adresi
  • Kullanıcı adı
  • Parola
  • Hedef sistemde çalıştırılacak komut

Daha detaylı kullanım için bakınız;

http://technet.microsoft.com/tr-tr/sysinternals/bb897553.aspx

Yukarıda verilen değerlerle sisteme yapılan giriş denemesi sonucu;

Psexec.png

Hedef sisteme paylaşımlarına da aynı hesap bilgileri ile ulaşabilir eğer erişim hakkı yok ise konsol üzerinde bazı dizinlere erişim yetkisi açılabilir. Hedef sistemin paylaşımlarına erişim sağladıktan sonra bellekten hassas verileri okuyabilen mimikatz programı sisteme yüklenebilir.

Mimikatz.png

Şimdi bu dizine erişilerek bellekten verilerin okunulabilir.


2. Adım: Hedef sistemin belleğinden hassas bilgilerin okunması

Mimikatz aracının yüklenildiği dizine gidilir ve mimikatz programı çalıştırılır.

Mimikatz2.png

Önce privilege mode çalıştırılır;

Mimikatz3.png

Daha sonra bellekten parolalar okunur;

Mimikatz4.png

Görüldüğü gibi sistemin belleğinden veriler okunabilmektedir. Böylece sistemin belleğinin bir kopyası alınabilir ve o anda bütün servislere ait bilgiler sonradan da erişilebilir.