Bu konuda Windows'un kullanıcıdan oturum açma bilgilerini doğrulamasını ve bu bilgileri yeniden istemesini sağlayacağımız birkaç senaryo üzerinde duracağız. Windows için Outlook ve UAC(Kullanıcı Hesap Denetimi) veya oturum açma gibi işlemlerde kullanıcının bilgilerini(şifre, kullanıcı adı vs.) doğrulamak olmazsa olmaz bir işlemdir. İşte biz de hedef sistemde bir tutunma noktası oluşturduktan sonra Windows'un bu gibi özelliklerinden faydalanıp oltalama teknikleri ile bu bilgileri elde etmeye çalışacağız.
Konuyu anlamak için bilinmesi gereken kavramları ve açıklamalarını buraya yazacağım.
Exploit: Exploit bir bilgisayar programıdır veya bir script, bilgisayar programlarında bulunan zayıflık veya hatalar için kullanılır.
Post Exploitation: hedef sisteme erişim sağlandıktan ve yetkiler yükseltildikten (root) sonra başlayan bir süreçtir. Yani erişim sağladıktan sonra bu erişimin kalıcı hale getirilmesi ve sürdürülmesi amaçlanır.
Meterpreter: Meterpreter ileri düzey bir m e t asploit payload tipidir.
PowerShell Empire: Empire, PowerShell ve Python kullanan bir post-exploitation aracıdır
Template: Template(Hazır) web sitesi bir kez oluşturulup birden çok kullanıcıya satılan içerik ve temaları hazır olan sistemlerdir.
Script: Betik dili, betik yorumlamak için yazılmış özel çalışma-zamanı sistemlerinin yorumlayabileceği programlama dilleridir.
Konu İçeriği:
A-m e t asploit Framework
1-phish_windows_credentials
2-FakeLogonScreen
3-SharpLocker
B-PowerShell Empire
1-PowerShell Empire: collection/prompt
2-PowerShell Empire: collection/toasted
C-Koadic
1-Password box
D-PowerShell
1-PowerShell Invoke-CredentialsPhish.ps1
2-Invoke-LoginPrompt.ps1
E-Lockphish
F-Sonuç
A-m e t asploit Framework
1-phish_windows_credentials
m e t asploit bizim işimizi kolaylaştıracak bir post exploit ile birlikte gelir. Bu bir post-exploitation modülü olduğu için yalnızca devam eden bir oturumla bağlantılı olması gerekir. Bu modülü kullanmak için basit bir örnek verelim:
Kod:
use post/windows/gather/phish_windows_credentials
set session 1
exploit
2-FakeLogonScreen
akabinde kullanıcıdan şifreyi almak için Windows kilit ekranını simüle edecektir. Hatta bunu o kadar iyi yapıyor ki kullanıcının şüphelenmesi mümkün değil.
Başlatmak için şu şekilde yazın:
Kod:
Import-Module C:\Users\raj\Desktop\Invoke-CredentialsPhish.ps1
Invoke-CredentialsPhish
Üstteki kodu yürüttüğünüzde aşağıdaki resimdeki gibi kullanıcı adı ve şifreyi soran bir pencere gözükecek:
Yukarıda gördüğünüz gibi pencereye bilgiler girildiğinde bu bilgiler terminalde görüntülenir.
Aracı kullanmak için:
Kod:
./lockphish.sh
Konuyu anlamak için bilinmesi gereken kavramları ve açıklamalarını buraya yazacağım.
Exploit: Exploit bir bilgisayar programıdır veya bir script, bilgisayar programlarında bulunan zayıflık veya hatalar için kullanılır.
Post Exploitation: hedef sisteme erişim sağlandıktan ve yetkiler yükseltildikten (root) sonra başlayan bir süreçtir. Yani erişim sağladıktan sonra bu erişimin kalıcı hale getirilmesi ve sürdürülmesi amaçlanır.
Meterpreter: Meterpreter ileri düzey bir m e t asploit payload tipidir.
PowerShell Empire: Empire, PowerShell ve Python kullanan bir post-exploitation aracıdır
Template: Template(Hazır) web sitesi bir kez oluşturulup birden çok kullanıcıya satılan içerik ve temaları hazır olan sistemlerdir.
Script: Betik dili, betik yorumlamak için yazılmış özel çalışma-zamanı sistemlerinin yorumlayabileceği programlama dilleridir.
Konu İçeriği:
A-m e t asploit Framework
1-phish_windows_credentials
2-FakeLogonScreen
3-SharpLocker
B-PowerShell Empire
1-PowerShell Empire: collection/prompt
2-PowerShell Empire: collection/toasted
C-Koadic
1-Password box
D-PowerShell
1-PowerShell Invoke-CredentialsPhish.ps1
2-Invoke-LoginPrompt.ps1
E-Lockphish
F-Sonuç
A-m e t asploit Framework
1-phish_windows_credentials
m e t asploit bizim işimizi kolaylaştıracak bir post exploit ile birlikte gelir. Bu bir post-exploitation modülü olduğu için yalnızca devam eden bir oturumla bağlantılı olması gerekir. Bu modülü kullanmak için basit bir örnek verelim:
Kod:
use post/windows/gather/phish_windows_credentials
set session 1
exploit
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Bu modül kullanıcı tarafından başlatılacak olan yeni bir işlem bekler. İşlemin başlatılmasından sonra, kullanıcı adı ile şifreyi isteyen sahte bir Windows güvenlik penceresi açılacaktır. şunun gibi gözükecek:
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Kullanıcı bu bilgileri girdiğinde oltalama başarıyla tamamlanmış olur girilen bilgiler şu şekilde gözükür:
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
2-FakeLogonScreen
FakeLogonScreen aracı Arris Huijgen tarafından oluşturuldu. Çeşitli frameworklerin belleğe yardımcı yazılım enjekte etmesini sağlıyor bu nedenle C# dilinde geliştirildi. Bu aracı m e t asploit kullanarak uzaktan çalıştıracağız ama öncelikle aracımızı şu linkten indirelim:
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Bu aracı kolay bir şekilde meterpreter oturumundan yükleyip aşağıdaki kodları kullanarak uzaktan çalıştırabiliriz.
Kod:
upload /root/FakeLogonScreen.exe .
shell
FakeLogonScreen.exe
Kod:
upload /root/FakeLogonScreen.exe .
shell
FakeLogonScreen.exe
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
akabinde kullanıcıdan şifreyi almak için Windows kilit ekranını simüle edecektir. Hatta bunu o kadar iyi yapıyor ki kullanıcının şüphelenmesi mümkün değil.
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Bilgiler doğrulandıktan sonra konsolda şu şekilde gözükecektir.
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
3-SharpLocker
Bu araç da bir öncekine çok benziyor. Matt Pickford tarafından geliştirildi. SharpLocker da tıpkı FakeLogonScreen gibi sahte bir giriş ekranı oluşturuyor kullanıcı bilgilerini girdiğinde bu bilgiler saldırganın eline geçmiş oluyor. SharpLocker’ı indirmek için:
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Bu aracı hedef sisteme yükledikten sonra çalıştıracağız ve Meterpreter oturumundayken:
Kod:
upload /root/Downloads/SharpLocker.exe .
shell
SharpLocker.exe
Aracı masaüstüne indirdik böylece o konuma geçiş yapıp çalıştıracağız.
Kod:
upload /root/Downloads/SharpLocker.exe .
shell
SharpLocker.exe
Aracı masaüstüne indirdik böylece o konuma geçiş yapıp çalıştıracağız.
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Böylece hedef sistemin kilit ekranını bu hale gelecek şekilde harekete geçirdik:
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Kullanıcı şifreyi girdiğinde tüm tuş vuruşları kaydedilecek ve şu şekilde gözükecek:
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
B-PowerShell Empire
1-PowerShell Empire: collection/prompt
PowerShell Empire’ın bu modülü bir pencere açıp kullanıcıya oturumu açmak için giriş bilgilerini sorar. Tıpkı önceki araçların yaptığı gibi. Bu modülü şu komutlarla kullanabiliriz:
Kod:
usemodule collection/prompt
execute
Kod:
usemodule collection/prompt
execute
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Kullanıcı bilgilerini girdiğinde bu modül o bilgileri terminalde gösterecek.
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
2-PowerShell Empire: collection/toasted
PowerShell Empire’ın bu modülü güncelleştirmelerin yapılması için 5 dakika içinde yeniden başlatma gerçekleştirileceğini belirten bir pencere oluşturur. Bu aracı kullanmak için aşağıdaki komutları yazın:
Kod:
usemodule collection/toasted
execute
Kod:
usemodule collection/toasted
execute
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Modül çalıştıktan sonra şöyle bir pencere açılır:
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Farkındaysanız bir erteleme butonu var ve hangimiz bu güncellemeleri anında yaptık ki? Kullanıcı postpone yani erteleme butonuna bastığında oturum bilgilerini isteyen bir pencere açılacak.
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Ve kullanıcı bilgilerini girdiğinde artık ne olacağını biliyorsunuz:
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
C-Koadic
1-Password box
PowerShell Empire modülüne benzer bir şeyi de Koadic’te bulabilirsiniz. Dediğim gibi benzer şeyler, kullanmak için aşağıdaki komutları yazın:
Kod:
use password_box
execute
Kod:
use password_box
execute
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
D-PowerShell
1-PowerShell: Invoke-CredentialsPhish.ps1
PowerShell üzerinde çalışabilen bir script. Bu script de kullanıcı bilgilerini soran sahte bir pencere oluşturuyor. İndirmek için:
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Başlatmak için şu şekilde yazın:
Kod:
Import-Module C:\Users\raj\Desktop\Invoke-CredentialsPhish.ps1
Invoke-CredentialsPhish
Üstteki kodu yürüttüğünüzde aşağıdaki resimdeki gibi kullanıcı adı ve şifreyi soran bir pencere gözükecek:
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Kullanıcı, bilgilerini girdiğinde bu bilgiler ekranda böyle gözükecek:
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
2-PowerShell: Invoke-LoginPrompt.ps1
Anlattıklarımıza çok benzer olan Matt Nelson tarafından geliştirilen bir script var. Bu script de kullanıcı bilgilerini soran bir pencereyi açıyor. İndirmek için:
Başlatmak için:
Kod:
Import-Module C:\Users\raj\Desktop\Invoke-LoginPrompt.ps1
Invoke-LoginPrompt.ps1
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Başlatmak için:
Kod:
Import-Module C:\Users\raj\Desktop\Invoke-LoginPrompt.ps1
Invoke-LoginPrompt.ps1
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Yukarıda gördüğünüz gibi pencereye bilgiler girildiğinde bu bilgiler terminalde görüntülenir.
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
E-Lockphish
Bu da diğerleri gibi oltalama tekniğiyle bilgileri ele geçirmeye yarayan bir başka araç. şuradan indirebilirsiniz:
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Bu araç kullanıcıyı bir youtube videosuna yönlendiriyormuş gibi görünen template –yani hazır web sitesi- oluşturuyor ama tabi kullanıcıdan oturum açma bilgilerini girmesini istiyor.
Aracı kullanmak için:
Kod:
./lockphish.sh
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Yukarıda gördüğünüz gibi ngrok’u kullanarak herkese açık bir bağlantı oluşturuyor ve bu bağlantı hedefe gönderildiğinde hedef linki açınca bir dosya kaydetme penceresi açılıyor tam da bu kısımda içinizdeki o yüksek nitelikli sosyal mühendise ihtiyacımız oluyor 
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Hedef, bilgilerini girdikten sonra youtube’a yönlendirilecek. İndirilen dosyayı yürütünce malum pencere açılacak ve hedeften şifresini girmesini isteyecek.
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Hedefimiz şifreyi girdikten sonra da aşağıdaki gibi girilen şifreyi göreceğiz:
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
E-Sonuç
Toparlayacak olursak hedef sistemin bilgilerini almak için çeşitli yöntemler var. Artık sizin senaryonuz neyse ona uygun bir aracı kullanmanız gerekli. PowerShell yöntemi baya iyidir çünkü doğru bilgiler girilene kadar pencere kapanmıyor. Mesela Lockphish kilit ekranını diğer araçlar gibi düzgün yapamaz ve girilen bilgileri doğrulamaz. Yani kullanacağınız her yöntemin, aracın avantajları ve dezavantajları var ama hepsi de gayet çalışıyor.
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Kaynak:
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
