Windows Sistemlerde Arka Kapı Oluşturmak

Windows Sistemlerde Arka Kapı Oluşturmak

Bu yazıda bir sistemi ele geçirdikten sonra o sistemde nasıl arka kapı(backdoor) bırakacağımızı anlatacağım.

Öncelikle ele geçirilen sistemde neden arka kapı bırakılmalı onu konuşalım. Başarılı bir şekilde ele geçirilen ve shell alınan bir makinede yapılması gereken bir sonraki işlem, o makineye sonraki girişlerimizi kolaylaştırmak için gizli bir arka kapı bırakmaktır. Bırakılan bu arka kapı sayesinde, hedef makineyi her seferinde tekrar istismar etmeye gerek kalmayacaktır. Arka kapı bırakmak, istismar sonrası işlemleri kolaylaştırdığı gibi istismar anını da kolaylaştırır. Hedef makine, bizim onu istismar etme anımız sırasında kapanabilir, aradaki bağlantı kopabilir, vs gibi durumlar gerçekleşebilir. Bundan dolayı, eğer shell almışsak shell bağlantısı kopacaktır. Bilindiği gibi, bazı sistemler çok fazla zafiyet taşımakta ve sızma işlemi gayet kolay olmaktadır fakat zafiyet barındırmayan bir sisteme çok uğraş verildikten sonra bir şekilde girildiyse, shell bağlantısının kopması oldukça can sıkıcı olabilir.

İlk olarak, hedef sistemde meterpreter shell alındıktan sonra bize sunulmuş olan ‘persistence’ modülüne göz atalım. Meterpreter shell’de yazılacak komut:

run persistence -h

-h parametresi ile persistence modülünün çalışmak için istediği girdileri ve özelliklerini görebileceğiz.

Öncelikle, MS17_010 zafiyeti olduğunu bildiğimiz hedef sistemde,  bu zafiyeti kullanarak meterpreter/reverse_tcp shell alıyoruz.

Şimdi persistence modülünü çalıştıralım.

Seçenekleri inceleyecek olursak:

-A: Bizim bilgisayarımızda karşı taraftan açılacak bağlantıyı dinleyecek ‘handler’ otomatik olarak başlatılır.

-L: Arka kapı açacak zararlı yazılımın hedef sistemde hangi dizin altında oluşturulmasını seçtiğimiz kısım.

-P: Payload seçimi

-X: Hedef sistem her yeni başlayışından sonra bize otomatik olarak bağlantı açacaktır.

-i: Bağlantı kurma denemeleri arasındaki süreyi ayarlayabiliyoruz. (Örneğin, 10 sn’de bir bağlanmayı dene)

-p: Port bilgisi

-r: Uzak sunucu IP adresi bilgisi

Fakat, ilk satırlarda görülen uyarı bize bu modülün artık kullanımdan kaldırıldığı bilgisini veriyor. Bunun sebebi ise meterpreter tarafından oluşturulan arka kapı zararlı yazılımlarının, hedef sistemdeki güvenlik duvarları tarafından algılanıp devre dışı bırakılıyor olması. Ayrıca bize bir öneri sunulmuş. Bu modül yerine

‘post/windows/manage/persistence_exe’

modülünü kullanabilirsiniz denilmiş. Biz de bu öneriyi dikkate alacağız ve meterpreter’ın kendi ‘persistence’ modülü yerine ‘persistence_exe’ modülünü kullanacağız.

Almış olduğumuz meterpreter/reverse_tcp shell’i öldürmemek için background komutu ile arka plana atıyoruz. persistence_exe modülünü inceleyelim.

REXENAME: Arka kapı zararlı yazılımının hedef sunucuda hangi isim ile kaydedilmesini ayarladığımız kısım.

REXEPATH: Zararlı yazılımın dizin yolu. Burada az önceki modülden farklı olarak arka kapı oluşturacak zararlı yazılımı bizim oluşturmamız gerekiyor.

SESSION: Modülü çalıştırmamız için hedef sistemde önceden bir session almamız gerekiyor. Biz bu işlemi zaten yapmıştık.

STARTUP: Arka kapı hangi haklar ile çalışmalı ayarını yaptığımız kısım. Windows sistemlerde en yetkili kullanıcı SYSTEM olduğu için bunu seçeceğiz.

Fakat bunlardan önce arka kapı zararlı yazılımını oluşturmamız gerekiyor. Bunun için FatRat adlı bir program kullanacağız. Kullanacağımız programın GitHub linki

https://github.com/Screetsec/TheFatRat

Nasıl kurulacağı detaylı bir şekilde yazılmış.

TheFatRat, eksik dosyaları kendi kurduğu için ek bir şey yapmaya gerek yok.

Yükleme işlemi bittikten sonra programı ‘fatrat’ komutu ile çalıştırıyoruz.

İlk kısımdan 6. seçeneği(Create Fud Backdoor 1000% with PwnWinds [Excelent]) seçip devam ediyoruz.

PwnWinds menüsü karşımıza çıktı. Buradan da 6. seçeneği(Create Backdoor with C / Meteperter_reverse_tcp (FUD 97%)) seçerek devam ediyoruz.

Karşıdan açılacak bağlantıyı dinlemek için IP adresimizi, bağlantıyı dinleyeceğimiz portu(ben burada rasgele olarak 9090 portunu seçtim fakat hangisinin seçildiği önemli değil. Başka bir uygulama tarafından kullanılmayan bir port seçmeniz yeterli) ve dosya adını seçtik. Payload’ımız varsayılan olarak meterpreter/reverse_tcp.

Backdoor başarılı bir şekilde oluşturuldu.

TheFatRat’ı yüklemiş olduğunuz dizinde ‘output’ adlı bir klasör mevcut. TheFatRat, zararlı yazılımı otomatik olarak burada oluşturuyor.

Zararlı yazılım hazır olduğuna göre, artık persistence_exe modülünü kullanmaya hazırız. persistence_exe modülünü seçip gerekli kısımlarını set edelim.

REXENAME olarak, normalde Windows kullanıcı arayüzü ve çekirdek sistem bileşenlerinden biri olan explorer.exe adını kullandım ki zararlı yazılım olduğu anlaşılmasın. Oluşturduğumuz zararlı yazılımın dizin yolunu verdik, SESSION olarak 1 Id değerine sahip olan SESSION’u kullandık ve son olarak STARTUP yetkisi olarak SYSTEM’i seçtik.

run komutu ile persistence_exe’yi çalıştıralım.

persistence_exe bizim için şunları yaptı:

Öncelikle C:\Windows\TEMP klasörü altına zararlı dosyayı yükledi. Sonrasında ise bu dosyanın sistemin her başlatıldığında başlaması için kayıt defterine eklemeler yaptı. Artık post işlemlerimiz tamamlandı. Şimdi hedef bilgisayarda dosyanın yüklenip yüklenmediğini kontrol edelim.

Görüldüğü gibi zararlı yazılım başarılı bir şekilde yüklenmiş.

Windows Defender ile sistem taraması da yaptım fakat herhangi bir şüpheli şey bulamadı. Planımız sorunsuz ilerliyor.

Sonraki aşama olarak Windows Kayıt Defteri’ni görütüleyip persistence_exe’nin eklediği kayda bakalım.

Windows Kayıt Defteri’nde ‘HKLM\Software\Microsoft\Windows\CurrentVersion\Run\forHySPqP’ dizinine, explorer.exe adlı arka kapımızın sistemin başlatıldığında başlaması için kayıt eklendi.

Son aşama olarak, arka kapının bize açacağı bağlantıları karşılamak ve dinlemek için handler kullanacağız. Kullanacağımız modül

‘exploit/multi/handler’

Hemen modülün seçeneklerine bakalım.

Bu modülde set etmemiz gereken değerler yok. Payload olarak, arka kapı bize meterpreter/reverse_tcp bağlantı açacağı için, bu bağlantıyı karşılamak için yine meterpreter/reverse_tcp kullanacağız. Arka kapıya açağı bağlantıyı 9090 portumuza yönlendirmesini söylemiştik. O nedenle dinleyeceğimiz port numarası da 9090 olacak. Gerekli değerleri set ettikten sonra handler’ı başlatıyoruz.

Bu handler sayesinde IP adresimize ve 9090 portumuza gelen bağlantıları dinleyebileceğiz.

Şimdi hedef bilgisayarı yeniden başlatalım ve neler olacak görelim.

İlk session, bilgisayar kapandığı için öldü fakat görüldüğü gibi session 2 sistemin yeniden başlaması ile otomatik olarak açıldı.

Artık sistem her başladığında, eklediğimiz arka kapı sayesinde meterpreter shell elde edeceğiz ve sistemi tekrar tekrar istismar etmeye gerek kalmadan sisteme erişmiş olacağız. Artık sistemde kalıcıyız.

Ahmet Selim Kaya

 

Paylaş

Yorumlar