Dr. Ferhat Ozgur¨ C¸atak¨ [email protected] · 2020-07-09 · Dr. Ferhat Ozgur¨ C¸atak¨ [email protected] Giris¸ Giris¸ Tehditler ve Saldırı Vektorleri¨

Giris Tehditler ve Saldırı Vektorleri Ethical Hacking Temel Kavramlar PenTest Planlaması Metodoloji Diger Konular

GirisBGM 531 - Sızma Testleri ve Guvenlik Denetlemeleri

Bilgi Guvenligi MuhendisligiYuksek Lisans Programı

Dr. Ferhat Ozgur [email protected]

Istanbul Sehir Universitesi2018/2019 Guz

Dr. Ferhat Ozgur Catak [email protected] Giris


Icindekiler

1 GirisDers HakkındaInternetBashliteTerminoloji

2 Tehditler ve Saldırı VektorleriSaldırılarSaldırı VektorleriBilgi Savası

3 Ethical HackingEthical HackingTanımlar

4 Temel KavramlarPenetrasyon Testi (Pentest)StandartlarZafiyet TaramasıSızma Testi Yaklasımları

Saldırı Turleri5 PenTest Planlaması

PlanlamaPen Test TipleriAmacKapsamGereksinimlerSınırlamalar

6 MetodolojiGirisKesifTaramaErisim KazanmaSistemde Kalıcı Olma

7 Diger KonularKullanılan AraclarKali LinuxRaporlama



Icindekiler











Ders Hakkında I

I Dr. Ferhat Ozgur CatakI TUBITAK - BILGEM Siber Guvenlik EnstitusuI [email protected]

I Ders web sitesi:http://www.ozgurcatak.org/courses/bgm531I Butun duyurular buradan yapılmaktadır. Takip edin

I NotlandırmaI Derse Katılım: %10

I Donem Projesi : %20

I Odev 1-2-3: %20I Vize : %20I Final : %30

I Sınavlar coktan secmeli sorular seklindeI Bilgisayar Lab ???I Virtualbox, Kali Linux


http://www.ozgurcatak.org/courses/bgm531


Mirai I

Mirai 1

I Internet’s largest ever DDoS attacks of 1 TBPS in which 145,000 hackedwebcams were used.



Mirai II

Sekil: Default passwords 2

1https://www.hackread.com/mirai-botnet-linked-to-dyn-dns-ddos-attacks/2https://intervisablog.wordpress.com/2016/10/26/here-are-the-devices-usernames-and-

passwords-used-in-iot-ddos-attacks/Dr. Ferhat Ozgur Catak [email protected] Giris


Bashlite

BashliteI BASHLITE (also known as Gafgyt, Lizkebab, Qbot, Torlus and

LizardStresser) is malware which infects Linux systems in order tolaunch distributed denial-of-service attacks (DDoS).

I It has been used to launch attacks of up to 400 Gbps.

Sekil: Bashlite 3

3https://www.hackread.com/bashlite-malware-linux-iot-ddos-botnet/Dr. Ferhat Ozgur Catak [email protected] Giris


Malware Trends - 2017

Sekil: Malware trendsI 2016 yılında her 4.6 saniyede yeni bir malware ornegi raporlandıI 2017 yılında 4.2 saniye1https://www.gdatasoftware.com/blog/2017/04/29666-malware-trends-2017



Terminoloji

Gerekli TerminolojiI Hack Value:

I Bilgisayar korsanları arasında, yapmaya degecek amac.I 0. gun saldırısı (Zero-Day Attack)

I Yazılım gelistiricilerin yama yayınlamadan once, uygulama zafiyetlerinisomurulmesiyle (exploit) yapılan saldırı

I Zafiyet (Vulnerability)I Bir sistemin ele gecirilmesine sebep olan zayıflık, tasarım veya

gerceklestirim hatasıI Somuru (Exploit)

I Zayıf noktalar yoluyla BT sistem guvenliginin ihlal edilmesi.I Payload

I Istenmeyen kotu amaclı eylemi gerceklestiren, yıkma, arka kapı olusturmave bilgisayar ele gecirme gibi bir istismar kodunun parcasıdır.

I BotI Bir ”bot”, onceden tanımlanmıs gorevleri yurutmek veya otomatiklestirmek

icin uzaktan kontrol edilebilen bir yazılım uygulamasıdır.



Bilgi Guvenligi Bilesenleri

Bilgi guvenligi, bilgi ve altyapı konusundaki hırsızlık, dolandırıcılık vebozulma olasılıgının dusuk veya tolere edilebilir oldugu bir durumdur.

Confi-dentiality Yetkili kisiler tarafından erisim

Integrity Hatalı ve yetkisiz kisilertarafından verinin bozulmaması

Availability Yetkili kullanıcılar tarafındanistenildiginde erisim



Icindekiler











Saldırıların Motivasyonu, Hedefleri, Amacları

Saldırı = Motivasyon (Amac) + Yontem + Zafiyet

I Motivasyon: hedef sistemin degerli bir seyi depoladıgı veya isledigi,bunun sonucu olarak sisteme saldırı icin bir tehdit bulundugu fikrindenkaynaklanmaktadır.

I Yontem: Saldırganlar, bilgisayar sistemindeki guvenlik acıklarından veyaguvenlik politikasından yararlanmaya yonelik cesitli araclar ve saldırıteknikleri denerler ve motivasyonlarını saglamak icin denetimler yaparlar.

Guvenlik Saldırılarının Motivasyonları

I Is surekliligin engellenmesi

I Bilgi hırsızlıgı

I Veri manipulasyonu

I Kritik altyapıları bozarak korku vekaos olusturmak

I Dini ve politik inancların yayılmasıI Hedefin saygınlıgının yokedilmesi



Saldırı Vektorleri

Ag TehditleriI Bilgi toplamaI SniffingI SpoofingI Man-in-the-MiddleI DNS ve ARP

zehirlenmesiI Parola saldırılarıI DOS

Istemci TehditleriI MalwareI FootprintingI Parola saldırılarıI DOSI Yetkisiz erisimI Hak yukseltmeI Backdoor

Uygulama TehditleriI Veri dogrulamaI Hatalı guvenlik

ayarlarıI Bilgi ifsasıI Buffer overflowI SQL injectionI Hatalı exception

handling



Sistem Saldırı Turleri

I Isletim Sistemi Saldırıları:I Bir sisteme erisim icin isletim sisteminin tasarımında, kurulumunda veya

konfigurasyonunda yer alan zafiyetlerinin arastırılmasıI Buffer overflow, OS bugs, unpatched operating system

I Hatalı Konfigurasyon Saldırıları:I Veritabanı, ag, uygulama sunucuları, web sunucularının hatalı konfigurasyon

zafiyetleri, sisteme illegal erisim saglayabilir.I Uygulama Saldırıları:

I Yetkisiz erisim veya veri calma amacıyla kurulus icinde kullanılanuygulamaların sahip oldugu zafiyetlerin somurulmesi

I Buffer overflow, cross-site scripting, SQL injection, man-in-the-middle,denial-of-service

I Shrink-Wrap Code Attacks:I Varsayılan yapılandırma ve ayarlar

I MsSQL - Brute Force Password AttacksI Mirai - DDoS Attack



Bilgi Savası

Bilgi Savası

Rakibe karsı ustun avantajlar saglamak icin bilgi ve iletisim teknolojilerinin(ICT) kullanılmasını ifade etmektedir.



Icindekiler











Hacking I

HackingI Hacking: Sık duyulan ifade

I Bir teknolojinin istenilen (veya tasarımı) dısında davranmasını saglamakI Ethical Hacking

I Konsept olarak aynıI Temel fark: Amac

I Hacking (Tanım): Cesitli guvenlik acıklıklarını arastırabilme yetenegi.

Ethical HackingI Tanım: Teknolojiyi daha iyi hale getirmek amacıyla kaynakların test

edilmesidir.I Ethical hacking = Sızma testi



Hacking II

Sızma Testi

Basarılı bir pentest icin akılda tutulması gereken iki konuI Sistem yoneticileriden farklı dusunmek, yazılımı tasarlayanlardan farklı

dusunmekI Aynı zamanda, metodoloji takip etmek, dikkatli olmakI Basarı icin bu ikisi arasında bir denge saglamak gerekmektedir.



Tanımlar

I Hacking: odak noktası zafiyet (vulnerability) ve somuru (exploit)I Zafiyet: Yazılım uzerinde veya yazılım konfigurasyonunda bulunan zayıf

halka.I Yazılım: SQL injection (parameterized sql kullanılmaması).I Konfigurasyon: Veritabanın parola politikasında hatalı deneme sayısının yuksek

olması.I Somuru: Zayıf halkayı kullanarak zarar verme islemi icin kullanılan arac.

I Kod parcası veya teknoloji olabilir.I Eger exploit bir kod ise, genellikle oldukca ufak kod parcalarıdır.

I Threat : Hedef sisteme zarar vermek isteyen actor veya agent



Icindekiler











Penetrasyon Testi (Pentest) ITanım

I Sızma Testi: Bilgisayarsistemlerinin daha guvenlihale getirilmesi icinbilgisayarlarda bulunanacıklık ve zafiyetlerkullanılarak yapılan yasal veyetkili erisimdir.

I Diger isimlendirmelerI Penetrasyon testiI HackingI Ethical hackingI Offensive security

I Kurumlara sistemlerini daha guvenli hale getirmelerini saglamak



Penetrasyon Testi (Pentest) IITanım

I Yetkili olarakyapanlaraI White hatI Ethical hackerI Penetration tester

I Yetkisiz olanlaraI Black hatsI CrackersI Malicious attackers

Benzerlik/FarkI Ethical hacker, malicious attacker ’ların kullandıgı aynı aktiviteleri ve

benzer aracları kullanmaktadır.I White hat, black hat farkı: Yetki. Herhangi bir test/saldırı yapılmadan

once onay alınması.



Penetrasyon Testi (Pentest) IIITanım

Saldırganların Sınıflandırılması

BlackHat

Kotu niyetli veyayıkıcı faaliyetlerebasvuran ve aynızamanda crackerolarak da bilinenkisiler.

WhiteHat

Bilgisayar korsanlıgıbecerilerini savunmaamaclı kullanankisiler, guvenlikanalistleri olarak dabilinirler.

GrayHat

Hem saldırı hemsavunma tarafındayer alan kisiler.

Script Kiddies

Gercek korsanlartarafından gelistirilenkomut dosyalarını,aracları ve yazılımı,beceri sahibiolmayan kisiler

Cyber Terrorists

Bilgisayar sistemlerinesaldırmakicin dini veyasiyasi inanclarla motiveedilmis genis beceriduzeyine sahip kisiler

Devlet Destekli Hackerlar

Hukumetler tarafından cokgizli bilgilere nufuz etmek vediger hukumetlerin bilgisistemlerine zarar vermekamacıyla istihdam edilenkisiler.

Hacktivist

Ozellikle web siteleriniengelleyen veya devre dısıbırakaran, korsanlıkla siyasigundemi tesvik eden kisiler.



SANS - Ethical Hacking Tanımı

Ethical HackingI Hacking (traditional): Teknolojiyi, yapmak icin tasarlanmamıs bir sey

yapmak icin manipule etmek.I Hacking (sinister): Bilgisayarlara ve ag sistemlerine izinsiz girme.I Hacker ın onunde ethical kelimesinin eklenmesi, kotu cagrısımı

gecersiz kılmaktadır.I Ethical Hacking: Hedef sahibinin izniyle guvenlik kusurlarını bulmak ve

hedefin guvenligini arttırmak icin bilgisayar saldırı tekniklerini kullanmak.I Wikipedia’ya gore, White Hat Hacker sıklıkla etik hack ile esanlamlı

olarak kullanılmaktadır.



Standartlar

I NDA (Non Disclosure Agreement)

I Gizlilik sozlesmesi : Kurulushassas bilgilerinin korunması

I PCI DSS (Payment Card Industry- Data Security Standart)

I

https://www.pcisecuritystandards.org/documents/Penetration Testing Guidance March 2015.pdf

I PTES (Penetration TestingExecution Standard)I http://www.pentest-standard.org/

I NIST SP800-115I Technical Guide to Information Security Testing and Assesment

I FedRAMP (Federal Risk and Authorization Management Program)I FedRAMP Penetration Test Guidance 1.0.1

I OSSTMM v3I OWASP (Open Web Application Security Project) Testing Guide



Zafiyet Taraması (Vulnerability Assesment) ve Sızma Testi

I Zafiyet Taraması : Guvenlik acıklıklarının belirlenmesi. Zafiyetlerinbelirlenmesi, sayısallastırılma, onceliklendirme.I Ortaya cıkan sonuclar sadece uyarı: Ornek: https kullanılması gereken bir

yerde http kullanılması zafiyet taramasında bulgudur. Fakat sistemde birgereklilik olabilir.

I Adımlar:I Sistem yer alan varlıkları ve kaynakları tanımla.I Kaynaklara onemlerine gore sayısal deger ata.I Her bir kaynak icin guvenlik zafiyetlerini ve potansiyel tehditleri belirle.I En degerli kaynaklar icin en onemli zafiyetleri kaldır.

I Sızma Testi :I Sızma gerceklestirilip, istismar (exploitation) yapılır.I Kavram ispatı (Proof of concept PoC) gerceklestirilir.



Sızma Testi Yaklasımları

I Black-Box: Test edilen sistem ve ag altyapısıhakkında herhangi bir bilgi olmaksızındısarıdan yapılan guvenlik degerlendirmesive test islemidir.I Avantajı: Gercek saldırgan metodlarını

kullanarak sonuca ulasılır.I Dezavantajı: Zaman ve test maliyeti

I Gray-Box: Ag icersisinde yer alan kisilerinerisimlerinin artırılması testidir. Amac,calısanların veya yuklenicilerin yetkilerinierisim yetkilerini artırabildiginin test edilmesi.

I White-Box: Sistem yoneticisinin sahipoldugu bilgilere sahip olarak yapılan guvenlikdegerlendirmesi ve testi.I Avantajı: On bilgi toplama asamasını gecip

direk saldırı asamasına gecilir. Maliyet vezaman olarak dusuk.



Saldırı Turleri

I Birinci yaklasımI Aktif saldırı (Active attacks): Sistem veya ag uzerinde degisiklik yapmak

icin yapılan saldırılar. CIA (Confidentiality, Integrity, Availability) saldırıları.I Pasif saldırı (Passive attacks): Gizlilik ihlalleri. Hassas verinin ifsa olması.

I Ikinci yaklasımI Ic saldırılar (Inside attacks): Organizasyonun guvenlik semsiyesinin icinde

yer alan kullanıcılar (calısanlar)I Dıs saldırılar (Outside attacks): Internet veya uzaktan erisim gibi kurum

dısı saldırılar.



Icindekiler











PenTest Planlaması

AsamalarI AmacI KapsamI GereksinimlerI Sınırlamalar



Pen Test Tipleri

Sızma Testleri

Cok sayıda etik hack ve sızma testi vardır:I Ag hizmetleri testi: En yaygın test turu.

I ag uzerinde hedef sistemler bulmayıI altta yatan isletim sistemlerinde ve mevcut ag hizmetlerinde acıklıkları

aramayıI bunları uzaktan kullanmalarını icerir.I hedefin kendi tesislerinden yerel olarak baslatılır.

I Istemci tarafı testi: tarayıcılar, medya oynatıcılar, belge duzenlemeprogramları vb. gibi istemci tarafı yazılımlarda guvenlik acıklarını bulmakve bunlardan yararlanmak.

I Web uygulama testi: hedef ortamda bulunan web tabanlıuygulamalardaki guvenlik acıkları.

I Sosyal muhendislik testi:I Telefon/e-posta aracılıgıyla parola elde etmekI Bir linke tıklamasını saglamak

I Kablosuz guvenlik testi: yetkisiz kablosuz erisim noktaları veyaguvenlik zayıflıkları olan yetkili kablosuz erisim noktalarının arastırılması



Amac

I Hedef Belirleme :I Kurulusta yer alan butun paydaslar

hedeflerin belirlenmesinde yeralmalıdır.

I Veri kumelerinin kritiklik seviyesininbelirlenmesi

I Korunması en onemli kaynaklaraodaklanılmasının saglanması

I Uyum Gereksinimleri(ComplianceRequirements)



Kapsam

I Etki AlanıI SunucularI VeritabanıI Uygulamalar

I SosyalMuhendislik

I DDoSI Fiziksel

Guvenlik



Gereksinimler

I Gerekli AraclarI Linux tabanlı bilgisayarI nmapI theharvester

I Yedekleme Yapılması GerekenlerI Acil Onlem Planı



Sınırlamalar

I KapsamI ZamanI Erisim (veritabanı, intranet)I Yontem

I Ornek: Brute force yapılmasın



Icindekiler











Metodoloji I

Sekil: Pentest metodoloji

I Literaturde farklı (3-7) asama mevcut(Reconnaissance, Scanning, GainingAccess, Maintaining Access,Covering Tracks)

I Sıralama onemliI Son asama: ”hiding”, ”removing

evidence”I Ters ucgen: ilk asamanın cıktısı

oldukca genis. Asagıya dogruspesifik hale gelmektedir. Agtaramasından elde edilen sonuclar.

I IP adresi nedir? Hedef isletimsistemi? hangi servisler ve yazılımlar(versiyon bilgileri)?



Altyapı I

Pentest icin altyapı

I Yazılım aracları I Donanım I Ag altyapısı



Altyapı II

Yazılım araclarıI KALI isletim sistemi https://www.kali.org/I Windows isletim sistemi ???I Mac OS X ???I Sanallastırma

I VmwareI VirtualBoxI Parallels

I Diger yazılımlar: nmap, metasploit, hydra, scapyI Free Tools and Exploits

I Exploit-DB: http://www.exploit-db.comI Security Focus BID search: https://www.securityfocus.com/bid/I SEBUG Vulnerability DB: http://sebug.netI Packetstorm Security: http://packetstormsecurity.org


https://www.kali.org/

http://www.exploit-db.com

https://www.securityfocus.com/bid/

http://sebug.net

http://packetstormsecurity.org


Altyapı III

DonanımI Test makineleri: Diger makinelerin guvenligini degerlendirmek icin

pentester tarafından kullanılan sistemler. attack machinesI dedicated to the testing

I Hedef makineler: Guvenlik durumu degerlendirilen sistemler. victimmachines



Altyapı IV

Ag AltyapısıI Test makineleriniz Internet’ten guvenlik

duvarına alınmıssa, saldırılarınızengellenebilir.

I Guvenlik duvarı ag adresi cevirisi (NetworkAddress Translation - NAT), testkullanıcılarının sorun yaratmasına nedenolur;I Paketlerin kaynak IP adresini agdan cıkıs

yolunda degistirirler ve herhangi bir yanıtpaketini orijinal IP adresine geri gonderirler.

I HTTP proxy’leri baen uzerinden gecen webtrafiginin kodlanmasını (encoding) degistirirve bu da ”calibrated exploitation code”bozulmasına neden olabilir.



Faz 1: Kesif (Reconnaissance) I

I En onemli asama. Ne kadar sure harcanırsa ilerleyen asamalar o kadarbasarılı.

I Saldırganlar, atak baslatmadan once hedef hakkında bilgi toplamayacalısırlar.

I Hedef hakkında genis olcekli bilgi sahibi olunması durumunda, saldırıicin giris kolaylıgı olan noktanın bulunması

I Hedef aralıgı: kurulusun musterileri, calısanları, operasyonu, ag vesistemleri



Faz 1: Kesif (Reconnaissance) II

Recon. Turleri

Pasif Recon.I Direk olarak hedefle etkilesim

yoktur. Hedefin yapılan isle ilgilibilgisi, kayıtları yoktur.

I Ornek: haberlerde cıkankayıtların arastırılması

Aktif Recon.I Hedefle ile direk etkilesim.I Ag incelenerek sunucular, IP

adresleri ve servislerin kesfi.I Farkedilme ihtimali yuksek.I Bir cok yazılım aracı, aktif kesif

yaparak bilgi toplamaktadır.



Faz 1: Kesif (Reconnaissance) III

Ornek Araclar

I theharverster 4 : e-mail toplamaI Google Direktifleri (Google-Fu):site:domain term(s) to search,

allintitle:index of, filetype:pdfI httrack 5 : web site kopyalama aracıI FOCA (Fingerprinting Organizations with Collected Archives) 6 :

belgelerin meta verileri ve gizli bilgilerini bulmak icin cogunluklakullanılan bir aractır.



Faz 1: Kesif (Reconnaissance) IV



Faz 1: Kesif (Reconnaissance) V

4https://github.com/laramies/theHarvester5https://www.httrack.com6https://www.elevenpaths.com/labstools/foca/index.html



Faz 2: Tarama

I Pre-Attack : Saldırgan, kesif sırasında toplanan bilgilere dayanarakbelirli bilgiler icin agı tarar.

I Port taraması: port scanners, network mappers, ping tools, vulnerabilityscanners

I Bilgi cıkarımı: saldırı asamasında kullanılmak uzere acık sunucular,portlar, port durumları, OS detayları gibi bilgilerin elde edilmesi.



Faz 3: Erisim Kazanma

I Sistem uzerinde kontrolun elde edilmesi.I Sistem uzerinde yer alan zafiyetin gerceklestirilmesi.I Sızma’nın gerceklestirildigi asamaI Buffer overflow, Denial of Servis (DoS), session hijacking, password

crackingI Isletim sistemi seviyesi, uygulama seviyesi veya ag seviyesinde erisim

kazanılmıstır.



Faz 4: Sistemde Kalıcı Olma

I Tartısılması gereken bir konuI Sistem uzerinde elde edilen sahipligin kalıcı hale gelmesiI Sahip olunan sistem uzerinde yer alan yazılımların indirilmesi, manipule

edilmesi veya konfigurasyonun degistirilmesi



Icindekiler











Pentest Sırasında Kullanılan Araclar

I KesifI NmapI HpingI Scapy

I SnifferI Cain & AbelI TcpdumpI Wireshark

I Zafiyet TaramaI NessusI MetasploitI Immunity Canvas

I Brute ForceI HydraI John the RipperI Cain, Ophrack

I WebI BurpI AcunetixI Net sparker



Kali Linux

Sekil: Kali linux

I Debiantabanlı, sızmatesti icintasarlanmısLinux dagıtımı

I OffensiveSecuritysirketitarafından fon-lanmaktadır.

I nmapI WiresharkI John the

Ripper



Raporlama

I Sızma testlerinin en onemli asaması: RaporlamaI Sızma testi yapılan kurum icin yapılan isin degerlendirmesi: Raporun

kalitesi.I Yonetici ozeti (executive summary), her bir raporda olmalıdır.

I 1-2 sayfalık, basit ifadelerle, bulgularınızın teknik olmayan ifadelerleozetlenmesi

I KapsamI Sızma testinin yapıldıgı IP adresleri

I BulgularI Yetersiz kimlik dogrulama: Sayfa ...’, kullanıcı herhangi bir kullanıcı adı/sifre

login olabilmektedir.I Girdi filtremelemesi yetersiz: Formlarda javascript filtreleme yok

I TavsiyelerI SQL injection saldırılarına karsı stored procedure kullanımı.I VT uzerinde erisim kontroluI Gereksiz IIS modullerinin kapatılması


Documents

Dr. Ferhat Ozgur¨ C¸atak¨ [email protected] · 2020-07-09 · Dr. Ferhat Ozgur¨ C¸atak¨ [email protected] Giris¸ Giris¸ Tehditler ve Saldırı Vektorleri¨