Mr. Robot Hack Uygulaması: Patron Bilgisayarından Şifre Çalmak

Mr. Robot Hack Uygulaması: Patron Bilgisayarından Şifre Çalmak

10201

USA Network kanalının Mr. Robot adlı psikolojik gerilim-dram türü dizisinde ele alınan konular hiç şüphesiz teknoloji ve siber güvenlik meraklılarını ekranlara kilitliyor. Dizinin kahramanı Elliot ve fsociety‘deki ekip arkadaşlarının yaptığı siber saldırılar dünyayı kaosa sürüklese de bunu iyi bir amaç uğruna yaptıklarına dizi fanatiklerini inandırıyor. Siber güvenlik ve hacking konularına ilgi duyanlar ise bir yandan dizideki siber olayların nasıl yapıldığına odaklanıyorlar. Biz de bu yazımızda dizinin 2’nci sezonunun 9’uncu bölümünde Angela’nın şirket yöneticilerinden birinin bilgisayarından nasıl bilgi çaldığını inceleyeceğiz.

İkinci sezonun altıncı bölümünde Elliot’un ekip arkadaşı Mobley, Angela’ya bir “USB Rubber Ducky” vererek, herhangi bir FBI bilgisayarına bu USB’yi takmasını ve 15 saniye beklemesini ardından çıkarmasını söylemişti. Devam ederek, “Mimikatz adlı bir uygulama sayesinde tüm kayıtlı şifrelerini ve alan adı bilgilerini buna kaydeder” demişti.

fsociety üyesi Mobley

Angela USB diski herhangi bir FBI bilgisayarına bağlamak zorunda kalmadı, ama ailesiyle ilgili bir konuyu araştırmak için şirket yöneticilerinden Joseph Green’in bilgisayarına USB’yi takarak bir süre bekledi ve sonra kendi odasındaki bilgisayarına USB’yi takıp bir metin dosyasında yer alan kullanıcı adı ve şifre bilgilerine ulaştı. Metin dosyası Mimikatz adlı program tarafından oluşturulmuştu. Buradaki bilgileri kullanarak yönetici sistemine erişti ve ilgili dosyaları buldu.

Şimdi buradaki siber olaylara ve kullanılan araçlara değinelim.

USB Rubber Ducky nedir? Ne işe yarar?

Tüm platformlarda (Windows, Linux, MacOS, Android…) çalışabilen USB Rubber Ducky programlanabilir bir USB bellek. Amaca göre programlanmış bu USB disk herhangi bir bilgisayara bağlandığında otomatik olarak amacı doğrultusunda çalışabiliyor.

USB Rubber Ducky ve bileşenleri

Otomatik çalışma denince aklınıza autorun.inf dosyası ve sistemlerin bunu engellediği konusu gelebilir. Ama Ducky böyle çalışmaz, antivirüs ya da herhangi bir program bunu zararlı yazılım olarak görüp engellemez. Çünkü kendisini bir USB disk gibi göstermez.

Örneğin, bilgisayarınıza yeni bir klavye ya da fare bağladığınızda size çoğunlukla herhangi bir şey sormadan çalışmaya başlar. Sizin yaptığınız tek şey direkt kullanmaktır.

İşte bunun gibi, Ducky de kendini klavye gibi gösterir ve sisteme direkt entegre olur. Kendi donanım sürücüsünü arka planda yükler ve anında çalışmaya başlar.

USB Rubber Ducky’nin programlanabildiğini söylemiştik. DuckyScript adındaki kendi betik diliyle programlanır ve hiçbir programlama tecrübeniz olmasa bile çabucak bu dili öğrenebilirsiniz. Örneğin;

Buradaki yapılan işlemler 3000 milisaniye beklemek, Windows+R tuşuna basmak (Çalıştır’ı açtı), “notepad” yazmak, enter tuşuna basmak, “Sisteminiz ele geçirilmiştir!..” yazmak ve enter tuşuna basmak. Böylece sistem ekranında notepad uygulaması (not defteri) açılacak ve notepad ekranında “Sisteminiz ele geçirilmiştir!..” yazacak.

Bu basit scriptin komut istemcisini arka planda açarak istediği komutları ve programları çalıştırıp istediği bilgileri bir dosyaya kaydettiğini düşünün…

USB Rubber Ducky’nin internet sitesinde hazır scriptler ve araçlar kullanıcılara sunulmuş. Buradaki hazır kodlar ve araçlar bile bir sisteme istediğinizi yaptırmak ya da sistemden istediğinizi almak için yeterli.

Mimikatz nedir?

Canlı sistemler ya da offline sistemlerden kullanıcı şifrelerini salt metin (clear text) olarak toplayabilen bu araç penetrasyon testi uzmanlarının yanı sıra, son zamanlarda adli bilişim uzmanlarının da dikkatini çekmiştir.

Mimikatz, çalışan bir sistemde yönetici yetkisi ile (administrator) çalıştırılır. Eğer sistem canlı değilse, sistem imajı içerisinde hiberfil.sys dosyası dump formatına dönüştürülerek crash dump içerisinden de ilgili bilgileri alabilir.

mimikatz çalışan bir komut istemci ekranı

Mimikatz kendi dahili komutları üzerinden sistemden bilgi toplar. Örneğin mimikatz Windows komut istemcisi üzerinde çalıştırıldıktan sonra (mimikatz.exe) sırasıyla;

komutları verilerek hata ayıklama modu etkinleştirilir, LSASS.exe içerisine sekurlsa.dll dosyası enjekte edilir ve giriş bilgileri toplanır. LSASS.exe dosyası Windows’un local güvenlik politikaları, erişim yetkileri ve oturum kontrol işlemlerine erişebilir.

privilege::debug hata ayıklama komutundan sonra sekurlsa::logonpasswords komutu verilerek de aynı sonuçlar elde edilebilir.

Elde edilen bilgiler aşağıdaki gibi görünür;

Yukarıda görüldüğü gibi taylan kullanıcısına ait şifre NTLM formatında verildiği gibi clear text halinde de verilmektedir. Sistemde başka kullanıcılar da varsa onlara ait bilgiler de toplanır.

Mimikatz ayrıca Metasploit projesinde de kullanılmaktadır. Metasploit kullanılarak hazırlanacak bir exploit’e payload olarak eklenerek de oldukça güçlü bir silaha dönüştürülebilir.

Angela bu işi nasıl yaptı?

Gerekli araçları tanıdıktan sonra tekrar dizimize dönelim. Şifre ele geçirme işlemi nasıl gerçekleşti?

Angela’nın Mobley’den aldığı USB Rubber Ducky, muhtemelen sisteme takıldıktan sonra mimikatz programını yukarıda örneğini verdiğimiz komutları çalıştıracak şekilde programlandı.

Angela’nın Mobley’den aldığı USB Rubber Ducky

Tahmini olarak kabaca şöyle olabilir (DELAY kısımlarını yazmadan);

Yukarıda yazdığım script tahmini bir script elbette, daha çok bir algoritma gibi düşünebilirsiniz. Bu scriptin içerisine Ducky’nin içinde yer alan bir başka scriptin çalışmasını sağlayacak kodlar eklenmiş olması gerekir (cmd ekranında dosya yolu belirtip bir .exe dosyası çalıştırılabilir).

Aldığı bilgileri passwords.txt adlı dosyaya yazdıran Angela, kendi bilgisayarına Ducky içerisindeki microSD kartı takıp passwords.txt içerisindeki ele geçirilen bilgiler arasından şirket yöneticisine ait bilgileri alıyor.

mimikatz ile oluşturulan oturum bilgilerinin yer aldığı metin dosyası

Kullanıcı adı joseph.green ve şifresi holidayarmadillo olan bilgilerle kendi bilgisayarından giriş yapıyor ve dosyalar arasından istediği dosyaları alıp kaydediyor.

Angela ele geçirdiği bilgilerle oturum açıyor

Oldukça basit ve temiz bir iş. Yoksa değil mi?

Şimdi aklımıza takılan soruları anlatalım.

Aklımıza takılan sorular

1. mimikatz kilitli bir oturumda nasıl bu kadar hızlı bilgi topladı?

Angela USB Ducky’i bilgisayara bağladığında bilgisayar ekranı siyah bir şekilde görünüyordu. E-corp gibi büyük bir şirketin sisteminde bu, bilgisayarın kilit ekranında beklediği anlamına gelir. Boşta beklediği halde kilit ekranına geçmeyen bir sistemleri olması pek muhtemel değil. IT birimleri genelde buna izin vermezler.

Mimikatz’ın 10-15 saniye içerisinde oturum açık bir bilgisayardan (kilit ekranında değil) verileri çekebileceği düşünülür. Eğer hiberfil.sys dosyasının (ki genelde RAM ile aynı boyutta olur, 4GB?  8GB? ya da ötesi?) dump formatına dönüştürülerek mimikatz’ın bilgileri çekmesi söz konusu ise işlemin dakikalarca sürmesi gerekirdi. Kilitli ekran varken mimikatz’ın bu kadar kısa sürede nasıl çalıştırıldığı tartışmaya açık.

Eğer sistemi kilit ekranında değil çalışır halde bırakıp sadece monitör kapatıldıysa ve Ducky bu duruma göre çalıştıysa Angela’nın şansı yaver gitti demektir. Kilitli bilgisayar olsaydı yukarıda izah ettiğimiz süre konusu gündeme gelirdi. Mobley’in işi şansa bıraktığını zannetmiyoruz.

2. Normalde admin yetkisi ile çalışan mimikatz nasıl direkt çalıştı?

Bilgisayarınızda mimikatz kullanırken cmd.exe’yi yönetici olarak çalıştırmalısınız. Aksi takdirde dahili mimikatz komutları sonuç vermez.

Kon-Boot gibi bypass yöntemleri ile şifre girmeden bir sistemin oturumu açılabilir. Ducky’nin içerisinde Kon-Boot benzeri araçla “privilege escalation” (ayrıcalık yükseltme) yöntemi kullanılmış, oturum açılmış ve mimikatz devreye girmiş olabilir diye düşünüyoruz. Ama biz ekranın açıldığını hiç görmedik, monitör tamamen kapatılmış olabilir. Kon-Boot tarzı bir yöntemde sistemin yeniden başlatılması da gerekir. Bu da süre ile ilgili konuyu yeniden gündeme getirir.

Bir makalede (Snagging Creds From Locked Machines) kilitli bir bilgisayardan login bilgilerinin yaklaşık 20 saniye içerisinde nasıl ele geçirileceği anlatılmış. Buradaki sistematik Ducky’den farklı olarak USB’yi bir Ethernet aygıtı gibi göstererek DHCP sunucusu içeren bir konfigürasyon devreye giriyor. Hedef bilgisayar güvenli bulduğu sunucuyla oturum bilgilerini paylaşıyor (Mubix “Rob” Fuller’in yönteminin harika olduğunu belirtmeden geçemeyeceğim).

Ancak mimikatz yöntemi yukarıdaki örnekle kıyaslandığında süre ve admin yetkisi konuları açıklanamıyor.

Elbette Elliot ve arkadaşlarının insan ötesi programlama ve hack becerilerinin olduğunu varsayarak oturum açma süresini ve admin yetkisini aşmayı 15 saniye içerisinde halledebileceklerini kabul edip Mr. Robot dizisinin tadını çıkarıyoruz.

Kısacası her şeyin akla yatkın olduğunu varsayarsak, olaylar zinciri şöyle oluyor: Ducky içerisinde kilit ekranı atlatmaya yarayan bir exploit var, admin yetkisi olacak şekilde bir komut istemcisi açabilen script yardımıyla mimikatz çalıştırılıyor ve mimikatz çıktıları bir dosyaya yazdırılıyor.

Mr. Robot dizisindeki diğer hack olaylarını anlatmaya devam edeceğiz.

BİR CEVAP BIRAK