CyberFlow Logo CyberFlow BLOG
Post Exploitation

Starkiller ile PowerShell Empire C2 Yönetimi: Adım Adım Rehber

✍️ Ahmet BİRKAN 📂 Post Exploitation

Starkiller ile PowerShell Empire'ı etkin bir şekilde yönetmek için izlenmesi gereken adımları keşfedin.

Starkiller ile PowerShell Empire C2 Yönetimi: Adım Adım Rehber

Bu yazıda, Starkiller kullanarak PowerShell Empire'ın C2 yönetimi sürecinde adım adım ilerleyecek ve uygulamanın temel özelliklerini keşfedeceksiniz.

Giriş ve Konumlandırma

Siber güvenlik alanında, saldırganların hedef sistemler üzerinde etkili bir şekilde çalışabilmesi için güçlü Command and Control (C2) yapılarına erişimi gerekir. Bu bağlamda, PowerShell Empire ve Starkiller, infiltrasyon ve post-exploitation aşamalarında önemli araçlar olarak öne çıkmaktadır. Starkiller, PowerShell Empire C2 framework'ü ile entegre çalışarak, kullanıcıların mükemmel bir arayüz üzerinden C2 sunucularını yönetmelerine izin verir. Bu blog yazısında, Starkiller ile PowerShell Empire arasında nasıl etkileşim kuracağınızı, bu araçların nasıl etkin bir şekilde kullanılacağını ve post-exploitation sürecinin pratik yöntemlerini aşamalı olarak ele alacağız.

Neden Önemli?

Siber saldırıların her geçen gün daha karmaşık hale gelmesi, güvenlik uzmanlarını daha yenilikçi ve etkili savunma teknikleri geliştirmeye zorlamaktadır. C2 yapıları, saldırganların hedef sistemlerle etkileşim kurmasına olanak tanıdığı için, bu sistemlerin yönetimi siber güvenlik profesyonelleri için kritik öneme sahiptir. Starkiller’in sağladığı kullanıcı dostu arayüz ve PowerShell Empire’ın sunduğu modüler yapılar, siber güvenlik uzmanlarının post-exploitation süreçlerini daha kolay ve verimli bir şekilde yönetmesine yardımcı olur.

Siber Güvenlik ve Pentest Bağlamı

Pentesting (penetrasyon testi) sürecinin bir parçası olarak, güvenlik uzmanları, bir sistemin güvenlik açıklarını belirlemek ve bunları kötü niyetli bir saldırganın kullanabileceği yolları incelemek amacıyla çalışırlar. Burada Starkiller ve PowerShell Empire kullanımı, saldırganlar tarafından kullanılan yöntemler ile bunlara karşı savunma geliştiren mavi takımlar için öğretici bir deneyim sunmaktadır. Hem ağ güvenliği hem de uygulama güvenliği bağlamında, bu araçlar kullanılarak elde edilen veriler, organizasyonların güvenlik altyapılarını güçlendirmeye yönelik önemli bilgiler sağlar.

Teknik İçeriğe Hazırlık

Bu yazının ilerleyen bölümlerinde, Starkiller arayüzünü nasıl başlatacağınızdan başlayarak, C2 mimarisinin temel bileşenlerini keşfedecek, HTTP dinleyicileri nasıl oluşturulacağını öğrenecek ve Empire API bağlantısını kurmayı inceleyeceksiniz. Ayrıca, sistemde hangi modüllerin ne amaçlarla kullanılabileceği ve C2 trafiğinin nasıl tespit edileceği üzerine örneklerle bilgi vereceğiz.

# Starkiller arayüzünü başlatmak için kullanılan komut
starkiller

PowerShell Empire, modüler yapısı sayesinde birçok farklı post-exploitation senaryosunu destekler. Dolayısıyla, her bir ajan, sistemde bilgi toplamak için çeşitli modüllerle donatılmıştır. Örneğin, bir sistemde ilk yapılacak işlem, kullanıcının kim olduğunu belirlemek için whoami modülünü kullanmaktır. Bu çalışma, siber saldırganların hedef sistemde hangi izinlere sahip olduklarını belirlemelerine olanak tanır.

# Hedef sistem üzerindeki kimlik bilgisini toplamak için kullanılan bir komut örneği
interact AGENT_ID
use_module situational_awareness/host/whoami

Yazımızın ilerleyen bölümlerinde, C2 mimarisinin tasarımı, aktarılan verilerin analizi ve bu süreçlere yönelik savunma mekanizmalarının geliştirilmesine yönelik bilgi sağlayarak, okuyuculara sadece saldırgan perspektifini değil, aynı zamanda savunma perspektifini de sunacağız. Siber güvenlik dinamikleri açısından kritik bir anlayış geliştirmek, işletmelerin güvenliğini artırmak için hayati önem taşımaktadır.

Sonuç olarak, Starkiller ve PowerShell Empire'ı etkin kullanarak, güvenlik uzmanları potansiyel tehditleri daha iyi anlayabilir ve bu tehditlere karşı etkili stratejiler geliştirebilir. Bu süreçlerde gizlilik ve bütünlük sağlamak için en son gelişmeleri takip etmek ve yeni teknikler öğrenmek, siber güvenlik profesyonellerinin önceliği olmalıdır.

Teknik Analiz ve Uygulama

Adım 1: Starkiller Arayüzünü Başlatma

Starkiller, kullanımı kolay bir grafik arayüzü sağlayarak PowerShell Empire C2 yönetimini sadeleştirir. İlk adım, Kali Linux üzerinde Starkiller arayüzünü başlatmaktır. Terminal açarak aşağıdaki komutu kullanabilirsiniz:

starkiller

Bu komut, Starkiller arayüzünü başlatarak, Empire server'ına bağlanma sürecinizi kolaylaştıracaktır.

Adım 2: C2 Mimarisini Tanıma

Starkiller ve Empire, bir C2 (Command and Control) mimarisi ile çalışan bileşenlerdir. Bir C2 framework'ü kullanırken, temel bileşenlerin görevlerini anlamak, operasyonun başarılı bir şekilde gerçekleştirilmesi için kritik öneme sahiptir. Bu bileşenlerden bazıları şunlardır:

  • Listener: Kurban makineden gelecek olan bağlantıları bekleyen dinleme servisidir.
  • Stager: Hedef makinede çalıştırılan ve ilk bağlantıyı başlatan küçük kod parçasıdır (Payload).
  • Agent: Bağlantı kurulduktan sonra hedef sistemde tam kontrol sağlayan aktif oturumdur.

Bu terimlerin anlaşılması, ileride daha etkili bir post-exploitation stratejisi geliştirmenize yardımcı olacaktır.

Adım 3: HTTP Dinleyicisi Oluşturma

Kurban makine ile bağlantı kurabilmenin en yaygın yöntemlerinden biri, HTTP dinleyicisi oluşturmaktır. Bu aşamada, kurban makinenizden gelen trafiği normal HTTP trafiği gibi gösteren bir dinleyici oluşturmalısınız. Bunun için aşağıdaki komutları kullanabilirsiniz:

set Name test_listener
set Host http://10.10.10.5

Bu komutlar, dinleyicinizin adını (Name) ve IP adresini (Host) tanımlamanıza olanak sağlar. Dinleyici oluşturduktan sonra, onu etkinleştirerek kurban makinenizden gelecek bağlantıları almaya başlayabilirsiniz.

Adım 4: Empire API Bağlantısı

Starkiller, arka planda çalışan bir Empire server'ına bağlanarak çalışır. Empire server’ına bağlanmak için, sunucunun IP adresine ve varsayılan API portuna ihtiyaç duyarsınız. Empire'ın varsayılan API port numarası 1337’dir. Aşağıdaki gibi bir bağlantı komutuyla, Starkiller'ı Empire server'ına yönlendirebilirsiniz:

connect http://10.10.10.5:1337

Bu bağlantı ile Starkiller, Empire server'ına bağlanmış olur ve artık kurban makinenizden gelen tüm verileri işleyebilir hale gelir.

Adım 5: Modül Çalıştırma (Post-Exploitation)

Bağlantı sağlandıktan sonra, kurban makineden elde ettiğiniz bilgileri kullanmak için Starkiller içindeki modülleri çalıştırabilirsiniz. Örneğin, kurban makinenin kullanıcı bilgisini öğrenmek için aşağıdaki komutları verebilirsiniz:

interact AGENT_ID
use_module situational_awareness/host/whoami

Bu komutlarla, hedef makinedeki kullanıcı bilgilerini toplayarak, sistem üzerinde daha fazla bilgi sahibi olabilirsiniz. Bu tür bilgi toplama işlemleri, saldırının başarılı olabilmesi için kritik bir aşama teşkil eder.

Adım 6: C2 Trafiğini Tespit Etme ve Savunma

Mavi takım (Blue Team) açısından, C2 trafiğini tespit etme, saldırıların önlenmesi için önemli bir adımdır. C2 trafiğini yakalamak için çeşitli yöntemler kullanılabilir. Beaconing analizi, ajanların belirli aralıklarla C2 sunucusuna attığı 'buradayım' sinyallerinin zamanlamasını incelemeyi içerir.

Ayrıca, AMSI bypass tespiti, Windows ortamında PowerShell betiklerinin güvenlik taramalarını aşma girişimlerini izlemek için kullanılan bir tekniktir. JA3 fingerprinting ise, C2 istemcilerini tanımlayabilmek için SSL/TLS el sıkışma parametrelerini kullanır. Bu yöntemlerin anlaşılması, mavi takımın saldırılara karşı daha etkili savunma stratejileri geliştirmesine yardımcı olur.

Bu aşama, hem savunma hem de saldırı perspektifinden C2 yönetimi ve tespiti konularına derinlik kazandırarak, güvenlik uygulamalarının daha etkili hale getirilmesine katkı sağlar.

Risk, Yorumlama ve Savunma

Siber güvenlikte, risk değerlendirmesi ve yorumlama, potansiyel tehditlerin ve zafiyetlerin anlaşılması için kritik öneme sahiptir. Starkiller ve PowerShell Empire, saldırganların hedef sistemlere sızmasına ve bu sistemlerde veri toplamalarına olanak tanırken, Mavi takım için savunma mekanizmalarının geliştirilmesi gerekliliğini doğurmaktadır.

Elde Edilen Bulguların Güvenlik Anlamı

Starkiller ile PowerShell Empire kullanarak elde edilen bulgular, genellikle birkaç ana başlık altında toplanabilir: kimlik tespiti, sızma bilgilerinin analizi ve sistem etkileşimleri. Örneğin, "whoami" komutu çalıştırarak, bir ajanın hangi kullanıcı kimlik bilgileriyle işlem yaptığını öğrenmek, hedef sistemdeki yetki seviyesini belirlemek açısından önemlidir.

interact AGENT_ID
use_module situational_awareness/host/whoami

Bu tür veriler, belirli bir sistemdeki yetkilendirme sorunlarını tanımlamak için kullanılabilir. Yetersiz kullanıcı yetkilendirmeleri veya yanlış yapılandırmalar varsa, saldırganların daha derinlemesine bir erişime sahip olabileceği anlamına gelir. Ayrıca, sistemin hangi servislere ve veri tabanlarına bağlı olduğunu anlamak, sızmanın kapsamını değerlendirirken kritik bilgiler sunabilir.

Yanlış Yapılandırmalar veya Zafiyetler

Yanlış yapılandırmalar, genellikle güvenlik açıklarının başlıca nedenidir. Örneğin, C2 sunucusunun güvenlik duvarı ayarlarının düzgün yapılandırılmaması ya da önceden tanımlanmış dinleyicilerin kötü amaçlı trafik çekmesine izin vermesi, saldırganların sisteme erişmesini kolaylaştırabilir.

Bu tür durumların etkisi oldukça geniş yelpazeli olabilir. Birçok organizasyon, zafiyetlerini tespit edememekte ve savunma mekanizmalarını yeterince güncelleyememektedir. "Listener" (Dinleyici) adı verilen servisler, hedef makineden gelecek bağlantıları bekler ve kötü amaçlı taleplerin belirlenmesi açısından kritik öneme sahiptir. Güvenlik açıkları, istihbarat toplayarak, veri ihlallerine yol açmakta ve bu durumda organizasyonların itibarı zarar görmektedir.

set Name test_listener
set Host http://10.10.10.5

Sızan Veri ve Topoloji

Sızan verilerin tanımlanması, sistem mimarisinin (topolojisinin) anlaşılması açısından önemlidir. Starkiller aracılığıyla yapılan etkileşimler, belirli bir sistemde hangi verilere erişildiğini ve hangi kritik yapıların hedef alındığını tespit etmemize yardımcı olabilir. Meseleye teknik açıdan baktığımızda, sızmanın boyutunu anlamak için VPN kullanımının durumu, veri akışındaki anomali ve önemli veri tabanlarının erişimloglarının incelenmesi gibi çeşitli yöntemler uygulanabilir.

Profesyonel Önlemler ve Hardening Önerileri

Mavi takım olarak, araştırmalar sonrasında siber güvenlik önlemleri almak kaçınılmazdir. Aşağıdaki maddeler, yapılan tespitlere dayanarak önerilen savunma önlemleridir:

  1. Güvenlik Duvarı ve İzinler: Sunucularınızın güvenlik duvarlarının doğru bir şekilde yapılandırılması ve sadece gerekli portların açılması sağlanmalıdır.

  2. HTTPS Kullanımı: Dinleyicilerde hizip ve dinleme noktalarının HTTPS üzerinden çalıştırılması, şifrelenmiş bağlantılar sayesinde veri güvenliğini artırır.

  3. Ajan İzleme: Ajanların C2 sunucusuna attığı 'beaconing' sinyalleri belirli aralıklarla izlenmelidir. Bu, sistem üzerindeki etkileşimlerin daha iyi analiz edilmesini sağlar.

  4. AMSI Taramalarının İyileştirilmesi: PowerShell betiklerinin güvenlik taramalarını aşma girişimlerini izlemek, saldırganların hedefleri için kullandığı yöntemleri sınırlayabilir.

  5. Eğitim ve Bilinçlendirme: Kullanıcılara yönelik sürekli güvenlik eğitimleri, olası insan hatalarını en aza indirmek için kritik önem taşır.

Sonuç Özeti

Siber güvenlikte risk değerlendirmesi, zafiyetleri ve potansiyel saldırı vektörlerini anlamak için elzemdir. Starkiller ve PowerShell Empire gibi araçların kullanımı, tehdit aktörlerinin sızma girişimlerini daha iyi analiz etmemizi sağlarken, alınacak önlemlerin de önemini artırmaktadır. Doğru yapılandırmalar ve sürekli izleme ile birlikte, organizasyonlar bu tür saldırılara karşı daha dayanıklı hale gelebilir.