İÇİNDEKİLER

Windows Sistemlere Yönelik Saldırıların Wazuh Kullanılarak Tespiti -2

1. Mshta.exe'nin Zararlı Komut Yürütmek için VBScript Yürütmesi (Mshta executes VBScript to execute malicious command)

1.1 Mshta neden kullanılır?

1.2 “Mshta executes VBScript to execute malicious command” Saldırısının Gerçekleştirilmesi

1.3 “Mshta executes VBScript to execute malicious command” Saldırısının Tespiti

1.4 “Mshta executes VBScript to execute malicious command” Saldırısına Alınabilecek Önlemler

2. Rubeus AS-REP Roasting

2.1 Rubeus AS-REP Roasting Saldırısının Gerçekleştirilmesi

2.2 Rubeus AS-REP Roasting Saldırısının Tespiti

2.3 Rubeus AS-REP Roasting Saldırısına Alınabilecek Önlemler

3. DCSync

3.1 DCSync Saldırısının Gerçekleştirilmesi

3.2 DCSync Saldırısının Tespiti

3.3 DCSync Saldırısına Yönelik Alınabilecek Önlemler

4. Qakbot Recon

4.1 Qakbot Recon'un Gerçekleştirilmesi

4.2 Qakbot Recon'un Tespiti

Windows Sistemlere Yönelik Saldırıların Wazuh Kullanılarak Tespiti -2

Bu yazımızda Windows sistemlere yönelik Mshta’nın zararlı komut yürütmek için VBScript yürütmesi saldırısının, Qakbot zararlı yazılımının keşif faaliyetlerinde kullandığı komutların, Rubeus Asreproast ve DCSync saldırılarının ne olduğunu, nasıl yapıldığını, Atomic Red Team ile nasıl otomatize olarak başlatıldığını, host tabanlı saldırı tespit sistemi olan Wazuh kullanılarak bu saldırıların nasıl tespit edileceğinden ve bu saldırılara dair hangi önlemlerin alınması gerektiğinden bahsedeceğiz.

Wazuh: Tehdit algılama, bütünlük izleme, olay müdahale ve uyumluluk için ücretsiz, açık kaynaklı bir host tabanlı saldırı tespit sistemidir. Wazuh agent’ları ağdaki endpointlere kurulduğunda bu endpointlerde (host) neler olup bittiğine dair görünürlük elde edilmektedir. Linux, Windows ve MacOS işletim sistemlerinde çalışabilmektedir.

NOT: Sysmon’un nasıl konfigüre edilmesi gerektiğine, Wazuh Manager’a ilgili kural veya kuralların eklenmesine, Wazuh ajan konfigürasyon dosyasında nasıl bir konfigürasyon yapılması gerektiğine dair detaylar için bu serinin ilk yazısı olan “Windows Sistemlere Yönelik Saldırıların Wazuh Kullanılarak Tespiti -1” yazısındaki ilgili bölümlerdeki adımlar uygulanmalıdır.

Mshta.exe'nin Zararlı Komut Yürütmek için VBScript Yürütmesi (Mshta executes VBScript to execute malicious command)

Mshta.exe, Microsoft HTML Uygulaması (HTA) dosyalarını yürütmek için tasarlanmış Windows'a özgü bir binary’dir. Tam adından da anlaşılacağı gibi, Mshta, HTML içinde gömülü olan Windows SScript Host kodunu (VBScript ve JScript) ağ proxy'sini tanıyan bir tarzda yürütebilir. Bu yetenekler, Mshta'yı, güvenilir, imzalı bir yardımcı program aracılığıyla rastgele komut dosyası kodunun proxy yürütülmesini rakipler için çekici bir araç haline getirerek, onu bir enfeksiyonun hem ilk hem de sonraki aşamalarında güvenilir bir teknik haline getirir.

Mshta neden kullanılır?

Saldırganların VBScript ve JScript yürütmek için Mshta'dan yararlandığı dört ana yöntem vardır:

   - Komut satırında Mshta'ya iletilen bir argüman aracılığıyla inline olarak

   - HTML Uygulaması (HTA) dosyası aracılığıyla dosya tabanlı yürütme

   - Yanal hareket için COM tabanlı yürütme

   - mshtml.dll dosyasının RunHTMLapplication dışa aktarma işlevini mshta.exe'ye alternatif olarak rundll32.exe ile çağırarak

Saldırganlar, güvenilir bir Windows yardımcı programı aracılığıyla kötü amaçlı .hta dosyalarının ve Javascript veya VBScript'in proxy yürütülmesi için mshta.exe'yi kötüye kullanabilir. İlk güvenlik açığı sırasında ve kodun yürütülmesi sırasında mshta.exe'den yararlanan farklı türde tehditlere ilişkin birkaç örnek vardır.

Mshta.exe, Internet Explorer'ın güvenlik bağlamı dışında yürütüldüğünden, tarayıcı güvenlik ayarını da atlar.

“Mshta executes VBScript to execute malicious command” Saldırısının Gerçekleştirilmesi

Saldırının yapılması noktasında ise bize Atomic Red Team büyük kolaylık sağlamaktadır. Atomic Red Team, Mitre ATT&CK Framework’e uygun olarak geliştirilmiş saldırı testleri yapmanıza olanak sağlayan, açık kaynak geliştirilen bir yazılımdır. Her bir test, belirli bir taktiği uygulamak için tasarlanmıştır. Atomic Red Team bu sayede mavi takım üyelerinin savunmalarını, geniş bir yelpazeye yayılan saldırılara karşı test etmeye başlaması için oldukça uygun bir ortam sağlamaktadır.

(Atomic Red Team Nasıl Kullanılır? https://www.youtube.com/watch?v=iNl_rltYmoo )

İlgili tekniği ve Atomic Red Team’in sayfasında belirtilen saldırı test numarasını belirttikten sonra (invoke-atomictest T1218.005 -TestNumbers 2) ilgili saldırı aşağıdaki şekildeki gibi yürütülmektedir. Ve bu saldırı örneğinde, saldırının başarıyla sonuçlanmasının ardından kullanıcı bilgileri Powershell ekranından görülmektedir.

Ayrıca, Atomic Red Team’in Github sayfasında ilgili saldırının manuel yolla, hangi araçla, hangi komut/komutlarla yapılacağı da belirtilmektedir. Bu ise SOC/MDR ekiplerine, gelen alarmlarda hangi komutları, processleri araması gerektiğine, hangi alarmın false positive, hangi alarmın gerçek bir saldırı alarmı olduğuna karar verme noktasında destek vermektedir.

“Mshta executes VBScript to execute malicious command” Saldırısının Tespiti

Bu yazıdaki amacımız, Wazuh’un izleme yetenekleriyle birlikte Sysmon'un nasıl kullanılacağını gösteren bir örnek göstermektir.

System Monitor (Sysmon), aktif olarak kullanılan bir sistemde oluşan hareketleri ve olayları kayıt altına alabilen araçtır. Sysmon, bu kayıtları Windows işletim sistemleri için Olay Görüntüleyicisi (Event Viewer) aracılığıyla yapan sistem servisi ve aygıt sürücüsüdür. İşlemler, ağ bağlantıları ve bir dosyanın oluşturulma detayıyla ilgili bilgileri sunar.

Saldırıya dair Sysmon’dan görülebilecek detaylar ise şu şekildedir:

Wazuh tarafında ilgili saldırıya dair detaylar ise aşağıdaki gibi görülmektedir. Çalıştırılan komutu, komutun hangi uç noktada çalıştırıldığı başta olmak üzere birçok detay görülebilmektedir.

“Mshta executes VBScript to execute malicious command” Saldırısına Alınabilecek Önlemler

- Saldırganlar tarafından olası kötüye kullanımını önlemek için belirli bir system veya ağ için gerekli değilse, mshta.exe’nin yürütülmesini engellemek üzere yapılandırılmış uygulama kontrolü kullanılabilir.

- Ortamınızda mshta.exe gibi kötüye kullanılabilir binarylerin nerede kullanıldığını keşfetmek için zaman harcanmalıdır.

Rubeus AS-REP Roasting

Saldırganlar, Kerberos mesajlarıyla Kerberos ön kimlik doğrulamasını (Kerberos Pre-authentication) devre dışı bırakan hesapların kimlik bilgilerini ifşa edebilir. Ön kimlik doğrulama, çevrimdışı parola kırmaya karşı koruma sağlar. Etkinleştirildiğinde, bir kaynağa erişim talep eden bir kullanıcı, parolalarının hash'iyle şifrelenmiş bir zaman damgasına sahip bir Kimlik Doğrulama Sunucusu İsteği (AS-REQ) mesajı göndererek Etki Alanı Denetleyicisi (DC) ile iletişimi başlatır. Yalnızca DC, kullanıcının parolasının hash değeriyle zaman damgasının şifresini başarıyla çözebilirse, kullanıcıya Bilet sağlayan bileti (TGT) içeren bir Kimlik Doğrulama Sunucusu Yanıtı (AS-REP) mesajı gönderir. AS-REP mesajının bir kısmı kullanıcının şifresiyle imzalanır.

Ön kimlik doğrulaması olmadan bulunan her hesap için, bir saldırgan, şifrelenmiş zaman damgası olmadan bir AS-REQ mesajı gönderebilir ve RC4 gibi güvenli olmayan bir algoritma ile şifrelenmiş olabilecek TGT verileriyle bir AS-REP mesajı alabilir. Kurtarılan şifrelenmiş veriler, Kerberoasting'e benzer şekilde çevrimdışı parola kırma saldırılarına karşı savunmasız olabilir ve düz metin kimlik bilgilerini açığa çıkarabilir.

Rubeus AS-REP Roasting Saldırısının Gerçekleştirilmesi

İlgili tekniği ve Atomic Red Team’in sayfasında belirtilen saldırı test numarasını belirttikten sonra ilgili saldırı aşağıdaki şekildeki gibi yürütülmektedir. (invoke-atomictest T1558.004 -TestNumbers 1)

Ayrıca, Atomic Red Team’in Github sayfasında ilgili saldırının manuel yolla, hangi araçla, hangi komut/komutlarla yapılacağı da belirtilmektedir. İlgili saldırıda hangi komutu aramamız gerektiği hakkında fikir vermektedir.

Rubeus AS-REP Roasting Saldırısının Tespiti

Saldırıya dair Sysmon’dan görülebilecek detaylar ise şu şekildedir:

Rubeus AS-REP Roasting Saldırısına Alınabilecek Önlemler

- Bu tür bir saldırıyı önlemek için Active Directory ortamını denetlemek önemli bir adımdır. Kerberos ön kimlik doğrulaması (Kerberos pre-authentication) doğrulaması kapalı olan hiçbir hesap olmamalıdır.

- Active Directory ayarlarının doğru yapılandırıldığından emin olmanın yanı sıra, tüm kullanıcıların güçlü, karmaşık parolalara sahip olduğundan emin olunmalıdır.

- Ayrıca, ihlal edilmiş bir veritabanında parolaların bulunmasını önlemek önemlidir. Bunun nedeni, güvenliği ihlal edilmiş parola hashlerinin AS-REP Roasting saldırısı kullanılarak çıkarılan parolaları kırmak için kullanılmasıdır.

DCSync

Saldırganlar, DCSync adlı bir teknik kullanarak bir uzak etki alanı denetleyicisinden çoğaltma işlemini simüle etmek için bir Windows Etki Alanı Denetleyicisinin uygulama programlama arabirimini (API) kötüye kullanarak kimlik bilgilerine ve diğer hassas bilgilere erişmeye çalışabilir. Etki alanı denetleyicisindeki yöneticiler, Etki Alanı Yöneticileri ve Kurumsal Yönetici gruplarının veya bilgisayar hesaplarının üyeleri, Active Directory'den parola verilerini çekmek için DCSync'i çalıştırabilir; bu, potansiyel olarak yararlı hesapların mevcut ve geçmiş hashlerini içerebilir. Hashler daha sonra Pass the Ticket saldırısında kullanılmak üzere bir Golden Ticket oluşturmak için kullanılabilir.

DCSync işlevi, Mimikatz'daki "lsadump" modülüne dahil edilmiştir.

DCSync Saldırısının Gerçekleştirilmesi

İlgili tekniği Atomic Red Team’de belirttikten sonra ilgili saldırı aşağıdaki şekildeki gibi yürütülmektedir. (invoke-atomictest T1003.006)

DCSync Saldırısının Tespiti

Saldırıya dair Sysmon’dan görülebilecek detaylar ise şu şekildedir:

DCSync Saldırısına Yönelik Alınabilecek Önlemler

   - DCSync saldırılarını daha zor hale getirmek için AD’de aşağıdaki ayrıcalıkların dikkatlice kontrol edilmesi gerekir:

       o Replicating Directory Changes

       o Replicating Directory Changes All

       o Replicating Directory Changes In Filtered Set

Qakbot Recon

Qbot veya Qakbot, yıllardır görülen bir bankacılık truva atıdır. Son kampanyaları, genellikle istismar kitleri ve içeriğe duyarlı kimlik avı kampanyaları aracılığıyla sağlanan belgelerle gerçekleştirilmiştir. Qbot'un ayrıca MegaCortex fidye yazılımı ilettiğinden şüphelenilmektedir. Birçok yeni örneğin, ağ paylaşımları arasında veya SMB aracılığıyla yayılmak için solucan benzeri davranışlar sergilediği ve VM farkındalığı ve uzun yürütme gecikmeleri gibi birden çok düzeyde anti-analiz denetimi içerdiği gözlemlenmiştir.

İlgili saldırıda, Qakbot tarafından keşif amacıyla gerçekleştirildiği bilinen komutların listesi bulunmaktadır. İlgili komutlara dair detaylar ise şu şekildedir:

whoami /all: Geçerli kullanıcı adını, ait olduğu grupları ve geçerli kullanıcı erişim token’ının güvenlik tanımlayıcılarını (SID), taleplerini ve yetkilerini görüntüler.

ipconfig /all: Tüm bağdaştırıcılar için tam TCP/IP yapılandırmasını görüntüler. Bu parametre kullanılmadığında, ipconfig her bağdaştırıcı için yalnızca IPv6 adreslerini veya IPv4 adresini, alt ağ maskesini ve varsayılan ağ geçidi değerlerini görüntüler. Bağdaştırıcılar, kurulu ağ bağdaştırıcıları gibi fiziksel arabirimleri veya çevirmeli bağlantılar gibi mantıksal birimleri gösterebilir.

net view /all: $ paylaşımları dahil tüm paylaşımları görüntüler.

net share: Yerel bilgisayarda paylaşılan tüm kaynaklar hakkındaki bilgileri görüntüler.

route print: Yönlendirme tablosunu görmek için kullanılır.

netstat -nao: Tüm TCP ve UDP bağlantılarını, ekrana basar. Tüm bağlantıları rakamsal olarak görüntüler. Tüm bağlantıları PID numarası ve uygulama adına göre listeler.

net localgroup: Bu komut, bir bilgisayarda yerel kullanıcı gruplarını yönetmek için kullanılır.

Qakbot Recon’un Gerçekleştirilmesi

İlgili tekniği Atomic Red Team’de belirttikten sonra ilgili saldırı aşağıdaki şekildeki gibi yürütülmektedir. (invoke-atomictest T1016 -TestNumbers 7)

Qakbot Recon’un Tespiti

Qakbot zararlı yazılımının keşif faaliyetlerine dair Sysmon’dan görülebilecek detaylar ise şu şekildedir:

Wazuh tarafında keşif faaliyetlerine dair detaylar ise aşağıdaki gibi görülmektedir. Çalıştırılan komutu, komutun hangi uç noktada çalıştırıldığı başta olmak üzere birçok detay görülebilmektedir.