$type=blogging$count=16$readmore=no$labels=no$snippet=no$meta=no

$type=one$count=10 $type=blogging$count=16$readmore=no$labels=no$snippet=no$meta=no Yazılarımız DMCA lisansı ile korunmaktadır.Kaynak gösterilmeden alıntı yapılamaz.!

Takdir Ediliyorsan Değil Taklit Ediliyorsan Başarmışsındır.
Bumerang - Yazarkafe

DMCA.com Protection Status

Cobalt Strike Saldırısı, Tespiti ve Analizi





Selamlar, bugünkü blog yazımda sizler için  biraz daha "Purple Team" kıvamında bir çalışma gerçekleştirmiş oldum. 

Gerçekleştirmiş olduğum çalışma kapsamında;
  • İlk olarak, Windows işletim sistemine sahip bir bilgisayarı Cobalt Strike yazılımını kullanarak ele geçirecek ve sistem içerinde zararlı aktiviteler gerçekleştireceğim.

  • Tüm bu zararlı aktiviteler sonrasında da ele geçirilmiş bir sistem üzerinde DFIR (Digital Forensics Incident Response) tekniklerini uygulayarak saldırının kalıntılarını tespit ediyor olacağız.

Çalışma kapsamımız anlaşıldığına göre çalışmaya koyulabiliriz :) 

Not: Ekran görüntülerini, üzerlerine tıklayarak daha net ve büyük şekilde görebilirsiniz.

Saldırı Aşaması

Cobalt Strike yazılımını çalıştıralım ve hedef sistem ile bizim aramızda irtibatı sağlayacak exe uzantılı bir zararlı oluşturalım. Cobalt Strike kullanarak farklı türlerde (Emetot, Windows Çalıştırılabilir Dosyası, Web Sayfası Klonu, Payloadlar vb.) zararlılar oluşturabilmekteyiz. Bu çalışma kapsamında Windows çalıştırılabilir dosyası oluşturarak hedef sistem üzerinde çalıştırıyor olacağız. 

Çalışma kapsamının amacı zararlıyı bulaştırmak ve tespit etmek olduğundan, zararlıyı hedef sistem üzerindeki herhangi bir açıklıktan yararlanmadan direkt olarak çalıştıracağım. Bu kısımındaki senaryolar saldırganın isteğine kalmış bir durumdur. Örneğin; Bir word dokümanı içerisine zararlı macro kodlarının eklenerek mail atılması ve kurbanın dokümanı açarak zararlıyı aktifleştirmesi vb. şekilde örnekler arttırılabilir.

  • scvhost.exe isimli bir zararlı oluşturalım.

  • Oluşturmuş olduğumuz scvhost.exe zararlısını hedef sistem içerisinde çalıştıralım.
  • Zararlımızı çalıştırdıktan sonra hedef sistemle aramızda bir aktif bağlantı oluştu.


  • Çalıştırma işlemini yönetici olarak çalıştır demeden direkt olarak çalıştırdığımız için hedef sistem ile aramızda sağlanan bağlantının yetki seviyesi oldukça düşük. Ancak hedef sistemde basit komutlar çalıştırabiliyor ve hedef sisteme dosya upload edip çekme işlemlerini gerçekleştirebiliyoruz.
  • Hedef sistemde parola bilgilerini elde etmek, zararlı aktivitelerin etkisini arttırmak ve yanal hareketeler gerçekleştirebilmek için elde etmiş olduğumuz Shell'in yetki seviyesini arttırmamız gerekiyor. Şuanki ilk amacımız sistemde SYSTEM yetkisinde bir shell elde edebilmek, bunun içinde psexec aracından yararlanıyor olacağız. Ancak hatırlayacağınız üzere zararlımızı yönetici modunda değilde direkt normal modda çalıştırmıştık bu yüzden psexec aracını da kullanabilmek için öncelikle UAC (User Account Control) yapısını atlatmamız gerekecek.  Hemen yapalım...
  • Mevcut yetki seviyemizle hedef sisteme dosya yükleyebildiğimizden UAC'ı atlatmak için gerekli aracımı hedef makinenin "C:\users\public\music" dizinine upload ediyorum ve çalıştırıyorum.
  • UAC yapısını atlattık ve artık yönetici modunda istediğimiz bir aracı çalıştırabileceğimiz yeni bir shell elde ettik. Şimdiki amacımız elde etmiş olduğumuz bu shell'i kullanarak, psexec aracını çalıştırmak ve SYSTEM yetkisinde sahip yeni shell elde etmek. Hemen yapalım...





  • Artık sistem yetkisinde bir shell elde ettiğimize göre içeride istediğimiz şekilde yanal hareketler gerçekleştirebiliriz. Sistem içerisindeki kullanıcıların NTLM Hash bilgilerini görüntüleyelim ve mimikatz çalıştırmayı deneyelim :)


  • Görüldüğü üzere artık amaçlarım doğrultusunda hareketler gerçekleştirebiliyor ve hedef sistemde yanal hareketlerimi gerçekleştirebileceğim verileri elde edebiliyorum. Bu aşamadan sonraki hareketler saldırganın keyfine kalmış bir durumdur. İster ağ içerisindeki Domain Controller'ı ele geçirmeye çalışır, ister sistemlere fidye yazılımı bulaştırır, örnekler bu şekilde çoğaltılabilir. 
  • Kalıcılık sağlamak amacıyla son olarak hedef sistem içerisinde Autorun (bilgisayar açıldığında otomatik olarak çalışan uygulamalar) kaydı oluşturalım ve artık bu aşamayı sonlandıralım :)


Buraya kadar saldırı yaparak hedef sistemi ele geçirmiş olduk. Şuanda bu yazıyı okuyanlar arasına kimini sadece bu aşama heyecanlandırmış olabilir, ama benim daha keyif aldığım kısım tüm bunları hedef sistemde tespit etme aşaması :) Hadi oraya geçelim...

Tespit ve Analiz Aşaması

Bu aşamayı gerçekleştirirken planlı ve düzenli ilerlemek gözden kaçıracağınız noktaları en aza indirgeyecektir o yüzden olabildiğince planlı ve düzenli çalışmaya özen göstermenizi tavsiye ediyorum.  Analiz kapsamında elde edeceğimiz verileri manuel olarak tek tek toplayabileceğimiz gibi otomatik açık kaynak araçlar kullanarak da veri elde etme aşamasını hızlandırabiliriz. Başlayalım...
  • İlk aşamada, sistem içerisindeki uçucu birkaç bilgiyi hızlıca elde edelim. 
  • Kalıcılık mekanizmalarının kontrolü için WMI, Autorun ve Schtasks (Zamanlanmış Görevlerin) listesini de hızlıca elde edelim.

  • Çalıştırılabilir uygulamalar kullanılarak ele geçirilmiş sistemlerde program çalışma geçmişlerinin elde edilebilmesi amacıyla ilk incelenmesi gereken dosyaların başında Amcache, Shimcache ve Security loglarındaki 4688 Event ID değerine sahip kayıtlar gelmektedir. Bu verileride elde edelim.

  • Şimdi veri elde etme kapsamımızı biraz daha genişleterek $MFT, $UsnJrnl$LogFile ve diğer Event log dosyalarını da toplayalım.

  • Ağ trafiğinin belli bir süre kopyasını alalım.

  • Temel seviyede elde etmemiz gereken önemli birçok dosyayı elde etmiş olduk. Toplanacak veriler arttırabilir. Şuan için toplamış olduğumuz veriler bizim için yeterli. 

Topladığımız verileri analiz etmeye başlayalım artık.

  • Sistem içerisinde çalışan programların kayıtları için Amcache dosyamızı ayrıştırarak içerisindeki program çalışma kalıntılarını ve hash değerlerini elde edelim.

  • Ayrıştırma sonrası toplam 181 adet kayıt olduğunu tespit ettik. (Bu sayı oldukça iyi bir oran, bunun binlerce satır olduğunu düşünün:/) Eeee peki biz bunlardan hangisini zararlı hangisi legal nasıl tespit edeceğiz? Bu kayıtlar içerisindeki yer alan SHA1 hash değerleri işimizi bu noktada kolaylaştırmakta. Çünkü bir programın ismine bakarak onun zararlı olup olmadığını kesin olarak söyleyemezsiniz. Program isimleri legal windows processleri ile değiştirilebilir ama Hash değerleri yalan söylemezler, bizler için dosyanın orjinali hakkında bilgi edinmemizi sağlamaktadırlar. 
  • Peki bu tüm bu Hash değerlerini tek tek mi kontrol edeceğiz? Hayır tabiki de! Bu işlemleri yaparak vakit kaybetmemek için açık kaynak olarak yazmış olduğum MalwareChecker aracım bu işlemleri otomatik olarak yapıp bana rapor çıktısı üretecek bende oradaki çıktılara bakarak hangisi zararlı hangisi legal ayırt etmiş olacağım. Haydi yapalım...

  • Sysinternal aracı ile elde etmiş olduğumuz çıktılara bir göz atalım, içerisinde dikkatimizi çeken bir şeyler çıkabilir. Dllist ile elde etmiş olduğumuz kayıtlara baktığımızda powershell.exe nin çalıştırmış olduğu ve kod karmaşıklığı uygulanmış komut dikkatimizi çekiyor. 

  • Bu durumu teğit etmek ve ne zaman gerçekleştirildiğini tespit etmek amacıyla toplamış olduğumuz Event loglarımızın içerisinde yer alan Windows Powershell.evtx ve System.evtx dosyalarını inceleyelim. Log dosyalarını incelediğimizde her iki log dosyasında da aynı kaydın yer aldığını ve bu işlemin ne zaman gerçekleştirildiğini tespit etmiş olduk.


  • Şimdiki amacımız bu kod karmaşıklığına son vermek ve okunabilir hale dönüştürmek. Haydi yapalım...

  • Yukarıda birde fazla aşama sonunda elde ettiğimiz kod karmaşıklığının buraya kadarki bölümünü aslında Microsoft-Windows-PowerShell%4Operational event logu içerisinden de elde edebiliyoruz :)

  • Kod karmaşıklığını birçok farklı aşamadan geçirerek ipucu elde edebileceğimiz noktayı yakalamış olduk, yukarıdaki ekran görüntüsündeki çıktı formatı Cobalt Strike ve Meterpreter tarafından kullanılan bir format olduğundan bu bilgisayarda bu ikisinden biri çalıştırılmış diyebiliyorum. Bu işlemleri yaparken de MalwareChecker aracımda arka planda zararlı hash tespitlerini gerçekleştiriyor, onun çıktısındaki verilerde bu durumun netleşmesinde bize fayda sağlıyor olacak. Yukarıdaki resimde yer alan kodumuz hala net değil ve kod karmaşıklığını gidermeye devam edelim.

  • Kod karmaşıklığını biraz daha giderdikten sonra "\\.\pipe\status_10" değerini elde etmiş olduk. "\\pipe\pipe" ile başlayan bir değer elde ettiğim için komuta kontrol merkezinin SMB üzerinden  gerçekleştirildiğini söyleyebiliyoruz. Şayet kod karmaşıklığı sonrası "http://xx" şeklinde bir yapı elde etmiş olsaydık komuta kontrol merkezinin elde etmiş olduğumuz url olduğunu söyleyebilirdik.
  • Kod karmaşıklığını gidermeyi biraz daha devam ettirip, kodumuzu dat dosyasına dönüştürelim ve scdbg aracı ile komuta kontrol adresinin çıkıp çıkmayacağına görelim.
Yükleniyor: 193073/193073 bayt yüklendi.
  • cobalt.dat ismiyle kayıt etmiş olduğumuz dat dosyasını scdbg aracı ile kontrol ettiğimizde komuta kontrol merkezinin 192.168.52.143 olduğunu ve 12345 portu üzerinden haberleştiğini elde etmiş olduk.


  • Tüm bu işlemler sonrasında MalwareChecker aracının kontrolü bitti ve üretmiş olduğu raporu inceledeğimde Cobalt Strike yazılımına ait bir zararlıyı tespit ettiğini görüyorum. Böylelikle bir önceki aşamada tespit etmiş olduğumuz powershell komutunun Cobalt Strike yazılımına ait olduğunu teğit etmiş olduk.



  • Tespit etmiş olduğumuz hash değerini tekrar Amcache çıktısı içerisinde arattığımızda, hash değerinin scvhost.exe isimli dosyaya ait olduğunu ve çalışma tarihine ilişkin detayları elde etmiş olduk. (Zaman dilimi: UTC)
  • Kalıcılık sağlayan alanlardan toplamış olduğumuz verilerimizi incelediğimizde scvhost.exe isimli zararlının Autorun kayıtları içerisinde OneDrive ismiyle yer aldığını görüyoruz. Bu kalıcılık sayesinde bilgisayar her açıldığın scvhost.exe zararlısı da otomatik olarak başlamaktadır. 

  • Bilgisayara müdahale ettiğimizde scvhost.exe nin hala çalışır durumda olup olmadığını anlamak için elde etmiş olduğumuz proses çıktısına baktığımızda, zararlının aktif olarak hala çalıştığı ve 8324 numaralı PID değerine sahip  olduğunu görüyoruz.

  • Zararlının PID değeri ile tetiklenmiş bir aktif ağ bağlantısının olup olmadığını öğrenmek amacıyla elde etmiş olduğumuz ağ kayıtlarını incelediğimizde, 8324 PID değerine karşılık gelen bir bağlantının olduğu ve bu bağlantının da CLOSE_WAIT (Sunucunun istemciden ilk FIN sinyalini aldığını ve bağlantının kapanma sürecinde olduğunu gösterir. Bu, soketin uygulamanın yürütülmesini beklediği anlamına gelir) durumunda olduğunu görüyoruz. Her zaman bu durumu yakalamak mümkün değil, şayet biz network kayıtlarını alırken CLOSE_WAIT durumunda olmayıp bağlantı aktif bir şekilde devam ediyor olsaydı bu kaydı burada göremeyecektik. Sonuç olarak scvhost.exe zararlısının 192.168.52.143 numaralı ip ve 12345 portu üzerinden haberleştiğini tespit etmiş olduk.


  • Kayıt etmiş olduğumuz ağ paketlerini de incelediğimizde yine aynı ip adresiyle haberleşmenin olduğunu görebiliyoruz.

Buraya kadar çoğu kalıntıyı tepit etmiş olduk. Son olarak, scvhost.exe isimli zararlıya ait diğer detaylar için MFT, UsnJrnl ve LogFile dosyalarını da inceleyelim. (Zararlının hala bilgisayar içerisinde var olup olmadığı, yer almıyorsa ne zaman oluşturulduğu ne tür değişimlere uğradığını bu dosyalar sayesinde elde edebiliriz ) 
  • MFT çıktısını inceleyelim. (Zaman dilimi: UTC)

  • UsnJrnl çıktısını inceleyelim. (Zaman dilimi: UTC)

  • Logfile çıktısını inceleyelim. (Zaman dilimi: UTC+3)

Bu blog yazısı ile temel seviyede bir saldırı ve bu saldırının tespitine yönelik çalışmaların nasıl olduğuna/olabileceğine değindim. İnceleme ve saldırı aşamalarındaki alanlar daha da detaylandırılmaya açıktır. Amacım, DFIR alanındaki uygulanan bazı yöntemleri siz değerli adli bilişim meraklılarına aktarmaktı. Özellikle manuel olarak yapmamızın sebebi ise neyin nerden geldiğini görmeniz içindir. Umarım keyif alarak okuduğunuz incelediğiniz bir yazı olmuştur. 

DFIR Araştırma Tavsiyesi: Eric Zimmerman Tools (özellikle Kape), Sans Windows Forensic Poster, Loki Scanner, Thor Lite Scanner.

Soru, görüş ve önerileriniz olması durumunda iletişim formundan veya sosyal medya hesaplarım üzerinden bana ulaşabilirsiniz. 

Sevgilerle.



YORUMLAR⤵

Ad

adli bilişim adli bilişim eğitimi Adli Bilişim İncelemelerinde Foremost ile Veri Kazıma İşlemi adli bilişim Malware adli bilişim mühendisi adlibilisim Android Hacking android hackleme android injection Android ve IOS İşletim Sistemlerinin Veritabanları ve Görevleri Nelerdir? cobalt strike analizi cobalt strike detect cobalt strike saldırısı cobalt strike tespiti digital forensic DumpIt DumpIt ile ram imajı alma dumpit indir foremost How detect Jigsaw Ransomware Malware ibrahim baloglu ibrahim baloğlu image live imaj canlandırma java JAVA ile Rss Üzerinden Veri Çekme Jigsaw Ransomware Malware jsoup kurulumu jsoup rss kodlama linux veri kurtarma live image malware Malware tespiti metasploit android hacking metasploit nedir mobil uygulamaların adli bilişim incelemesi Yaani Mail Uygulamasının Adli Bilişim Açısından İncelenmesi NTUSER.DAR ptt mesaj uygulaması ptt mesenger ptt mesenger indir ptt mesenger nedir ptt messenger purple team saldırısı ram ram imajı alma ram imajı nedir registry forensic registry parse rss veri çekme SAM sibergüvenlik SOFTWARE SYSTEM veri kurtarma volatility volatility ile ram inceleme volatility kullanımı volatility ram imajı windows forensic windows forensic eğitimi Windows şifresi elde etme yaani mail yaani mail adli bilişim incelemesi yani mail nedir yeni
false
ltr
item
İbrahim BALOĞLU | Adli Bilişim | Siber Güvenlik: Cobalt Strike Saldırısı, Tespiti ve Analizi
Cobalt Strike Saldırısı, Tespiti ve Analizi
https://lh3.googleusercontent.com/-EnkZByqmexs/YHwoX20371I/AAAAAAAADKY/00fVUNuLRnUes9aCdiY1vzjNfsIok63WgCLcBGAsYHQ/ibrahimbaloglu.jpeg
https://lh3.googleusercontent.com/-EnkZByqmexs/YHwoX20371I/AAAAAAAADKY/00fVUNuLRnUes9aCdiY1vzjNfsIok63WgCLcBGAsYHQ/s72-c/ibrahimbaloglu.jpeg
İbrahim BALOĞLU | Adli Bilişim | Siber Güvenlik
https://www.ibrahimbaloglu.com/2021/04/cobalt-strike-saldrs-tespiti-ve-analizi.html
https://www.ibrahimbaloglu.com/
https://www.ibrahimbaloglu.com/
https://www.ibrahimbaloglu.com/2021/04/cobalt-strike-saldrs-tespiti-ve-analizi.html
true
631381070093278817
UTF-8
Konu Bulunamadı. Tümünü Gör Devamını Oku Yanıtla Yanıtlamaktan Vazgeç Sil Yazar Ana Sayfa Sayfa Yazılar Tümünü Gör Size Özel Başka Önerilerimiz⤵ Etiket Arşiv ARANAN Aradığınız kelimeyle alakalı henüz bir konumuz yok :( Ana Sayfa Pazar Pazartesi Salı Çarşamba Perşembe Cuma Cumartesi Sun Mon Tue Wed Thu Fri Sat Ocak Şubat Mart Nisan Mayıs Haziran Temmuz Ağustos Eylül Ekim Kasım Aralık Ocak Şubat Mart Nisan Mayıs Haziran Temmuz Ağustos Eylül Ekim Kasım Aralık Şimdi 1 dk. önce $$1$$ dk önce 1 saat önce $$1$$ saat önce Dün $$1$$ gün önce $$1$$ hafta önce 5 haftadan önce