• İlk olarak, Windows işletim sistemine sahip bir bilgisayarı Cobalt Strike yazılımını kullanarak ele geçirecek ve sistem içerinde zararlı aktiviteler gerçekleştireceğim.


• Tüm bu zararlı aktiviteler sonrasında da ele geçirilmiş bir sistem üzerinde DFIR (Digital Forensics Incident Response) tekniklerini uygulayarak saldırının kalıntılarını tespit ediyor olacağız.

Saldırı Aşaması

• scvhost.exe isimli bir zararlı oluşturalım.

• Oluşturmuş olduğumuz scvhost.exe zararlısını hedef sistem içerisinde çalıştıralım.
  

• Zararlımızı çalıştırdıktan sonra hedef sistemle aramızda bir aktif bağlantı oluştu.

• Çalıştırma işlemini yönetici olarak çalıştır demeden direkt olarak çalıştırdığımız için hedef sistem ile aramızda sağlanan bağlantının yetki seviyesi oldukça düşük. Ancak hedef sistemde basit komutlar çalıştırabiliyor ve hedef sisteme dosya upload edip çekme işlemlerini gerçekleştirebiliyoruz.

• Hedef sistemde parola bilgilerini elde etmek, zararlı aktivitelerin etkisini arttırmak ve yanal hareketeler gerçekleştirebilmek için elde etmiş olduğumuz Shell'in yetki seviyesini arttırmamız gerekiyor. Şuanki ilk amacımız sistemde SYSTEM yetkisinde bir shell elde edebilmek, bunun içinde psexec aracından yararlanıyor olacağız. Ancak hatırlayacağınız üzere zararlımızı yönetici modunda değilde direkt normal modda çalıştırmıştık bu yüzden psexec aracını da kullanabilmek için öncelikle UAC (User Account Control) yapısını atlatmamız gerekecek.  Hemen yapalım...

• Mevcut yetki seviyemizle hedef sisteme dosya yükleyebildiğimizden UAC'ı atlatmak için gerekli aracımı hedef makinenin "C:\users\public\music" dizinine upload ediyorum ve çalıştırıyorum.

• UAC yapısını atlattık ve artık yönetici modunda istediğimiz bir aracı çalıştırabileceğimiz yeni bir shell elde ettik. Şimdiki amacımız elde etmiş olduğumuz bu shell'i kullanarak, psexec aracını çalıştırmak ve SYSTEM yetkisinde sahip yeni shell elde etmek. Hemen yapalım...

• Artık sistem yetkisinde bir shell elde ettiğimize göre içeride istediğimiz şekilde yanal hareketler gerçekleştirebiliriz. Sistem içerisindeki kullanıcıların NTLM Hash bilgilerini görüntüleyelim ve mimikatz çalıştırmayı deneyelim :)

• Görüldüğü üzere artık amaçlarım doğrultusunda hareketler gerçekleştirebiliyor ve hedef sistemde yanal hareketlerimi gerçekleştirebileceğim verileri elde edebiliyorum. Bu aşamadan sonraki hareketler saldırganın keyfine kalmış bir durumdur. İster ağ içerisindeki Domain Controller'ı ele geçirmeye çalışır, ister sistemlere fidye yazılımı bulaştırır, örnekler bu şekilde çoğaltılabilir. 

• Kalıcılık sağlamak amacıyla son olarak hedef sistem içerisinde Autorun (bilgisayar açıldığında otomatik olarak çalışan uygulamalar) kaydı oluşturalım ve artık bu aşamayı sonlandıralım :)

Buraya kadar saldırı yaparak hedef sistemi ele geçirmiş olduk. Şuanda bu yazıyı okuyanlar arasına kimini sadece bu aşama heyecanlandırmış olabilir, ama benim daha keyif aldığım kısım tüm bunları hedef sistemde tespit etme aşaması :) Hadi oraya geçelim...

Tespit ve Analiz Aşaması

Bu aşamayı gerçekleştirirken planlı ve düzenli ilerlemek gözden kaçıracağınız noktaları en aza indirgeyecektir o yüzden olabildiğince planlı ve düzenli çalışmaya özen göstermenizi tavsiye ediyorum.  Analiz kapsamında elde edeceğimiz verileri manuel olarak tek tek toplayabileceğimiz gibi otomatik açık kaynak araçlar kullanarak da veri elde etme aşamasını hızlandırabiliriz. Başlayalım...

• İlk aşamada, sistem içerisindeki uçucu birkaç bilgiyi hızlıca elde edelim. 

• Kalıcılık mekanizmalarının kontrolü için WMI, Autorun ve Schtasks (Zamanlanmış Görevlerin) listesini de hızlıca elde edelim.

• Çalıştırılabilir uygulamalar kullanılarak ele geçirilmiş sistemlerde program çalışma geçmişlerinin elde edilebilmesi amacıyla ilk incelenmesi gereken dosyaların başında Amcache, Shimcache ve Security loglarındaki 4688 Event ID değerine sahip kayıtlar gelmektedir. Bu verileride elde edelim.

• Şimdi veri elde etme kapsamımızı biraz daha genişleterek $MFT, $UsnJrnl, $LogFile ve diğer Event log dosyalarını da toplayalım.

• Ağ trafiğinin belli bir süre kopyasını alalım.

• Temel seviyede elde etmemiz gereken önemli birçok dosyayı elde etmiş olduk. Toplanacak veriler arttırabilir. Şuan için toplamış olduğumuz veriler bizim için yeterli. 

Topladığımız verileri analiz etmeye başlayalım artık.

• Sistem içerisinde çalışan programların kayıtları için Amcache dosyamızı ayrıştırarak içerisindeki program çalışma kalıntılarını ve hash değerlerini elde edelim.

• Ayrıştırma sonrası toplam 181 adet kayıt olduğunu tespit ettik. (Bu sayı oldukça iyi bir oran, bunun binlerce satır olduğunu düşünün:/) Eeee peki biz bunlardan hangisini zararlı hangisi legal nasıl tespit edeceğiz? Bu kayıtlar içerisindeki yer alan SHA1 hash değerleri işimizi bu noktada kolaylaştırmakta. Çünkü bir programın ismine bakarak onun zararlı olup olmadığını kesin olarak söyleyemezsiniz. Program isimleri legal windows processleri ile değiştirilebilir ama Hash değerleri yalan söylemezler, bizler için dosyanın orjinali hakkında bilgi edinmemizi sağlamaktadırlar. 

• Peki bu tüm bu Hash değerlerini tek tek mi kontrol edeceğiz? Hayır tabiki de! Bu işlemleri yaparak vakit kaybetmemek için açık kaynak olarak yazmış olduğum MalwareChecker aracım bu işlemleri otomatik olarak yapıp bana rapor çıktısı üretecek bende oradaki çıktılara bakarak hangisi zararlı hangisi legal ayırt etmiş olacağım. Haydi yapalım...

• Sysinternal aracı ile elde etmiş olduğumuz çıktılara bir göz atalım, içerisinde dikkatimizi çeken bir şeyler çıkabilir. Dllist ile elde etmiş olduğumuz kayıtlara baktığımızda powershell.exe nin çalıştırmış olduğu ve kod karmaşıklığı uygulanmış komut dikkatimizi çekiyor. 

• Bu durumu teğit etmek ve ne zaman gerçekleştirildiğini tespit etmek amacıyla toplamış olduğumuz Event loglarımızın içerisinde yer alan Windows Powershell.evtx ve System.evtx dosyalarını inceleyelim. Log dosyalarını incelediğimizde her iki log dosyasında da aynı kaydın yer aldığını ve bu işlemin ne zaman gerçekleştirildiğini tespit etmiş olduk.

• Şimdiki amacımız bu kod karmaşıklığına son vermek ve okunabilir hale dönüştürmek. Haydi yapalım...

• Yukarıda birde fazla aşama sonunda elde ettiğimiz kod karmaşıklığının buraya kadarki bölümünü aslında Microsoft-Windows-PowerShell%4Operational event logu içerisinden de elde edebiliyoruz :)

• Kod karmaşıklığını birçok farklı aşamadan geçirerek ipucu elde edebileceğimiz noktayı yakalamış olduk, yukarıdaki ekran görüntüsündeki çıktı formatı Cobalt Strike ve Meterpreter tarafından kullanılan bir format olduğundan bu bilgisayarda bu ikisinden biri çalıştırılmış diyebiliyorum. Bu işlemleri yaparken de MalwareChecker aracımda arka planda zararlı hash tespitlerini gerçekleştiriyor, onun çıktısındaki verilerde bu durumun netleşmesinde bize fayda sağlıyor olacak. Yukarıdaki resimde yer alan kodumuz hala net değil ve kod karmaşıklığını gidermeye devam edelim.

• Kod karmaşıklığını biraz daha giderdikten sonra "\\.\pipe\status_10" değerini elde etmiş olduk. "\\pipe\pipe" ile başlayan bir değer elde ettiğim için komuta kontrol merkezinin SMB üzerinden  gerçekleştirildiğini söyleyebiliyoruz. Şayet kod karmaşıklığı sonrası "http://xx" şeklinde bir yapı elde etmiş olsaydık komuta kontrol merkezinin elde etmiş olduğumuz url olduğunu söyleyebilirdik.

• Kod karmaşıklığını gidermeyi biraz daha devam ettirip, kodumuzu dat dosyasına dönüştürelim ve scdbg aracı ile komuta kontrol adresinin çıkıp çıkmayacağına görelim.

• cobalt.dat ismiyle kayıt etmiş olduğumuz dat dosyasını scdbg aracı ile kontrol ettiğimizde komuta kontrol merkezinin 192.168.52.143 olduğunu ve 12345 portu üzerinden haberleştiğini elde etmiş olduk.

• Tüm bu işlemler sonrasında MalwareChecker aracının kontrolü bitti ve üretmiş olduğu raporu inceledeğimde Cobalt Strike yazılımına ait bir zararlıyı tespit ettiğini görüyorum. Böylelikle bir önceki aşamada tespit etmiş olduğumuz powershell komutunun Cobalt Strike yazılımına ait olduğunu teğit etmiş olduk.

• Tespit etmiş olduğumuz hash değerini tekrar Amcache çıktısı içerisinde arattığımızda, hash değerinin scvhost.exe isimli dosyaya ait olduğunu ve çalışma tarihine ilişkin detayları elde etmiş olduk. (Zaman dilimi: UTC)

• Kalıcılık sağlayan alanlardan toplamış olduğumuz verilerimizi incelediğimizde scvhost.exe isimli zararlının Autorun kayıtları içerisinde OneDrive ismiyle yer aldığını görüyoruz. Bu kalıcılık sayesinde bilgisayar her açıldığın scvhost.exe zararlısı da otomatik olarak başlamaktadır. 

• Bilgisayara müdahale ettiğimizde scvhost.exe nin hala çalışır durumda olup olmadığını anlamak için elde etmiş olduğumuz proses çıktısına baktığımızda, zararlının aktif olarak hala çalıştığı ve 8324 numaralı PID değerine sahip  olduğunu görüyoruz.

• Zararlının PID değeri ile tetiklenmiş bir aktif ağ bağlantısının olup olmadığını öğrenmek amacıyla elde etmiş olduğumuz ağ kayıtlarını incelediğimizde, 8324 PID değerine karşılık gelen bir bağlantının olduğu ve bu bağlantının da CLOSE_WAIT (Sunucunun istemciden ilk FIN sinyalini aldığını ve bağlantının kapanma sürecinde olduğunu gösterir. Bu, soketin uygulamanın yürütülmesini beklediği anlamına gelir) durumunda olduğunu görüyoruz. Her zaman bu durumu yakalamak mümkün değil, şayet biz network kayıtlarını alırken CLOSE_WAIT durumunda olmayıp bağlantı aktif bir şekilde devam ediyor olsaydı bu kaydı burada göremeyecektik. Sonuç olarak scvhost.exe zararlısının 192.168.52.143 numaralı ip ve 12345 portu üzerinden haberleştiğini tespit etmiş olduk.

• Kayıt etmiş olduğumuz ağ paketlerini de incelediğimizde yine aynı ip adresiyle haberleşmenin olduğunu görebiliyoruz.

• MFT çıktısını inceleyelim. (Zaman dilimi: UTC)

• UsnJrnl çıktısını inceleyelim. (Zaman dilimi: UTC)

• Logfile çıktısını inceleyelim. (Zaman dilimi: UTC+3)

Bu blog yazısı ile temel seviyede bir saldırı ve bu saldırının tespitine yönelik çalışmaların nasıl olduğuna/olabileceğine değindim. İnceleme ve saldırı aşamalarındaki alanlar daha da detaylandırılmaya açıktır. Amacım, DFIR alanındaki uygulanan bazı yöntemleri siz değerli adli bilişim meraklılarına aktarmaktı. Özellikle manuel olarak yapmamızın sebebi ise neyin nerden geldiğini görmeniz içindir. Umarım keyif alarak okuduğunuz incelediğiniz bir yazı olmuştur. 

DFIR Araştırma Tavsiyesi: Eric Zimmerman Tools (özellikle Kape), Sans Windows Forensic Poster, Loki Scanner, Thor Lite Scanner.

Soru, görüş ve önerileriniz olması durumunda iletişim formundan veya sosyal medya hesaplarım üzerinden bana ulaşabilirsiniz. 

Sevgilerle.