Saldırılar - Sonuçlar

 

Uzaktan Kod Yürütme (RCE)

Bir saldırının en tehlikeli sonuçlarından biri Uzaktan veya Keyfi Kod Yürütmedir. RCE, saldırgana ele geçirilen makinede istediği talimatları yürütme olanağı verir. Saldırgan genellikle yönetici ayrıcalıklarına sahip bir kabuk başlatır, böylece istediklerini yapabilir. Uzak bir Linux makinesine SSH ile bağlandığınızı ve ayrıcalıklarınızı root seviyesine yükselttiğinizi düşünün. Bu esasen RCE'den kaynaklanabilecek güç türüdür. Saldırganlar RCE'yi bir programın sonlanmasına neden olarak bir bilgi işlem kaynağının kullanılabilirliğine saldırmak için de kullanabilir. Bu durumda RCE, hizmet reddi (DoS) saldırısının bir parçası olarak kullanılmaktadır.

Ayrıcalık Yükseltme

“Root yapmak için asansör yok, bir açık kullanmanız gerekiyor.” Anonymous

Ayrıcalık yükseltme, istenmeyen yollarla korunan kaynaklara erişim elde etmeyi içerir. Örnek olarak, yakın zamanda Linux pkexec komutunda keşfedilen yerel bir ayrıcalık yükseltme güvenlik açığı olan CVE-2021-4034 verilebilir. pkexec yükseltilmiş ayrıcalıklarla çalışır ve komut satırı argümanlarını güvenli bir şekilde ayrıştırmaz. Bu nedenle, normal bir kullanıcıya root kabuğu vermek için istismar edilebilir. Bu bir yerel, dikey ayrıcalık yükseltme örneği olacaktır.

Ayrıcalık yükseltme tipik olarak iki kategoriye ayrılır: yatay ve dikey. Yatay ayrıcalık yükseltme, kaynaklara benzer erişim sağlar, yani bir kullanıcı hesabından diğerine geçme. Dikey ayrıcalık yükseltme daha üst düzey erişim sağlar, yani bir kullanıcı hesabından bir yönetici hesabına geçmek gibi. Yetki artırımının beş ana yolu kimlik bilgilerinden yararlanma, güvenlik açıkları/sömürüler, yanlış yapılandırmalar, kötü amaçlı yazılımlar ve sosyal mühendisliktir.

Hizmet Reddi (DoS)

Hizmet reddi saldırısı (Dos), bir sistemi isteklere boğarak çalışmasını engellemeye çalışır. Dağıtık hizmet reddi saldırısı (DDoS) da birçok farklı makineyi kullanarak aynı şeyi yapar. Genellikle DDoS saldırısı için saldıran düğümler bir botnet üyesidir, daha önce istismar edilmiş ve saldırganların kontrolü altında olan makinelerdir.

DoS saldırıları aşağıdakiler de dahil olmak üzere birçok şekilde olabilir:

SYN Floodları

Kötü niyetli bir aktör TCP üç yönlü tokalaşmayı başlatmak için birden fazla SYN paketi gönderebilir. SYN paketlerinin gönderilmesi kolaydır, ancak bunlara yanıt veren sunucuda önemli kaynakların ayrılmasına neden olabilir. Kaynak tahsisinin asimetrik doğası nedeniyle bu durum SYN paketlerinin kullanımını DoS saldırısı için özellikle uygun hale getirmektedir. SYN çerezleri bu tür saldırıları önlemeye yardımcı olmak için kullanılabilir.

ICMP Floodları

Genellikle ping olarak adlandırılan ICMP yankı istekleri bir sunucuyu bunaltmak için kullanılabilir. Özellikle birden fazla kaynaktan gönderildiğinde. Çözüm genellikle sunucudaki ICMP paketlerini sınırlamaktır.

Arabellek Taşmaları / İstismarlar

Kötü tasarlanmış bir yazılım beklenmedik veriler aldığında başarısız olabilir. Bu, bir arabelleğin tutabileceğinden daha fazla veri göndermek veya bir Windows sisteminin 139 numaralı bağlantı noktasına giden bir pakette acil işaretçiyi (URG) ayarlamak kadar basit bir şey olabilir.

Uzak Kabuklar

Laboratuarları tamamlayarak deneyimlediğiniz gibi, Linux sistemleri geleneksel olarak işletim sistemini kontrol etmek için metin komutlarını kullanan güçlü bir kabuk sistemine sahiptir. Kabuk aracılığıyla dosya oluşturabilir, okuyabilir, güncelleyebilir veya silebilir, ağ bağlantıları yapabilir, çekirdek parametrelerini yapılandırabilir, paketleri yükleyebilir vb. Aslında, tüm modern işletim sistemleri onları kontrol etmek için kullanılabilecek kabuklara sahiptir. Bir Windows makinesinde, Yönetici olarak çalışan PowerShell’e erişmek, bir saldırganın sistem üzerinde tam kontrole sahip olması için ihtiyaç duyacağı tek şeydir. Genellikle bir saldırının sonucu, istismar edilen makinede uzaktan bir kabukla etkileşime girebilmektir. Bu senaryoda kurbanın uzak bir kabuk çalıştırdığını söyleyebiliriz. Uzak kabuklar, bir saldırganın bağlanması için bir bağlantı noktasını dinleyen bir kurban makinesinde arka planda çalışabilir, ancak genellikle istismar edilen makinenin aslında saldırganın bağlanmak için kullanabileceği harici bir IP’si olmayabilir. Bu durumlarda bir ters kabuk kullanılır. Ters kabuk kurbandan saldırgana ulaşır ve içeriden bir bağlantı kurar. Bu, çoğu cihaz ile İnternet arasında yer alan güvenlik duvarları/NAT yönlendiricileri ile daha uyumludur. Her iki durumda da, uzak bağlantı üzerinden bir makineye ayrıcalıklı kabuk erişimine sahip olmak, bir saldırganın temelde istediği her şeyi yapmasına olanak tanır. Bu amaçla, uzaktan kabuk erişimi sağlamak için birçok araç ortaya çıkmıştır. Bir makinede SSH sunucusu gibi bir uzak kabuk aracı zaten yüklü olabilir. Bunun dışında Netcat, bir ağ üzerinden erişim sağlamak için herhangi bir yürütülebilir dosyayla kullanılabilir. metasploit (çok popüler bir pentesting framework), çoğu çeşitli türlerde kabuklar olan birçok yük ile birlikte gelir. Kabukları ICMP, Discord, IRC ve hatta DNS üzerinden çalıştırmak için programlar da mevcuttur!

Önceki Ders: Web Tabanlı Saldırılar

Sonraki Ders: Laboratuvar: Scapy ile MitM

 

•  Kaynakça
• Computer Systems Security: Planning for Success - Ryan Tolboom
  
  https://web.njit.edu/~rxt1077/security/
• Ders Listesi
• BİLGİSAYAR SİSTEMLERİ GÜVENLİĞİ: BAŞARI İÇİN PLANLAMA
• Bilgisayar Sistemler Güvenliği Giriş
• Risk Yönetimi
• Bilgisayar Sistemler Güvenliği Jargonu
• Hacker Kültürü
• Tehdit Aktörleri
• Güvenlik Planları
• Ticaret Araçları
• Laboratuvar: Bir Hacker Gibi Düşün
• Bilgisayar Sistemler Güvenliği Giriş İnceleme Soruları
• Kriptografi
• Neden kriptografiye ihtiyacımız var?
• Kriptografi Terminolojisi
• Kriptografi Anahtarlar
• Kriptografi Matematiksel Temel
• Kriptografi Hash'ler
• Simetrik Şifreleme
• Asimetrik Şifreleme
• Akış Şifreleri
• Blok Şifreler
• Şifreleme Örnekleri
• Laboratuvar: Hash it Out
• Kriptografi İnceleme Soruları
• Kötü Amaçlı Yazılım
• Kötü Amaçlı Yazılım Nedir?
• Kötü Amaçlı Yazılım Hedefleri
• Kötü Amaçlı Yazılım Türleri
• Tehdit Belirtileri
• Kötü Amaçlı Yazılım Dağıtımı
• Siber Ölüm Zinciri
• Laboratuvar: Kötü Amaçlı Yazılım Analizi
• Kötü Amaçlı Yazılım İnceleme Soruları
• Protokoller
• Ağ Erişim Katmanı
• İnternet Katmanı Protokolleri
• Aktarım Katmanı Protokolleri
• Uygulama Katmanı Protokolleri
• Laboratuvar: nmap ile tarama
• Protokoller İnceleme Soruları
• Saldırılar
• Dinleme Saldırıları
• Ağ Katmanı Saldırıları
• İnternet Katmanı Saldırıları
• İsim Çözümleme Saldırıları
• Web Tabanlı Saldırılar
• Saldırılar - Sonuçlar
• Laboratuvar: Scapy ile MitM
• Saldırılar İnceleme Soruları
• Güvenlik Çözümleri
• Yanlış Pozitifler / Negatifler
• Katmanlı Güvenlik
• Ağ Çözümleri
• Uç Nokta Tespit ve Yanıt (EDR)
• Veri Kaybı Önleme
• İzinsiz Giriş Tespit Sistemleri ve İzinsiz Giriş Önleme Sistemleri (IDS/IPS)
• E-posta Çözümleri
• Güvenlik ve Bilgi Olay yönetimi (SIEM)
• Laboratuvar: log4j'den yararlanma
• Güvenlik Çözümleri İnceleme Soruları
• Erişim Kontrolleri
• Erişim Kontrolleri Genel Prensipler ve Teknikler
• Fiziksel Erişim
• Ağ Erişimi
• Laboratuvar: Linux Dosya İzinleri
• Erişim Kontrolleri İnceleme Soruları
• Güvenlik Açığı Yönetimi ve Uyumluluk
• Güvenlik Açığı Yönetimi
• Uyumluluk
• Laboratuvar: Nessus ile Tarama
• Güvenlik Açığı Yönetimi ve Uyumluluk İnceleme Soruları
• Olaylara Müdahale ve Süreklilik
• Güvenlik Kuruluşları
• Güvenlik Operasyonları Merkezi (SOC)
• Olaylar
• Yanıt
• MITRE ATT&CK Framework
• Olaylara Müdahale ve Süreklilik İnceleme Soruları
• Laboratuvar: 2014 Sony Pictures Hacklenmesi Hakkında Raporlama
• Sanallaştırma
• Sanallaştırma Metotları
• Bulut Bilişim
• Sunucusuz Çözümler
• Bulut Yerel Güvenliğinin 4C'si
• Laboratuvar: Kötü Amaçlı Kapsayıcılar
• Sanallaştırma İnceleme Soruları