ReelPhish İle Gerçek Zamanlı Kimlik Avı

ReelPhish İle Gerçek Zamanlı Kimlik Avı

Sosyal mühendislik, imkanların henüz bugünkü kadar ilerlemediği eski zamanlardan beri kullanılan, güvenliğin en zayıf zinciri olan “insan”ı kullanan ve popülerliğini yitirmeyen bir tekniktir. Dünyanın ilk dijital suçlusu Kevin Mitnick’ın Aldatma Sanatı adlı kitabında bahsettiği sosyal mühendislik örneklerini okuyunca insan her türlü tedbiri alsa bile bir noktada bilgi güvenliğini riske atacak önemli bir faktörden korkuyor. Kendisinden…

Sosyal mühendislik saldırılarına karşı çözüm olarak üretilen İki Faktörlü Doğrulama (2FA) veya Çoklu Faktörlü Doğrulama (MFA) genellikle bu tehditlere karşı önemli bir kalkan oluştursa da son zamanlarda duyduğumuz Reddit’e karşı yapılan saldırı, bu yolla tamamen güvende olduğunu zannedenler için uyarı mahiyetinde bir gelişme oldu. SMS tabanlı iki faktörlü doğrulama kullanımının da güvenlik riski taşıdığını görmüş ve tedbirleri artırmak gerektiğini daha iyi anlamış olduk.  2FA kullanımı için en yaygın iki yöntemden biri olan  “One Time Password (OTP)” bizlere farklı bir cihazdan tek kullanımlık şifre sağlayarak 30-60 saniye içerisinde kullanılabilecek ve tekrar etmeyecek bir token sunuyor.  Bir diğer yöntem ise “Push notification” denilen mobil cihazımıza gönderilen ve giriş işlemlerimiz için onaylamamız gereken anlık bildirimler. Bu yöntemler kullanıcı adı parola kombinasyonlarını ele geçirmeye yönelik saldırılardan korunmak için etkili çözümler olsa da ne yazık ki hatasız çözümler değiller.

Gerçek zamanlı Phishing teknikleri ile saldırganlar tek kullanımlık parolaları ele geçirmeye yönelik yeni teknikler de geliştirdiler. Bir örnekle açıklayacak olursak, gerçek zamanlı ortadaki adam saldırısı (Man in the middle) ile saldırganların oluşturdukları, doğrudan bankacılık sayfasına bağlı olan phishing web sayfaları ile hem kullanıcı adı ve parola çiftini hem de 2FA için üretilen OTP, token ve SMS kimlik doğrulama bilgilerini kolaylıkla ele geçirebilir ve böylece bu bilgileri doğrudan bankanın sayfasına yönlendirebilirler. Kullanılan diğer bir yöntem Kanallar Arası Kimlik Avı (Cross-Channel Phishing) ile de, telefon üzerinden yapılan işlemlerde gerçek kullanıcıyı taklit ederek kimlik doğrulama bilgisini kaybettiklerini iddia edip yenisini isterler veya adres değişikliği talep ederler.

Siber güvenlik şirketi FireEye, gerçek zamanlı phishing tekniği ile 2FA’yı atlatabilecek ve kapsamlı sızma testlerinde kullanılabilecek “ReelPhish” adında bir araç geliştirmiştir. İsterseniz aracı genel olarak inceleyelim.

  • Bu aracın birincil bileşeni saldırganın sisteminde çalıştırılmak üzere tasarlanmıştır. Bu bileşen, saldırganın web sayfasından veri dinlemek için oluşturulmuş ve Selenium Framework kullanarak yerel olarak yüklenmiş bir web tarayıcısını çalıştıran bir Python Script’i kullanmıştır. Böylece araç saldırganın web tarayıcısını, HTML nesnelerle etkileşimde bulunan, belirlenmiş web sayfalarını gezerek kontrol edebilir hale gelir.
  • İkincil bileşen ise phishing sayfasının içerisinde yerleşik olarak bulunan PHP kodudur. Yakalanan kullanıcı adı ve parola gibi veriler saldırganın sisteminde çalışan Reelphish’in Python Script’ine gönderir. Reelphish bilgi aldığında, bir tarayıcı başlatmak ve gerçek web sitesine kimlik doğrulamak için Selenium’u kullanır. Kimlik avı web sunucusu ile saldırganın sistemi arasındaki tüm iletişim, şifrelenmiş bir SSH tüneli üzerinden gerçekleştirilir.

Mağdur kullanıcılar, phishing sitesi ve ReelPhish aracı arasındaki tüm iletişimlerde oturum belirteçleri (session tokens) aracılığıyla izlenir. Olası bir saldırıda ise ReelPhish durumdan haberdar olduğu için kullanıcıya bilgilendirme gönderir.

Test ortamında deneyerek örnek bir senaryo ile inceleyelim.

Öncelikle sistemimizde Python 2.7’nin son sürümü kurulu olmalı. Daha sonra ReelPhish aracının github sayfasında bulunan requirements.txt ile Selenium kurulumu yapıyoruz.

Web sitelerinin test adımlarını tarayıcı üzerinden yapmamıza olanak sağlayan Selenium Framework için tarayıcı olarak Google Chrome seçiyoruz. ChromeDriver son sürümünü yükleyerek ReelPhish kök dizinine yerleştiriyoruz.

Bir sonraki adımda ise iki faktörlü doğrulaması bulanan bir phishing sitesine ihtiyacımız var. Bunun için de Gmail giriş sayfasını Social Engineering Toolkit (SET) ile kopyalıyoruz. Sırası ile 1-2-3-2 seçeneklerini seçip IP adresimizi ve kopyalanacak sayfanın adresini veriyoruz.

SET ile  /var/www/html/ dizini içerisine kopyalanan index.html ve post.php dosyalarının kaynak kodlarını inceliyoruz. Google’ın kimlik doğrulama ara yüzü 2FA etkin ise işlem boyunca üç sayfa içeriyor.  Her sayfada, gönder düğmesine tıkladıktan sonra POST aracılığıyla bir parametre gönderiliyor. Hedeflerimiz kullanıcı adı, parola ve 2FA kodu olduğu için kaynak kod içerisinde bu değişkenlerin isimlerini tanımlamamız gerekiyor.

name=”identifier”

button id=”identifierNext”

Tüm sayfaların HTML kodlarında, giriş verilerini belirli bir PHP sayfasına göndermek için form özelliğini değiştiriyoruz.

ReelPhish içerisinde, bir HTTP POST isteğinden bir kullanıcı adı parola çifti almak ve bunu araca iletmek için örnek bir PHP kodu bulunuyor. Bu kodu kendi senaryomuza uyarlamak için  üzerinde küçük değişiklikler yapıyoruz.

Kimlik doğrulamanın her adımı, POST üzerinden phishing aracıyla bir ileti gönderir. Bu nedenle, gönderilecek değişkenleri işlemek için üç adet PHP sayfasına ihtiyacımız var:  get_usr.php, get_pass.php ve get_pin.php.

Son olarak , ReelPhish aracını çalıştırıyoruz. Kullanacağımız parametreler:

–submit : Tarayıcı tarafından “tıklanan” öğeyi özelleştirebiliriz. Kaynak kod içerisinde bu değişkenin ismini bulmuştuk.

–browser: Google Chrome

–url: https://gmail.com

Araç çalışır durumda ve kurbanları bekliyor. Bundan sonrasında kalan tek şey ise sahte sayfaya bir şekilde kurbanı yönlendirmek ve giriş bilgilerini yazmasını sağlamak. Arka tarafta ReelPhish aracı giriş bilgilerini alıp, yeni bir web tarayıcısını otomatik olarak başlatır, gerçek sayfaya kullanıcının kimlik bilgilerini gönderir ve iki faktörlü doğrulama adımını atlatmış olur.

Huriye ÖZDEMİR

Arka Kapı Dergisi 4. sayı

2019-01-24T01:14:04+00:00

EFLATUN AKADEMİ

EN SON TWEETLER