Sistem güvenliğini tehlikeye düşüren bulgunun tespiti neticesinde sisteme sızma kaçınılmazdır. Sızma sonucunda sistemde yer edinen saldırganın amacı bilgisayar sisteminde daha uzun süre kalıp, kendince gerekli gözlemleri gerçekleştirmektedir. Sisteme sızmayı başaran kişi bu amaçlarını nasıl gerçekleştirecektir?
Temel hedef yönetici(root/id=0) konumuna geçme işleminden sonra sisteme "Rootkit"1 entegre etmektir. "Rootkit" entegrasyonunu başarı ile sağlarsa gizli olarak birçok işlemi gerçekleştirir. "Rootkit" tabiri sistem güvenliği literatüründe önemli bir konuma sahiptir.
Günümüzde bu kadar çok kullanılmasının sebeplerinden biri ve en önemlisi sisteme entegre edildikten sonra sistem yöneticileri tarafından zor tespit edilmesidir. Kullanılan "Rootkit" yapısı gereği tamamıyla saldırganın aktif olarak gerçekleştirdiği işlemleri sistemde gizlemektir, gözlerden uzak tutmaktır.
Gerçekleşen bir saldırı sonucunda sistem üzerinde olabilecek durumların neler olduğunu hem saldırganın, hem de sistem yöneticisinin gözü ve diliyle olayı inceleyelim.
Sisteme sızmaya başaran saldırganın bakış açısı ve diliyle;
Sisteme sızma işlemini gerçekleştirdim. Kendimi belli etmeden sistemde uzun süre kalmayı başarmalıyım. Ne kadar uzun süre burada kalırsam o derece de farklı kollara dağılabilirim. İstersem başka sistemlere saldırma işlemi için alt yapı oluştururum(Botnet Command and Control (C&C)2), istersem sistemin band genişliğinden faydalanarak “torrent” dünyasına açılabilirim(dosya download/upload).
Sunucuda bulunan kullanıcılardan bazılarının şifrelerini kırmayı başardım. İşlem tamamdır. Yedekte şifre bulundurmak her zaman işe yaramaktadır. Evet, şifrelerde tamam. Sıra geldi gizlenmeye. En iyi yollardan biri “Rootkit” tir. Güncel Rootkit olarak “beurk”u6 kullansam iyi olacak. Sistem yöneticisi fazla uğraşmazsa tespit edilmem zorlaşır.
Tespit edilirsem de sanırım elde ettiğim şifrelerle kendime yeni bir yol haritası çizmem gerekecek.
“beurk.conf” dosyasını kendime göre düzenledikten sonra “Rootkit”i sisteme entegre ettiğimde işlem biter. “beurk.conf” dosyasında uzaktan bağlantı {arkakapı/backdoor} için gerekli konfigürasyonu yaptım. Sisteme kurduğumda istediğim zaman kullanıcı şifrelerini kullanmadan backdoor aracılığı ile sisteme bağlanabilirim. Ayrıca sisteme yüklediğim dosyaları gözden korumak için Rootkit konfigürasyon dosyasına(beurk.conf) hangi dizinin görünmeyeceğini belirttim. Sistemde oluşturduğum _BEURK_ adlı dizinin görünmemesi için gerekli ayarları yaptım. Artık Rootkiti aktif ettiğimde istediğim dizin gözlerden uzak olacak ve backdoor vasıtasıyla sistem bağlanabileceğim…
Kayıtlar
0 comments :
Yorum Gönder