|

Cobalt Strike ile Sızma Testleri - 1 (File Sharing ile Ransomware Saldırısı)


alicangonullu tarafından 2022-08-14 14:41:51 tarihinde yazıldı. Tahmini okunma süresi 2 dakika, 53 saniye. 573 kere görüntülendi.



Disclaimer

The information provided in this blog post is intended for educational and informational purposes only. It is not intended to encourage or promote any illegal or unethical activities, including hacking, cyberattacks, or any form of unauthorized access to computer systems, networks, or data.

Yasal Uyarı
Bu blog yazısında sağlanan bilgiler yalnızca eğitim ve bilgilendirme amaçlıdır. Bilgisayar korsanlığı, siber saldırılar veya bilgisayar sistemlerine, ağlara veya verilere herhangi bir şekilde yetkisiz erişim de dahil olmak üzere herhangi bir yasa dışı veya etik olmayan faaliyeti teşvik etme veya reklamlama amacı taşımaz.
Yasal bilgiler için yasal sayfasını inceleyebilirsiniz .

Merhabalar,

Bu yazımda sizlere Cobalt Strike ile ağ üzerinden paylaşımlı klasöre dosya gönderme yoluyla nasıl ransomware saldırısı yapılacağını anlatacağım.

Cobalt Strike kurulumu adlı makalemi okumadıysanız buradan okuyabilirsiniz.

Bunun için öncelikle sanal bilgisayarlar yardımıyla ağ yapısı kurmamız gerekmektedir. Benim Ağ yapımda Kali üzerinde koşan bir adet Cobalt Strike Teamserver (LAN IP 192.168.1.41), hedef bir adet Windows 10 sanal sunucu ve reel sistemim (LAN IP : 192.168.1.36) üzerinden bağlantı kurmamı sağlayacak Cobalt Strike GUI kullanacağım. Bridged bir Network ile LAN üzerinden bağlantılara açık bir ağ kuracağım. Ayrıca reel bilgisayarım üzerinden koşan bir adet klasörü VMWare üzerinden dosya paylaşımıyla Victim (Hedef) bilgisayar için açacağım.

Buradan sonra teamserver'a kendi bilgisayarımdan bağlanacağım (Lokal IP üzerinden bağlandığım için IP adreslerini verebiliyorum. Eski bir modem ile lab ortamı oluşturdum. Bilginize.)

Bağlandıktan sonra ise öncelikle Cobalt Strike > Listeners kısmından kendimize dinleme portu kuruyoruz.

Ardından şu adımları takip ederek virüsümüzü oluşturuyoruz ve kurbanımızın Dosya Paylaşımına gönderiyoruz.

Buradan sonra kurbanımıza bunu senaryo gereği "iş için bir program" benzeri bir bahaneyle yutturduğumuzu ve bu programı obfuscate ederek antivirüslere yakalanmasını engellediğimizi hayal ediyoruz. Ardından kurban bilgisayarımıza geçiyoruz ve dosyamızı görüp çalıştırıyoruz

Bu işlemden sonra reel bilgisayarımıza dönüyoruz ve exploit etmeye başlıyoruz. Cihaz eğer bağlantıysa şu şekilde görünecektir

Bu simgeyi gördükten sonra yapmamız gereken ilk önce cihazı Elevate ederek yetkimizi yükseltmeyi denememiz gerekiyor. Çünkü yetkimizi yükseltebilirsek her noktaya erişebiliriz. Olmazsa VNC bağlantısı ile de yetkimizi yükseltmeyi deneyebiliriz.

Elevate ettikten sonra cihazımız Cobalt Strike arayüzünde şöyle görünecektir.

Bu aşamada artık bilgisayarda her noktaya erişim sağlayabiliriz. Ben ekran görüntüsü alacağım ve cihaza kullanıcı ekleyip cihazdan ayrılacağım. Bunun için öncelikle ekran görüntüsü almak için şu aşamaları takip ediyorum

Üst kısımda bulunan resim simgeli butondan ekran görüntülerine ulaşabilirsiniz. Ben şimdi kullanıcı ekleyip çok dikkat çekmeden kaçmaya çalışacağım.

Buradan sonra şu aşamaları takip edip kullanıcımı oluşturup cihazla bağlantımı kesiyorum

Şimdi bilgisayardan ayrılıyorum

İşlem bu kadar. Okuduğunuz için teşekkürler. Daha fazla makale için takip etmeyi unutmayın!

 

NOT : Bu makale, diğer tüm makalelerim gibi SADECE EĞİTİM amacıyla yazılmıştır ve laboratuvar ortamında test edilmiştir. Bu makale sonucunda oluşabilecek olumsuz durumlardan alicangonullu.com websitesi yöneticileri SORUMLULUĞU REDDETMEKTEDİR. Diğer bilgiler için Yasal bölümünü okuyabilirsiniz.