Penetration testlerin son ve en önem arzeden aşaması şüpesiz raporlamadır.
Aşağıdaki adreste, offensive-security nin hazırladığı örnek penetration test raporuna göz atabilirsiniz.
http://www.offensive-security.com/offsec-sample-report.pdf
Daha güzel raporlar hazırlamanız dileğiyle…
Kısa süre önce meterpreter payloadına yeni kodlar eklendi.Yeni özellikler kazandırılan meterpreter payloadı ile klavye girişlerini yakalamak (sniff etmek) mümkün.
“migrate” komutu ile istenilen uygulamaya enjekte olunarak “keyscan_start” ve “keyscan_dump” komutları ile klavye girişleri yakalanabiliniyor.
Örnek bir kullanım için, Windows XP SP3 sisteme Ms08-067 exploiti ile meterpreter payloadını karşıya yükleyip komut satırını aldığımızı varsayalım.
Oturum Açma Bilgilerini Yakalama
Oturum elde edildikden sonra “ps” komutu ile hedef sistemde çalışan uygulamalar ile PID değerlerleri listelenir.
Windows sistemlerde kimlik doğrulama winlogon.exe (Microsoft Windows Logon Process) aracılığıyla yapılır. (bknz:resim 1)
“migrate” komutu ile bu uygulamaya enjekte olup, “keyscan_start” komutu ile klavye girdilerini yakalama işlemini başlatalım.Sisteme herhangi bir girişyapıldığında bu bilgileri “keyscan_dump” komutu ile elde edebiliriz. (bknz: resim 2)
Klavye Girişlerini Yakalama
Oturum açma sonrası, “migrate” komutu ile explorer.exe’ye enjekte olunarak “keyscan_start” komutu ile klavye girdileri dinlenir ve “keyscan_dump” ile yakalanan veriler okunur. (bknz: resim3 ve resim 4)
yukarıdaki resimde görüldüğü üzre, tüm klavye girdileri yakanlanmış …
Her hangi bir bilişim suçunun işlenmesinin ardından, şüpheli bilgisayar sistemlerindeki kanıtların toplanması için, bu sistemlerin diskleri üzerinde inceleme yapılır. Ancak bu inceleme sırasında elde edilen kanıtların geçerli olabilmesi için incelenen sabit diskin zarar görmemesi veya değişmemiş olması gerekmektedir. Bu nedenle ilk olarak kanıt diskin MD5 veya SHA1 gibi mesaj özeti (Message Digest) fonksiyonları ile bir özeti alınmalıdır. Bu özet analiz işlemi sırasında diskin değişip değişmediğini kanıtlayacak önemli bir veridir. Disk üzerinde bulunan kanıtların inceleme sırasında disk üzerine yazıldığı bu nedenle geçerli deliller olmadıkları iddia edilebilir.
Bu nedenle daha analiz işlemi başlamadan uygun araçlarla kanıtdiskin bir özetini almak bu tür iddiaları geçersiz kılacaktır. Çünkü kanıt disk üzerinde tek bir bit bile değişmiş olursa diskin yeni özeti analiz işleminden önceki özetinden farklı olacaktır. Bu nedenle analiz işleminden önce mutlaka kanıt diskin bir özeti alınmalı ve güvenli bir ortamda değiştirilemeyecek şekilde saklanmalıdır.
Harun ŞEKER tarafından adli analiz işlemlerine hazırlık konusunda yazılmış belgeye aşağudaki adresten ulaşabilirsiniz :
http://www.cehturkiye.com/adli_analiz_islemleri.pdf
Powered by WordPress
