Halka Açık Kablosuz Ağ Saldırıları 2

Merhabalar,

Bir önceki yazımızda, sahte kablosuz ağ oluşturarak kullanıcıların sistemlerini nasıl ele geçirebileceğimizden bahsetmiştik. Bu yazımızda da benzer isimli kablosuz ağımıza kullanıcıları çekerek eriştikleri web adreslerindeki kullanıcı bilgilerini ele geçirmeye çalışacağız.

Şifresi kullanıcılarla paylaşılan kablosuz ağları nasıl taklit edebileceğimize dair detaylara bir önceki yazımızdan ulaşabilirsiniz. Sahter kablosuz ağımızı oluşturmak için Wifi-Pumpkin aracından yararlanmıştık.

 “Eylul” ismindeki gerçek kablosuz ağını “EyluI” (sondaki küçük L harfi yerine büyük I harfini kullanarak) kendi kablosuz ağımızı oluşturduktan sonra, SET (Social Engineering Toolkit) ile kullanıcının erişim sağladığı web adresini taklit edeceğiz. Kablosuz ağımızın şifresinin, taklit ettiğimiz kablosuz ağın şifresi ile aynı olması, kullanıcının farklı bir ağa bağlandığının farkına varmasını zorlaştıracaktır.

Ekran Görüntüsü 1: Windows ortamında kablosuz ağ isimlerinin görüntülenmesi

Social Engineering Toolkit , içerisinde bir çok sosyal mühendislik saldırısı senaryosu içeren bir araçtır. Kali Linux içerisinde kurulu olarak gelmektedir.

SET aracını başlattığımızda bize nasıl bir senaryo hazırlamak istiyorsak ona göre yönlendirecek bir menü karşılıyor.

Social-Engineering Attacks > Website Attack Vectors > Credential Harvester Attack Method > Site Cloner yolunu izleyerek, web sitesinin bir kopyasını alarak kullanıcı bilgilerinin ele geçirilmesi senaryosunu seçiyoruz.

Ekran Görüntüsü 2: Kopya web sitesinin oluşturulması

Daha sonra kullanıcıların kullanıcı bilgilerini ele geçirdikten sonra hangi adrese yönlendireceğimizi belirliyoruz. Hangi siteyi klonlamak istiyorsak, site adresini giriyoruz ve kopya web adresi yayına başlıyor.

Ben bu senaryoda, popüler bir kariyer ve sosyal paylaşım adresini tercih ettim.

Daha sonra Wifi-pumpkin aracının DNS Spoofer modülü ile kullanıcıların gerçek web sitesine yaptığı DNS isteklerine kopya adresin yayın yaptığı IP adresinin cevap olarak dönülmesini sağlıyoruz.

Ekran Görüntüsü 3: Kullanıcı DNS isteklerinin yönlendirilmesi

Kullanıcı ilgili adrese gitmek isteğinde  SET aracı ile hazırladığımız kopya web sitesine ulaşacak. Bu adreste girmiş olduğu kullanıcı bilgileri bize iletilecek.

Ekran Görüntüsü 4: Kullanıcının www.linkedin.com adresinin DNS isteğine aldığı yanıt

Ekran Görüntüsü 5: Kullanıcı tarafında kopya websitesinin görüntülenmesi

Ekran Görüntüsü 6:Kullanıcı bilgilerinin ele geçirilmesi

Kullanıcı bilgileri ele geçirildikten sonra kullanıcının gerçek siteye erişebilmesi için DNS Spoofer modülü ile yaptığımız DNS yönlendirmesi kaldırılması gerekir.

Alınabilecek önlemler

--Halka açık olarak yayın yapan ve şifresi paylaşılan kablosuz ağları kullanılmamalıdır.

--Bu ağları kullanmak durumunda kalmanız halinde, benzer isimle başka bir kablosuz ağın olup olmadığı kontrol edilmelidir.

--Benzer isimde kablosuz ağ varsa, farklı işletim sistemine sahip bir sistem ile kablosuz isimleri kontrol edilebilir. Android, IOS işletim sistemlerinde kablosuz ağ isimlerindeki küçük farklılıklar daha belirgin olabiliyor.

Ekran Görüntüsü 7: Android ortamında kablosuz ağ isimlerinin görüntülenmesi

--Bağlantılarınız olağan dışı bir şekilde farklı adreslere yönlendiriliyorsa, yönlendirildiğiniz adreslerden dosya indirme işlemini gerçekleştirilmemelidir.

--Erişim sağlayadığınız web adresinin SSL sertifikasının, o adrese ait olup olmadığını kontrol ediniz. Bir şüpheniz olması durumunda bu siteden bir dosya indirilmemeli ve kullanıcı bilgileri paylaşılmamalıdır.

Bu yazı, kullanıcıların bilgi güvenliği farkındalığını arttırmak amacıyla yazılmıştır. Bu saldırının uygulanmasından doğacak yasal sorumluluk uygulayan kişilere aittir.

Bu yazı, BeyazŞapka Dergisi'nin Şubat 2018 sayısında yayınlanmıştır.

Halka Açık Kablosuz Ağ Saldırıları

Merhabalar,

Bu sayıda, şifresi paylaşılan halka açık kablosuz ağları kullanan, kullanıcılara uygulanabilecek bir saldırı senaryosunu ele alacağız.

Kafeler, havaalanları ya da kurumsal şirketlerin misafirleri için kullanılan kablosuz ağlarının şifresi genellikle açık olarak kullanıcılar ile paylaşılmaktadır. Saldırganlar, bu ağlara bağlanarak kullanıcılara saldırmak yerine benzer isimle kendi sahte kablosuz ağlarını kurarak, kullanıcıları bu ağ’a bağlanmasını sağlayarak saldırı gerçekleştirebilmektedirler.

Biz de senaryomuzu bu şekilde uygulayacağız. Halka açık kablosuz ağa benzer isimle bir kablosuz ağ kurup, şifresini de gerçek ağ ile aynı olacak şekilde yapılandıracağız. Böylece bağlantı sağlayan kullanıcıların, sahte kablosuz ağ’a bağlandıklarının farkına varmalarını zorlaştıracağız.

Daha sonrasında kullanıcının DNS isteklerini istediğimiz adrese gidecek şekilde yönlendirip, java güncelleme sayfasına bağlandıklarını görmelerini sağlayacağız. Java güncellemesi olarak indirip çalıştırdıkları dosya da, bizim kullanıcının sistemini ele geçirmemizi sağlayan arka kapıyı içermektedir.

Sahte Kablosuz ağ oluşturmak için Wifi-Pumpkin aracını kullanacağız. Bu araç aynı zamanda, dns isteklerini yönlendirebilmemizi ve sahte java güncelleme sayfası oluşturmamızı da sağlayacak.

Bizim senaryomuzda, Gerçek kablosuz ağın ismi “Eylul”, bizim oluşturduğumuz sahte kablosuz ağın ismi ise “EyluI” olacak. İlk bakışta, ikisi arasındaki fark belli olmuyor. Sahte kablosuz ağın isminin son harfi için küçük “L” harfi yerine büyük “I” harfini kullandık. Aynı isimle ağ oluşturduğumuz takdirde, kullanıcılar gerçek ağa bağlanırken de, sahte ağa bağlanırken de kimlik doğrulama sorunu yaşayacaklardır.

Ekran Görüntüsü 1: Sahte Kablosuz Ağ’ın Oluşturulması

Ekran Görüntüsü 1’de Sahte kablosuz ağımızın yapılandırmasını görebilirsiniz. Burada dikkat edilecek noktalar, daha öncede belirttiğim gibi ismin farklı olması ve şifrenin gerçek ağ şifresi ile aynı olmasıdır.

Daha sonra oluşturduğumuz arka kapı dosyasını, java güncelleme paketi olarak sunacak bir web sunucu için Wifi-Pumpkin aracının “Windows Update Attack Generator” modülünü kullanıyoruz.

Ekran Görüntüsü 2: Sahte Java güncelleme sayfasının oluşturulması

Web sunucu hazır olduktan sonra, DNS isteklerini yönlendirmek için DNS Spoofer modülünü aktif ediyoruz. Ben burada sadece “javaupdater.com” adresini yönlendirdim. Gerçek bir senaryoda, kullanıcının bütün isteklerini sahte java güncelleme sayfasına yönlendirerek, daha agresif bir saldırı gerçekleştirilebilir.

Ekran Görüntüsü 3: DNS isteklerinin yönlendirilmesi

Kullanıcı tarafında sahte java güncelleme sayfası aşağıdaki şekilde görünecektir.

Ekran Görüntüsü 4: Kullanıcı tarafında sahte Java güncelleme sayfası

Kullanıcının sayfayı ziyaret ettiğini aracın monitor kısmından takip edebiliriz.

Ekran Görüntüsü 5: Kullanıcının aktivitelerinin takip edilmesi

Kullanıcı dosyayı indirip çalıştırdığında da, arka kapının geri dönüş yapacağı handler üzerinden kullanıcının sistemi üzerinde oturum elde edilmiş oluyor.

Ekran Görüntüsü 6: Kullanıcı sistemi üzerinde oturum elde edilmesi

Alınabilecek önlemler

--Halka açık olarak yayın yapan ve şifresi paylaşılan kablosuz ağları kullanılmamalıdır.

--Bu ağları kullanmak durumunda kalmanız halinde, benzer isimle başka bir kablosuz ağın olup olmadığı kontrol edilmelidir.

--Benzer isimde kablosuz ağ varsa, farklı işletim sistemine sahip bir sistem ile kablosuz isimleri kontrol edilebilir. Android, IOS işletim sistemlerinde kablosuz ağ isimlerindeki küçük farklılıklar daha belirgin olabiliyor.

--Bağlantılarınız olağan dışı bir şekilde farklı adreslere yönlendiriliyorsa, yönlendirildiğiniz adreslerden dosya indirme işlemini gerçekleştirilmemelidir.

--Mutlaka bir uç nokta güvenlik ürünü kullanılmalıdır. İmza tabanlı olarak yada makine öğrenme yöntemi ile dosyaların güvenli olup olmadığı kontrol edilebilir.

-- İndirilen dosyaların otomatik olarak çalıştırılmasını engelleyen erişim kısıtlama politikaları kullanılabilir.

Not: Bu makale BeyazŞapka dergisinin Kasım 2017 sayısında yayınlanmıştır.

Bu köşede anlatılan yöntemler, bilgi güvenliği farkındalığını arttırmak adına anlatılmaktadır. Doğabilecek yasal sorumluluklar bu yöntemleri uygulayan kişilere aittir.