Ali Can Gönüllü tarafından 2022-08-14 14:41:51 tarihinde yazıldı. Tahmini okunma süresi 2 dakika, 53 saniye.
Çalışmalarım için bağış yapmak isterseniz Patreon hesabımdan bağışta bulunabilirsiniz.
Blog adresinde yazılanlar sadece eğitim amacıyla deneysel olarak hazırlanmıştır. Konu içerisinde geçen yöntemleri kendi oluşturduğunuz test ortamında denemenizi tavsiye ederiz.
Herhangi bir tarih, yer ve/veya mekanda oluşacak zararlardan alicangonullu.org, alicangonullu.org yöneticisi ve/veya konu yazarı mesul değildir.
Merhabalar,
Bu yazımda sizlere Cobalt Strike ile ağ üzerinden paylaşımlı klasöre dosya gönderme yoluyla nasıl ransomware saldırısı yapılacağını anlatacağım.
Cobalt Strike kurulumu adlı makalemi okumadıysanız buradan okuyabilirsiniz.
Bunun için öncelikle sanal bilgisayarlar yardımıyla ağ yapısı kurmamız gerekmektedir. Benim Ağ yapımda Kali üzerinde koşan bir adet Cobalt Strike Teamserver (LAN IP 192.168.1.41), hedef bir adet Windows 10 sanal sunucu ve reel sistemim (LAN IP : 192.168.1.36) üzerinden bağlantı kurmamı sağlayacak Cobalt Strike GUI kullanacağım. Bridged bir Network ile LAN üzerinden bağlantılara açık bir ağ kuracağım. Ayrıca reel bilgisayarım üzerinden koşan bir adet klasörü VMWare üzerinden dosya paylaşımıyla Victim (Hedef) bilgisayar için açacağım.
Buradan sonra teamserver'a kendi bilgisayarımdan bağlanacağım (Lokal IP üzerinden bağlandığım için IP adreslerini verebiliyorum. Eski bir modem ile lab ortamı oluşturdum. Bilginize.)
Bağlandıktan sonra ise öncelikle Cobalt Strike > Listeners kısmından kendimize dinleme portu kuruyoruz.
Ardından şu adımları takip ederek virüsümüzü oluşturuyoruz ve kurbanımızın Dosya Paylaşımına gönderiyoruz.
Buradan sonra kurbanımıza bunu senaryo gereği "iş için bir program" benzeri bir bahaneyle yutturduğumuzu ve bu programı obfuscate ederek antivirüslere yakalanmasını engellediğimizi hayal ediyoruz. Ardından kurban bilgisayarımıza geçiyoruz ve dosyamızı görüp çalıştırıyoruz
Bu işlemden sonra reel bilgisayarımıza dönüyoruz ve exploit etmeye başlıyoruz. Cihaz eğer bağlantıysa şu şekilde görünecektir
Bu simgeyi gördükten sonra yapmamız gereken ilk önce cihazı Elevate ederek yetkimizi yükseltmeyi denememiz gerekiyor. Çünkü yetkimizi yükseltebilirsek her noktaya erişebiliriz. Olmazsa VNC bağlantısı ile de yetkimizi yükseltmeyi deneyebiliriz.
Elevate ettikten sonra cihazımız Cobalt Strike arayüzünde şöyle görünecektir.
Bu aşamada artık bilgisayarda her noktaya erişim sağlayabiliriz. Ben ekran görüntüsü alacağım ve cihaza kullanıcı ekleyip cihazdan ayrılacağım. Bunun için öncelikle ekran görüntüsü almak için şu aşamaları takip ediyorum
Üst kısımda bulunan resim simgeli butondan ekran görüntülerine ulaşabilirsiniz. Ben şimdi kullanıcı ekleyip çok dikkat çekmeden kaçmaya çalışacağım.
Buradan sonra şu aşamaları takip edip kullanıcımı oluşturup cihazla bağlantımı kesiyorum
Şimdi bilgisayardan ayrılıyorum
İşlem bu kadar. Okuduğunuz için teşekkürler. Daha fazla makale için takip etmeyi unutmayın!
NOT : Bu makale, diğer tüm makalelerim gibi SADECE EĞİTİM amacıyla yazılmıştır ve laboratuvar ortamında test edilmiştir. Bu makale sonucunda oluşabilecek olumsuz durumlardan alicangonullu.org websitesi yöneticileri SORUMLULUĞU REDDETMEKTEDİR. Diğer bilgiler için Yasal bölümünü okuyabilirsiniz.