Merhaba. Bu yazımda Empire isimli Post-Exploitation aracının kurulumunu yapacağım. Daha sonra Empire aracı ile örnek olarak Office Macro saldırısı ile Powershell saldırısı yaparak kullanımını ele alacağım.
Burada yer alan repoya giderek inceleyebilirsiniz ⟾ Github (1)
⟾ Github (2)
Empire, kriptolojik olarak güvenli iletişim sağlayan ve esnek bir mimariye dayanan bir PowerShell post-exploitation ajandır. Empire, Powershell.exe’ye gerek kalmadan PowerShell çalıştırmayı sağlayabilen, Keyloggerlardan Mimikatz’a kadar post-exploitation modülleri hızlıca yerleştirilebilin ve ağ tespit sistemlerinden kaçınmak için farklı teknikler barındıran bir uygulamadır.
https://www.bgasecurity.com/
Not: Burada anlattığım tüm konular bilgilendirme amaçlı olup hiçbir teşvik amacı gütmemektedir. Sızma testi senaryolarında kullanıma örnek olması amacı ile test sistemlerinde gösterilmektedir.
Empire Kurulumu
Empire aracının kurulumu için iki farklı yol var. Birinci yol olarak yukarıda verdiğim birinci github reposuna giderek Empire aracını sistemimize klonlamamız gerekmekte.
Öncelikle Empire aracını sistemimize klonluyoruz.
Daha sonra klonlanan dosya içerisine girerek /setup/install.sh yolunda bulunan dosyasını çalıştıracağız. Bu kısımda requirements.txt de çalıştırılabilir.
Yükleme tamamlandıktan sonra ./empire komutunu çalıştırarak aracı başlatabiliriz.
*********************************************************************************************************
İkinci yükleme yöntemi ise yukarıda verdiğin github repolarından ikincisine giderek incelenebilir. Bu kısımda terminale aşağıdaki komutu yazarak Empire aracını sorunsuz bir şekilde yükleyerek kullanabiliriz.
apt install powershell-empire
Ben daha önce yüklediğim için herhangi bir yükleme olmadı. Şimdi aşağıdaki komut ile Empire aracını başlatabiliriz.
powershell-empire
Empire aracını sorunsuz bir şekilde başlatıyorum. help komutu çıktısı aşağıdaki gibidir.
Empire aracı içerisinde modüller, listenerler ve stagerler bulunmaktadır. Metasploite benzer şekilde bunlar üzerinde SET, UNSET ile düzenlemeler yapılabilir ve EXECUTE komutu ile çalıştırılabilir. Kısaca bilgi verdim fakat bu araç ile ilgili daha fazla bilgiyi aşağıdaki linke giderek edinebilirsiniz.
⟾ http://www.powershellempire.com/
Empire Office Macro Saldırısı
Office Macro saldırısı en sık görülen saldırı yöntemlerinden bir tanesidir. Bu yöntemde Empire aracı ile üretilen bir makroyu Sosyal Mühendislik çerçevesinde hazırladığımız bir word dosyasına makro olarak ekleyeceğiz. Hedef kişinin karşısına bu dosyayı açtığında makroları etkinleştirmesi gerektiği ile ilgili uyarı penceresi çıkacak. Kişi makroları etkinleştir butonuna tıkladığında saldırgan, karşı tarafta oturum elde etmiş olacak. Şimdi uygulamalı olarak görelim.
Öncelikle listener tanımlamamız gerekiyor.
Yukarıda görüldüğü üzere ilk olarak listeners komutu ile aktif bir listener olmadığını görüyorum. uselistener komutu ile listenerlar görüntülenebilir. uselistener http ile http listeneri ayarlıyorum. set Name ile listener adını ayarlıyorum. set Port ile dinlecenek portu ayarlıyorum. info komutu ile listener hakkında detaylı bilgi alabiliriz.
execute komutu ile listenerı başlatıyorum.
listeners komutunu tekrar çalıştırıyorum ve serdar_makro isimli listenerı görüyoruz.
Şimdi makro oluşturma kısmına gelelim. Hedef sistemin hangi işletim sistemine sahip olduğunu bilmiyorsanız multi/macro seçeneği seçebiliriz. Ancak benim hedef sistemim Windows olduğu için windows/macro stagerini kullanacağım.
Yukarıda görüldüğü üzere usestager windows/macro komutundan sonra listener (serdar_makro) ismini ekledim.
Execute komutu ile makroyu oluşturdum. Makroyu oluşturduktan sonra windows makinemde word dosyası açıyorum ve düzenliyorum.
Daha sonra Görünüm sekmesinden yeni bir makro oluşturup içerisine Empire ile oluşturduğum makro kodunu yazıyorum ve kayıt ediyorum.
Dosyamız oluşturuldu artık bu dosyayı hedef sisteme gönderip makro çalıştırıldığında bağlantıyı sağlayabiliriz. Genellikle bu saldırıda AV tarafından tespit oranı oldukça düşük olduğu için başarıya ulaşma şansı çok yüksek.
Empire Powershell Launcher Saldırısı
İlk olarak aşağıdaki gibi listener oluşturup execute diyoruz.
Daha sonra launcher powershell komutu ile powershell kodunu oluşturuyorum. Bu kod hedef powershell üzerinde çalıştığında bağlantı sağlanmış olacak.
Hedef sistemde yukarıdaki kodu çalıştırıyorum ve aşağıda görüldüğü üzere admin yetkisinde shell alıyorum. Admin yetkisinde olduğumuzu Username‘in başında yer alan (*) işaretinden anlıyoruz.
Şimdi çeşitli komutlar ile farklı şeyler elde edebiliriz.
Yukarıda görüldüğü üzere ilk iş olarak interact komutu ile hedef makineye bağlanıyorum. Daha sonra info komutu hedef sistem hakkında bilgi alıyorum.
Mimikatz komutu ile yukarıda görüldüğü üzere hedef sistem kullanıcı şifrelerini elde ediyorum ancak ben hedef sisteme parola koymadığım için boş olarak görünüyor.
creds komutu ile daha düzgün bir çıktı elde edebiliriz. Bu kısımdan sonra hedef sistemde kalıcı olma veya hedef sistem üzerinden iç ağ taraması ile çeşitli senaryolar düşünülebilir.
Oldukça çeşitli ve başarılı saldırılar yapabileceğimiz güzel bir araç olan Empire için küçük bir kısmı ele aldık. Daha fazla araştırma yapıp detaylı bilgilere erişilebilir.
Başka yazılarda görüşmek üzere..
