Evilginx2 Nedir? Kurulumu, Kullanımı ve Önlenmesi
Evilginx2, iki farklı türde kimlik doğrulaması gerektiren durumları aşmamızı sağlayan bir phishing aracıdır. Yani bu iki tür de kimlik doğrulamasını ifade etmektedir. Saldırgan şifreyi ele geçirse dahi sisteme giriş yapmasının önüne geçmek amacıyla, sisteme farklı bir güvenlik önleminin daha eklenmesi durumudur. Bunun için 3 farklı türde güvenlik önlemi belirlenmiştir. Bunlar, “something you are” , “something you have” ve “something you do” diye tabir edilen şifre, telefon doğrulaması ve parmak izi gibi farklı katmanları belirten kavramlardır. Genelde 2 farklı katman kullanılan sistemler nispeten güvenli sayılmaktadır. Bu konuların detaylarına farklı bir yazıda değineceğim. Şimdilik bizi ilgilendiren iki türde kimlik doğrulamasını (“something you have” telefon doğrulaması ve “something you do” şifre) içeren Evilginix2’den bahsedelim. Evilginix2, Facebook, Twitter gibi sosyal medya uygulamalarının sahte arayüzlerini oluşturarak kullanıcıyı gerçek bir sayfa ile muhattapmış gibi göstermektedir. Şifre ve sonrasında gelen telefonla doğrulama kısımları için bire bir aynı arayüzü oluşturur. Bu sayede hata vermeden tüm işlemler gerçekleşir ve kurbanın web sitesi içerisindeki hareketleri de kontrol edilir. Önce bu tool’u nasıl yükleyeceğimize değinelim, sonrasında nasıl kullanabileceğimize ve güvenlik önlemi alabileceğimize değinelim.
Not: Burada yazılanlar saldırganların kullandığı yöntemler hakkında bilgi vermeyi ve buna göre kullanıcıların önlem almasını sağlamayı amaçlamaktadır.
Evilginx2 Kurulumu
Öncelikle bu kurulum için Go’nun yüklü olması gerekmektedir. Sonrasında Evilginix2 yüklemesine geçebiliriz.
Eğer Go yüklü değilse:
https://golang.org/dl/ sayfasına gidin ve linux için olan Go’yu indirin.
Terminale gelip Go’nun bulunduğu klasöre geçmek için:
cd /root/downloadsGo’yu sıkıştırılmış halden çıkarılması ve /usr/local klasörüne eklenmesi için:
tar -C /usr/local/ -xzf go1.13.6.linux-amd64.tar.gzSonrasında .bashrc dosyasının sonuna Go’yu tanıtıyoruz. Bu işlemler için:
nano ~/.bashrcAçtığımız dosyanın son kısmına:
export GOPATH=/root/go-workspace
export GOROOT=/usr/local/go
PATH=$PATH:$GOROOT/bin/:$GOPATH/binŞimdi değişikliklerin işlenmesi için .bashrc dosyasını güncelleyelim:
source ~/.bashrcDaha detaylı bilgi için bu sayfayı inceleyebilirsiniz:
https://tzusec.com/how-to-install-golang-in-kali-linux/
Evilginx2'nin kurulumuna geçebiliriz. Aşağıdaki komutları terminalden çalıştırarak Evilginx2'yi github sayfasından indirip çalıştırmaya hazır hale getirebilirsiniz:
sudo apt-get install git make
go get -u github.com/kgretzky/evilginx2
cd $GOPATH/src/github.com/kgretzky/evilginx2
makeBu işlemlerden sonra tool’umuz çalıştırılabilir durumdadır. Çalıştırmak için:
! Bu işlemi $GOPATH/src/github.com/kgretzky/evilginx2 dosyası içinde yapmanız gerekmektedir.
sudo ./bin/evilginx -p ./phishlets/Yazıp “Enter” tuşuna basmamız yeterli olucaktır.
Daha detaylı bilgi için bu sayfayı inceleyebilirsiniz:
Evilginx2 Kullanımı
sudo ./bin/evilginx -p ./phishlets/Komutunu çalıştırarak tool’a giriş yapıyoruz. Daha hızlı bir geçiş için “evilginx2” yazıp “Enter” tuşuna basmanız yeterli olacaktır.
Yukarıda aktif olan siteleri görüntülemekteyiz. Burada daha önce oluşturulmuş bir fake site olmadığı için bütün siteleri disabled olarak göstermektedir. Bu siteler Evilginix2 tarafından benzerleri oluşturulabilen sitelerdir. Burada deneme amaçlı bir uygulama yaparak kodları ve ne işe yaradıklarını beraber görelim. Yeni bir web sitesi açmak yerine localhost’un IP adresini (127.0.0.1) kullanabilmek için Evilginx2'yi -developer modda açalım. ( Developer mod Evilginx 2.1 sürümüne aittir eski sürümde o sebeple son sürümü yüklemenizi tavsiye ederim.):
evilginix2 -developerDeveloper mod bize siteyi “enabled” ederken SSL sertifikası almak yerine varsayılan bir SSL sertifikası sunuyor. Eğer developer mod’a almamış olsaydık gerçek bir sertifika oluşturacaktı, tabii bunun için bir website’si üzerinde çalışıyor olmamız gerekecekti aksi takdirde web siteyi enable ederken hata dönecekti.
Şimdi Evilginix’i developer mod da açalım ve sitemizi Evilcinix’e tanıtalım. IP ve adres localhost’ta çalışacağı için herhangi bir isim verebiliriz:
config domain nettsi.comSite adresinin IP bilgisini girelim:
config ip 127.0.0.1Benzerini oluşturacağımız sitenin adını ve ona ait site uzantısını girelim:
phishlets hostname linkedin linkedin.nettsi.comOluşturacağımız sitenin SSL sertifikasına sahip olmasını sağlamak için aşağıdaki kodu çalıştırmamız gerekiyor :
phishlets enable linkedinEvilginx tarafından bu bilgiler ışığında üretilen sitelere bakalım:
phishlets get-hosts linkedinBurada çıkan sonucu direkt /etc/hosts dosyasına kopyalayalım :
Şimdi Linkedin lures’ini oluşturalım:
lures create linkedinKurban sistemden çıkış yaptıktan sonra yönleneceği adresi belirleyelim:
lures edit redirect_url 0 https://www.linkedin.comEvilginix2’nin bize bu bilgiler doğrultusunda oluşturduğu sitenin adresini almak için aşağıdaki komutu çalıştırıyoruz:
lures get-url 0Bu komutla da sıfırıncı satırda bulunan aradığımız luresimizin URL’ini çağırıyoruz. Eğer daha öncede başka bir rule oluşturduysanız komut satırına “lures” yazarak oluşturduğunuz lures’leri ve sizin luresinizin kolonunu öğrenebilirsiniz. 0 yerine kolon numarasını yazmanız gerekecektir.
URL’i tarayıcıya girdiğimizde şöyle bir ekranla karşılaşıyoruz.
Oluşturulan site adresine gidelim. Sitenin SSL/TLS sertifikası default olduğu için tarayıcı uyarıyor, gerçek bir site üzerinde denediğimizde bu uyarıyı görmeyeceğiz. Advanced’a tıklayıp riski kabul ediyoruz. Karşımıza Linkedin giriş ekranı gelecektir.
Bu tool’un diğerlerinden daha iyi olmasının bir sebebi de kullanıcının yanlış şifre girmesini algılaması, doğru şifrede bir sonraki adıma geçmesi.
Doğru şifre girildiğinde eğer telefon doğrulaması ile giriş yapılıyorsa Linkedin telefon doğrulaması sayfasına gidiyor ve kullanıcıya doğrulama SMS’i gönderiyor.
Telefon doğrulama kodunuda doğru girdiğinde kullanıcı, tool’umuz onu anasayfaya yönlendiriyor.
Kırmızı kutucuk içine aldığım kısımda da görüldüğü gibi bizim fake sitemiz üzerinde linkedine giriş yapıyor. Çıkış yapana kadar bilgileri terminalden alabiliyoruz.
İlk girdiğimiz yanlış şifre dahil bütün sonuçlar listelenmiş.
Nasıl Önlem Alınır
Bu phishing tool’u anlaşılacağı üzere kullanıcı ile web sitesi arasında bir köprü görevi görerek Man in the Middle atak gerçekleştirmektedir. Bunu kullandığımız Burp Suite tool’una da benzetebiliriz. Herhangi bir zararlı yazılımı üzerinde barındırmadığı ve bilgisayarınıza yüklemediği için antivirüs programları bu durumu farketmekte zorlanmaktadır. Bu phishing saldırısının önüne geçmek için klasik olan “her bağlantıya tıklama”, “şifreni her yerde girme”, “girdiğin sitelerin URL’lerini kontrol et ” gibi uyarıların dışında insanların gün içinde aşırı yoğunluktan bu tür şeyleri her zaman yerine getiremeyeceğini düşünerek white list oluşturulabilir. Eğer iş yerinde ve belirli sitelere giriyor isek o siteler dışındaki URL’ler ya da IP’ler engellenebilir. Buna benzer önlemlerin düşünülmesi ve uygulanması gerekir.
Vaktinizi ayırdığınız için teşekkür ederim. Güvende kalın!
