Ağ Güvenliği 101 #5 Bilgi Toplama #2: Email ve Sosyal Medya Üzerinden Bilgi Toplama
Bu yazımızda email adresleri ve sosyal medya üzerinden bilgi toplamaya odaklanacağız. Bu kaynaklardan elde edilecek bilginin önemine, bu bilginin ne işimize yarayacağına ve bilgi toplama işlemini nasıl gerçekleştirebileceğimize, hangi servislerden ve araçlardan faydalanabileceğimize değineceğiz. Dilerseniz vakit kaybetmeden konumuza giriş yapalım.
Email Adreslerinden Elde Edilen Bilginin Önemi:
Bilgi toplama aşamasında emailler hakkında toplayacağınız bilgiler ya da bu alana odaklanmak bazılarına gereksiz gelebilir fakat bunun aksine sızma testlerinde email adreslerinden edinebileceğimiz bilgiler test açısından hayati önem taşıyabilir. Şunu unutmayalım ki büyük çapta saldırıların çoğunun öncüsü olarak bir oltalama saldırısı mevcuttur. Bu yazıda edineceğimiz bilgiler de oltalama saldırıları için çok önemli bir yere sahip olacaktır. APT’lerin büyük bir çoğunluğu sanılanın aksine bir 0day ile değil oltalama saldırıları ile başlar. Buna örnek olarak aşağıdaki linki verebilirim. Linkte APT’lerin yapıları, hedefleri vb birçok şey belirtilmekte. İngilizceye çevirerek inceleyebilirsiniz.
https://mp.weixin.qq.com/s/Ni3dscLJBrVsW5jR5OySdA
Email hakkında toplayabileceğimiz veriler: Kurum ya da kuruluşa ait mail adresleri ve adres yapısı, çalışanlara ait mail adresleri, mail headerları, mail sunucuları vb. Bu verileri kullanarak edinebileceğimiz bilgiler bize sosyal mühendislik kısmında, varsa kurumun kullandığı uygulamalarda ya da yetki isteyen, erişim sağlayabileceğimiz veri tabanlarında kullanıcı adı bilgileri hakkında fikir sahibi olmamızda, email sunucusu hakkında bilgi edinmemizde, MX kayıtları sayesinde Cloudflare koruması varsa bir ihtimal gerçek IP adresini elde edebilmemizde ve yazı içinde bahsedeceğimiz birçok alanda işe yarar.
Bilgi Toplama:
Bilgi toplarken ağırlıklı olarak OSINT’den faydalanacağız, bir miktar da aktif bilgi toplamaya gireceğiz. Bilgi toplama kısmında genelde yapılan 2–3 tane araç gösterip bilgi toplama kısmını sonlandırmanın aksine mümkün olduğunca bir sızma testi senaryosu kurarak ve otomatize bir araç kullanmadan, web servisleri üzerinden ilerlemeye çalışacağız. Öncelikle MX kayıtlarından bahsedelim.
MX Kayıtları:
Şimdiye kadar okuduğunuz çoğu kaynakta, gittiğiniz çoğu eğitim, sunum vb. şeylerde MX kayıtlarını duymuşsunuzdur ancak MX kayıtları sadece duymakla kalıyor genelde. DNS kayıtları anlatılırken “İşte MX’de mail ile ilgili olan DNS kaydı yiaa” denilip geçiliyor çoğu zaman ya da bir tık öteye gidip açılımının Mail Exchange Record olduğu söyleniyor, sonrası Türkçe mealini bulmaya bırakılıyor. Biz yazımızda MX kayıtlarının dilinden anlamaya ve bir saldırgan MX kaydında neye dikkat edebilir ona yoğunlaşmaya çalışacağız.
MX kayıtları, mailin nasıl yönlendirilmesi gerektiğini gösteren DNS kayıtlarıdır. Gelin beraber örnek bir MX kaydını inceleyelim. İlk örneğimiz tek mail sunucusunun olduğu bir örnek olacak.
; A Kaydı
threearrowssecurity.com. 7200 IN A 192.168.87.35; MX Kaydı
threearrowssecurity.com. 7200 IN MX 0 threearrowssecurity.com.
Şimdi yukarıda kafama göre bir kayıt yazdım. Biz bu kayıtları bir inceleyelim. A kaydına zaten vakıfsınızdır bizim işimiz MX kaydının olduğu satırda.
alanadı.com. 7200 IN MX 0 alanadı.com.
Bu satır bize şöyle diyor: “Tüm @threearrowssecurity.com. uzantılı mailler threearrowssecurity.com.’da bulunan mail sunucusuna yönlendirilsin.”. A kaydımıza baktığımızda da threearrowssecurity.com.’un 192.168.87.35'da bulunduğunu görebiliyoruz. Örneğin esref@threearrowssecurity.com’a gönderilen bir mail 192.168.87.35'de bulunan mail sunucusuna yönlendirilecek. Burada MX kaydının görevi bitiyor. Sonrasında görevi mail sunucusu devralıp maili esref kullanıcısına yönlendiriyor.
Kaydımızı açıkladığımıza göre bu kayıtta dikkatinizi çekmek istediğim iki nokta bulunmakta. Bunlardan birincisi alan adından sonra gelen nokta (.) diğeri ise “0” rakamı. Öncelikle noktayı inceleyelim. Burada bulunan nokta önemli çünkü eğer orada o nokta olmasaydı yönlendirme işlemi “threearrowssecurity.com.threearrowssecurity.com”a yapılacaktı. Bu karışıklığın önlenmesi için oradaki nokta bizim için önem arz ediyor. Şimdi gelelim 0 rakamına. Bu rakam bir tercih değeridir. DNS kaydı kontrolü yaptığınız sitelerde bu değeri “Pref.” ya da “Preference” olarak görebilirsiniz. Değer düştükçe tercih oranı artar ve mailler her zaman düşük değerli olan sunucuya yönlendirilirler. Burada tek bir mail sunucu bulunduğu için 0 rakamı güvenlik açısından bir önem doğurmuyor fakat birden fazla sunucunun olduğu durumlarda işler biraz değişiyor. Şimdi bir de birden fazla sunucunun olduğu bir kaydı inceleyelim.
; A Kaydı
threearrowssecurity.com. 7200 IN A 192.168.87.35
sunucu2.threearrowssecurity.com. 7200 IN A 192.168.87.36; MX Kaydı
threearrowssecurity.com. 7200 IN MX 0 threearrowssecurity.com.
threearrowssecurity.com. 7200 IN MX 10 sunucu2.threearrowssecurity.com.
Birden fazla sunucunun bulunduğu durumlarda mailler tercih değerinin düşük olduğu sunucuya yönlendirilirler. Eğer en düşük tercih değerine sahip olan sunucu kapalı ise bir sonraki düşük değerli sunucuya yönlendirme işlemi gerçekleştirilir. Eğer bütün MX kayıtları aynı tercih numarasına sahipse sunucu rastgele olarak deneme yapar.
Şimdi bu bilgiler ışığında bir değerlendirme yaparsak saldırganlar MX kayıtlarında daha çok tercih değerlerine dikkat ederler. Saldırılar genelde yüksek tercih değerine sahip yani daha az yönlendirilen sunuculara gerçekleştirilir çünkü bu sunucularda yapılandırmaların hatalı ya da daha zayıf olduğu düşünülür ve gönderilen içeriğin “Spam” yerine “Inbox”a düşmesi daha muhtemeldir. Bu da gerçekleştirilecek saldırının başarı oranını arttırmaktadır. Unutmayalım ki mail sunucuları esas hedefler değil hedefe giden aracılardır.
Bunlara ek olarak Cloudflare gibi korumalarda gerçek IP adresini bulmak için de MX kayıtlarından faydalanılabilir çünkü genelde mail sunucuları Cloudflare korumalarının kapsamının dışında kalır bu da saldırganlara güzel bir koz vermektedir.
MX kayıtları hakkında bilgimizi verdiğimize göre şimdi bilgi toplama işlemimize dönüş yapalım. Hedef olarak Amerika’nın önde gelen beyaz eşya şirketlerinden birisi olan “Whirlpool”u ele alalım. Öncelikle o kadar anlattığımıza göre MX kayıtları hakkında bilgi toplayalım. Bu işlem için ben “MxToolBox”ı kullanacağım. Alternatif olarak DNS sorgusu yapabildiğiniz diğer siteleri de kullanabilirsiniz ancak düzen açısından çok güzel bir örnek olarak da “Hardenize”ı öneririm.
MxToolBox:
MxToolBox özünde mail üzerinde bilgi toplamak için özelleştirilmiş fakat içinde birden fazla seçenek sunan güzel servislerimizden bir tanesi. Kullanacağımız servise aşağıdaki bağlantıdan erişim sağlayabilirsiniz.
mxtoolbox.com
Arama çubuğuna hedefimiz olan “whirlpool.com” yazalım ve sonuçlar nelermiş bir göz atalım.
Yukarıda bahsettiğimiz tercih değerinin en sol sütunda “Pref” olarak belirtildiğini görmekteyiz. MX kayıtlarını anlatırken belirttiklerimizin dışında MX kayıtları sayesinde 3. Parti bir uygulamada ya da serviste saklanan bilgilerin olup olmadığını da öğrenebiliriz. Örneğin burada servis sağlayıcısı olarak “Google Apps” kullanıldığını görmemiz gibi.
MXToolBox bize ayrıca Blacklist sorgulaması yapmak için bir hizmet de sunar. Şimdi test yaptığımız yerin mail sunucusunun neden Blacklist’de olup olmadığına bakmalıyız diye bir soru yöneltebilirsiniz. Bunun sebebi. Blacklist’lere girmek için belli başlı sebepler bulunmakta. Sunucuda kritik bir zafiyet bulunması da bunlardan birisi. Şuan senaryomuzda bulunan kurumda bu ihtimal Blacklist açısından çok düşük lakin başka testlerde işinize yarayabilir.
İlk görselde gördüğümüz ancak bahsetmediğimiz DMARC diye bir şey bulunmakta gelin biraz da ondan bahsedelim.
DMARC:
DMARC ne işe yarıyor dersek eğer alan adı tabanlı olarak mesajları doğrulama, onaylama ve raporlamaya yarayan bir politikalar bütünüdür diyebiliriz. Peki DMARC kaydı bizim için neden önemli olabilir? DMARC alan adına dayanarak doğrulama yaptığı için yayınlanan bir kayıtta ki politikalara göre yapılacak oltalama saldırılarında yöntem ve içerikde DMARC’a göre şekillendirmeler ve yönlendirmeler yapabiliriz.
RFC 7489'a göre DMARC, SPF ve DKIM’dan geçen maillerin denetimini sağlamak için ortaya çıkmıştır. Gelin bir de önemli kayıtlardan birisi olan SPF’leri inceleyelim.
SPF:
SPF’i tam karşılığı olamamakla beraber kabaca elindeki listeye göre mailin geldiği sunucuyu değerlendirip mailin spam ya da gerçek olduğuna dair bir kontrolün sağlandığı bir standarttır şeklinde tanımlayabiliriz. Örneğin sunucuya gelen reklam maillerinin ait olduğu sunucu SPF’de bulunan listede izne sahipse sunucunuz maili Inbox’a eğer değilse spame düşürebilir.
SPF kontrol sağlarken “Return-Path” adı verilen değere bakar. Bu değer mail’in başlığında(header) bulunur. Peki “Return-Path” nedir? Return-Path mailin alıcısı olan sunucunun herhangi bir hata durumunda mailin gönderildiği sunucuyu bilgilendirmek için kullandığı mail adresidir. SPF Return-Path’de bulunan mail adresinden alan adını alarak alan adının DNS sunucusundan SPF TXT kaydını ister. Dönen kayıttaki IP adresleri geçerli mi değil mi diye kontrol edilir. Sonrasında IP adresleri alıcı olan sunucudaki SPF listesiyle karşılaştırılır. Gelen IP adreslerinin izin durumuna göre maile uygun olan aksiyon sunucuda gerçekleştirilir fakat SPF’de onay alamayan her mail iletilmeyecek diye bir durum söz konusu değil bazı durumlarda son sözü ISP’ler söylerler. Burada bulunan güvenlik açığından dolayı da DMARC ortaya çıkmıştır.
SPF Kayıtlarının Saldırgan Açısından Önemi:
Eğer SPF kaydı yoksa ya da yanlış yapılandırılmışsa saldırganlar mail sahteciliği yapabilirler. Örneğin hedefe zafiyetin bulunduğu sunucudan geliyormuş gibi bir mail göndererek (destek@samsung.com.tr) sosyal mühendislik saldırılarında bulunabilirler. Bunun için bir örnek olarak aşağıdaki HackerOne kaydını bırakayım:
Return-Path’ın mail başlığında bulunduğunu söylemiştik. Peki biz bu mail başlığı incelemesini nasıl yapabiliriz? Burada da imdadımıza MXToolBox yetişiyor. Aşağıda bulunan bağlantıdan başlık analizi için olan aracımıza geçelim.
mxtoolbox.com/EmailHeaders.aspx
Analizi nasıl yapacağımıza geçmeden önceden neden yapabileceğimiz hakkında bilgi vermeye çalışayım. Başlık analizi sayesinde yukarıda bahsedilen standartların ve mekanizmaların kuralları hakkında mail header’ını analiz ederek bilgi sahibi olabiliriz buna ek olarak mail sunucusunun IP adresi ve hakkındaki diğer birkaç bilgiyi de analiz sayesinde öğrenebiliriz.
Mail Başlığı(Header) Analizi Nasıl Yapılır?
Analizimizi yapmak için öncelikle başlığa erişmemiz lazım. Bunun için aşağıdaki rehberden faydalanabilirsiniz.
mxtoolbox.com/Public/Content/EmailHeaders/
Ben buradaki anlatımımı Gmail üzerinden yapacağım. Öncelikle analizini yapacağımız maili açıyoruz ve ekranda bulunan üç noktaya tıklayıp “Orijinali Göster” seçeneğine tıklıyoruz.
Sonrasında karşımıza çıkan sayfada özetten sonra mail başlığımızı görüyoruz ve tamamını kopyalıyoruz.
Kopyaladığımız başlığımızı yukarıda verdiğim bağlantıdaki MXToolBox analiz aracına yapıştırıp analizi başlatıyoruz. Kısa bir süreçten sonra analiz sonuçlarımız bizi karşılıyor.
Burada aslında aracın yaptığı şey bizim dağınık olarak gördüğümüz başlığı derleyip toparlayıp bizim karşımıza sonuç olarak basması oluyor. Eğer mantığını soracak olan bir arkadaşımız çıkarsa ona da böyle bir yanıt vermiş olalım.
Şimdiye kadar hep hedef sistemimiz hakkında kural dizinlerinden ve bunlardan nasıl faydalanabileceğimizden bahsettik, gelin biraz da hedefimize yönelik kurumsal mailleri nasıl toplayabileceğimizden ve çalışanlar üzerine nasıl yoğunlaşabileceğimizden bahsedelim.
Email Adreslerini Toplamak:
İnsanlar çoğu zaman iş etiğine bağlı kalmazlar ve iş için sunulan imkanları kendi lehlerine kullanmaya meyillidirler. Bu imkanlardan birisi de kişilere tahsis edilen kurumsal maillerdir. Kişiler çoğu zaman kişisel işleri için kendilerine tahsis edilen kurumsal mailleri kullanmaktadır. Bu durum da saldırganlar için bilgi toplama evresinde birer cevher haline dönüşmektedir. Hedefimiz olan Whirlpool’a ait bir mail uzantısı ile alınan alan adlarını bir inceleyelim. Bu işlem için ViewDNS’i kullanacağız. Aşağıdaki bağlantıdan erişim sağlayabilirsiniz.
viewdns.info
Gördüğünüz üzere ViewDNS’de birçok araç bulunmakta ancak biz şuan “Reverse Whois Lookup” aracını kullanacağız. Aracımıza Whirlpool’a ait tüm mail adresleri için sorgu yapması amacıyla aşağıdaki parametreyi veriyoruz:
*@whirlpool.com
Gördüğünüz üzere karşımıza birçok alan adı geldi. Bu alan adlarının oluşturulma tarihi ve kayıtlı kuruluşu da karşısında bulunmakta. Bizim yapmamız gereken ise burada Whirlpool ile alakalı olmayacak olan alan adlarını tespit etmek olacak. Benim gözüme şu iki alan adı çarptı:
İlk gördüğümüz alan adı Whirlpool’a değil de kişiye özel bir kuruluş olduğu izlenimi verdi bana ancak asıl dikkatimi çeken diğer alan adıydı yani “shamrockfans.com”. Bu alan adının Whirlpool ile ilgisinin olduğunu düşünmüyorum. Bakalım bu alan adında ne varmış.
Alan adını URL çubuğuna girdiğim zaman beni böyle bir bloğa yönlendirdi fakat araştırmamda bu bloğa dair bir Whirlpool mailine rastlayamadım direkt olarak. Şimdi diğer alan adımızı inceleyelim yani “reveillequiltstudio.com” Gelin bakalım burada bizi ne karşılayacak.
Karşımıza bu sefer de böyle bir sayfa çıkıyor. Sayfayı incelediğimizde bir hevesle açıldığı ancak sonrasında yarım kaldığını görebiliyoruz. Alan adımıza bir whois sorgusu çekelim bakalım bize neler sunacak.
Maşallah maşallah akıyor bu akşam. Site sahibinin ismi ve maili gözünüzün önünde bulunuyor ve bu mail normalde kurumsal olan bir mail. Daha rahat görebilmeniz için komutumuzu şu şekilde değiştirelim:
whois reveillequiltstudio.com | grep --color -i @whirlpool.com
Alan adının kurumsal bir mail ile alındığı açıkca karşımızda duruyor ve biz buradan sadece bu sonucu çıkarmıyoruz. Buradan çıkardığımız bir diğer sonuç hedef kurumumuzun mail yapısı. Görüldüğü üzere çalışanların isimlerini “_” ile bölerek mail ataması yapıyorlar. Bu bilgi ileride eğer kullanıcı adı ile giriş yapmamızı gerektirecek bir yapı olursa orada kullanıcı adı tahmini yapmamızda çok işimize yarayacak.
Abimizin ismini öğrendiğimize göre hakkında daha fazla bilgi toplayabilmek için ViewDNS’e birde ismini verip sorgu yapalım.
Karşımıza böyle bir sonuç geliyor. İlk alan adı kişisel bir site gibi gözüküyor. Bir Whois’de ona çekelim bakalım.
Sonuç yine gözlerimizi dolduruyor. Gregory abimizin bir diğer mail’i hakkında da bilgi sahibi olmuş olduk. Admin ismi bilgisi kaydı girilmeden de bir kayı alınmış olabileceğinden şüphelenerek bir de “greg@fisbeck.com” mailine göre sorgu yaptım ve karşıma “cedarcanyon.com” isimli bir alan adı çıktı. Buranın whois sorgusunu yaptığımda diğer whois sorgularına göre farklı bir adres bilgisi elime geçti. Muhtemelen daha önceden açıldığı için (1997) eski bir adres bilgisi fakat sosyal mühendislik kısmında işimize yarayabilecek bir bilgi.
Şimdi abimizin bu siteler sayesinde birçok bilgisini edindik, bir de Amerika’nın alan adı kayıt defteri olan ARIN’de bir sorgulama yapalım. Bu sorgulama işlemi için şu parametreleri kullanabilirsiniz:
IP Adresi Bloğuna Göre: https://whois.arin.net/rest/ip/blok.json
İsim/Soyisme Göre: https://whois.arin.net/rest/pocs;last=soyisim;first=isim
Kurum/Organizasyon İsmine Göre: https://whois.arin.net/rest/orgs;name=isim
Alan Adına Göre: https://whois.arin.net/rest/pocs;domain=alan_adı
Biz alan adına göre sorgu yapacağız bu yüzden şunu kullanıyoruz:
Karşımıza burada çalışan birkaç çalışanın bilgisi çıkıyor. Gregory Fisbeck burada da karşımıza çıkıyor. Kaydını bir inceleyelim.
Evet, elimizde şuana kadar sosyal mühendislikte kullanmak için mail kural dizileri hakkında bilgiler, tam isim soyisim, adres, telefon numarası ve kurumsal ve kişisel mail adresi bulunmakta ayrıca gördüğümüz alan adları üzerinden de ilgi alanı hakkında bilgi sahibi olmamız muhtemel. ARIN kayıtları sayesinde de kuruma ait diğer mailleri toplama şansımız da var. ARIN Amerika için olduğu gibi Avrupa için de RIPE mevcut. RIPE’da da ARIN’de olduğu gibi sorgulama işlemi yapabilirsiniz. Bunun için de şu linki inceleyebilirsiniz:
https://www.ripe.net/manage-ips-and-asns/db/support/querying-the-ripe-database
Mail adreslerini toplamak için otomatize araçlardan da faydalanabilirsiniz. Bunlardan en çok adı bilinenler TheHarvester ve Infoga. Yazımız iyiden iyiye uzadığı için bu yazıda sadece TheHarvester’ı inceleyeceğiz. Dileyenler Infoga’ya da bakabilirler. Üşenenler olursa eğer ben üşenmezsem onun hakkında da ayrı bir yazı yazmaya çalışırım.
TheHarvester Nedir?
TheHarvester pasif ve aktif olarak e-mailler, virtual hostlar, açık portlar, subdomain isimleri vb hakkında bilgi toplamamızı sağlayan otomatize bir araçtır. Başta da belirttiğim gibi TheHarvester hem pasif hem de aktif olarak bilgi toplar. Gelin bunu nasıl yaptığına ve bunların altına neler girdiğine bakalım.
Pasif Bilgi Toplama:
TheHarvester aslında ağırlıklı olarak pasif bilgi toplama yapar. Önceki konularda aktif bilgi toplama nedir, pasif bilgi toplama nedir kısımlarına değindiğimiz için tekrardan burada açıklama yapmayacağım bilmeyen arkadaşlar girip bakabilirler. TheHarvester bu bilgi toplama işlemini yaparken ağırlıklı olarak arama motorlarını kullanır. Bizim normalde arama motorlarında arayıp bulabileceğimiz sonuçları bize düzgün bir çıktı formatında verir. Arama motorlarının yanı sıra OSINT oluşturulmuş çeşitli web servislerinden de bilgi toplarken faydalanır. Bunlara ek olarak aslında o da arama motoru olan Shodan’dan da faydalanır. Gelin neler varmış bir bakalım.
→ threatcrowd: Tehdit istihbaratı için https://www.threatcrowd.org/ sitesinden faydalanır. Tehdit istihbaratı başlıca bir konu olduğu için şuan değinmeyeceğim. Dileyenler araştırabilirler.
→ crtsh: Comodo SSL sertifikalarını sorgulamak için www.crt.sh sitesinden faydalanır.
→ google: Yukarıda da uzunca bahsettiğimiz üzere arama motoru olarak Google’dan çokca faydalanabilirsiniz. Subdomain tespiti için, e-maillerin tespiti için vb.
→ googleCSE: Google’ın hizmetlerinden birisi olan Custom Search Engine web sitelerinde daha detaylı arama yapmamızı sağlayan bir platformdur. TheHarvester bilgi toplama aşamasında bu platformdan da faydalanır.
→ google-profiles: Google profilleri için özel aramalar
→ bing: Bing de bildiğiniz üzere Google gibi bir arama motorudur. Bazen sonuçları Google’a göre daha etkili olabilir. Google’da kullandığınız dorkları Bing’de de kullanabilirsiniz. Parametre olarak bing’i verip arama motoru olarak TheHarvester’ın kullanmasını sağlayabilirsiniz. Sadece Google’a bağlı kalmamanızı, sorgularınızda Bing’e de yer vermenizi öneririm.
→ bingapi: TheHarvester Bing’in API’sinden de faydalanır.
→ dogpile: Dogpile’da Bing ve Google gibi bir arama motorudur. www.dogpile.com
→ pgp: PGP bir e-mail ve dosya şifreleme protokolüdür. TheHarvester sorgularında MIT’nin PGP Key Server’ından da faydalanabilir. https://pgp.mit.edu
→ linkedin: Linkedin kullanıcıları için Google’da aramalar yapmamızı sağlar.
→ vhost: Virtual Host’ların tespiti için kullanılır.
→ twitter: Google aramaları yaparak belirli bir alan adına yönelik olan twitter hesaplarının bulunmasını sağlar.
→ googleplus: Yine Google aramaları ile hedefimizdeki organizasyon ya da kurum’daki çalışanlar için arama yapar.
→ yahoo: Yahoo arama motorunu kullanır.
→ baidu: Baidu arama motorunu kullanır.
→ shodan: Shodan’ı artık duymayanınız kalmamıştır. Shodan’da portlar için tarama yapmayı sağlar.
Aktif Bilgi Toplama:
TheHarvester sadece pasif bilgi toplamakla kalmaz. DNS sorguları için aktif bilgi toplama da yapar.
- DNS Brute Force: Bu plugin ile sözlük bazlı kaba kuvvet saldırıları yapabiliriz.
- DNS Reverse Lookup: Bulduğu hostların IP’lerini basmak için kullanır.
- DNS TDL Expansion: DNS konusunda anlattığımız Top Level Domain’lerin keşfi için brute force saldırıları yapar.
TheHarvester Nasıl Kullanılır?
-d: Hakkında arama yapmak istediğimiz alan adını giriyoruz.
-b: Sorgu yapacağımız platformu seçiyoruz.
Buraya verebileceğimiz parametreler: baidu, bing, bingapi, dogpile, google, googleCSE,googleplus, google-profiles, linkedin, pgp, twitter, vhost, virustotal, threatcrowd, crtsh, netcraft, yahoo, all
-s: Hangi sonuç sayısından işleme başlayacağını giriyoruz. (default: 0)
-v:Virtual Host taraması yapmak için kullandığımız parametre.
-f: Çıktıları XML ya da HTML formatında kaydetmemizi sağlayan parametre.
-n: Keşfedilen tüm aralıklarda ters DNS sorgusunu çekmemizi sağlayan parametre.
-c: Alan adı tespitleri için DNS sunucularını kullanarak DNS brute force saldırısı yapmamızı sağlar.
-t: DNS TLD Expansion için kullanacağımız parametre.
-e: DNS ile ilgili çekeceğimiz DNS sorgularında hangi DNS server’ı kullanacağımızı belirtmemizi sağlar
-p: Tespit edilen hostlarda port taraması yapmamızı sağlar.
-l: Sonuçlar için sayı olarak bir limit belirlememizi sağlar. (Bing 50’şerli olarak sonuçları arar, google 100’lü olarak arar, png bu ayarı kullanmaz.)
-h: Keşfedilen hostları Shodan veritabanında sorgusunun çekilmesini sağlar.
Örnek Kullanım Şekilleri:
theHarvester.py -d whirlpool.com -l 500 -b google -f myresults.html
theHarvester.py -d whirlpool.com -b pgp
theHarvester.py -d whirlpool.com -l 200 -b linkedin
theHarvester.py -d whirlpool.com -b googleCSE -l 500 -s 300
Otomatize araçlar zaman ve işlev açısından güzeller fakat sonuçlarda da görüğümüz gibi mesela bizim web servislerini kullanarak bulduğumuz maili maalesef listeleyemediler. Araçların zaman kazancı aklımızda bulunsun fakat her zaman seçici bir sonuç çıkarmadıklarını da unutmamamız lazım. Otomatize araçlara ek olarak biraz Regex bilgisi ile aşağıdaki betikteki gibi kendiniz de betikler oluşturup email toplama işlemi yapabilirsiniz.
whois -h whois.arin.net "e @ hedef" | grep -E -o "\b[a-zA-Z0-9.-]+@[a-zA-Z0–9.-]+\.[a-zA-Z0–9.-]+\b" | uniqŞimdi mail listemizi oluşturduk. Elimizdeki mailler ile yukarıdaki abimiz için yaptığımız analizleri yapabileceğimiz gibi ek olarak yapmamızda fayda olan birkaç analizimiz daha var. Dilerseniz şimdi onlara bakalım.
Hunter.io
Hunter.io daha çok mail üzerine bilgi toplamamız için yoğunlaşmış bir web servisidir. Dilerseniz Harvester’da yaptığımız gibi mail toplama işlemi yapabilirsiniz ve bu maillerin internette geçtiği yerleri görebilirsiniz ya da mail onaylamak için de kullanabilirsiniz. Bunlara ek olarak ismini bildiğiniz fakat mail adresini bilmediğiniz birisi varsa da Hunter.io sizin için bu aramayı gerçekleştirip çıktıyı size gösteriyor.
hunter.io
Hunter.io’da aramalarımızı yapıp mail kontrolümüzü sağladıktan sonra elimizdeki mail adresi daha öncesinde hacklenmiş mi diye kontrol edebiliriz. Eğer bir hacklenme durumu söz konusuysa internetin derin dehlizlerinde bir yerde bulunan dump’larda parolaya dair bir bilgi edinebilir miyiz diye bakabiliriz çünkü insanlar genelde büyük sızıntılarda hacklendiklerinde hacklendiklerinin farkında olmazlar ve hacklendikleri zamanda kullandıkları parolalarını kullanmaya devam ederler. Eğer şansımız varsa böyle bir vakaya denk gelebiliriz.
Haveibeenpwned?
Bu işlem için aşağıda vereceğim servisi kullanabiliriz:
haveibeenpwned.com
Biz sorgulamamızı yaptığımızda bizim hedefimizde olan abimizin hacklendiğini görüyoruz. Haveibeenpwned bize hacklenme olayının hangi organizasyonda ve ne zaman olduğuna dair bilgileri de veriyor.
Mail üstünden sosyal medya dışında toplayabileceğimiz bilgileri gösterdiğimize göre gelin bir de bir miktar sosyal medya üstünden nasıl bilgi toplayabiliriz buna değinelim.
Sosyal Medya Üzerinden Bilgi Toplama:
Sosyal medya üstünden toplayabileceğimiz bilgiler yapacağımız sosyal mühendislik saldırılarında çok önemli köşe taşlarını oluşturabilir. Bu konuda özet olarak bir miktar varsayımda bulunalım.
Örneğin hedefimizin Facebook hesabı üzerinden akrabalarından memleketine, sevdiği müzik gruplarından filmlere ve hobilerine kadar birçok bilgiyi sosyal medya sayfasını inceleyerek edinebiliriz. Twitter üzerinden kişinin politik görüşü yine Facebook’da olduğu gibi hobileri, tuttuğu takım, yakın arkadaşları gibi bilgilere hatta konum bilgisine bile erişebiliriz. Önceden yazısını yayınladığım “Cree.py” sayesinde düzenli olarak gittiği yerleri harita üzerinden lokalize edip bu yerler üzerinden ilerleyebiliriz.
Creepy Yazısı İçin: https://link.medium.com/MrDsqyzpzV
Mekan kavramı hakkında bilgimizi arttırmak için kurbanın varsa Swarm ya da Foursquare hesaplarının analizini yaparak yemek kültürü, düzenli takıldığı mekanlar vb. hakkında bilgi edinebiliriz. İş hayatı ve iletişim bilgileri gibi bilgiler için de LinkedIn’e başvurabiliriz. Instagram üzerinden edinebileceğimiz yakın arkadaş, seyehat ve ilişki bilgileri de bizim için çok büyük önem teşkil edebilmektedir.
Biz burada bu analizlerden daha çok hesapların tespiti üzerine yoğunlaşacağız. İlk olarak mail, numara ya da isim üzerinden sosyal medya platformu araması yapabileceğimiz Pipl ile başlayalım.
Pipl:
Pipl yukarıda da bahsettiğim gibi hedefin telefon numarası, ismi ya da email’i kullanılarak lokasyona bağlı bir şekilde sosyal medya ve veri sorgulama servislerinden bir tanesidir. Servisimize aşağıdaki linkten ulaşabilirsiniz:
pipl.com
Gördüğünüz üzere hedefimize yönelik eğitim, iş, telefon, sosyal medya hesapları ve kullanıcı adı gibi bilgileri Pipl bizim için listeledi.
Şimdi elimizde olan kullanıcı adı başka platformlarda kullanılıyor mu diye kontrol etmek için kullanacağımız bir servis bulunmakta. Dilerseniz vakit kaybetmeden ona geçelim.
NameCh_k:
Namechk, elimizde bulunan kullanıcı adının başka platformlarda kullanılıp kullanılmadığını kontrol etmemizi sağlayan çok güzel bir web servisidir. Bir kullanıcının bir platformda kullandığı kullanıcı adını biliyorsunuz fakat diğer platformlarda ki hesaplarını tek tek aramak istemiyorsanız Namechk bu işlemi sizin için gerçekleştiriyor. Servisimize aşağıdaki bağlantıdan erişebilirsiniz:
namechk.com
Burada siyah renkli olanlar kullanıcı adının kullanıldığı hesaplar. Yeşil renkli olanlar ise bu kullanıcı adını kullanabileceğiniz platformlar. Hesabı görmek istediğiniz platforma tıklayarak profile erişim sağlayabilirsiniz.
Şimdi diyelim ki elimizde bir twitter hesabı mevcut ve biz bu hesap ile kişinin en çok iletişime girdiği kişileri görmek istiyoruz. Bu işlem için kullanacağımız servis ise “Mentionmapp”.
Mentionmapp
Mentionmapp bize kullanıcının en çok mentionlaştığı hesapları bir harita şeklinde karşımıza döker. Hatta bununla sınırlı kalmaz bu hesapların da en çok mentionlaştığı hesapları göstererek bir zincir oluşturur ve size bunu haritalandırıp görselleştirir.
Twitterdan bu bilgileri edindiğimiz gibi karşıdaki kişiye “Uyudun mu?” diye mesaj atmak yerine uyku saatini tahmini olarak öğrenmemizi sağlayan bir servisimiz de mevcut.
Sleeping Time:
Bu güzide servisimiz sayesinde hedef kişinin uyku saati hakkında bilgi edinebiliriz. Bu bilgi flörte “Uyudun mu?” diye mesaj atmak dışında ne işe yarar derseniz saldırı yapacağımız en uygun zaman karşıdaki sistemin yöneticisinin uykuda olduğu zamandır diye düşünüyorum. Sırf bunun için bile kullanabilirsiniz. Bu bilgiye servisimiz hedefin Twitterdaki aktifliğini analiz ederek ulaşıyor. Bu servisten faydalanabileceğiniz gibi “Cree.py”dan da faydalanabilirsiniz.
Tüm bunlara ek olarak email analizi için Inteltechniques’in email search aracını da kullanabilirsiniz. Eveet şimdiye kadar toplamda yaptığımız işlemleri değerlendirecek olursak aşağıdaki şema bunun için birebir olacaktır.
Benim bu konuda anlatacaklarım bu kadar. Biraz uzun bir yazı oldu ama okuduğunuz için teşekkür ederim.
