Ajanlarla Sohbet

Pentest yapılması en zevkli konulardan biri de ajan kullanan kurumsal portallerin testi. İster makine öğrenmesi, ister siber güvenlik, ister ise sağlık ya da metrik ölçüm maksatlı olsun, ajan kullanan portallerin eli ayağı doğal olarak uç noktada çalışan küçük servislerden başkas değil.

Her zamanki gibi standart zafiyetlerin denetimi yaptıktan sonra ufak senaryolar kurguluyorum. Ajanın çalıştığı bir bilgisayarı ele geçirsem ve yönetici değilsem neler yapabilirim?

Ajan ile sunucunun görüştüğü portu tespit ediyorum. Öncelikle ajanın binary dosyasını tersine mühendislik ile inceliyorum. Çok karmaşık gitmeden yerel IP adresi ile ilintili bir port tespit ediyorum. Ardından giden trafiği dinlediğimde gerçekten de sunucuyla etkileşime geçen portun bu olduğunu anlıyorum.

Porta tarayıcı üzerinden bağlanıyorum. Reponse olarak servis bilgisi ve sürümü gibi bilgiler geliyor. Aklıma gıcık bir fikir geliyor. Sonsuz döngü içinde sürekli sunucudaki o porta bağlanmaya çalışan basit bir batch script yazsam ne olur? Çalıştırıyorum ve etkisini ölçüyorum.

Bir yandan da Process Monitor üzerinden süreci takip ediyorum. Tarayıcımla bağlandığımda doğrudan bağlantı sıfırlandı hatası alıyorum. Bat dosyasını çalıştırmayı durduruyorum. Ancak tarayıcı bağlantısı uzun bir süre hala devam ediyor.

Acaba kendimi mi kilitledim diye cep telefonumdan bağlanmayı deniyorum. Orada da sorun hala devam ediyor. Bat scripti çalışırken bu defa sunucu portalından ajan üzerine analiz görevi veriyorum. Sistemin çalışmasında pek bir aksama olmadığını görüyorum. Ufak DOS saldırım başarısız görünüyor.

Bu tür bir saldırının olası etkisini daha derinden anlamak için lab ortamımı çoklu ajan haline getirmek ve saldırı payload’unu güçlendirmek üzere ikinci adıma geçme kararı alıyorum.