Ağdaki Hayalet

Ekibimizle birlikte bir müşterimizin yerinde testindeyiz. Rutin metodolojiyi izledikten sonra trafik zehirleme yöntemiyle sunuculardaki bazı yerel yönetici kullanıcılarına ait hash bilgilerini elde edebildiğimi görüyorum. Bu hash bilgisiyle ağ bloğu üzerinde ipconfig benzeri bir komut çalıştırdığımda birçok sunucunun tepki verdiğini gözlemliyorum.

Ardından o sunuculardan önemli olduğunu düşündüklerimde yeni bir test kullanıcısı yaratan, o kullanıcıyı yerel yönetici ve uzak masaüstü kullanıcılarına ekleyen komutları da ardışık olarak çalıştırıyorum. Ve nihayet Uzak Masaüstü ile sunuculara art arda bağlanıp inceliyorum.

Bunlardan bir tanesi veri tabanı sunucusu. Sunucuda dolaşırken veri tabanı yönetim yazılımını açıyorum ancak kimlik bilgimle maalesef verilere ulaşamıyorum. Sonra prosesleri inceliyorum, domain admin yetkisiyle çalışan proseslerin mevcut olduğunu görüyorum. Bu “process impersonation” ile yetki çalmayı sağlayan büyük bir lokma olabilir diyerek not alıyorum.

Ardından sunucuya, İnternet olmadığı için kendi makinemden, içinde birçok keşif ve saldırı scripti bulunan bir powershell paketini aktarıyorum. Hiçbir Antivirüs ya da EDR uyarı vermiyor. Bu durum bana ilginç geliyor.

Sonra yazılım kaynak kodlarını barındıran geliştirme sunucusuna bağlanıyorum. Tam tahmin ettiğim gibi, en kritik uygulamaların kaynak koduna ulaşabiliyorum. Yine beni hiç şaşırtmayan bir manzarayla daha karşılaşıyorum. web.config dosyasında veri tabanına erişim kullanıcı adı ve parolasının açık metin olarak yer aldığını tespit ediyorum.

Hepsinin ekran görüntüsünü aldıktan sonra, token impersonation saldırısıyla domain admin olabilir miyim, ona yeniden bakmaya başlıyorum.