Döküm (Enumeration) Nedir?

Döküm (Enumeration)

Saldırganların hedefle ilgili daha fazla bilgi elde etmeye yönelik sorgular yapıp sisteme giden aktif bağlantılar oluşturması işlemine denilmektedir. Saldırganlar sistem kaynaklarındaki bilgiye yetkisiz erişim elde etmek için edindikleri bilgiyi kullanarak saldırı noktalarını belirleyip parola saldırıları uygularlar. Döküm saldırıları iç ortamda yapılır. İstilacı tarafından dökülmüş bilgiler; ağ kaynakları, ağ paylaşımları, yönlendirme tabloları, denetim ve servis ayarları, SNMP ve DNS ayrıntıları, makine isimleri, kullanıcı ve gruplar, uygulamalar ve başlıklar (banner) olabilir.

 

1.1. Döküm teknikleri

  • Benzersiz E-Posta Numaralarını (Mail ID) kullanarak kullanıcı isimlerini almak
  • Varsayılan parolaları kullanarak bilgi almak
  • SNMP kullanarak kullanıcı isimlerini almak
  • Aktif Dizine kaba kuvvet saldırısı (Brute-Force Active Directory)
  • Windows’tan kullanıcı gruplarını almak
  • DNS Bölge İletimi (DNS Zone Transfer) kullanarak bilgi almak

 

1.2. Dökülen servisler ve portlar

  • TCP/UDP 53: DNS Zone Transfer
  • UDP 161: SNMP
  • TCP/UDP 135: Uzaktan İşlem Çağrısı Uç Nokta Adresleyicisi (Microsoft RPC Endpoint Mapper)
  • TCP/UDP 389: LDAP (Lightweight Directory Access Protocol/Basit Dizin Erişim Protokolü)
  • UDP 137: NetBIOS Ad Servisi (NBNS/NetBIOS Name Service)
  • TCP/UDP 3268: Evrensel Katalog Servisi (Global Catalog Service)
  • TCP 139: NetBIOS Session Service (SMB over NetBIOS/NetBIOS üzerinde Oturum Servisi)
  • TCP 25: SMTP
  • TCP/UDP 445: SMB over TCP (Direct Host)
  • TCP/UDP 162: SNMP Trap

 

1.3. NetBIOS döküm

NetBIOS TCP/IP üzerindeki ağ cihazlarını belirlemek için kullanılan eşsiz 16 ASCII karakter dizisidir. 15 karakter cihaz ismi için kullanılır, 16. karakter servis veya kayıt türü ismi için ayrılır. Saldırganlar domaindeki bilgisayarların listesini, ağdaki kişisel hostlardaki paylaşımların listesini, politikalar ve parolaları elde etmek için NetBIOS kullanırlar.

 

İSİM

NetBIOS KODU

TİP

ALINAN BİLGİ

<host name> <00> UNIQUE Hostname
<domain> <00> GROUP Domain name
<host name> <03> UNIQUE Bilgisayarda çalışan messenger servisi
<username> <03> UNIQUE Kişisel oturum açmış kullanıcıda çalışan messenger servisi
<host name> <20> UNIQUE Çalışan sunucu servisi
<domain> <1D> GROUP Subnet için master tarayıcı ismi
<domain> <1B> UNIQUE Domaindeki PDC’yi belirleyen domain master tarayıcı ismi

Çizelge 2‑1 NetBIOS Döküm

NetBIOS IPv6’da yayın (broadcast) olmadığından çalışmaz. Windowstaki nbtstat TCP/IP üzerindeki (NetBT) sözleşme tutanağı (protokol) istatistiklerini, uzaktaki ve yerel bilgisayarlar için NetBIOS isim tablolarını ve NetBIOS ad önbelleğini (cache) gösterir. “nbtstat –c” komutuyla NetBIOS ad önbelleği (cache), NetBIOS isim tablolaları ve çözümlenen IP adresleri görülür. “nbtstat –a” uzaktaki makinenin ip adresi komutuyla uzaktaki bilgisayarın NetBIOS isim tablosu görülür. Hyena Microsoft işletim sistemlerini koruyup yöneten grafik kullanıcı arayüzü olan bir üründür. Windows sunucular ve domain denetleyicisindeki (controller) paylaşımları ve kullanıcı oturum açma isimlerini gösterir. Microsoft Uçbirim (terminal) Servislerini, Microsoft Windows Network ve Web Client Network vb.ni grafiksel şekilde gösterir. Winfingerprint işletim sistemini, dökülmüş (enumerate) kullanıcıları, grupları, paylaşımları Güvenlik Tanımlayıcıları  (Security Identifiers SID), iletimleri, oturumları, servisleri, servis paketi ve düzeltmeler (hotfix) seviyesini, tarih ve zamanı, diskleri ve açık TCP/UDP portlarını belirleyen bir araçtır. Net View çalışma grubu (workgroup) veya uzaktaki hostun paylaşımlı kaynaklarının hepsinin listesini elde etmek için kullanılır. “net view \\bilgisayar ismi/ip” komutuyla kullanılır.

 

1.4. Snmp döküm

SNMP kullanarak hedef sistemdeki cihazları ve kullanıcı hesaplarını dökme sürecidir. SNMP yönetici ve aracıdan oluşur (manager and agent). Ajanlar (Agents) her ağ cihazına yerleştirilirler. Yönetici (Manager) farklı bir bilgisayara yüklenir. SNMP yönetim merkezinden SNMP ajana ulaşıp yapılandırmak için iki parolaya sahiptir: Topluluk Dizesi Okuyucu (Read community string), varsayılan olarak açıktır ve aracın/sistemin yapılandırmasının görüntülenmesini sağlar. Okunur Yazılır Topluluk Dizesi (Read/write community string), varsayılan olarak gizlidir ve yapılandırmanın uzaktan değiştirilebilmesine olanak sağlar. Saldırganlar cihaz ile ilgili bilgi edinmek için varsayılan topluluk dizelerini kullanırlar. Saldırganlar ana sistemler (host), yönlendiriciler (router), cihazlar, paylaşımlar vb. ağ kaynakları ve ARP tabloları, yönlendirme tabloları, trafik vb. ağ bilgisi hakkında bilgi almak için SNMP döküm yaparlar.

 

1.5. Basit ağ yönetim protokolü (snmp) çalışma mantığı


SNMP Yönetimi 1:
CompInfo. Aktif bir oturum için talep gönderir.

SNMP Ajanı: İçinde MIB (Yazılım versiyonu, hard disk alanı, oturum tablosu) var. Community String: CompInfo, Community String: Alarm. Manager 1’e oturum olmaz cevabı gönderiyor, SNMP Manager 2’ye de SNMP Trap (message for failed login) gönderiyor.

SNMP Yönetimi 2: Alarm

Topluluk Dizesi(community string) MIB veri tabanında tutulan değerle eşleşmezse, Ajan SNMP Yöneticisine hatayı gösteren önceden yapılandırılmış bir topluluk dizesi gönderir.

 

1.6. MIB

SNMP kullanarak yönetilebilen ağ nesnelerinin resmi tanımlarını içeren bir sanal veri tabanıdır. Hiyerarşiktir ve MIB’teki yönetilen her nesne Nesne Tanımlayıcılar (Object Identifiers OIDs) aracılığıyla adreslenir. SNMP OIDler içeren MIB’nin hiyerarşik isim uzayını OID numaralarını okunabilir şeylere dönüştürmek için kullanır.

 

1.7. Ldap döküm

LDAP dağıtılmış dizin servislerine erişmeyi sağlayan bir internet protokolüdür. Dizin servisleri sık sık kurumsal e-posta dizini gibi hiyerarşik ve mantıksal bir yapıda düzenlenmiş kayıt dizilerini bulundurabilir. İstemci TCP 389 portu üzerinden Dizin Sistemi Aracına (Directory System Agent/DSA) bağlanarak LDAP oturumunu başlatıp DSA’e işlem talebi gönderir. Bilgi, Temel Kodlama Kuralları (Basic Encoding Rules/BER) kullanılarak istemci ve sunucu arasında iletilir. Saldırgan saldırı yapmada kullanabileceği bölüm ayrıntısı, geçerli kullanıcı isimleri, adresleri gibi bilgileri toplamak için LDAP servisine sorgu atar. Softerra LDAP yöneticisi bir LDAP döküm aracıdır.[6]

 

1.8. NTP döküm

NTP ağdaki saati senkronize eder. UDP 123 portunu kullanır. Saldırgan NTP sunucuya değerli bilgiler toplamak için sorgu atar: NTP sunucuya bağlı olan ana bilgisayar listesi, ağdaki istemci ip adresleri, sistem isimleri ve işletim sistemleri, NTP sunucu DMZ tarafındaysa iç IP’ler “ntptrace, ntpdc, ntpq” komutları kullanılır.

 

1.9. SMTP döküm

SMTP üç yerleşik komut bulundurur: 1- VRFY – kullanıcıları doğrular, 2- EXPN – takma adların ve mail listelerinin asıl gönderi adreslerini söyler, 3- RCPT TO – mesajın alıcısını tanımlar. Saldırgan direk olarak telnet aracılığıyla SMTP ile etkileşimde bulunup SMTP sunucudaki geçerli kullanıcıların listesi toplayabilir. telnet IP adresi 25 komutunu yazdıktan sonra VRFY ve EXPN kısmından kullanıcıları, RCPT TO kısmından alıcıyı görebilir. NetScanTools Pro SMTP sunucu ile haberleşerek aktarma (relay) testleri yapmak ve SMTP sunucu aracılığıyla e-posta gönderme testi yapmak için tasarlanmış SMTP E-Posta üreticisi ve E-Posta İletişim Test aracıdır. Aktarma (Relay) sadece iç ağda çalışmalı yoksa başkası sunucu üzerinden organizasyon adına e-posta gönderebilir.

 

1.10. Dns bölge transfer dökümü (zone transfer enumeration)

DNS sunucunun yerini gösteren ve hedef ağın kayıtlarını tutan bir süreçtir. Saldırgan NSlookup kullanarak potansiyel hedeflerin DNS sunucu adları, host isimleri, makine isimleri, kullanıcı isimleri, IP adresleri vb. gibi değerli ağ bilgisini toplayabilir. DNS bölge (zone)  transfer (transfer) dökümünde saldırgan DNS sunucudan domain’deki tüm zone dosyalarını ele geçirmeye çalışır. nslookup komutu ile yapılır.

 

1.11. Döküme (enumeration) karşı önlemler

SNMP:

  1. SNMP Ajanı kaldırmak veya SNMP servisi kapatmak
  2. SNMP kapatmak bir seçenek değilse varsayılan topluluk dizini (community string) ismini değiştirmek
  3. Parolaları ve mesajları şifreleyen SNMP3’ye yükseltmek
  4. “Bilinmeyen bağlantılar için ek kısıtlamalar” olarak adlandırılan grup politika güvenliği seçeneğini uygulamak
  5. Boş oturum hatları (null session pipes), boş oturum paylaşımları ve IPSec filtrelemesine erişimi kısıtlamak

 

DNS:

  1. DNS bölge transferlerini güvenilmeyen (untrusted) anabilgisayarlarda devre dışı bırakmak
  2. Gizli (Private) hostları ve IP adreslerini public DNS sunucunun DNS bölge (zone) dosyaları içinde yayınlamamak
  3. Açıktan (Public) Sunucu Bilgisi (Hosting Information HINFO) gibi gizli bilgiyi saklayan ayrıcalıklı (premium) DNS kayıt servisleri kullanmak
  4. Sosyal mühendislik saldırılarını önlemek için DNS kayıtlarında standart ağ yönetici yetkisi (standard network admin contacts) kullanmak

 

SMTP sunucuları yapılandırırken:

  1. Bilinmeyen alıcıdan e-posta almamak
  2. E-Posta yanıtlarında gizli mail sunucu ve yerel host bilgisi dâhil etmemek
  3. Açık röle özelliğini devre dışı bırakmak (External Relay mutlaka kapatılmalı)

 

LDAP:

  1. Varsayılan olarak LDAP trafiği güvensiz iletim yapar bu yüzden trafiği şifrelemek için SSL teknolojisi kullanmak
  2. E-posta adresinden farklı kullanıcı ismi seçmek ve hesap kilitlemeyi etkinleştirmek

 

SMB:

  1. Web ve DNS sunucularda SMB protokolünü devre dışı bırakmak
  2. İnternete bakan sunucularda SMB protokolünü devre dışı bırakmak
  3. SMB protokolü tarafından kullanılan TCP 139 ve TCP 445 portlarını devre dışı bırakmak
  4. Windows Kayıt Defterindeki RestrictNullSessAccess parametresi aracılığıyla yapılan bilinmeyen erişimleri kısıtlamak

 

1.12. Enumeration sızma testi

Sistemlere ve sorgulara yönelik aktif bağlantılar kullanarak geçerli kullanıcı hesaplarını veya zayıf korumalı kaynak paylaşımlarını belirler. Bilgi kullanıcılar ve gruplar, ağ kaynakları ve paylaşımları ve uygulamalar olabilir. Keşif aşamasında toplanan veri ile birlikte kullanılır.

Ağ aralığı bulunur (WhoIs Lookup) > Alt ağ maskesi (subnet mask) hesaplanır (Subnet Mask Calculators) > Host keşfi yapılır (Nmap > nmap –sP ağ aralığı> Port taraması yapılır (Nmap > nmap –sS ağ aralığı) > NetBIOS döküm yapılır (SuperScan, Hyena ve Winfingerprint) > SNMP döküm yapılır (OpUtils ve Engineer’s Toolset) > LDAP döküm yapılır (Softerra LDAP Administrator) > NTP enumeration yapılır (ntptrace, ntpdc, ntpq) > SMTP döküm yapılır (NetScanTools Pro) > DNS döküm yapılır (NSLookup) > Tüm bulgular dokümante edilir.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir