iş Bankası Netmatik/Bankamatik bug report v3

iş Bankası Netmatik/Bankamatik bug report v3

deneme yazisi durmadan buraya gelecek deneme 12 #44 ASdqek


 Daha önce netmatik cihazlarında bulduğum açıklardan size söz etmiştim. Şimdi ise türevi ve daha önemli bir açığı tespit ettim. Önceki açıkta farklı sitelere girilip oralardan dosyalar indirilip sistemde bunlar çalıştırılabiliyordu. Aşağıda bahsedeceğim tehlikeleri bu sayede gerçekleştirebiliyorduk ama bu biraz zaman alıyordu halbu ki yeni bulduğum açık ile daha hızlı bir şekilde root yetkisi alınabiliyor. #İşBankası İnternet Şubesinde bulduğum sql injection row converting açığı ile de yapılacabilecekler, tüm verilerin silinmesi gibi senaryoları düşününce tabi pek hoş şeyler görülmüyor. Eski açıklar kapatılmış olmalı ki önceden;123İle web-firewall aşılıp başka sitelere bağlanılabiliyordu örnek senaryoda facebook mesajlaşma sistemi ile dosya transferleri ve remote desktop ile uzaktan erişim sağlanıyordu fakat artık bu yöntem işe yaramıyor.4Ben bu açığı ilk bulduğumda tüm bankalarda olduğundan ve kapatılması standart yöntemler ile olmayacağını biliyordum. Zaten henüz gidebildiğim 5  bankada türevi açıklar tespit ettim ve diğerlerinde de olduğuna eminim. #işbankası'nda yeni bulduğum açıkta sistemi olması gerekendan farklı çalışmasını sağlayarak denetim masasına ulaşmayı başardım.5Burdan gerisi ise saldırganın hayal gücüne bağlı, çünkü tüm izinler açılabiliyordu, zaten yetki seviyesi ve kullanıcları msdos bize söylüyor:6Ben daha farklı şeyler arıyordum çünkü exploit geliştirirken saldırı yöntemlerinden arp poisoning ve türe saldırılardan birinin uygulanabileceğini düşünüyordum. Öncelikle ağ sistemi incelenmeliydi. Yukarıda arp tablosu vardı ama yetmezdi:7Tahmin ettiğim gibi domain yapısına sahipti. Belkide saldırganın en çok işine yarayan bu olacaktı çünkü domaine ulaşmak pekte zor değildi. IDS sistemlerini aşmak için ise bir kaç deneme yapmak gerekiyordu8Yukarıda firewall bölümünün hali de görünmekte. Kendi kurallarımızı da işleyebilmekteyiz. Uzak masaüstü için de benim gördüğüm 2 kullanıcı vardı özellikle bu manupüle edilebilirdi çünkü klavye fonksiyonu yetersiz ve yavaştı.  Bağlantı sağlanıp işlemler daha hızlı yapılabilirdi. Bunun ile yapılabileceklerden bazıları

  • Herkesin ilk aklına gelen Keylogger atılabilir, bu sayede o cihazı kullanan kişilerin müşteri bilgileri elde edilebilir, hatta bunu biraz geliştirip kişi eğer inetnet şubesine oradan giriş yaparsa logout ekranını biz gösterip onun session ına devam ederek hesaplar da oynama yapılabilir
  • Zombi olarak kullanılabilir. Botnet, ddos saldırılarının önemini ve şubelerdeki interneti biliyoruz biz de bunu kullanarak o cihazı zombi haline getirebiliriz
  • Yukarıdaki işlemi geliştirip ağdan diğer bilgisayara bu virüsü yayabiliriz, normalde bunların ids lere yakalanması gerekir fakat o cihazlarda, localde ids in bunu işlediğini sanmıyorum
  • Ağ erişimi elde edilerek müşteri temsilcilerinin bilgisayarına otobaşlat dosyası kullanılarak .bat dosyası oluşturulur ve zararlı kodun bu şekilde çalışmasını sağlayarak o bilgisayara erişim sağlayabiliriz (Bu firewall ı aşmak içinse önce o cihazdan ona bağlantı sağlanmalı öğle arası gibi bir zamanda ise firewall ın davranışları incelenmeli. Zaten kurallar klasik oluyor, "o siyah şapkası olanları engelliyorsa saldırganda şapkasını çıkarıp girer". Birine giriş yaptıktan sonra ise tüm şubelerdeki pclerde bunu deyebilir. Sonuçta yönetim için image dosyaları benzer veya aynı oluyor)
  • Yine en çok atlanan olaylardan biri ise modem açıkları, modeme saldıra yapılarak kendi port ve uygulamasını oluştabilir bu şekilde trafiği uzaktan kontrol edebilir.
  • SSL varsa onu da aşabilir,ARP Poisoning saldırısı ile araya girer ve tüm trafiği üzerindenden clear text olarak geçirir bu sayede temsilcilerin şifresii, müşterilerin bilgisi ve daha fazlası loglara düşer ve bu tüm şubelerde denenirse tüm bilgilere erişim sağlanılabilir. (belkide en tehlikelisi budur).
Örnekler çoğaltılabilir,düşünsenize pc sizin elinizde, şubeye de bağlı, domain kullanıcı daha ne olsun? Proje Çalışması olarak nitelendirdiğim, şimdilik benim keşfettiğim bu açık için bir çok exploit ve senaryo geliştirdi. Zaten pentest ekibi size gerekli açıklamaları yapacaktır, hiçbir şey yapılmasa malware,virüs yazar tüm şubelere atar ve hdd dahi kendini imha eder, on binlerce şube olduğunu düşünürsek, operasyon sonucu müşteri ve para kaybını düşünürsek, bir de benim tahminim dünyanın en büyük hack operasyonu yapılabilecek zafiyet olduğunu düşünürsek bu büyük bir kayıptır değil mi?