Abone Ol

29 Ocak 2023

FortiDeceptor Canlı Atak Testi – “VPN” sonrası “CentOS” Yatay Hareket

Merhaba,

FortiDeceptor “Saldırganları Tuzağa Düşürün” serili bir yazımın 3. yazısındayız :)

Bir önceki yazımda Fortigate cihazımızın SSLVPN servisinin Deploy işlemini gerçekleştirmiştik. Bu yazımda işte Deploy ettiğimiz cihaz ve servislerin canlı testini gerçekleştireceğiz.

Bir önceki FortiDeceptor ile Zafiyetli CentOS ve SSLVPN Tuzağı Konumlandırma başlıklı yazıma ulaşmak için buraya tıklayabilirsiniz

SSLVPN Testi

Daha önceki yazımda Deploy ettiğim Fortigate SSLVPN servisimi bu yazımda test edeceğim.

Not: Ben burada VPN arayüzüme local erişim IP adresinden erişeceğim. Fortigate üzerinden VIP işlemi yaparak SSL VPN tuzağını dışarıya açabilirsiniz.

Yapacağımız işlemler;

  • Kullanıcı içeriye giriş yapacak,
  • SSL VPN arayüzü üzerinde bulunan SSH cihazlara Yatay ilerleme yaparak bir SSH servisine erişecek,
  • Daha sonra çalıştırdığı komutları göreceğiz.

İlk olarak SSL VPN arayüzüne tarayıcı üzerinden erişim sağlıyoruz.

  • İçeriye giriş yaptıktan sonra daha önc Deploy ettiğimiz CentOS cihazımız (10.10.0.15) ‘a SSH testi yapacağız.

  • SSL VPN (Tuzak)  arayüzüne giriş yaptığımız logları FortiDeceptor Analysis  menüsünde görebiliyoruz.
  • Kullanıcının bu taktiğini hangi MITRE tekniklerine girdiğini de Deceptor bize söylüyor.

  • 10.10.0.15 makinesine ister arayüzdeki yerden isterseniz PuTTy aracılığı giriş yapıp komut çalıştırıyoruz.

  • Ve yaptığımız bütün hareketleri, çalıştırdığımız bütün komutları FortiDeceptor bize anlık olarak bildiriyor.

FortiDeceptor Safelist

FortiDeceptor üzerinde Safelist menüsünde False Positive olduğunu düşündüğünüz IP adreslerini girebilirsiniz. Yanlış alarmların gelmesini önleyebilirsiniz.

FortiDeceptor Saldırı Tiplerini ve Saldırganı Nasıl Anlıyor ?

FortiGuard servisinden çektiği moduller ile kullanıcının içerde bir Apache Server olmamasına rağmen Log4J atağı deneyip denemediğini amacının ne olduğunu bu moduller sayesinde anlıyor.

“Eski logların silinmesi komutu”

data-purge -d

Yazılarımdan ilk siz haberdar olmak istiyorsanız. Mail aboneliği kısmından abone olabilirsiniz.

Veya TELEGRAM Duyuru Kanalıma Katılabilirsiniz.

Sağlıklı ve Güvenli Günler Dilerim.

İlk yorumu bırak


Ben Erdinç TANDOĞAN, yaklaşık 2 yılı siber güvenlik danışmanlık firmalarında olmak üzere 5 yıldır siber güvenlik sektöründe çalışıyorum. Şuan sizinde ziyarette bulunduğunuz yılda 500.000 Google gösterimi olan siberdinc.com blog sitemde Türkçe kaynakların çoğalmasına destek sağlıyorum.

Etiketler

Bunu Paylaş:

Siberdinc Telegram Topluluğuna Katıl!

Türkiye'nin en aktif siber güvenlik platformunda yerini al! Güncel etkinlikler, staj imkanları ve ücretsiz eğitim fırsatlarından ilk sen haberdar ol.