Adeo tarafından Microsoft İstanbul ve Ankara ofislerinde gerçekleştirilen SOME Etkinliğinde Eyüp Çelik'e ait sunum

1. Hacker’ların Yeni Gözdesi - PowerShell

2. Eyüp Çelik
Siber Güvenlik Ekip Lideri
@EPICROUTERS

3. Ben Kimim
• Siber Güvenlik Danışmanı (Adeo Bilişim ve Danışmanlık)
• White Hat Hacker
• Ethical Hacking Eğitmeni
• Mshowto Editörü (www.mshowto.org)
• Blog Yazarı (www.eyupcelik.com.tr)
• Güvenlik Araştırmacısı (Security Researcher)

4. Command Prompt
 Eski nesil
 Metin bazlı etkileşim
 Klasik komut yapısı
 Karmaşık işlemlerde gittikçe karmaşıklaşır 
 Komut arabirimi
 Kolay kullanım?
 Kısıtlı işlemler

5. PowerShell
• Varsayılanda yüklü
• Windows 7
• Windows 8
• Windows 10 ve sonrası
• Windows Server 2008
• Windows Server 2012 ve sonrası
• Server ailesi ile tam entegre
• Exchange
• SharePoint
• Active Directory
• Yeni nesil
• Metin işlemez, .NET Platformuna dayalı nesneleri işler
• Karmaşık görevlerde güçlü çözümler
• Komut arabirimi + GUI
• Bir miktar yazılım dili
• Script dilidir
• Klasik OS komutlarına destek

6. Neler Yapılabilir?
• Hak Yükseltme (Privilege Escalation)
• Kimlik Çalma (Credential Theft)
• Ağ Üzerinde Diğer Hedeflere Atlama (Lateral Movement)
• Veri Bozma (Data Destruction)
• Sistemde Kalıcılık Sağlama (Persistence)
• Veri Çalma (Data Exfiltration)
PowerShell ile sistemi ele geçiren bir saldırgan, akla gelen saldırıların büyük çoğunluğunu gerçekleştirebilir!

7. PowerShell Çalışma Modları
Windows PowerShell ortamında 5 farklı çalıştırma politikası mevcuttur…
 Restricted – Herhangi bir script çalışmaz. Windows
PowerShell sadece interaktif modda çalışabilir. Varsayılan
olarak Windows Server 2012 R2 haricindekiler bu modda
çalışır.
ExecutionPolicy ile bir sistem üzerinde çalışacak PowerShell scriptlerinin hangi türde çalışacağı belirlenir.
Yetkisiz scriptlerin çalıştırılabilmesi için bu politikalara ihtiyaç bulunmaktadır!

8. PowerShell Çalışma Modları
Bypass - Herhangi bir sınırlama olmadan bütün Windows PowerShell scriptleri çalıştırılır ve kullanıcılardan
herhangi bir onay istenmez.
Unrestricted – Herhangi bir sınırlama olmadan bütün Windows PowerShell scriptleri çalıştırılır. İnternetten
indirilen scriptler içinse kullanıcının karşısında scripti çalıştırmak için izin isteyen bir ekran çıkar.
Remote Signed – İndirilen scriptler güvenilen yayıncılar tarafından imzalandıktan sonra çalışabilir.
Windows Server 2012 R2 sistemler için varsayılan moddur.
AllSigned – Sadece güvenilen yayıncılar tarafından imzalanmış scriptler çalışabilir.

9. cmdlet, alias, pipeline

10. cmdlet
• «cmdlet» - Komut setidir. Ancak klasik Windows çalıştırılabilir dosyaları yerine .NET fonksiyonları çalışır.
• Her komut isim-fiil (VERB-NOUN) şeklinde tanımlanmıştır.
• Get (Sadece bilgi alır, bilgi döndürür)
• Set (Bilgi günceller, değer atar)
• Out (Çıktı verir)
• Büyük – Küçük harf duyarlılığı yoktur.

11. alias
• «alias» - Windows ve *nix işletim sistemlerindeki komutlar için alias tanımlanmıştır.
• Windows’taki «dir» ve *nix’teki «ls» komutu alias olarak kullanılabilir.
• Get-Alias komutu ile erişilebilir.
Powershell PS Alias CMD *nix
Get-ChildItem ls, gci, dir dir ls
Copy-Item cp, copy, cpi copy cp
Move-Item move, mv, mi move mv
Get-Help man, help help man
Get-Content cat, gc, type type cat

12. pipeline
• «pipeline» - Bir komutun çıktısını başka bir komuta argüman olarak aktarılabilmesi için kullanılır.

13. Programlama Ortamı

14. Saldırı Araçları

15. Saldırı Araçları
PowerSploit Nishang
PowerUp Empire

16. Uygulamalar

17. Uygulama

18. Uygulama

19. Uygulama

20. Uygulama

21. Adeo PowerShell RAT
Connection
UAC Bypass
Arch / Func

22. Post Exploitation

23. Post Exploitation
440..445 | % {echo ((new-object Net.Sockets.TcpClient).Connect("127.0.0.1",$_)) "$_ is open"} 2>$null

24. İzlerin Temizliği

25. İzlerin Temizliği
Cmdlet: Stop-Process -processname powershe*
Alias: kill, spps

26. - Teşekkürler -
adeosecurity.com | @adeosecurity