3. [MAIL SINIPER NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Giriş
Mail sniper Microsoft Exchange kullanılan bir Active Directory yapısı içerisindeki tüm
kullanıcıların mail kutularında çeşitli keyword’ ler kullanılarak mail içerisinden hassas bilgilerin
elde edilmesi amacıyla Powershell ile geliştirilen bir araçtır. AD yapısı içerisinde bu şekilde bir
bilgi toplama yöntemi ile sızma testlerinde kullanılabilecek farklı bir atak vektörü de
oluşturulabilir. Mail Sniper, Beau Bullock (dafthack) tarafından geliştirilmiştir. Aşağıda
belirtilen GitHub adresi üzeriden ilgili uygulamaya ulaşılabilir.
4. [MAIL SINIPER NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Mail Sniper Nedir?
MailSniper : https://github.com/dafthack/MailSniper
Sızma testlerinde testin gerçekleştirildiği Kurum’ un faaliyette bulunduğu sektöre göre
kullandığı farklı uygulamalar, sistemler ve ihtiyaca göre yapılandırılmış farklı sunucular
bulunmaktadır. Testerlar bu değişkenleri göz önünde bulundurarak Kurum’ da bulunan
zafiyetleri ortaya çıkarmak için otomatize veya manuel birçok yöntem denemektedirler. Tüm
yöntemler denendikten sonra AD içerisinde en yetkili kullanıcı olan “Domain Admin”
olunduktan sonra ise sızma testi için tüm adımların gerçekleştirilmiş olduğu düşünülür. Halbuki
asıl test bu aşamadan sonra başlamaktadır.
Sızma testlerinde tespit edilen zafiyetler ve bulgular çoğu zaman IT ekibinin problemleri
olmakta ve C seviye yöneticilerin konuya ilgisini çekememekte ve bu seviyedeki yöneticilerin
bilgi güvenliği konusunda yeteri kadar dikkatlerinin çekilmemesine sebep olmaktadır. Bu
noktada gerçekleştirmiş olduğunuz sızma testinde “Domain Admin” olmanızla birlikte Kurum’
daki zafiyetler bahsi geçen yöneticileri ilgilendirmemekte ve içinde bulunmuş oldukları
tehlikelerin farkına varamamalarına sebep olmaktadır. Sızma testlerinde danışmanlık firmaları
olarak hedefimiz birçoğu yapılandırma eksikliklerinden kaynaklı sistemsel zafiyetler değil asıl
hedefimiz olan bilgi güvenliği farkındalığı yaratmak olduğundan gerçekleştireceğimiz test
adımlarında işin ciddiyetini anlatabilmemiz açısından “Mail Sniper” aracını test adımlarımıza
katmak oldukça faydalı olacaktır.
Günümüzde gerçekleştirilen saldırılarda artık Kurum’ lara ait sistemlere sızılmasından sonra
sistemlere bir anda zarar vermek yerine saldırganlar network içerisinde haftalarca hatta
aylarca Kurum’a ait hassas bilgileri elde etmeye yönelik nitelikli saldırılar
gerçekleştirilebilmektedirler. Bu nedenle Kurum’ un kendi içerisinde karşılaşabileceği riskleri
azaltmak adına gerçekleştirilmesi gereken sıkılaştırma çalışmalarında mail kutularından elde
edilebilecek hassas bilgilere dikkat çekmek önem arz etmektedir.
Microsoft, Exchange Server 2007 versiyonundan itibaren geliştirdiği “Exchange Web Services”
(EWS) adını verdiği web API’ si ile birlikte sunucu üzerinde tanımlı olan kullanıcıların mail
sunucularında web ara yüzü ile erişerek takvim, kişi ve e-posta bilgilerine erişebilecekleri bir
uygulamayı hizmete sunmuştur.
Mail Sniper’ da 2 temel fonksiyon bulunmaktadır;
• Invoke-GlobalMailSearch
• Invoke-SelfSearch
5. [MAIL SINIPER NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
“Invoke-GlobalMailSearch”Fonksiyonu
“Invoke-GlobalMailSearch” fonksiyonu Exchange Server’ a bağlanarak “impersonation”
tekniği ile etki alanı ve root domain alanı içerisindeki diğer etki alanlarındaki kullanıcılara ait e-
postaları görüntüleyebilmek amacıyla kullanılmaktadır.
İlgili fonksiyonun kullanımına ait örnek aşağıda verilmiştir.
Invoke-GlobalMailSearch -ImpersonationAccount current-username -ExchHostname Exch01
-OutputCsv global-email-search.csv
“ImpersonationAccount” parametresi ile kullanıcı adı ve parola bilgisi elde edilen kullanıcıya
ait mail kutu içerisinde “-Terms *” parametresi kullanılarak kullanıcıya ait tüm mail bilgileri
açık bir şekilde okunabilir.
Örnek olarak “empireerhan.yildirim” kullanıcısı ile oturum açılmış bir sistem üzerinden parola
bilgisi elde edilen “empireorhan.yildirim” kullanıcısına ait mail kutusunun görüntülenmesi
aşağıdaki ekran görüntüsünde verilmiştir.
Gerçekleştirilen sorgulamalar “-OutputCsv” parametresi kullanılarak “orhan.txt” dosyasına
yazılmıştır.
6. [MAIL SINIPER NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
İlgili dosyanın görüntülenmesi aşağıdaki ekran görüntüsünde verilmiştir.
“Invoke-SelfSearch” Fonksiyonu
Bu parametre ile sistem üzerinde oturum elde edilen kullanıcıya ait mailler
sorgulanabilmektedir.
İlgili fonksiyonun kullanımına ait örnek aşağıda verilmiştir.
Invoke-SelfSearch -MailBox erhan.yildirim@empire.local -Terms *
Bilgisi verilen komut ile sistem üzerinde oturum açan “empireerhan.yildirim” kullanıcına ait
mail kutusu aşağıdaki ekran görüntüsünde verilmiştir.
İlgili aracı kullanmak için öncelikle aşağıdaki komutla birlikte Powershell terminali üzerinde
komut çalıştırmayı engelleyebilecek kuralların bypass edilmesi gerekmektedir.
powershell.exe -nop -ep bypass
7. [MAIL SINIPER NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Ağ Üzerinde Mail Sunucunun Tespit Edilmesi
İlgili komutun çalıştırılması sonrasında sistem üzerinde mail sunucunun bulunmasına yönelik
gerçekleştirilen Powershell sorgusu aşağıda verilmiştir.
Ekran görüntüsünde verildiği üzere “empire.local” alan adı üzerinde tanımlanmış mail
sunucusu “mail.empire.local” olarak tespit edilmiştir.
Mail sunucunun belirlenmesi ekran görüntüsünde verilen komut ile gerçekleştirilebileceği gibi
oluşturulan wordlist ile yapılacak sorgulamalarla da gerçekleştirilebilmektedir.
Exchange Server Üzerinde Kullanıcıların Tespit Edilmesi
Kullanıcı adı ve parola bilgisine sahip olduğmuz Exchange Server üzerinde tanımlı herhangi bir
kullanıcı ile mail sunucu üzerinde kullanıcıların tamamını listeleyebiliriz.
İlgili işlemi gerçekleştirebilmek için aşağıdaki komut kullanılmalıdır.
Get-GlobalAddressList -ExchHostname mail.empire.local -UserName
empireorhan.yildirim -Password Password321 -OutFile global-address-list.txt
İlgili komut kullanılarak gerçekleştirilen sorguya ait ekran görüntüsü aşağıda verilmiştir.
8. [MAIL SINIPER NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Kullanıcılara Ait Maillerin Terminal Üzerinden Okunması
Aşağıda verilen komut kullanılarak oturum elde edilen kullanıcıya ait mailler Powershell
terminali üzerinden Mail Sniper aracı ile okunabilmektedir.
Invoke-Selfsearch -Mailbox administrator@empire.local
İlgili komut kullanılarak gerçekleştirilen sorguya ait ekran görüntüsü aşağıda verilmiştir.
Ekran görüntüsünde görüleceği üzere “Administrator” kullanıcısına ait
“administrator@empire.local” mail adresi içerisinde gerçekleştirilen sorguda Mail Sniper aracı
ön tanımlı olarak “passoword”,”creds” ve “credentials” kelimelerinin geçtiği metinleri içeren
mailleri filtrelemektedir.
AD yapısı üzerinde sıradan bir kullanıcının kendi mail kutusunu terminal arayüzünden Mail
Sniper aracını kullanarak sorgulama gerçekleştirmesine ait ekran görüntüsü aşağıda
verilmiştir.
Mail Sniper aracı kullanılarak gerçekleştirilen sorgulamalarda istenilen kelimelerin aranması
için “Terms” parametresi kullanılmaktadır. İlgili ekran görüntüsü aşağıda verilmiştir.
Penetrasyon testi sırasında parola bilgileri elde edilen kullanıcılara ait mailler içerisinde
“impersonate” (bürünme) tekniği ile terminal üzerinden gerçekleştirilecek sorgulamalarla
kişilere ait mailler içerisinden belirli keyword’ ler ile farklı kullanıcılara ait parola bilgileri elde
9. [MAIL SINIPER NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
edilebilir. İlgili sorguyu gerçekleştirebilmek için sorgulama gerçekleştirilecek kullanıcıya ait
kullanıcı adı ve parola bilgisine sahip olmak gerekmektedir.
İlgili sorgulamayı gerçekleştirmek için aşağıda bilgisi verilen komut kullanılmalıdır.
Invoke-GlobalMailSearch -ImpersonationAccount erhan.yildirim -ExchHostname mail
Aşağıdaki ekran görüntüsünde “empireerhan.yildirim” kullanıcısı ile oturum elde edilen
sistem üzerinde kullanıcı adı ve parola bilgisi elde edilen “empireorhan.yildirim” kullanıcısına
ait mailler “impersonate” rolü ile “empireorhan.yildirim” kullanıcısı haklarıyla
görüntülenmiştir.
İlgili sorgu sonucu “burhan.txt” dosyasına yazdırılmış olup ekran görüntüsü aşağıda verilmiştir.
İlgili araç ile sorgu gerçekleştirebilmek için kullanıcı adı ve parola bilgisi gerekmektedir.
Kullanıcı adı ve parola bilgisi girilerek gerçekleştirilen sorgulamalar yalnızca kendi mail kutusu
üzerinde sorgulama gerçekleştirebiliyorken, Exchange Server sunucusunda “Administrator”
haklarına sahip bir kullanıcı ile mail sunusunda tanımlı mail alanına sahip olan tüm kullanıcıları
görüntüleyebilme ve mail alanı bulunan sunucu üzerindeki kullanıcılara ait mail trafiği
içerisinde sorgulama gerçekleştirilebilmektedir.
“EMPIRE” etki alanında “Domain Admins” grubuna dahil olan “Administrator” kullanıcısı
yetkileri ile Exchange Server üzerinde tanımlı olan tüm kullanıcıların mail kutularında “Parola”
kelimesinin aranması için aşağıdaki komut kullanılacaktır.
Invoke-GLobalMailSearch -ImpersonationAccount administrator -Terms “Parola” -
ExchHostname mail -OutputCsv global-email-search.csv
İlgili komut kullanılarak “mail” hostname bilgisine sahip Exchange Server üzerinde
gerçekleştirilen sorgu aşağıdaki ekran görüntüsünde verilmiştir.
10. [MAIL SINIPER NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
İlgili komut ile sunucu üzerindeki tüm mail kutularında gerçekleştirilen “Parola” kelimesinin
geçtiği yerler “global-email-search.csv” adı ile kaydedilmiştir.
İlgili “csv” uzantılı dosyanın görüntülenmesi aşağıdaki ekran görüntüsünde verilmiştir.
11. [MAIL SINIPER NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
BGA Bilgi Güvenliği A.Ş. Hakkında
BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir.
Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacı ile kurulan BGA Bilgi
Güvenliği, stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet
vermektedir.
Uluslararası geçerliliğe sahip sertifikalı 50 kişilik teknik ekibi ile, faaliyetlerini Ankara ve İstanbul ve
USA’da sürdüren BGA Bilgi Güvenliği’nin ilgi alanlarını “Sızma Testleri, Red Teaming, Güvenlik
Denetimi, SOME, SOC Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik
Analizi ve Yeni Nesil Güvenlik Çözümleri” oluşturmaktadır.
Gerçekleştirdiği başarılı danışmanlık projeleri ve eğitimlerle sektörde saygın bir yer edinen BGA Bilgi
Güvenliği, kurulduğu günden bugüne alanında lider finans, enerji, telekom ve kamu kuruluşlarına
1.000'den fazla eğitim ve danışmanlık projeleri gerçekleştirmiştir.
BGA Bilgi Güvenliği, kurulduğu 2008 yılından beri ülkemizde bilgi güvenliği konusundaki bilgi ve
paylaşımların artması amacı ile güvenlik e-posta listeleri oluşturulması, seminerler, güvenlik etkinlikleri
düzenlenmesi, üniversite öğrencilerine kariyer ve bilgi sağlamak için siber güvenlik kampları
düzenlenmesi ve sosyal sorumluluk projeleri gibi birçok konuda gönüllü faaliyetlerde bulunmuştur.
BGA Bilgi Güvenliği AKADEMİSİ Hakkında
BGA Bilgi Güvenliği A.Ş.’nin eğitim ve sosyal sorumluluk markası olarak çalışan Bilgi Güvenliği
AKADEMİSİ, siber güvenlik konusunda ticari, gönüllü eğitimlerin düzenlenmesi ve siber güvenlik
farkındalığını arttırıcı gönüllü faaliyetleri yürütülmesinden sorumludur. Bilgi Güvenliği AKADEMİSİ
markasıyla bugüne kadar “Siber Güvenlik Kampları”, “Siber Güvenlik Staj Okulu”, “Siber Güvenlik Ar-
Ge Destek Bursu”, “Ethical Hacking yarışmaları” ve “Siber Güvenlik Kütüphanesi” gibi birçok gönüllü
faaliyetin destekleyici olmuştur.