Socialphish Trafik Analizi

Bu yazımızda socialphish aracı kullanılması esnasında pcap kaydı alınarak trafiğinin analiz edilmesi sağlanmıştır. İlk olarak aracı kısaca inceleyelim. Araç ile ilk aşamada aşağıdaki sosyal medyalardan birinin seçilmesini sağlıyoruz. Daha sonradan seçilen sosyal medya servisinin local sistemimizden internette yayın yapılabilmesini sağlayan serveo.net veya ngrok servislerinden birini seçiyoruz. Böylece lokalde yaptığımız uygulamaya internet üzerinden erişim sağlanabiliyor.

Kısaltılmış linke kullanıcı adı ve parola bilgilerinin doldurulması sonucu elde etmiş olduğumuz bilgiler aşağıda görülmektedir.

Bir phishing aracının trafik analizinde ilk olarak DNS protokolündeki A kayıtlarının incelenmesiyle başlayabiliriz. Bunun için dns.a display filtresi uygulanmaktadır.

Tinyurl.com vb. bir siteyle link kısaltma işleminin uygulanabileceği sosyal mühendislik saldırılarına ilişkin analizlerinde sıklıkla göz ününde bulundurulmalıdır.

Ngrok vb. bir tünelleme servisinin DNS servisinin A kaydında çözümlemesinin yapılması lokaldeki servisin hangi public IP adresinden hizmete sunulduğu bilgisini verecektir.

Ip-tracker.org , ipinfo.io vb. bir web sitesi kurbanın public IP adresinin konumunu tanımlayacağı için önem arz etmektedir.

Son olarak bir sosyal medyaya ilişkin bir DNS sorgusu yukarıda belirtilen web siteleriyle yakın bir sürede kullanılmışsa bir sosyal mühendislik saldırısı olabileceği düşünülmelidir.

Kaynak kodu incelediğimizde IP adresinin nasıl tespit edildiğini görebiliriz:

Kayıtlı olan IP adresine ait yapılan sorgulamayı filtrelemek için “frame contains ip-tracker” kullanılabilir.