ATtiny85 ile 20 saniyede WiFi Şifresi Hackle

Bu teknik analizimizde, gömülü sistemlerin ve USB protokollerinin suistimal edilmesine dayanan BadUSB / Rubber Ducky saldırı modeli ile wifi şifresi hackleme örneğini inceliyoruz. Düşük maliyetli ATtiny85 mikrodenetleyicisi üzerinden donanımsal ve protokolsel düzeyde inceleyecek ve kurumsal ağları bu tür donanımsal sızma girişimlerine karşı koruma yöntemlerini ele alacağız.

Bilgi güvenliği ve uç nokta (endpoint) savunma mimarilerinde, fiziksel güvenlik katmanı en az yazılımsal güvenlik duvarları kadar kritik bir öneme sahiptir.

⚠️ Yasal Uyarı:

Bu içerik yalnızca eğitim ve bilgi amaçlı olarak hazırlanmıştır. İçerikte belirtilen yöntemlerin kötüye kullanımı yasalara aykırı olabilir ve sorumluluk tamamen kullanıcının kendisine aittir.

Her zaman yasalara uygun hareket etmeniz ve izinsiz girişimlerde bulunmamanız gerektiğini unutmayın. Yazar ve devreyakan.com, bu bilgilerin kötüye kullanılmasından doğabilecek yasal veya teknik sorunlardan sorumlu tutulamaz.

USB protokolünün doğası gereği, bilgisayarlar takılan cihazların beyan ettiği kimlik tanımlayıcılarına (descriptors) doğrudan güvenirler. Bu durum, siber güvenlik dünyasında fiziksel sızma testi simülasyonlarında sıklıkla analiz edilen HID (Human Interface Device) taklidi saldırılarına zemin hazırlar. Rubber Ducky ve benzeri aygıtların çalışma mantığı hakkında genel siber güvenlik farkındalığı edinmek için Mr. Robot dizisinde kullanılan teknolojiler analizimizi inceleyebilirsiniz.

ATtiny85 USB Modülü Donanımı — Doğrudan USB Konnektör Tasarımına Sahip ATtiny85 Geliştirme Kartı

Her ATtiny içeriğinde olduğu gibi Arduino IDE kullanacağınız, öncelikle ATtiny kütüphanelerini Arduino IDE’ye kurmanız ve gerekli sürücüleri bilgisayarınıza kurmanız gerekiyor, önceki ATtiny yazılarımızı inceleyerek kurulum hakkında detaylı bilgilere erişebilirsiniz.

ATtiny85 için oluşturan oldukça fazla payload(kötü amaçlı) kod mevcut, bu gibi tehlikelerden korunmak için, bu payloadları bilmekte fayda var. Bu yazımızda MTK911 GitHub kullanıcısı tarafından oluşturulmuş, Wi-Fi password stealer payload’ını kullanacağınız, fakat görselde gördüğünüz gibi diğer payload’ları da deneyebilirsiniz.

ATtiny85 ile 20 saniyede WiFi Şifresi Hackle wifi şifresi hackle,attiny85

Bazı payload’ların admin yetkileri gerektirmemesi, tehlikenin boyutunu bizlere biraz daha gösteriyor.

Yazı İçeriği

Program Kodu

Program kodu aslında, ATtiny85’i bilgisayara klavye girdisi olarak tanıtıyor, bu yüzden güvenlik programları, antivirüsler bu saldırıya karşı hazırlıklı değilse, açık bir veri ihlaline sebep oluyor. Klavye girdisi olarak bağlanan ATtiny85 sanki insan kontrolünde gibi, powershell komut satırı açıp, WiFi şifrelerinin tutulduğu kısımdan verileri çekiyor, ardından IoT işlemlerinde sıklıkla kullandığımız webhook.site aracılığı ile, size özel tahsis edilen “unique URL”‘ye bu WiFi verilerini aktarıyor, eğer bu programı ATtiny85’inizde derleyip test ederseniz, çalışma esnasında tam olarak neyden bahsettiğimizi anlayacaksınız.

WiFi verilerini depolamak için ATtiny85’in EPROM’unu kullabilirsiniz, ya da farklı bir EPROM entegresi, SD Kart modülü takarak bu verileri kayıt altına alabilirsiniz fakat burada bu saldırının ne kadar hızlı ve efektif olduğunu görmek için webhook’un sihrine kapılabilirsiniz.

Örnek Webhook Unique URL

ATtiny85 Donanım Sınırları ve V-USB Katmanı Fiziği

Profesyonel USB HID simülasyon cihazları (örneğin Rubber Ducky veya Teensy), bünyelerinde donanımsal bir USB kontrolcü motoru barındırırlar. Ancak ultra küçük boyutlu ve düşük maliyetli 8-bit AVR RISC tabanlı ATtiny85 mikrodenetleyicisinde fiziksel bir donanımsal USB arayüzü bulunmaz. Bu kısıtlamayı aşmak için yazılımsal bir katman olan V-USB (Virtual USB) sürücü kütüphanesi kullanılır.

V-USB, USB 1.1 düşük hız (Low-Speed – 1.5 Mbps) protokolünü tamamen yazılımsal olarak, GPIO pinleri üzerinden bit-banging (bit düzeyinde darbe kontrolü) tekniğiyle simüle eder. Bu elektriksel dönüşüm sürecinin bazı temel teknik detayları şunlardır:

Saat Frekansı Hassasiyeti: USB standartlarında veri iletim hatları ( $D+$ ve $D-$ ) arasındaki zamanlama toleransı son derece katıdır. Low-speed protokolünde veri iletim hızı $1.5\text{ Mbps} \pm 1.5\%$ olmalıdır. Bu kararlılığı sağlamak için normalde içsel $8\text{ MHz}$ RC osilatörle çalışan ATtiny85, yazılımsal faz kilitlemeli döngü (PLL) yardımıyla içsel saat hızını $16.5\text{ MHz}$ seviyesine aşırtarak çalışır.
Elektriksel Seviye Dönüşümü: USB veri hatları ( $D+$ , $D-$ ) lojik olarak $3.3\text{ V}$ gerilim aralığında çalışır. ATtiny85 ise çoğunlukla $5\text{ V}$ USB beslemesiyle sürülür. Veri hatlarındaki lojik seviyeleri USB standartlarına uydurmak amacıyla $D+$ ve $D-$ hatlarına $3.6\text{ V}$ Zener diyotları paralel olarak bağlanır. Bu diyotlar aşırı gerilimi kırparak hattı sınırlar.

USB HID Spoofing Taktiği ve Protokolsel İşleyiş

Sistem işletim sistemine bağlandığı anda, USB ana bilgisayarı (host) cihazdan belirli tanımlayıcı paketleri (descriptors) talep eder. Cihaz kendini bilgisayara bir klavye olarak tanıtmak için HID Keyboard Descriptor yapısını gönderir:

Bu deskriptör paketi alındığında, işletim sistemi takılan aygıtın güvenilir bir “insan arayüzü cihazı” olduğunu kabul eder ve sürücü yükleme gerektirmeden doğrudan entegre eder. Bu aşamadan sonra mikrodenetleyici üzerindeki yazılım, insan parmaklarının basamayacağı hızlarda (milisaniyeler mertebesinde) önceden tanımlanmış komut dizilimlerini (keystroke injection) gönderir.

Tehlike Senaryoları ve Payload Mekanizmaları

Kurumsal güvenliği test etmek amacıyla yapılan simülasyonlarda kullanılan yazılımlar, antivirüs ve EDR (Endpoint Detection and Response) sistemlerinin imza tabanlı (signature-based) taramalarını aşabilir. Bunun sebebi, gönderilen girdilerin sisteme dosya üzerinden değil, tamamen donanımsal bir klavye girdisi olarak doğrudan hafızada (in-memory) çalıştırılmasıdır. Saldırganlar bu yöntemle şu adımları taklit ederler:

Komut Arayüzünün Açılması: Klavye kısayolları (örneğin Windows + R) hızlıca gönderilerek çalıştır veya Powershell/CMD pencereleri tetiklenir.
Veri Çekme ve Sızdırma: Sistem üzerinde admin yetkisi gerektirmeyen temel ağ yapılandırma komutları çalıştırılır. Örneğin, sistemde kayıtlı olan Wi-Fi profilleri ve açık anahtar şifreleri (`netsh wlan show profile name=”SSID” key=clear`) sorgulanır.
Dışarı Aktarım (Exfiltration): Elde edilen veriler, HTTPS istekleri oluşturan PowerShell scriptleri üzerinden test amaçlı açılan dış sunuculara veya Webhook servislerine (webhook.site gibi) POST parametresi olarak gönderilir.

Kurumsal BadUSB ve HID Enjeksiyon Savunma Stratejileri

Uç nokta güvenliğini BadUSB saldırılarına karşı korumak için tek katmanlı güvenlik önlemleri yetersizdir. Çok katmanlı (defense-in-depth) bir koruma şeması kurulmalıdır:

1. Grup İlkesi (GPO) ile Cihaz Sınıflandırma ve Engelleme

Windows Active Directory ortamlarında, bilinmeyen veya yetkilendirilmemiş USB cihaz sınıflarının sisteme takılması engellenebilir. BadUSB cihazları çoğunlukla standart HID klavye sürücülerini kullandığından, yeni klavye sürücülerinin kurulması veya belirli donanım kimliklerinin (Hardware IDs) dışındakilerin engellenmesi GPO üzerinden kısıtlanabilir:

GPO Politikası: `Bilgisayar Yapılandırması -> Yönetim Şablonları -> Sistem -> Cihaz Yükleme -> Cihaz Yükleme Kısıtlamaları` sekmesinde yer alan “Bu Cihaz Kurulum Sınıflarıyla Eşleşen Cihazların Kurulmasını Engelle” ilkesi aktif hale getirilerek, onaylı çevre birimleri dışındaki tüm donanımlar engellenebilir.

2. Klavye Girdisi Hız ve Davranışsal Analiz (EDR Kuralları)

Bir insanın dakikada yazabileceği maksimum kelime sayısı (WPM) fiziksel olarak sınırlıdır ( $\approx 120\text{ WPM}$ ). BadUSB cihazları ise saniyede binlerce karakter basabilir. Gelişmiş EDR ajanları, klavye girdilerinin giriş hızını takip ederek insan sınırlarının üzerindeki anomalileri algılar ve ilgili USB portunu otomatik olarak bloke eder.

3. PowerShell ve Komut Satırı Kısıtlamaları

Saldırganlar klavye taklidiyle komut satırına ulaştıklarında, sistemde kısıtlamalar varsa durdurulurlar. Kurumsal ağlarda şu önlemler alınmalıdır:

PowerShell Constrained Language Mode: PowerShell’in dosya sistemine veya sistem API’lerine doğrudan erişimini engelleyerek zararlı scriptlerin çalıştırılmasını sınırlandırır.
AppLocker ve WDAC (Windows Defender Application Control): Sadece dijital olarak imzalanmış ve güvenilirliği onaylanmış uygulamaların ve scriptlerin (.ps1, .bat) çalışmasına izin verir.