CyberFlow Logo CyberFlow BLOG
Smb Pentest

Admin Paylaşım İhanetinin Önlenmesi: Siber Güvenlik için Hayati Adımlar

✍️ Ahmet BİRKAN 📂 Smb Pentest

Windows yönetici paylaşımlarının suistimaline karşı alınması gereken önlemleri keşfedin. Siber güvenlikte kritik adımlar.

Admin Paylaşım İhanetinin Önlenmesi: Siber Güvenlik için Hayati Adımlar

Bu yazıda, Windows işletim sistemindeki admin paylaşımlarının nasıl suistimal edilebileceğini ve koruma yöntemlerini detaylı bir şekilde inceleyeceğiz. Siber güvenliğinizi artırmak için gerekli adımları öğrenin.

Giriş ve Konumlandırma

Siber güvenlik dünyasında, yöneticilere ait paylaşımların suistimali, ağ güvenliği açısından önemli bir tehdit oluşturmaktadır. Bu durum, özellikle büyük organizasyonlarda yönetici paylaşımlarının, yani C$ ve ADMIN$ gibi varsayılan paylaşım noktalarının yeterince güvenli bir şekilde yönetilmediğinde belirginleşir. Bu paylaşımlar, kötü niyetli kullanıcıların sistem üzerinden kritik verilere erişmesine ve kontrol elde etmesine olanak tanır. Dolayısıyla, bu tür paylaşımların yönetimi ve güvenliği, bir siber güvenlik stratejisinin temel unsurlarından biri haline gelmiştir.

Yönetici Paylaşımlarının Önemi

Yönetici paylaşımları, Windows işletim sisteminin kurulumuyla otomatik olarak oluşturulan ve yalnızca yönetici yetkisine sahip kullanıcılar tarafından erişilebilen özel ağ paylaşımlarıdır. Bu paylaşımlar, sistem yöneticileri için önemli olsa da, kötü niyetli bir kullanıcının eline geçtiğinde ciddi güvenlik açıklarına yol açabilir. Özellikle C$ paylaşımları, hedef sistemdeki dosya sistemine tam erişim sağlarken, ADMIN$ paylaşımı üzerinden yazma yetkisi ile sistemde kod çalıştırma imkanı tanımaktadır. Bir saldırgan, bu paylaşım noktalarını kullanarak sistemin yönetimsel fonksiyonlarını etki altına alabilir ve bu durum, siber saldırıların temelini oluşturur.

Siber Güvenlik, Pentest ve Savunma Bağlamı

Siber güvenlik açısından, bu tür paylaşımların yönetimi, penetrasyon testleri (pentest) ve savunma mekanizmalarının güçlendirilmesi açısından kritik öneme sahiptir. Penetrasyon testleri, sistemlerdeki zafiyetleri tespit etmek ve bu zafiyetlerin nasıl istismar edileceğini modellemek üzerine odaklanır. Örneğin, bir pentester, Nmap gibi araçları kullanarak mevcut yönetici paylaşımlarını tespit etmek için aşağıdaki gibi komutlar çalıştırabilir:

nmap -p 445 --script smb-enum-shares <hedef_ip>

Bu komut, hedef sistemdeki gizli paylaşımları listeleyerek hangi dosya sistemlerine erişilebileceğini ortaya koyar. Bu bilgiler, aynı zamanda ağdaki güvenlik açığının giderilmesi için kritik ipuçları sağlar.

Okuyucuyu Teknik İçeriğe Hazırlama

Bu yazıda, yönetici paylaşımlarının suistimal edilmesi senaryoları ile bunların nasıl tespit edileceği ve bunlara karşı alınması gereken önlemler üzerinde durulacaktır. Örneğin, bir saldırganın ADMIN$ veya C$ üzerinden erişim sağlamak için kullanabileceği farklı yöntemler ele alınacaktır. Özellikle, geçerli bir kullanıcı adı ve parolası ile bu paylaşımlara bağlanmanın, saldırganın sistem üzerinde tam kontrol sağlamasına nasıl olanak tanıdığı incelenecektir. Bunun yanı sıra, bu tür saldırıların izlerini bıraktığı olay günlükleri ve hangi log kayıtlarının kritik öneme sahip olduğu üzerinde durulacaktır.

Sonuç

Sonuç olarak, yönetici paylaşım ihanetinin önlenmesi, siber güvenlik stratejilerinin bir parçası olarak ele alınmalıdır. Bu paylaşımların güvenli yönetimi, siber saldırıların önlenmesi açısından hayati adımlardır ve bu bağlamda, teknik bilgi ve becerilerin geliştirilmesi şarttır. Siber güvenlik uzmanları ve organizasyonlar, bu paylaşımlar üzerindeki kontrolü güçlendirerek, potansiyel saldırganların ağda 'Tam Kontrol' elde etmesini engelleyebilir. Siber güvenlikte bu gibi kritik noktaları anlamak, hem bireysel hem de kurumsal güvenlik düzeyini artırmak için gereklidir.

Teknik Analiz ve Uygulama

Gizli Paylaşımları Tetikleme

Siber güvenlikte ilk adım; potansiyel zafiyetleri tespit etmektir. Windows işletim sistemleri varsayılan olarak bazı yönetici paylaşımları oluşturur. Bu paylaşım noktaları, isimlerinin sonundaki '$' işareti nedeniyle görünmez, bu da onları standart ağ tarayıcıları ile keşfetmeyi zorlaştırır. Nmap gibi araçlar, bu gizli paylaşımları ortaya çıkarmak için özel betikler sunar. Aşağıdaki komut, hedefteki gizli paylaşımları listelemek için kullanılabilir:

nmap -p 445 --script smb-enum-shares <hedef_ip>

Bu komut, belirttiğiniz hedef IP adresinde 445 portunu tarar ve SMB (Server Message Block) üzerinden yönetici paylaşımlarını listelemeye çalışır.

Paylaşım Anatomisi

Windows, C$ ve ADMIN$ gibi Yönetici Paylaşımlarını otomatik olarak oluşturur. Bu paylaşımlar, yalnızca yönetici yetkisine sahip kullanıcıların erişimine açıktır. C$, işletim sistemi ve kullanıcı verilerinin bulunduğu ana disk bölümünü temsil ederken, ADMIN$ uzaktan yönetim için kullanılan sistem dizinine işaret eder.

Tanım: Administrative Shares

Yönetici paylaşımları, sadece yetkilendirilmiş kullanıcılar tarafından erişilebilen özel ağ paylaşımlarıdır. Temel olarak, bir bilgisayara fiziksel olarak oturum açmış gibi tüm dosyalara erişim sağlamak için kullanılır. Örneğin, aşağıdaki komut ile C$ paylaşımına bağlanmak mümkündür:

smbclient //target_ip/C$ -U Administrator

Bu komut, geçerli bir kullanıcı adı ve şifre ile C$ paylaşımına erişimi sağlar.

Saldırı Senaryosu: PsExec

Eğer bir saldırgan, ADMIN$ paylaşımına yazma yetkisine sahipse, sistemde en yüksek yetki ile (SYSTEM) kod çalıştırarak potansiyel bir zarar verebilir. PsExec aracı, uzaktaki bir sistemde kod çalıştırmak için yaygın olarak kullanılır. Bu tür bir senaryoda, saldırgan, yetkili bir kullanıcıdan alınan bilgileri kullanarak aşağıdaki gibi bir komut çalıştırabilir:

psexec.exe \\hedef_ip -u Administrator -p password cmd.exe

Bu komut, hedef makinede komut istemcisini açarak kontrol sağlar.

Kritik Dosya: SAM & SYSTEM

Windows işletim sisteminde kullanıcı parolaları, SAM (Security Accounts Manager) dosyasında saklanır. Bu dosya, yerel kullanıcı hesaplarının ve parolalarının hash'lerini içerir. Bu dosyaya erişen bir saldırgan, sisteme ait parolaları kırmak için gerekli verilere ulaşabilir.

# SAM dosyasının bulunduğu dizin
C:\Windows\System32\Config\SAM

Bu dizinde, sistem için kritik olan kullanıcı parolalarının hash'leri mevcuttur.

CrackMapExec ile Yetki Denetimi

CrackMapExec (CME), ağa bağlı makinelerde yönetici haklarını denetlemek için etkili bir araçtır. Örneğin, aşağıdaki komut ile bir ağ üzerindeki makinelerde yönetici yetkilerine sahip olup olmadığınız kontrol edilebilir:

crackmapexec smb 10.0.0.0/24 -u admin -p password

Bu komut, belirtilen IP aralığında yetki denetimi yapar ve hangi makinelerde yönetici haklarına sahip olduğunuzu gösteren bir tablo üretir.

Tespit ve Log Analizi

Yönetici paylaşımlarının suistimali, Windows olay günlüklerinde belirgin izler bırakır. Örneğin:

  • Event ID 4624: Başarılı oturum açma ile ilgili kayıttır.
  • Event ID 4672: Özellikle yetkilerin atandığı durumları kaydeder.
  • Event ID 5140: Bir ağ paylaşımına erişim sağlandığını gösteren log kaydıdır.

Bu olay günlükleri, olası sızma girişimlerini tespit etmek için kritik öneme sahiptir.

Zafiyet: SMB Signing Disabled

Eğer yönetici paylaşımları açıksa ve SMB imzalama kapalıysa, bir saldırgan kimlik bilgilerini ileterek ADMIN$ üzerinden sisteme sızabilir. Bu nedenle SMB imzalamayı etkinleştirmek, güvenlik için kritik bir adım olarak değerlendirilmelidir.

Rpcclient ile Paylaşım Ekleme

Eğer sistemde yönetici yetkiniz varsa, rpcclient üzerinden yeni ve gizli olmayan bir paylaşım ekleyerek kalıcılık sağlanabilir. Aşağıdaki komut, yeni bir paylaşım eklemek için kullanılabilir:

rpcclient -U Administrator <hedef_ip>
netshareadd "YeniPaylasim" "C:\YeniDizin"

Bu komut, hedef makinede bir paylaşım oluşturacak ve saldırganın erişim sağlayabilmesini mümkün kılacaktır.

Savunma ve Hardening

Admin paylaşımlarını kurumsal bir ağda savunmak için çeşitli yöntemler bulunmaktadır. Registry ayarları ile yönetici paylaşımlarının devre dışı bırakılması veya Group Policy Objects (GPO) kullanarak belirli erişim değişiklikleri gerçekleştirilebilir. AutoShareServer = 0 ayarı, varsayılan yönetici paylaşımlarını kapatmak için kullanılabilir. Ayrıca, LAPS (Local Administrator Password Solution) uygulayarak, her makine için farklı yerel yönetici parolalarının kullanılması ve yanal hareketlerin kısıtlanması sağlanabilir.

Tüm bu adımlar, sistem üzerindeki 'Tam Kontrol' yetkisini ele geçirmeyi zorlaştırmakta ve olası siber tehditleri minimize etmektedir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında yönetici paylaşımlarının suistimali, birçok işletme için ciddi bir tehdit oluşturmaktadır. Bu bölümde, yönetici paylaşım ihanetinin risk değerlendirmesi, yorumlanması ve savunma yöntemleri üzerinde durulacaktır.

Yönetici Paylaşımlarının Anlamı ve Riski

Varsayılan olarak oluşturulan Windows yönetici paylaşımları, yalnızca yönetici haklarına sahip kullanıcılar tarafından erişilebilen özel ağ paylaşımıdır. Bu paylaşımlara örnek olarak C$ ve ADMIN$ gösterilebilir. C$, işletim sisteminin ana disk bölümü olan C: sürücüsüne işaret ederken; ADMIN$, uzaktan yönetim için kullanılan sistem dizinidir.

Bu paylaşımlar, ağ üzerindeki bir saldırganın, eğer yetkilendirilmiş erişim sağlarsa, tüm dosyalara ulaşmasına ve kritik sistem bilgilerine erişmesine olanak tanır. Özellikle bir saldırganın C$ paylaşımına başarıyla bağlanması, yerel kullanıcı hash'lerinin bulunduğu dosyaları ya da diğer hassas bilgileri elde etmesine yol açabilir. Aşağıdaki komut, hedefte gizli paylaşımların tespiti için kullanılabilir:

nmap -p 445 --script smb-enum-shares target_ip

Bu tür paylaşımlar üzerinde yapılan analiz ve yorumlamalar, güvenlik açısından kritik öneme sahiptir.

Yanlış Yapılandırmalar ve Etkileri

Yanlış yapılandırmalar, siber saldırılara kapı açan önemli zafiyetlerdir. Örneğin, eğer yönetici paylaşımları açık ve mesaj imzalama kapalıysa, saldırgan kimlik bilgilerini relay ederek ADMIN$ üzerinden sisteme sızabilir. Bu tür bir açığın yer aldığı bir sistem, ayrıca olumsuz log kayıtları bırakarak tespit edilmeyi kolaylaştırır. Örneğin, Windows olay günlüklerinde aşağıdaki gibi loglar bırakılmaktadır:

  • Event ID 4624: Başarılı oturum açma.
  • Event ID 4672: Yeni oturuma özel yetkilerin atanması.
  • Event ID 5140: Bir ağ paylaşım nesnesine erişildiğini bildiren log.

Yanlış yapılandırmaların etkileri, yalnızca müşteri verilerinin tehlikeye girmesiyle sınırlı kalmaz; aynı zamanda şirket itibarına da zarar verebilir.

Sızan Veriler ve Topolojik İnceleme

Bir saldırganın yönettiği paylaşımlara erişebilmesi durumunda, elde ettiği bilgiler arasında sosyal mühendislik için kullanılabilecek kritik veriler veya hassas kullanıcı bilgileri bulunmaktadır. Saldırgan, C$ paylaşımına erişim sağladığında, sistemdeki yerel kullanıcı hash'lerine ulaşabilir ve bu bilgileri kullanarak başka sistemlere geçiş yapabilir.

Topoloji açısından, ağ üzerinde yapılan analizler, hangi makinelerin yönetici haklarına sahip olduğunu belirlemek için önemlidir. Bu bağlamda, CrackMapExec (CME) aracı, ağdaki makineleri taramak ve C$ ile ADMIN$ erişimini test ederek hangi sistemlerin zafiyet taşıdığını belirlemek için etkilidir. 

crackmapexec smb 10.0.0.0/24 -u admin -p pass

Savunma ve Sertleştirme Yöntemleri

Yönetici paylaşımlarının suistimaline karşı alınabilecek önlemler şunlardır:

  1. SMB İmzalama: Yönetici paylaşımlarının güvenliğini artırmak için, SMB imzalamayı etkinleştirmek önemlidir. Bu, ağ üzerinden iletilen verilerin bütünlüğünü sağlar ve kimlik bilgisi taklitlerinin önüne geçer.

  2. Registry Ayarları ve GPO Kullanımı: Varsayılan yönetici paylaşımlarının devre dışı bırakılması için, aşağıdaki registry anahtarının etkinleştirilmesi tavsiye edilir:

    AutoShareServer = 0

    Bu, ağda bulunan sunucuların otomatik olarak yönetici paylaşımlarını oluşturmasını engeller.

  3. LAPS Uygulaması: Her makinede farklı yerel yönetici parolası kullanarak, yanal hareketlilik durdurulabilir.

  4. UAC (Kullanıcı Hesabı Denetimi) Ayarları: UAC'nin uzaktan kısıtlamaları açık olmalıdır. Bu, yerel admin hesaplarının ağ üzerinden C$ erişimini kısıtlar ve ek güvenlik sağlar.

Sonuç

Yönetici paylaşım ihanetinin önlenmesi, siber güvenlik stratejilerinin kritik bir bileşenidir. Yanlış yapılandırmalar, saldırganların kolayca hedef sistemlere erişim sağlamasına neden olabilir. Doğru yorumlama ve risk değerlendirmesi ile güvenlik önlemleri alındığında, bu tehditlerin etkisi önemli ölçüde azaltılabilir. Etkin bir savunma için, hem teknik hem de politik önlemlerin bir arada uygulanması gerekmektedir. Sistemlerin sertleştirilmesi, siber güvenlik kültürünün bir parçası olarak sürekli bir çaba gerektirmektedir.