CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

İç Ağda Yanal Hareket: FTP, SMB ve RPC Trafikleri

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

FTP, SMB ve RPC protokolleri kullanarak iç ağda yanal hareketi anlamak ve önlemek için kritik bilgiler.

İç Ağda Yanal Hareket: FTP, SMB ve RPC Trafikleri

Siber güvenlik uzmanları için iç ağda yanal hareket analizi kritik bir öneme sahiptir. FTP, SMB ve RPC protokollerinin nasıl suistimal edildiğini öğrenin.

Giriş ve Konumlandırma

Yanal hareket, siber güvenlik alanında, bir saldırganın bir ağa sızdıktan sonra çeşitli sistemlere yayılması ve yetkilerini artırması sürecini tanımlar. Bu süreç, bir saldırganın ağ içindeki kaynakları kötüye kullanarak daha fazla bilgiye erişim sağlamak ve daha stratejik hedeflere yönelmek amacıyla gerçekleştirdiği kritik bir aşamadır. İç ağda yanal hareket, genellikle üç temel protokol üzerinden gerçekleşir: FTP, SMB ve RPC. Bu protokollerin her biri, belirli özellikleri ve güvenlik açıkları ile yanal hareketin gerçekleştirilmesinde önemli bir rol oynar.

Yanal Hareketin Önemi

Yanal hareket, siber güvenlik gözlemcileri ve analistleri için son derece kritik bir konudur. Bir ağda bir sızma olayı yaşandığında, saldırganlar hemen kök ayrıcalıkları elde etmeyi ve hedef sistemler arasında hareket etmeyi hedefler. Bu durum, yalnızca bir sistemin güvenliğini tehdit etmekle kalmaz, aynı zamanda tüm ağın bütünlüğünü de riske atar. Özellikle kurumsal ortamlarda, yanal hareketin tespit edilmesi ve önlenmesi, siber saldırıların etkili bir şekilde yönetilmesi açısından kritik öneme sahiptir.

Yanal hareketin belirlenmesi için kullanılan teknikler arasında, ağ trafiğinin sürekli izlenmesi ve belirli protokollerdeki olağan dışı faaliyetlerin tespit edilmesi bulunur. Bu nedenle, analistlerin FTP, SMB ve RPC gibi protokollerle ilgili bilgi sahibi olmaları, saldırıların önlenmesi ve saptanması açısından hayati öneme sahiptir.

Siber Güvenlik ve Pentest Bağlamında Yanal Hareket

Siber güvenlik stratejileri, yalnızca dış tehditlerle savaşı değil, aynı zamanda iç tehditlerle de başa çıkmayı göz önünde bulundurmalıdır. Yanal hareket, özellikle pentest çalışmalarında dikkatle ele alınmalıdır. Bir penetrasyon testi sırasında, kötü niyetli bir aktör gerçek bir saldırıyı simüle ederek sisteme sızmanın yanı sıra, iç ağda yanal hareket gerçekleştirmek için bu protokolleri kullanabilir.

Örneğin, SMB protokolü genellikle dosya ve yazıcı paylaşımı amacıyla kullanılır ve siber saldırganlar tarafından sıklıkla suistimal edilir. SMB trafiğinde, bir analistin şüpheli aktiviteleri tespit etmesi, iç ağdaki potansiyel tehditleri anlamasına yardımcı olur. Aşağıda, SMB üzerinden yanal hareket yapan bir saldırganın izlerini tespit etmek için izlenmesi gereken adımlar yer almaktadır:

1. Ağ izleme araçları kullanarak SMB trafiğini analiz et.
2. PsExec gibi araçların kullanılıp kullanılmadığını kontrol et.
3. Şüpheli paylaşımlar ve bağlantılar üzerinde inceleme yap.
4. Yükselmiş yetkilerin istismarına dair izleri araştır.

Protokollerin Eğitici Rolü

FTP, basit ve yaygın bir dosya aktarım protokolüdür; ancak, verilerin şifrelenmeden açık olarak iletilmesi nedeniyle büyük güvenlik açıkları taşır. Wireshark gibi analiz araçları kullanılarak yapılan ağ dinlemeleri sırasında kullanıcı adları ve şifrelerin açıkça görülmesi mümkündür. Bu durum, gereken önlemlerin alınmaması halinde verilerin çalınmasına zemin hazırlamaktadır.

RPC ise, uzaktan prosedür çağrısı yapmak için kullanılan bir protokoldür ve üzerinde gerçekleştirilen olağandışı aktiviteler, siber güvenlik analistleri için önemli ipuçları sunar. Bu nedenle, analistlerin RPC trafiğinde karşılaşabilecekleri anomali belirtilerini tanımaları kritik öneme sahiptir.

Ağ üzerindeki tüm bu protokoller, yanal hareketin tespit edilmesi ve engellenmesi açısından dikkatlice izlenmelidir. Saldırıların önlenmesi ve etkili bir savunma için, havuzlanan bilgilere dayalı stratejilerin oluşturulması gereklidir. Okuyucular, bu yazının ilerleyen bölümlerinde yanal hareketin tanımını, protokollerinin detaylı incelemesini ve olası zafiyetleri keşfedeceklerdir. Bu, siber güvenlik süreçlerinde her bir analistin bilgi düzeyini artırmayı ve ilgili savunma stratejilerini güçlendirmeyi amaçlamaktadır.

Teknik Analiz ve Uygulama

Yanal Hareket Tanımı

Yanal hareket, saldırganların bir ağa sızdıktan sonra mevcut yetkilerini artırmak ve sistemler arasında geçiş yaparak daha fazla hassas bilgiye ulaşmak için gerçekleştirdikleri işlemlerdir. Özellikle iç ağ ortamında bu tür hareketler, güvenlik açığı yaratabilecek servislerden veya protokollerden yararlanarak gerçekleştirilir. Hazırlanan bu bölümde, yanal hareketin temelinin anlaşılması ve siber güvenlikteki önemi vurgulanacaktır.

SMB Protokolü ve Portu

Server Message Block (SMB) protokolü, Windows sistemlerde dosya ve yazıcı paylaşımına olanak tanıyan bir protokoldür ve genellikle TCP 445 portu üzerinden çalışır. Yanal hareketlerde sıkça hedeflenen bu protokol, fidye yazılımları gibi kötü niyetli yazılımların yayılmasında kritik bir rol oynamaktadır. Ayrıca, SMB üzerinden komut çalıştırma için kullanılan PsExec gibi araçlar da saldırganlar tarafından sıklıkla kullanılmaktadır.

SMB üzerinden yanal hareket tespiti için analiz yapılırken şu komut kullanılabilir:

filter smb find admin$ share execution

Bu komut, SMB trafiği üzerinde yapılacak analizlerde, yetki artırma amacıyla kullanılan paylaşımların tespit edilmesine yardımcı olur.

Protokol Görevleri

İç ağda yanal hareket gerçekleştiren saldırganlar, SMB protokolünü kullanarak uzaktan komut çalıştırma ve dosya paylaşımı yaparlar. PsExec, bu amaçla sıklıkla başvurulan bir araçtır. Aşağıdaki komut, PsExec aracılığıyla hedef bir sistemde komut çalıştırma sürecini göstermektedir:

psexec \\hedef_ip -u kullanıcı_adı -p parola cmd.exe

Burada, hedef_ip hedef makinenin IP adresini, kullanıcı_adı ve parola ise giriş yapmak için gerekli kimlik bilgilerini temsil eder.

FTP Zafiyetleri

File Transfer Protocol (FTP), verilerin açık metin (cleartext) halinde aktarımını gerçekleştirir. Bu özellik, saldırganlar tarafından kullanıcı adları ve parolaların kolayca elde edilmesine yol açar. Örneğin, Wireshark gibi bir izleme aracı kullanarak gerçekleştirilen bir ağ dinlemesi sırasında, FTP trafiği açık bir şekilde incelenebilir. FTP üzerinden gönderilen verileri analiz ettiğimizde, kullanıcı adı ve parolaların yer aldığı boşlukları tespit edebiliriz.

FTP trafiğini analiz etmek için kullanılan örnek komut:

wireshark -r ftp_traffic.pcap

Yukarıdaki komut, ftp_traffic.pcap dosyası üzerinde analiz yaparak, FTP iletişimi sırasında kullanılan kullanıcı bilgilerini ve diğer verileri incelememizi sağlar.

Pass-the-Hash (PtH)

Pass-the-Hash (PtH) tekniği, saldırganların kimlik bilgilerini ele geçirmeden, makinelere kimlik doğrulama bilgileriyle geçiş yapmalarını sağlar. Saldırgan, NTLM hash değerlerini kullanarak, ağ üzerindeki diğer cihazlara sızabilir. Bu tekniğin kötüye kullanılması, genellikle düşük güvenlik önlemlerine sahip sistemlerde görülür.

Hedef makinedeki NTLM hash değerinin bir örnekle gösterimi:

NTLM Hash: 123456789abcdeffedcba9876543210

Yukarıdaki hash, saldırganın diğer sistemlere sızmak için kullanabileceği bir anahtarı temsil eder.

RPC Anomali Belirtileri

Uzak Prosedür Çağrısı (RPC) trafiği de yanal hareketlerin yakalanmasında önemli bir rol oynamaktadır. Analistler, RPC trafiğinde araması gereken şüpheli durumları belirlemelidir. Özellikle, bilinen endpoint'ler dışında bir RPC servisine erişilmeye çalışılması gibi durumlar, potansiyel bir sızma girişimini işaret edebilir. Bu tür anomalilerin tespiti için aşağıdaki teknikler uygulanabilir:

  1. Yüksek hacimli RPC çağrılarının gözlemlenmesi.
  2. Bilinmeyen endpoint'lere erişim denemeleri.
  3. DCE/RPC bind hataları gibi sistemde sürekli başarısız olan yetkisiz erişim denemelerinin analizi.

Yanal Hareket Avcılığı

SOC (Security Operations Center) ortamında, iç ağdan iç ağa giden şüpheli trafiğin analizi, yanal hareket avcılığının bir parçasıdır. Analistler, gizli paylaşımlar (örneğin, C$, IPC$, ADMIN$ gibi dollar işareti ile biten paylaşımlar) üzerinde araştırma yaparak, olası saldırgan hareketlerini tespit ettikleri sıralı adımlar izlerler. Bu gizli paylaşımlar, saldırganların ilk hedefleri arasında yer almaktadır.

Yanal hareketin izlenmesi ve belirli süreçlerin gerçekleştirilmesi, sistemlerin güvenliğini artırmak ve potansiyel saldırıları önlemek için kritik öneme sahiptir. Saldırganların bu tür protokoller üzerinden yaptığı hareketlerin tespiti, güvenlik uzmanlarının iş yükünü azaltmakta ve ağın güvenliğini sağlamaktadır.

Risk, Yorumlama ve Savunma

Risk Analizi

İç ağda yanal hareket (lateral movement) gerçekleştiren saldırganlar için çeşitli yollar sunan protokoller arasında FTP, SMB ve RPC öne çıkmaktadır. Bu protokollerin yanlış yapılandırmaları veya güvenlik açıkları, saldırganların ağa girmesinin ardından yetkilerini artırmalarına ve diğer sistemlere yayılmalarına olanak tanır.

FTP Zafiyetleri

FTP, verileri şifrelemeden ilettiği için, ağ üzerinde dinleme yapan bir analist FTP trafiğini inceleyerek açık metin formatında kullanıcı adı ve şifreleri yakalayabilir. Aşağıda, FTP trafiğiyle ilgili örnek bir Wireshark çıktısı verilmiştir:

220 FTP Server ready
USER exampleUser
331 Password required for exampleUser
PASS examplePassword
230 User exampleUser logged in

Yukarıdaki örnekte, kullanıcı adı ve şifrenin açık bir şekilde iletildiği görülmektedir. Bu durum, ağ dinleyicileri tarafından kolayca izlenebilir ve kötü niyetli kişilerin eline geçebilir. Böyle bir durumun önüne geçmek için FTP yerine daha güvenli olan SFTP veya FTPS gibi şifreli protokollerin kullanılması önerilmektedir.

SMB Protokolü ve Potansiyel Riskler

SMB, Windows sistemlerde dosya paylaşımı ve uzaktan komut çalıştırma (örn. PsExec) için yaygın olarak kullanılır. Saldırganlar, SMB üzerinden yanal hareket ederek hedef sistem üzerinde komut çalıştırabilirler. SMB’nin varsayılan olarak açık olan paylaşımlarına (örneğin, C$, ADMIN$, IPC$) yönelik saldırılar oldukça yaygındır. Bu tür paylaşımlar, saldırganlar tarafından hızlı bir şekilde istismar edilebilir.

Saldırganların, kullanıcı parolalarının NTLM hash'lerini kullanarak diğer makinelerde oturum açmalarına olanak tanıyan Pass-the-Hash tekniği de ciddi bir tehlike arz etmektedir. Bu teknik sayesinde, saldırgan parolaları doğrudan bilmeden diğer sistemlere sızabilir. SMB trafiği şüpheli bir şekilde tespit edildiğinde, aşağıdaki gibi bir filtreleme uygulamasıyla izleme yapılabilir:

monitor internal traffic detect unusual smb connections
filter smb find admin$ share execution

RPC Anomalileri

Uzak Prosedür Çağrısı (RPC) protokolü, iç ağda sistemler arasında işlem çağrıları ve iletişim için kritik bir rol oynar. Ancak, RPC protokolünün yanlış yapılandırılması veya bilmeceler içermesi, saldırganların gizli veya bilinmeyen uç noktaları (unknown endpoints) istismar etmesine neden olabilir.

Analistler, yüksek hacimli RPC trafiğini izleyerek ağdaki şüpheli durumları tespit edebilir. Aşağıdakilere dikkat edilmesi önemlidir:

  • Bilinmeyen Endpoint: Sistemlerde standart dışı veya gizlenmiş bir RPC servisinin çağrılması.
  • DCE/RPC Bind Hataları: Ağ üzerinde sürekli başarısız olan yetkisiz uzak erişim denemeleri.

Savunma Önlemleri ve Hardening Önerileri

Sistem ve ağ güvenliğini artırmak için aşağıdaki önlemler alınmalıdır:

  1. Güçlü Parola Politikaları: Kullanıcı hesaplarının zayıf parolalarla korunmaması için güçlü karmaşık parola politikaları uygulanmalıdır.
  2. Şifreli Protokollerin Kullanımı: FTP yerine SFTP/FTPS, SMB yerine SMBv3 gibi şifreli alternatif protokoller tercih edilmelidir.
  3. Erişim Kontrolleri: Ağ içerisindeki paylaşımlara erişim, sadece yetkili kullanıcılarla sınırlı tutulmalıdır.
  4. Ağ Segmentasyonu: Kritik sistemler ve ağ bileşenleri arasında segmentasyon sağlayarak saldırganın hareket alanı kısıtlanmalıdır.
  5. Sürekli İzleme ve Analiz: Ağ trafiği sürekli izlenmeli ve şüpheli aktiviteler anında tespit edilmelidir.

Sonuç

İç ağda yanal hareket eden saldırganlar için FTP, SMB ve RPC gibi protokoller büyük fırsatlar sunmaktadır. Bu protokoller üzerindeki zafiyetler, yanlış yapılandırmalar ve eksik güvenlik önlemleri, ağ güvenliğini tehlikeye atmaktadır. Bu nedenle, proaktif bir güvenlik yaklaşımının benimsenmesi ve sürekli izleme ile ağın güvenliğinin artırılması hayati önem taşımaktadır.