CyberFlow Logo CyberFlow BLOG
Post Exploitation Exfiltration

Impacket-SMBServer ile Dosya Paylaşımı ve NTLM Yakalama Eğitimi

✍️ Ahmet BİRKAN 📂 Post Exploitation Exfiltration

Impacket-SMBServer kullanarak dosya paylaşımı oluşturmayı ve NTLM kimlik doğrulaması yakalama yöntemlerini öğrenin.

Impacket-SMBServer ile Dosya Paylaşımı ve NTLM Yakalama Eğitimi

Bu blog yazısında, Impacket-SMBServer kullanarak etkili bir dosya paylaşımının nasıl oluşturulacağını, NTLM kimlik doğrulaması yakalama yöntemlerini ve ağ güvenliğinde dikkat edilmesi gereken kritik adımları öğreneceksiniz.

Giriş ve Konumlandırma

Siber güvenlik alanında, ağlar arasında dosya paylaşımı ve kimlik doğrulama süreçlerinin yönetimi hayati bir öneme sahiptir. Bu blog yazısında ele alacağımız konu, Impacket kütüphanesi kullanılarak SMB (Server Message Block) protokolü üzerinden dosya paylaşımı ve NTLM (NT LAN Manager) kimlik doğrulamasının nasıl yakalanabileceği üzerine yoğunlaşmaktadır. Özellikle sızma testleri sırasında, bu yöntemlerin doğru anlaşılması ve uygulanması, hem saldırganların hem de savunma ekiplerinin stratejilerini geliştirmelerine olanak tanır.

SMB Protokolüne Giriş

SMB, dosya paylaşımı, yazıcı erişimi ve diğer ağ hizmetleri için yapılandırılmış bir protokoldür. Windows tabanlı sistemler arasında yaygın olarak kullanılan bu protokol, hem kullanım kolaylığı sağlaması hem de yetenekleri ile dikkat çeker. Ancak, SMB'nin karmaşık yapısı, güvenlik açığına neden olabilecek bir dizi risk barındırmaktadır. Özellikle, NTLM kimlik doğrulama mekanizması, siber saldırganlar için hedeflenebilecek potansiyel bir zayıflık noktasıdır. Doğru bir şekilde yapılandırılmayan SMB sunucuları, yetkisiz erişimlere kapı aralayabilir.

Impacket Kütüphanesi ve Önemi

Impacket, ağ protokollerinin kolayca manipüle edilmesine ve yeni araçların geliştirilmesine olanak tanıyan güçlü bir Python kütüphanesidir. SMB ile ilgili kaynakların ve araçların sağlanması açısından kritik bir rol oynamaktadır. Impacket ile kullanıcılar, yalnızca basit komutlarla karmaşık yapılandırmalar yapabilir ve kendilerine özel dosya paylaşım alanları oluşturabilirler. Bu araç, pen test uzmanlarına ve siber güvenlik profesyonellerine, zafiyet analizlerini gerçekleştirme ve sistemi test etme konularında önemli avantajlar sağlar.

Neden Önemli?

Modern güvenlik yaklaşımları, siber saldırıların önlenmesi için sürekli güncellenen stratejileri ve araçları içerir. SMB protokolünde zafiyetler, çoğu zaman kötü niyetli kullanıcılar tarafından suistimal edilebilir. Örneğin, anonim erişim imkanı sunan veya yanlış yapılandırılan bir SMB sunucusu, kötü niyetli bir saldırgana kurban sistemde tam yetki kazandırabilir. Bu nedenle, SMB sunucularının düzgün bir şekilde yapılandırılması ve kimlik doğrulama süreçlerinin sıkı bir şekilde denetlenmesi gerekmektedir.

Aynı zamanda, siber güvenlik alanında etkin olarak görev yapan mavi takım (savunma ekipleri), ağda olası tehditleri tespit etmek için sürekli olarak izleme yapmaktadır. SMB sunucularının tespiti, özellikle anormal trafik faaliyetleri ve güvenlik açıklarını ortaya çıkarma açısından kritik öneme sahiptir. Doğru yapılandırılmış ve yönetilen bir sistem, mavi takımın daha etkin bir şekilde görev yapmasını sağlar.

Eğitim İçeriğine Hazırlık

Bu blog yazısında, Impacket kullanarak nasıl bir dosya paylaşım sunucusu kurulacağını, gerekli parametrelerin ne anlama geldiğini, modern Windows sürümleri ile uyumlu bir yapılandırma yapmayı ve NTLM kimlik doğrulaması ile ilgili detayları inceleyeceğiz. Okuyucular, aşama aşama ilerleyerek, yalnızca teknik bilgilerini arttırmakla kalmayacak, aynı zamanda pratik uygulama yeteneklerini de geliştirecekler.

Özetle, SMB sunucularının güvenli bir şekilde yapılandırılması ve izlenmesi, siber güvenlik alanında kritik bir bileşeni temsil eder. Doğru bilgi ve teknikle donanmış siber güvenlik uzmanları, yalnızca saldırıları önlemekle kalmayacak, aynı zamanda olası zafiyetleri belirleyip, sistemlerini daha dayanıklı hale getirebileceklerdir.

Teknik Analiz ve Uygulama

Temel Paylaşım Oluşturma

Impacket, siber güvenlik alanında yaygın olarak kullanılan bir Python kütüphanesidir ve SMB (Server Message Block) protokolü ile dosya paylaşımını yönetmek için güçlü araçlar sunar. impacket-smbserver komutu, SMB sunucusunu başlatmak için temel bir araçtır. Başlatmak için, paylaşım adı (örneğin "GIZLI") ve bu paylaşımın yerel dosya sistemindeki karşılık gelen dizinini belirtmeniz gerekmektedir.

Aşağıdaki gibi bir komut kullanarak /tmp dizinini "GIZLI" adıyla paylaşabilirsiniz:

impacket-smbserver GIZLI /tmp

Bu komut, GIZLI adıyla bir SMB paylaşıma açılan /tmp dizinini oluşturacak ve klavuzda belirttiğimiz adımlar üzerinden erişim sağlanmasını mümkün kılacaktır.

Parametrelerin Görevleri

impacket-smbserver komutunda kullanılan bazı yaygın parametreler, kullanıcıların özelleştirilmiş bir paylaşım oluşturmasına olanak tanır. Örneğin, -smb2support parametresi, Windows 10 ve üzeri sistemlerin bağlanabilmesi için gerekli olan güncel protokol desteğini etkinleştirir. Eğer hedef sistem modern bir Windows sürümüyse, bu parametre olmadan bağlantı hataları ile karşılaşmanız muhtemeldir.

impacket-smbserver -smb2support GIZLI /tmp

Modern Windows Uyumluluğu

Modern Windows sistemlerinde SMBv1 protokolü genellikle güvenlik gerekçeleriyle kapalıdır. Bu yüzden, eğer hedef sisteminiz özellikle güncel bir Windows sürümüyse, bağlantı işlemlerinizde karşılaşabileceğiniz olası hataların önüne geçmek amacıyla SMBv2 desteğini sağlamak oldukça önemlidir. Yukarıda belirttiğimiz gibi, -smb2support parametresini kullanarak bu sorunu çözebilirsiniz.

Kimlik Doğrulamalı Paylaşım

Eğer hedef makinede anonim erişime izin verilmiyorsa, sunucunuza bir kullanıcı adı ve parola belirlemeniz gerekebilir. Bu amaçla, -username ve -password parametrelerini kullanabilirsiniz. Örneğin, admin kullanıcı adı ve P@ss parolası ile bir dosya paylaşımı başlatmak için aşağıdaki komut kullanılabilir:

impacket-smbserver -username admin -password P@ss DOSYA .

Bu komut, mevcut dizini (.) "DOSYA" adıyla paylaşacak ve belirttiğimiz kullanıcı bilgileri ile kimlik doğrulaması gerektirecektir.

Hedef Makineden Erişim

Sunucu açıldıktan sonra, hedef makinede (Windows) bu klasörü bir ağ sürücüsü gibi bağlamak mümkün olur. Aşağıdaki Windows komutunu kullanarak GIZLI paylaşımına erişim sağlayabilirsiniz:

net use \\10.0.0.5\GIZLI

Yukarıdaki komut, belirttiğimiz IP adresindeki (10.0.0.5) GIZLI paylaşıma erişim sağlamaktadır. Bu, dosyaların paylaşımına erişmek ve kopyalamak için oldukça pratik bir yöntemdir.

Mavi Takım: SMB Sunucu Tespiti

Ağ ortamında yetkisiz bir SMB sunucusunun çalışması büyük bir tehdit oluşturur. Mavi ekiplerin bu tür tehditleri tespit etmeleri için çeşitli izleme yöntemleri bulunmaktadır. Örneğin, Port 445 Monitoring yöntemi, ağda standart sunucular dışında aniden 445 portundan hizmet veren yeni IP'leri izlemek için kullanılır. Bu, potansiyel olarak tehlikeli bir durumun tespiti açısından kritik olabilir.

Buna ek olarak, SMB Traffic Analysis ve Honeytoken Files gibi yöntemler, NTLM kimlik doğrulama trafiklerini analiz ederek ve sahte belgeleri takip ederek saldırganın izini sürmek için etkili stratejiler olarak öne çıkar.

- SMB Traffic Analysis: Şifrelenmemiş NTLM kimlik doğrulama trafiklerini IDS/IPS ile yakalamak.
- Honeytoken Files: Saldırganın SMB sunucusuna yüklemesi muhtemel olan sahte belgeleri takip etmek.

Bu yöntemler, ağ altyapısının güvenliğini artırmak ve potansiyel tehditleri önceden tespit etmek amacıyla Mavi Ekipler tarafından etkin bir şekilde kullanılmaktadır. Impacket ve SMB sunucusu ile yapılan bu uygulamalar, siber güvenlik alanında çeşitli senaryoları anlamak ve değerlendirmenin yanı sıra ağ güvenliğini sağlama noktasında önemli bir rol oynamaktadır.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi ve Yorumlama

Impacket kullanarak SMB sunucusu oluşturmanın sağladığı kolaylık, aynı zamanda çeşitli güvenlik risklerini de beraberinde getirir. Bu bölümde, elde edilen bulguların güvenlik anlamını yorumlayarak, yanlış yapılandırmalar, zafiyetler ve ortaya çıkabilecek potansiyel tehditler üzerinde durulacaktır.

Yanlış Yapılandırma ve Zafiyetler

SMB sunucusunu kurarken yapılacak yanlış yapılandırmalar, ciddi güvenlik açıklarına yol açabilir. Örneğin, aşağıdaki komutla bir paylaşım oluşturulmuş olsun:

impacket-smbserver GIZLI /tmp

Bu komut, /tmp dizinini "GIZLI" adıyla paylaşırken, uygun erişim kontrol listelerinin eksikliği durumunda kötü niyetli kullanıcıların bu klasöre erişim sağlaması mümkün olabilir. Eğer paylaşım, anonim erişime açıksa, ağdaki her kullanıcının bu paylaşıma erişebilir olması, veri ihlallerine neden olabilir.

Eski SMBv1 protokolü kullanımı da bir diğer risk alanıdır. Günümüzde, çoğu sistemde bu protokol kapatılmış olsa da, eğer yapılandırmada SMBv1 desteği eklenirse, daha önce güvenlik açığı bulunan bir protokole erişim sağlanmış olur. Bu bağlamda, "SMBv2 desteğini aktif etmek için kullanılan parametre" ile ilgili parametrelerin doğru biçimde kullanılması kritik bir öneme sahiptir.

Elde Edilen Bulguların Anlamı

Sızan veriler, topoloji ve servis tespiti gibi faktörler, ağ güvenliği açısından son derece değerlidir. Örneğin, bir ağda yetkisiz bir SMB sunucusunun çalıştığını tespit etmek, birçok ciddi güvenlik olayının önlenmesinde etkili olabilir. Eğer bir saldırgan, ağda bir SMB sunucusu oluşturmuşsa, bu durum ağ trafiğinin izlenmesi ve analiz edilmesi gerekliliğini doğurur.

Ağın üzerinde 445 numaralı portun izlenmesi, yeni IP'lerin bu port üzerinden hizmet vermeye başlaması durumunda potansiyel tehditleri önceden tespit etme fırsatı sunar. Bu tür izlemeler, özellikle "Port 445 Monitoring" tekniği ile gerçekleştirilebilir ve ağda anormalliklerin tespitine yardımcı olabilir.

Profesyonel Önlemler ve Hardening Önerileri

Ağ güvenliğini artırmak için birkaç önemli nokta üzerinde durulabilir:

  1. Güvenlik Duvarı Konfigürasyonu: SMB trafiğini kontrol altına almak için güvenlik duvarı ayarları güncellenmeli ve yalnızca gerekli IP adreslerine izin verilmelidir.

  2. SMB Desteğinin Sınırlandırılması: SMBv1 kullanımı kesinlikle engellenmeli, yalnızca SMBv2 veya daha üst versiyonların kullanımı teşvik edilmelidir.

  3. Kullanıcı Erişim Kontrolleri: Paylaşımlar için uygun kullanıcı adı ve parolaların belirlenmesi, yalnızca yetkili kullanıcıların erişim sağlaması için önemlidir. Kullanıcı isimleri ve parolalar, gerektiğinde değiştirilmeli ve izlenmelidir.

  4. Kayıt İzleme: Ağ üzerinde yapılan tüm işlemlerin ve erişimlerin izlenmesi, olası saldırıların ve ihlallerin önüne geçebilir. Kayıt dosyaları, potansiyel sorunları belirlemek ve analiz etmek açısından kritik öneme sahiptir.

  5. Honeytoken Kullanımı: Saldırganların SMB sunucusuna yükleyebileceği sahte belgeler ile sunucu davranışlarını izlemek için "Honeytoken Files" kullanılabilir. Bu belgeler, saldırganın faaliyetlerini tespit etmede etkili bir yol sağlarken, aynı zamanda ağ üzerindeki tehditlerin önceden belirlenmesine yardımcı olur.

Sonuç

Impacket ile SMB sunucu kurulumunun güçlü ve pratik bir işlevselliği bulunmasına rağmen, beraberinde gelen güvenlik riskleri ve potansiyel zafiyetler göz ardı edilmemelidir. Doğru yapılandırmalar ve güvenlik önlemleri alınmadığında, bu tür altyapılar, saldırılara karşı savunmasız hale gelebilir. Ağ üzerindeki SMB trafiğini doğru bir şekilde izlemek ve yönetmek, siber güvenlik alanında önemli bir yere sahiptir.