CyberFlow Logo CyberFlow BLOG
Smb Pentest

Kullanıcı ve Grup Mühürleme: Siber Güvenlik İçin Temel Adımlar

✍️ Ahmet BİRKAN 📂 Smb Pentest

Kullanıcı ve grup mühürleme teknikleri ile sızma testlerinde başarıyı arttırın. Bu tekniklerle ağınızdaki güvenliği güçlendirin.

Kullanıcı ve Grup Mühürleme: Siber Güvenlik İçin Temel Adımlar

Siber güvenlikte kullanıcı ve grup mühürleme, ağın güvenliğini artırmak için kritik bir adımdır. Bu blog yazısında, kullanıcı avı tekniklerini ve sızma testlerini keşfedin.

Giriş ve Konumlandırma

Giriş

Siber güvenlik açısından kullanıcı ve grup mühürleme, güvenlik süreçlerinin ayrılmaz bir parçasını oluşturur. Bilgi sistemlerinde yer alan kullanıcıların ve grupların doğru bir şekilde tanımlanması, sistem yönetiminin yanı sıra olası tehditlerin önlenmesi bakımından da kritik önem taşır. Özellikle sızma testleri (pentest) ve ağ güvenliği alanlarında, doğru bir mühürleme stratejisi, bir organizasyonun güvenlik durumunu değerlendirmenin temel adımlarından biridir.

Kullanıcı ve grup mühürleme, sistemdeki kullanıcıları ve etkinliklerini anlamak için zaman alanı ve kaynak gerektiren bir süreçtir. Saldırganlar, hedef sistemlerdeki kullanıcı ve grup bilgilerini topladıklarında, bu durum bazen hassas bilgilere erişim sağlayabilir veya sistemlere yetkisiz giriş yapmanın yolunu açabilir. Bu nedenle bu mühürleme sürecinde atılan adımlar, organizasyonların siber güvenlik stratejilerinin etkinliğini artırma yönünde önemli avantajlar sunar.

Neden Önemlidir?

Kullanıcı ve grup mühürleme süreci, yalnızca tehditlerin belirlenmesi açısından değil, aynı zamanda sistemin sağlamlığının artırılması bakımından da hayati önem taşır. Yetkisiz erişimlerin önlenmesi, ağdaki tüm kullanıcıların ve grupların izlenmesi ile mümkündür. Bu, yöneticilerin ağda kimin ne iş yaptığını ve hangi kaynaklara erişim sağladığını görselleştirerek etkili bir güvenlik durumu oluşturmasına olanak tanır.

Pentest süreçlerinde, bir sistemin zafiyetlerini değerlendirmek amacıyla gerçekleştirilen kullanıcı mühürleme adımları, olası açıkların tespit edilmesinde yardımcı olur. Örneğin, Nmap gibi araçlar kullanılarak bir ağ üzerindeki kullanıcılar hızlı bir şekilde sızdırılabilir ve sistemin güvenlik durumu daha iyi anlaşılabilir.

nmap -p 445 --script smb-enum-users target_ip

Yukarıdaki betik, hedef IP adresindeki SMB servisleri üzerinde kullanıcı listesinin dökümünü sağlar. Bu tür araçların nasıl kullanıldığına dair yeterli bilgiye sahip olmak, ağ yöneticileri ve siber güvenlik uzmanları için yalnızca bir avantaj değil, aynı zamanda bir gerekliliktir.

Siber Güvenlik ve Pentest Açısından Bağlam

Siber güvenlik alanında, kullanıcı ve grup mühürleme pentest süreçlerinin temel unsurlarından biridir. Sızma testleri, organizasyonların sistemlerinde var olan zafiyetleri belirlemeye yönelik yapılan kontrollü saldırılardır. Mühürleme, saldırganların veya güvenlik test uzmanlarının, sistemdeki mevcut kullanıcıların ve grupların durumunu anlamalarına olanak tanır. Bu durum, aynı zamanda sistem yöneticilerinin güvenlik açıklarını önceden tespit edip gerekli önlemleri alabilmeleri için gereklidir.

Ayrıca, kullanıcı ve grup mühürleme ile kullanıcıların Microsoft Windows tabanlı sistemlerdeki yerlerini analiz etmek mümkündür. Bu sistemlerde, her kullanıcının ve grubun benzersiz bir Güvenlik Tanımlayıcısı (SID) bulunmaktadır. SID'ler aracılığıyla yapılan sorgular, gizli kullanıcıların ve grupların tespit edilmesine olanak tanır ve bu durum, siber güvenlik stratejilerinin güçlendirilmesine katkı sağlar.

enum4linux -U target_ip

Bu komutla hedef sistemdeki kullanıcıların detaylı bir dökümünü almak mümkün olur. Bu tür araçların etkin kullanımı, organizasyonların kritik kaynaklarını güvence altına almak için gerekli verilerin toplanmasında büyük rol oynamaktadır.

Eğitim Sürecine Hazırlık

Bu blog yazısında, kullanıcı ve grup mühürleme sürecinin temel bileşenlerini ele alacak ve her bir aşamanın nasıl gerçekleştirileceğine ilişkin teknik bilgiler sunacağız. İlk aşamada, Nmap gibi araçların kullanıcı avlama süreçlerindeki rolü, ardından Enum4linux ve diğer teknikler detaylandırılacaktır.

Sonuç olarak, kullanıcı ve grup mühürleme, yalnızca sistemin güvenliği için değil, aynı zamanda şifreleme, yönlendirme ve bilgi yönetimi açısından da kritik bir başarı faktörüdür. Bu sürecin derinlemesine anlaşılması, sistemler üzerinde tam görünürlük elde edilmesine ve siber güvenlik stratejilerinin etkin bir şekilde uygulanmasına olanak tanır. Bu yazıda inceleyeceğimiz adımlar, güvenlik uzmanlarının siber tehditleri etkili bir biçimde yönetmelerini sağlayacak bilgiler içermekte olup, uygulamalarla desteklenecektir.

Teknik Analiz ve Uygulama

Kullanıcı ve Grup Mühürleme: Siber Güvenlik İçin Temel Adımlar

Siber güvenlikte, kullanıcı ve grup mühürleme (Enumeration), bir ağda kimlerin bulunduğunu ve her kullanıcının hangi gruba dahil olduğunu anlamak için kritik bir adımdır. Bu süreç, potansiyel güvenlik açıklarını tespit etme açısından hayati öneme sahiptir. Aşağıda, bu kavramı derinlemesine inceleyecek ve çeşitli tekniklerin yanı sıra uygulama örneklerini sunacağız.

Adım 1: Nmap ile Kullanıcı Avı

Nmap, ağa bağlı sistemlerin keşfi için yaygın olarak kullanılan bir araçtır. SMB (Server Message Block) protokolü üzerinden kullanıcıları sızdırmak için kullanabileceğimiz bir komut:

nmap -p 445 --script smb-enum-users [hedef_ip]

Bu komut, belirtilen hedef IP adresinde 445 numaralı portu kontrol eder ve SMB üzerinden mevcut kullanıcıların listesini döker.

Adım 2: Enumeration Kanalları

SMB protokolü, kullanıcı bilgilerini çeşitli yollarla sızdırabilir. Bu noktada, hedef sunucunun yapılandırmasına göre uygulayabileceğimiz farklı envanter yöntemleri bulunur. Kullanıcıların isimlerini veya kimliklerini elde etmek için SMB portu üzerindeki isimsiz erişime (anonymous access) izin veren yapılandırmalar, bu süreci kolaylaştırmaktadır.

Adım 3: Tanım: SID

Güvenlik Tanımlayıcısı (SID), Windows ağlarında her kullanıcı ve grubun sahip olduğu benzersiz kimlik numarasıdır. Aşağıdaki komut ile sistemdeki grupları ve kullanıcıları segmente edebiliriz:

enum4linux [hedef_ip]

Bu komut, hedef makinedeki kullanıcı ve grup bilgilerini listeler, böylece gizli kullanıcıları mühürleme şansımız doğar.

Adım 4: Enum4linux: Veri Madenciliği

Enum4linux, zafiyet testlerinde vazgeçilmez bir araçtır. Kullanıcı ve grup bilgilerini tek bir raporda sunarak, sistemin durumu hakkında detaylı bilgi edinmemizi sağlar. Bu araçla, ağda mevcut olan kullanıcılar ve bunların hangi gruplarda bulunduğu hakkında bilgi edinilebilir. Örneğin, sadece kullanıcı listesini dökmek için kullanılan bir komut:

enum4linux -U [hedef_ip]

Adım 5: Kritik Gruplar

Ağda önemli rollere sahip grupların mühürlenmesi, bir siber güvenlik uzmanının önceliklerinden biridir. Örneğin, “Domain Admins” grubu tüm etki alanı üzerindeki en yüksek yetkiye sahip olan gruptur ve bu nedenle hedef alınması gereken temel gruplardan biridir.

Adım 6: Zafiyet: Null Session

Null session, kullanıcı adı ve parola girmeden sunucuya bağlanıp 'IPC$' üzerinden kullanıcı listesini çekmeye olanak tanıyan hatalı bir yapılandırmadır. Null session açıkları kötü niyetli aktörler tarafından kullanılabilir, bu yüzden ağ yöneticileri bu tür yapılandırmaları kontrol etmelidir.

Adım 7: Rpcclient ile Manuel Sorgu

Otomatik araçların başarısız olduğu durumlarda, rpcclient aracı kullanarak doğrudan SAMR (Security Account Manager Remote) çağrıları yapabiliriz. Aşağıda etki alanı gruplarını listeleyen bir örnek komut verilmiştir:

rpcclient -U "" [hedef_ip]
> enumdomgroups

Adım 8: SID Cycling Tekniği

Bir saldırgan, bilinen bir SID numarasının son hanelerini (RID) değiştirerek sistemdeki tüm kullanıcıları keşfetme şansına sahip olabilir. Örneğin, "500" RID değeri yerel Yönetici hesabına; "501" ise Misafir hesabına ait olup kritik rolleri belirlemek için kullanılabilir.

Adım 9: Bilgi Sızıntısı: Description Fields

Yönetici kullanıcıları bazen kullanıcıların 'Açıklama' kısmına notlar bırakır. Bu alanlar, kullanıcı hakkında bilgi edinmek için potansiyel bir hazine niteliğindedir. Saldırganlar, bu açıklama alanlarını dökümleyerek hassas bilgilere erişebilir.

Adım 10: CrackMapExec (CME) ile Toplu Liste

CME, ağı üzerindeki tüm sunuculardan kullanıcı listelerini toplamak için tercih edilen bir araçtır. Aşağıdaki komut ile ağdaki kullanıcıları topluca listeleyebiliriz:

crackmapexec smb [hedef_ip] --users

Adım 11: Savunma ve Sertleştirme

Kullanıcı ve grup bilgilerinin dışarı sızmasını engellemek için kurumsal mühürleme adımları kritik önem taşır. Kayıtsız kullanıcıların bilirkişi tarafından yönetilen kullanıcılarla aynı bilgilere erişimini sınırlamakla ilgilidir.

Adım 12: Nihai Hedef: Visibility

Siber güvenlikte 'tam görünürlük' ilkesi, ağda kimlerin ne yaptığını bilerek potansiyel kör noktaları ortadan kaldırmayı amaçlar. Kullanıcı ve grup mühürleme, görünürlük sağlamak için önemli bir ilk adımdır. Bu sürecin başarılı bir şekilde uygulanması, siber güvenlik önlemlerinin etkinliğini artırır.

Sonuç olarak, kullanıcı ve grup mühürleme, siber güvenlik analistleri için temel bir yetkinliktir ve doğru uygulandığında ağların güvenliğini artırarak tehditlere karşı daha dayanıklı hale getirir.

Risk, Yorumlama ve Savunma

Siber güvenlik, dinamik ve sürekli değişen bir alan olup, kullanıcı ve grup mühürleme uygulamaları bu sürecin kritik bir parçasıdır. Kullanıcıların ve grupların güvenli bir şekilde yönetilmesi, potansiyel tehditlerin önlenmesi ve sızma testlerinin etkili bir şekilde gerçekleştirilmesi için elzemdir. Bu bağlamda, risk değerlendirmeleri, yorumlama becerileri ve savunma mekanizmaları üzerinde durulacaktır.

Kullanıcı Avı ve Sonuçları

Kullanıcı mühürleme süreci, genellikle hedef sunucunun SMB protokolü üzerinden yapılabilecek sorgularla başlar. Nmap aracı ile yapılan kullanıcı avı, hedef sistemdeki kullanıcı bilgilerini ortaya çıkartmak için güçlü bir yöntemdir. Örneğin, aşağıdaki Nmap komutu kullanılarak, hedef IP adresindeki kullanıcı isimleri tespit edilebilir:

nmap -p 445 --script smb-enum-users <hedef_ip>

Bu tür bir avlama işlemi, ağda potansiyel riskleri anlamak için oldukça değerlidir. Eğer bu kullanıcı hesapları düzenli olarak denetlenmezse, kötü niyetli kişiler bu bilgileri kullanarak içeri sızabilir.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, kullanıcı bilgileri ve grup verilerinin sızdırılmasına neden olan önemli bir tehdittir. Özellikle, "Null Session" olarak bilinen durum, oturum açmamış kullanıcıların sistem kaynaklarına erişmesini mümkün kılar. Bu durum, aşağıdaki şekilde bilgisiz bir yapılandırma ile gerçekleşebilir:

  • Erişim Kontrol Yetersizlikleri: Sistem, isimsiz oturumlara izin veriyorsa, bu durum kullanıcı listelerinin dışarıya sızması için ciddi bir zafiyet oluşturur.

Ayrıca, ağdaki kritik grupların mühürlenmesi de büyük bir önem taşır. Örneğin, "Domain Admins" ve "Backup Operators" gibi gruplar, yüksek yetkilere sahip oldukları için hedef alınması gereken öncelikli gurplardır.

Sızan Verilerin Anlamı

Sızan verilerin anlamını değerlendirmek, potansiyel tehditleri belirlemek için kritik bir adımdır. Keşif sırasında elde edilen bilgiler, kullanıcıların rolleri ve sisteme erişim imkânları hakkında derin bir anlayış sağlar. Örneğin, kullanıcıların "Açıklama" alanlarında bıraktığı bilgiler, kimlik hırsızlığı ve diğer siber saldırılar için bir fırsat sunar. Aşağıda, RPCClient aracılığıyla elde edilen bilgiler gösterilmektedir:

rpcclient -U '' <hedef_ip>
rpcclient $> queryuser <kullanıcı_adı>

Bu tür sorguların avantajı, kullanıcı ve grup bilgilerinin ayrıntılı bir şekilde elde edilmesini sağlamasıdır. Öte yandan, bu tür kaynakların kötü niyetli bireyler tarafından istismar edilebileceği unutulmamalıdır.

Savunma ve Sertleştirme

Kullanıcı ve grup bilgilerinin korunması amacıyla belirli stratejilerin uygulanması gerekmektedir. Özellikle, aşağıdaki önlemler, güvenliği artırmak için faydalıdır:

  1. Kilitli Oturumlar: Gereksiz kullanıcıların ve grupların kapatılması veya sınırlı erişimle devre dışı bırakılması.
  2. Sertleştirme Protokolleri: "RestrictAnonymous = 2" ayarının kullanılması gibi yapılandırmalar, isimsiz kullanıcıların SAM ve LSA bilgilerine erişimini engellemek için önemlidir.
  3. Düzenli Gözden Geçirmeler: Kullanıcı bilgileri ve grupların düzenli olarak gözden geçirilmesi, kötüye kullanımları önleme amacı taşır.

Özellikle, CME (CrackMapExec) kullanılarak ağdaki tüm kullanıcı listeleri ve gruplar merkezi bir veritabanına kaydedilebilir:

crackmapexec smb <hedef_ip> --users

Bu yöntem, ağın görünürlüğünü artırır ve sızma testlerinin etkinliğini geliştirir.

Sonuç

Kullanıcı ve grup mühürleme süreci, güçlü siber güvenlik uygulamaları için hayati bir bileşendir. Yapılandırma hataları ve potansiyel zafiyetlerin tespit edilmesi, saldırganların ağa sızma olasılığını azaltacak önlemlerin alınması açısından önemlidir. Eğitimli sızma testleri ve etkili savunma stratejileri ile güvenlik açıklarının minimize edilmesi mümkündür. Bu bağlamda, sürekli gözden geçirme ve güncellemeler, ağın güvenliğini korumak için kritik öneme sahiptir.