CyberFlow Logo CyberFlow BLOG
Post Exploitation

Netexec ile İç Ağda Paralel Kimlik Doğrulama ve Yanlamasına Hareket Testi Yöntemleri

✍️ Ahmet BİRKAN 📂 Post Exploitation

Netexec kullanarak iç ağda paralel kimlik doğrulama ve yanlamasına hareket testi yapmanın etkili yollarını keşfedin.

Netexec ile İç Ağda Paralel Kimlik Doğrulama ve Yanlamasına Hareket Testi Yöntemleri

Bu yazıda netexec aracı ile iç ağda paralel kimlik doğrulama ve yanlamasına hareket testinin nasıl gerçekleştirileceğini adım adım inceleyeceğiz. Güvenli ve etkili operasyonlar için ipuçları, örnekler ve en iyi uygulamalar!

Giriş ve Konumlandırma

Siber güvenlik, modern işletmelerin en kritik alanlarından biri haline gelmiştir. İç ağların korunması, dışarıdan gelecek tehditlerden çok daha zorlu bir mücadele gerektirir. Bu bağlamda, iç ağda paralel kimlik doğrulama ve yanlamasına hareket testleri, siber güvenliğin sağlam temeller üzerine inşa edilmesinde önemli bir rol oynar. netexec aracı, bu tür testlerin gerçekleştirilmesinde kullanışlı bir çözüm sunarak, pentest uzmanlarının iş akışlarını daha verimli hale getirmelerine yardımcı olmaktadır.

netexec, paralel kimlik doğrulama işlemleri gerçekleştirmek üzere tasarlanmış bir komut satırı aracıdır. Temel amaç, çok sayıda hedefe eşzamanlı olarak erişim denemeleri yaparak sızma testlerinin gerçekleştirilmesidir. Bu tür testler, güvenlik ekiplerine potansiyel zafiyetlerin tespit edilmesinde, itilaflara neden olabilecek zayıflıkların belirlenmesinde ve siber saldırılara karşı önlem alınmasında kritik katkılarda bulunur.

Neden Önemli?

Günümüzde iç ağlarda meydana gelen tehditlerin büyük bir kısmı, yetkisiz erişim ve yanlamasına hareketler yoluyla gerçekleşmektedir. Bu durumda, bir saldırgan ilk olarak bir kullanıcının kimlik bilgilerini ele geçirerek iç ağa sızmayı hedefleyebilir. Elde edilen bu erişim, saldırganın ağa bağlı diğer sistemlere yönelik yanlamasına hareket etmesine olanak tanır. netexec aracı ile bu senaryolar değerli bir şekilde simüle edilerek, saldırganların kullanabileceği yollar, sistem zayıflıkları ve bu zayıflıkları ele almak için uygulanabilecek savunma stratejileri ortaya konabilir.

Bunun yanı sıra, iç ağlarda gerçekleştirilen paralel kimlik doğrulama testleri, güvenlik uzmanlarının ağ trafiğini izleme, potansiyel zafiyetleri tespit etme ve bu zafiyetlere karşı doğru tehdit modellemesi geliştirme çabalarını destekler. Ayrıca, zamanla değişen ağ yapılandırmaları ve sürekli olarak güncellenen tehdit aktörlerinin takibi, bu tür testlerin ne denli önemli olduğunu gösterir.

Siber Güvenlik ve Pentest Süreçlerinin Bağlantısı

Siber güvenlik alanında, pentest (penetrasyon testi) süreçleri ile birlikte netexec gibi araçlar etkin bir rol oynamaktadır. Pentest, belirli bir sistemin, uygulamanın ya da ağın güvenlik seviyesini değerlendirmek amacı ile simüle edilmiş bir saldırıdır. Bu testler sırasında edinilen geri bildirimler, güvenlik politikalarının iyileştirilmesine ve ağın dayanıklılığının artırılmasına imkan tanır.

netexec aracı, güvenlik profesyonellerine çoklu hedeflere hızlı ve etkili bir biçimde kimlik doğrulama denemeleri yapma imkanı sunarken, aynı zamanda çeşitli protokollerle de etkileşimde bulunmalarına olanak sağlar. Bu yapı, saldırı yüzeylerini tespit etmek ve savunma stratejilerini yeniden gözden geçirmek için kritik bilgiler sağlar.

Teknik İçeriğe Hazırlık

Bu blog yazısının devamında, netexec ile iç ağda paralel kimlik doğrulama ve yanlamasına hareket testleri gerçekleştirme yöntemlerini derinlemesine inceleyeceğiz. Özellikle operasyon şablonlarının oluşturulmasından, test edilecek hedeflerin ve kimlik bilgilerinin belirlenmesine kadar olan adımları ayrıntılı bir biçimde ele alacağız.

Daha fazla detay vereceğimiz adımlarda, netexec kullanım örneklerini ve bu araçla elde edilen çıktıları analiz etme yöntemlerini aktaracağız. Bu da okuyucunun, siber güvenlik testlerinde daha aktif bir rol almasına yardımcı olacak. Yazımız, pratik örnekler ve testlerin nasıl yürütüleceği hakkında bilgiler sunarak, siber güvenlik alanında daha derin bir anlayış kazanmanızı sağlayacaktır.

Sonuç olarak, netexec gibi araçlar iç ağda güvenliğin artırılmasında vazgeçilmezdir. Bu yazının ilerleyen bölümlerinde öğrenilecek teknik bilgiler, hem güvenlik uzmanlarının hem de IT yöneticilerinin savunma mekanizmalarını güçlendirmelerinde önemli bir kaynak olacaktır.

Teknik Analiz ve Uygulama

Operasyon Şablonu Oluşturma: netexec Komut İskeleti Kurma

Siber güvenlik testleri yürütürken, etkili bir operasyon şablonu oluşturmak sürecin temel taşıdır. Netexec aracı ile paralel kimlik doğrulama ve yanlamasına hareket testini gerçekleştirmek için bir komut iskeleti kurmak gerekir. Bu aşamada, aşağıdaki bayrakların kullanımı önemlidir:

  • -t veya --threads: Eşzamanlı işlemlerin sayısını belirler.
  • --timeout: Her bir iş parçacığının zaman aşımı süresini ayarlar.
  • --jitter: Kimlik doğrulama istekleri arasında rasgele gecikme ekler.
  • --verbose veya --debug: Detaylı çıktı almanızı sağlar.
  • --log: Çıktı dosyasının kaydedileceği yolu belirtir.

Aşağıda verilen örnek, tüm bu bayrakların kullanımını içeren bir template oluşturmaktadır:

netexec -t 20 --timeout 10 --jitter 1 --verbose --log /tmp/netexec_op.log ssh targets.txt creds.txt 'whoami'

Bu komut şu anlamlara gelir:

  • 20 eşzamanlı işlem -t 20 ile başlatılır.
  • Her bir işlem 10 saniye süresince yanıt bekler --timeout 10.
  • Her kimlik doğrulama isteği arasında 1 saniyelik rastgele bir gecikme uygulanır --jitter 1.
  • Detaylı log dosyası /tmp/netexec_op.log yoluna kaydedilir.

Şablonun düzenli bir biçimde belgelenmesi, yani hangi dosyaların kullanılacağı ve formatları da açıkça belirtilmelidir.

Hedef, Port ve Kimlik Bilgileri Listesini Hazırlama

Hedeflerinizi ve onlara atanacak protokolleri düzenli bir şekilde listeleyin. Her bir hedef satırı için şu formatı takip edin:

hedef[:port]:protokol veya hedef:protokol

Kimlik bilgileri için protokole özgü formatları belirleyin, örneğin:

DOMAIN\\user:Password veya user:pass

Örnek bir yapı aşağıdaki gibidir:

targets.txt:
10.0.0.5:ssh
10.0.0.10:winrm

creds.txt:
DOMAIN\\svc_maint:Sup3rS3cret

Bu liste ile hedeflerin hangi protokolle test edileceğini belirten bir eşleştirme tablosu oluşturulmalıdır.

SSH ile Paralel Kimlik Doğrulama ve Komut Çalıştırma Örneği

SSH için netexec kullanım kalıbı, kimlik doğrulama ve uzaktan komut çalıştırma süreçlerinin gerçekleştirilmesine olanak tanır. Aşağıdaki şekilde bir komut geliştirilmiştir:

netexec -t 50 --timeout 8 --jitter 0.5 --verbose --log /tmp/netexec_ssh.log ssh targets_ssh.txt creds_ssh.txt 'id -un'

Burada:

  • -t 50 ile 50 eşzamanlı deneme yapılır.
  • Her bağlantı için 8 saniyelik zaman aşımı burada --timeout 8 ile belirlenmiştir.
  • Küçük gecikmeler oluşturmak üzere --jitter 0.5 kullanılır.

Çıktıyı değerlendirmek önemlidir:

  • 'session established' veya komut çıktısı (örneğin, kullanıcı adı) = başarılı.
  • 'authentication failed' = kimlik bilgileri hatalı.
  • 'connection timed out' = ağ/port engellemesi var.

SMB ve WinRM ile Windows Yanlamasına Geçiş Simülasyonu

Windows hedeflerde lateral hareket testleri gerçekleştirmek için SMB ve WinRM protokollerinin netexec üzerindeki kullanımları kritik öneme sahiptir. Aşağıdaki örnekler bu oyun planını açıklamaktadır.

SMB Testi

netexec -t 30 --timeout 6 --verbose --log /tmp/netexec_smb.log smb targets_smb.txt creds_smb.txt 'enum_shares'

WinRM Testi

netexec -t 30 --timeout 10 --jitter 0.7 --verbose --log /tmp/netexec_winrm.log winrm targets_winrm.txt creds_winrm.txt 'whoami && ipconfig'

Çıktı gözlemlerinde, her bir protokolün yanıtlarını anlayabilmek önemlidir. Örneğin:

  • SMB’de 'ACCESS DENIED' veya 'NT_STATUS_ACCESS_DENIED' kimlik hatasını gösterir.
  • 'Tree connect succeeded' çıktısı erişimin sağlandığını gösterir.

MSSQL, FTP ve LDAP İçin Protokole Özgü Komut Kalıpları

Farklı servislerin (MSSQL, FTP, LDAP) testleri sırasında, her bir protokol için uygun komut şablonlarının oluşturulması gerekir. İşte netexec ile kullanılabilecek örnek komut kalıpları:

MSSQL

netexec -t 20 --timeout 8 --verbose --log /tmp/netexec_mssql.log mssql targets_mssql.txt creds_mssql.txt 'SELECT SYSTEM_USER'

FTP

netexec -t 40 --timeout 5 --jitter 0.3 --log /tmp/netexec_ftp.log ftp targets_ftp.txt creds_ftp.txt 'pwd; ls'

LDAP

netexec -t 25 --timeout 7 --dns-server 8.8.8.8 --dns-tcp --log /tmp/netexec_ldap.log ldap targets_ldap.txt creds_ldap.txt 'search baseDN (objectClass=person)'

Burada DNS ve IPv6 parametrelerinin etkisi göz önünde bulundurulmalıdır. Ayrıca, özellikle MSSQL sorgularında sadece okuma işlemleri yapmak gerektiği unutulmamalıdır.

Çıktı İncelemesi: Başarı, Kimlik Doğrulama Hataları ve Ağ Zaman Aşımı

Netexec çıktıları üzerinde yapılacak incelemeler, sistemin güvenliği hakkında önemli bilgiler sunar. Toplanan verilerin analizi şu şekilde yapılmalıdır:

  • Başarılı oturumlar anında raporlanmalı.
  • Zaman aşımı, ağ katmanında bir sorun olabileceğini işaret eder.
  • Kimlik doğrulama hataları, yanlış kimlik bilgileri veya izin eksikliklerini gösterir.

Log analizinin özenle yapılması, güvenlik açıklarının tespit edilmesine ve gerekli önlemlerin alınmasına olanak sağlar.

Risk, Yorumlama ve Savunma

Siber güvenlik testlerinin etkinliği, sadece zafiyetlerin belirlenmesiyle sınırlı değildir; aynı zamanda elde edilen bulguların risklerini anlamak ve doğru bir şekilde yorumlayabilmek de önemlidir. Bu bölümde, netexec aracı ile gerçekleştirilen iç ağ testi bulgularının analizi, olası yanlış yapılandırmalar, zafiyetler ve önerilen savunma stratejileri üzerinde durulacaktır.

Elde Edilen Bulguların Yorumlanması

Test süreci sonucunda, belirli çıktıların analiz edilmesi gerektiği ortaya çıkmaktadır. Netexec aracının elde ettiği sonuçlar arasında "session established", "authentication failed" ve "connection timed out" gibi ifadeler kritik öneme sahiptir. Bu tür çıktılar, ağın güvenlik durumu hakkında önemli bilgiler sağlar.

session established

Bu ifade, test edilen sistemde başarılı bir oturum açıldığını ve belirli komutların çalıştırılabildiğini gösterir. Bu durum, sistemin penetrasyon testine maruz kaldığını ve zafiyetlerin tespit edildiğini işaret eder.

authentication failed

Bu durum ise, verilen kimlik bilgilerinin yanlış olduğunu veya kullanıcının gerekli yetkilere sahip olmadığını belirtir. Çok sayıda "authentication failed" kaydı, brute force saldırıları ve credential stuffing girişimleri için bir işaret olabilir.

connection timed out

Bu çıktı, hedef sisteme ulaşılamadığı ya da ağda bir engel olduğunu gösterir. Ağ yapılandırması, güvenlik duvarı veya başka bir ağ katmanı sorunu bu duruma yol açabilir.

Yanlış Yapılandırma ve Zafiyetler

Ağ üzerindeki yanlış yapılandırmalar, siber güvenlik tehditlerine kapı aralayabilir. Özellikle, SMB ve WinRM protokolleri, yanlış konfigürasyonlar nedeniyle siber saldırılara uğrayabilir. Örneğin, SMB'nin özetsiz şifre ile erişilebilir hale gelmesi, dışarıdan gelen saldırılara büyük bir zafiyet oluşturur. Bu tür zafiyetlerin, hem iç hem de dış tehditler açısından potansiyel tehlike oluşturabileceği akıldan çıkarılmamalıdır.

Yanlış yapılandırmaların etkisini anlamak için, ağ topolojisinin doğru bir şekilde belgelemek ve sürekli gözden geçirmek gereklidir. Ayrıca, hizmetlerin ihtiyaç duyduğu minimum erişim yetkileri belirlenmeli ve kimlik bilgileri düzenli olarak güncellenmelidir.

Sızan Veri ve Servis Tespiti

Yanlamasına hareket testleri sırasında, uygulamalar ve hizmetler üzerinde gerçekleştirilen analizler bilgi sızmalarını ortaya çıkarabilir. Örneğin, kullanılan veritabanları, kullanıcı bilgileri ya da ağ cihazlarının konfigürasyonları gibi bilgiler açığa çıkabilir. Bu bağlamda, her tespit edilen hizmet için etkili bir kontrol listesi ve risk değerlendirme prosesi uygulanmalıdır. Veritabanı testi yaparken aşağıdaki örnek kullanılabilir:

netexec -t 20 --timeout 8 --log /tmp/netexec_mssql.log mssql targets_mssql.txt creds_mssql.txt 'SELECT SYSTEM_USER'

Burada, MSSQL veritabanı üzerinde sızma testi gerçekleştirilmekte olup, sonuçlar düzenli olarak incelenmektedir. Ayarlanmış bir loglama sistemi sayesinde, elde edilen çıktıların belgelendirilmesi ve bunların potansiyel risklere dönüştürülmesi mümkündür.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlik testlerinden elde edilen bulguların ardından uygulanacak profesyonel önlemler, zafiyetlerin giderilmesi ve sistemin güvenliğinin artırılması için kritik öneme sahiptir. İşte bazı öneriler:

  1. Hizmet Erişim Politikasının Gözden Geçirilmesi: Her hizmetin ihtiyaç duyduğu erişim yetkileri belirlenmeli ve gereksiz statik kimlik bilgileri kaldırılmalıdır.

  2. Kimlik Doğrulama Süreçleri: Çok faktörlü kimlik doğrulama (MFA) uygulamaları, özellikle hassas sistemlere erişimde anahtar bir güvenlik katmanı sağlayabilir.

  3. Periyodik Güvenlik Testleri: Ağ ve sistemlerin düzenli olarak sızma testlerine tabi tutulması, aktif zafiyetlerin tespit edilmesine ve gidermesine olanak tanır.

  4. Loglama ve İzleme Sistemleri: Ağ trafiğindeki anomali ve olağan dışı davranışları belirlemek için, güçlü bir loglama sistemi kurmak ve faaliyetleri düzenli olarak izlemek gerekir.

Sonuç Özeti

Netexec aracıyla yapılan iç ağ testleri, siber güvenlik tehditlerinden korunmak adına önemli veriler sunmaktadır. Elde edilen bulguların dikkatli bir şekilde yorumlanması, potansiyel zafiyetlerin ve yanlış yapılandırmaların tespit edilmesi, sonuçların etkili bir şekilde analiz edilmesini sağlar. Doğru savunma stratejileri ve sürekli iyileştirme süreçleri ile siber güvenlik durumu güçlendirilebilir.