CyberFlow Logo CyberFlow BLOG
Local Network Attacks

Yerel Ağda Responder ile Kimlik Bilgisi Sızdırma Taktikleri

✍️ Ahmet BİRKAN 📂 Local Network Attacks

Responder aracı ile yerel ağda kimlik bilgisi sızdırma yöntemlerini öğrenin. Ağ güvenliği için kritik bilgiler burada.

Yerel Ağda Responder ile Kimlik Bilgisi Sızdırma Taktikleri

Bu blog yazısında, Responder aracı ile yerel ağlarda kimlik bilgisi sızdırma tekniklerini adım adım öğreneceksiniz. Analiz modundan aktif saldırıya kadar tüm süreçler detaylı bir şekilde açıklanıyor. Siber güvenlik uzmanları için gerekli bilgiler!

Giriş ve Konumlandırma

Siber güvenlik alanında, yerel ağ saldırıları genellikle göz ardı edilen, ancak etkili sonuçlar doğurabilen tehditler arasında yer almaktadır. Bu bağlamda, Responder aracı, ağ içindeki kimlik bilgisi sızdırma taktiklerini anlamak ve uygulamak için önemli bir rol oynamaktadır. Yerel ağlarda kullanıcı kimlik bilgilerini ele geçirmek için kullanılan bu yöntemler, hem siber saldırganlar hem de ağ yöneticileri için kritik bilgi sağlamaktadır.

Responder, ağ üzerinde gerçekleşen isim çözümleme isteklerini yakalayarak, özellikle LLMNR (Link-Local Multicast Name Resolution) ve NBT-NS (NetBIOS Name Service) gibi protokollerden yararlanır. Bu iki protokol, Windows işletim sistemleri tarafından, ağ üzerindeki diğer cihazların isimlerini çözmek için kullanılmaktadır. Ancak, bu protokollerin zafiyetleri, saldırganlara kimlik bilgilerini elde etme fırsatı sunduğundan, siber güvenlik uzmanlarının bu araç ve yöntemleri iyi anlamaları gerekmektedir.

Önem ve Saldırıların Arka Planı

Yerel ağlarda kimlik bilgisi sızdırma teknikleri oldukça önemlidir çünkü ağ içindeki bilgiler, genellikle dışarıdan daha az korumalıdır. Saldırganlar, fiziksel erişim sağladıkları veya uzaktan bağlandıkları bir ağda bu tür bilgileri ele geçirerek, işletme ve bireyler için ciddi güvenlik açıkları oluşturabilirler. Örneğin, bir saldırgan ağ üzerinden bir kullanıcı kimlik doğrulaması gerçekleştirmek istediğinde, öncelikle isim çözümleme isteklerini dinleyerek gerekli kimlik bilgilerine ulaşabilir. Bu sürecin anlaşılması, sistem yöneticilerinin ağlarını daha güvenli hale getirmek için gereken önlemleri almasına yardımcı olur.

Siber Güvenlik Stratejisi

Resonder kullanarak kimlik bilgisi sızdırma üzerinde yoğunlaşmak, siber güvenlik savunma stratejilerinin bir parçası olmalıdır. Mavi takım savunma mekanizmalarının etkili bir şekilde geliştirilmesi, bu tür saldırılara karşı koruma sağlamak adına kritik öneme sahiptir. Özellikle, NTLM (NT LAN Manager) hash relay saldırılarına karşı, sistemlerdeki SMB signing (imzalama) özelliğinin etkinleştirilmesi ve LLMNR ile NBT-NS protokollerinin kapatılması gibi adımlar atılmalıdır.

Aynı zamanda, ağ üzerindeki verilerin korunması ve güvenliğinin sağlanması amacıyla, temel kimlik doğrulama (Basic Authentication) yöntemlerinin uygulanmasını ve eğitim süreçlerinin artırılmasını sağlamak da kritik bir öneme sahiptir.

Teknik İçeriğe Hazırlık

Responder ile yapılan kimlik bilgisi sızdırma taktikleri ele alınırken, öncelikle araçların nasıl çalıştığını anlamak önemlidir. Aşağıda, ağın analiz modunda nasıl izlenebileceğine dair bir örnek komut verilmiştir:

responder -I eth0 -A

Bu komut, eth0 arayüzünde analiz modunu aktif hale getirerek, ağda gerçekleşen isim çözümleme isteklerini dinlemeye başlar. İleri aşamalarda, bu analizden elde edilen verilerle birlikte, aktif saldırı moduna geçip gelen isteklere yanıtlarda bulunmak mümkündür. Bu aşamada, ağda değişiklikler yapmak için hedeflenen protokollerin bilgilerini ve bu bilgilerin zayıf noktalarını bilmek gereklidir.

Sonuç olarak, yerel ağlarda Responder kullanarak kimlik bilgisi sızdırma taktiklerinin anlaşılması, sadece siber saldırganların değil, aynı zamanda ağ yöneticilerinin de güvenlik önlemlerini artırmalarına katkı sağlayacaktır. Bu mücadelede daha etkili bir kimlik doğrulama ve yetkilendirme mekanizması oluşturmak, ağların güvenliğini sağlamak için gereklidir.

Teknik Analiz ve Uygulama

Yerel Ağda Responder ile Kimlik Bilgisi Sızdırma Taktikleri: Teknik Analiz ve Uygulama

Adım 1: Analiz Modu ile Ağı İzleme

Siber güvenlik testleri sırasında bir hedef ağda kimlik bilgilerini ele geçirmek için Responder aracını kullanmak oldukça etkilidir. İlk olarak, ağ üzerindeki isim çözümleme isteklerini ve protokolleri izlemek amacıyla Responder'ı analiz modunda başlatmak kritik öneme sahiptir. Bu modda, herhangi bir zehirleme gerçekleştirilmez; aksine, ağdaki LLMNR ve NBT-NS gibi protokollerin uçuşta olup olmadığını gözlemlemek için kullanılır.

Analiz modunu başlatmak için aşağıdaki komut kullanılabilir:

responder -I eth0 -A

Bu komut eth0 ağ arayüzünde, analiz modunda ağ trafiğini dinlemeye başlar. Burada, LLMNR veya NBT-NS istekleri yakalandığında, hangi cihazların kimlik bilgilerini saldığını görmek amaçlanır.

Adım 2: Ağ Protokollerini Tanıma

İsim çözümleme protokollerinin işlevlerini anlamak, siber güvenlik uzmanlarının saldırı taktiklerini etkili bir şekilde geliştirmesine yardımcı olur. LLMNR, DNS sunucusunun yanıt vermemesi durumunda devreye girerek yerel isim çözümlemesi yapar. NBT-NS ise, NetBIOS üzerinden çalışan ve eski Windows ağlarında hâlâ aktif durumda olan bir isim servisidir.

Bu protokollerin işleyişinin anlaşılması, kesin hedefleme ve saldırı stratejisi geliştirmede kritik bir öğe haline gelir.

Adım 3: Aktif Zehirleme ve WPAD Saldırısı

Analiz aşaması tamamlandıktan sonra, Responder’ın aktif saldırı modunu başlatmanın zamanı gelmiştir. Burada, gelen isim çözümleme isteklerine 'o aradığın makine benim' yanıtı verilerek hedef cihazdan NTLM hash’leri almak mümkündür.

Aktif saldırıyı başlatmak için aşağıdaki komut kullanılabilir:

responder -I eth0 -w -d

Bu komut, WPAD (Web Proxy Auto-Discovery Protocol) ve DHCP desteği ile birlikte, eth0 arayüzünde aktif saldırıyı başlatır. Bu aşama, ağda bulunan kullanıcıların kimlik bilgilerini ele geçirmek için oldukça önemlidir.

Adım 4: Ağ Arayüzü Seçimi

Hedef ağa dinleme yapacak uygun arayüzü belirtmek, başarılı bir saldırı gerçekleştirmek için hayati öneme sahiptir. Yanlış bir arayüz seçimi, hiçbir paket yakalama olanağı sunmaz. Responder aracında dinlemek istediğiniz arayüzü belirtmek için -I parametresini kullanmalısınız.

responder -I eth0

Bu şekilde, hedef ağ arayüzünün doğru belirlenmesi sağlanır ve saldırı planları daha etkili bir şekilde uygulanabilir.

Adım 5: Temel Kimlik Doğrulama Zorlaması

Bazen NTLM hash'inin yakalanması yerine, tarayıcıda kullanıcı adı ve şifre kutusu çıkartarak "Basic Authentication" bilgilerini toplamak daha hızlı sonuç verebilir. Aşağıdaki komut, HTTP üzerinden temel kimlik doğrulama zorlama saldırısını başlatmak için kullanılabilir:

responder -I eth0 -w -b

Bu komut, kullanıcıların kimlik bilgilerini toplamak adına etkili bir başka yöntem sunar.

Adım 6: Mavi Takım (Defensive) Savunma

Saldırıları önlemek için sistem tarafında bir dizi önlem almak gerekir. Ağa entegre olan cihazların güvenliğini sağlamak için şu adımlar atılmalıdır:

  • LLMNR ve NBT-NS protokollerinin Grup İlkesi üzerinden devre dışı bırakılması.
  • NTLM hash relay saldırısının engellenebilmesi için SMB imzalama özelliğini sunucularda ‘Required’ durumda tutmak.
  • WPAD kaydının manuel olarak DNS üzerinde oluşturulması veya otomatik proxy keşfinin kapatılması.

Bu yöntemler, Responder gibi araçların yerel ağda yaratacağı tehditleri minimize etmek için etkin stratejilerdir. Siber güvenlik profesyonelleri, bu tür önlemleri alarak ağ güvenliğini artırabilirler.

Sonuç

Yerel ağda kimlik bilgisi sızdırma taktikleri, siber güvenlik denetimleri sırasında oldukça etkili ve öğretici araçlardır. Responder aracı, analiz aşamasından başlayarak aktif saldırıya, doğru arayüz seçimine ve etkili savunma mekanizmalarına kadar kapsamlı bir yaklaşım sunar. Bu bilgi, siber güvenlik uzmanlarının hem saldırgan hem de savunan perspektifinden, ağ güvenliğini değerlendirmesine yardımcı olur.

Risk, Yorumlama ve Savunma

Risk

Yerel ağ ortamlarında Responder aracı ile gerçekleştirilen kimlik bilgisi sızdırma taktikleri, ağ güvenliği açısından ciddi riskler taşımaktadır. Responder, yerel ağda isim çözümleme talepleri üzerine kurulu bir saldırı platformudur. Analiz modunda çalıştığında, LLMNR ve NBT-NS gibi isim çözümleme isteklerini izler. Bu durumda, eğer ağda aktif bir isim sunucusu yoksa, cihazlar bu protokoller üzerinden diğer aygıtların yanıtlarını bekleyerek güvenlik açıkları oluştururlar. Bu noktada, saldırganın amacı, kimlik doğrulama isteklerini ele geçirmektir.

responder -I eth0 -A

Yukarıdaki komut, eth0 arayüzünde analiz modunu aktive ederek ağ üzerindeki isim çözümleme taleplerini dinler. Analiz sırasında, yanlış yapılandırmalar veya zayıf yapılandırmalar belirlenebilir. Örneğin, eğer LLMNR veya NBT-NS protokolleri etkin ise, bu durum ağda zafiyetlere yol açabilir. Birçok kullanıcı, şifresiz veya zayıf parolalar kullanarak bu protokoller üzerinden kolayca kimlik bilgilerini ifşa edebilir.

Yorumlama

Ağ üzerinde elde edilen bulgular, birden fazla açıdan yorumlanabilir. Saldırının başarısı, genellikle kullanılan protokollerin zayıf noktalarına dayanır. Araç, aktif bir saldırı moduna geçtiğinde, Responder gelen istekleri alır ve yanlış bir geri dönüş ile kullanıcıyı yönlendirerek NTLM hash'lerini toplar. Ancak bu durum, bir ağ yöneticisi tarafından ele alınmadığı takdirde ciddi sonuçlar doğurabilir. Örneğin:

responder -I eth0 -w -b

Yukarıdaki komut, temel kimlik doğrulama mekanizmasını zorlamak için bir saldırı başlatır. Böylece kullanıcı adı ve şifre bilgileri doğrudan toplanabilir.

Bir risk analizi yapılırken, kullanıma açık olan tüm servislerin ve onların güvenlik açıklarının tespit edilmesi gereklidir. Ağ topolojisi, hangi cihazların ve servislerin hangi iletişim portlarını kullandığı gibi bilgileri içermelidir. Bu bilgiler, bir saldırının hedefini belirlemek için kritik öneme sahiptir.

Savunma

Ağ güvenliğini artırmak adına alınacak profesyonel önlemler şunlardır:

  1. Protokollerin Devre Dışı Bırakılması: LLMNR ve NBT-NS gibi protokollerin gereksiz yere aktif durumda tutulmaması gerektiği unutulmamalıdır. Bu protokollerin Grup İlkesi (GPO) üzerinden devre dışı bırakılması önerilmektedir.

    • LLMNR/NBT-NS protokollerinin devre dışı bırakılması, olası kimlik bilgisi hırsızlıklarını büyük ölçüde azaltır.

  2. SMB İmzalama: NTLM hash relay saldırılarını önlemek için tüm sunucularda SMB Signing özelliğinin "Required" olarak ayarlanması gerekmektedir.

  3. WPAD Zehirlenmesi Önleme: WPAD kaydını DNS üzerinde manuel oluşturmak veya otomatik proxy keşfini durdurmak, ağ üzerindeki bu tür saldırılara karşı bir kalkan oluşturabilir.

  4. Sistem Güncellemeleri: Tüm sistemlerin güncel tutulması ve ortaya çıkan zafiyetlerin sıkı bir şekilde izlenmesi önemlidir. Ayrıca, ağ üzerindeki izinsiz değişikliklerin tespit edilmesi için izleme sistemleri kullanılmalıdır.

Sonuç olarak, yerel ağda Responder aracı ile gerçekleştirilen kimlik bilgisi sızdırma saldırıları, yanlış yapılandırmalar ve zayıf güvenlik önlemleri sayesinde başarılı olabiliyor. Ağa yönelik bu tür tehditlere karşı proaktif önlemleri almak, güvenlik postürünü önemli ölçüde güçlendirecektir. Kısaca, etkili bir güvenlik stratejisi, potansiyel zafiyetlerin anında tespit edilmesini ve ortadan kaldırılmasını gerektirir.