CyberFlow Logo CyberFlow BLOG
Rpc Pentest

RPC ile Lateral Movement: Siber Güvenlikte Temel Adımlar

✍️ Ahmet BİRKAN 📂 Rpc Pentest

RPC ile lateral movement konusunda bilgilendirici bir rehber. Adım adım süreçleri ve temel kavramları keşfedin.

RPC ile Lateral Movement: Siber Güvenlikte Temel Adımlar

Siber güvenlik alanında RPC ile lateral movement uygulamaları konusunda kapsamlı bir rehber. Geçerli port taramasından yetki yükseltmeye kadar 12 adımda önemli teknikleri öğrenin.

Giriş ve Konumlandırma

Lateral movement, bir saldırganın hedef sistemin ağında bir noktadan diğerine geçiş yaparak, daha fazla erişim ve bilgi elde etme sürecidir. Bu süreç, özellikle siber güvenlik alanında önemli bir tehdit oluşturur. Lateral hareket, bir sistemde elde edilen hakların ve erişim bilgilerin kullanılarak, ağ içerisinde daha fazla sistemin ve verinin ele geçirilmesini planlayan saldırılar için kritik bir adımdır. Bu tür saldırıların en yaygın yöntemlerinden biri Remote Procedure Call (RPC) protokolüdür. RPC, ağa bağlı sistemlerin birbirleriyle iletişim kurmasını sağlayan bir dizi protokoldür ve bu özellikleri sayesinde saldırganlar, ağ üzerindeki sistemlere sızmak için etkin bir şekilde kullanılabilirler.

Neden Önemli?

Siber güvenlik uzmanlarının dikkat etmesi gereken en önemli konulardan biri, lateral movement yöntemlerinin üstesinden gelmektir. Özellikle büyük organizasyonlarda, bir sistemin çok sayıda kullanıcıya ve kaynağa erişim sağladığı durumlarda, bir kez bir sisteme giriş yapıldığında, saldırganların daha fazla alana genişlemesi kolaylaşabilir. Bu tür durumlar, veri sızıntıları, kimlik bilgisi hırsızlığı ve şirket itibarının zedelenmesi gibi dikkate alınması gereken ciddi sonuçlar doğurabilir. Lateral movement, aynı zamanda bir saldırının tespit edilmesini zorlaştırdığı için, güvenlik önlemleri geliştirmek bu sebeplerle önemlidir.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlam

Siber güvenlik, kurumların bilgi sistemlerini tehditlerden korumak için tasarlanmış bir dizi önlem ve prosedürü içerir. Penetrasyon testleri (pentest), bu sistemlerin güvenliğini değerlendirmek amacıyla gerçekleştirilen yasal saldırılardır. RPC ile lateral movement, pentest süreçlerinde hem savunma mekanizmalarının test edilmesi hem de saldırı vektörlerinin anlaşılması açısından kritik bir rol oynar. Bu tür testlerde, güvenlik uzmanları, RPC protokolünün zayıflıklarını inceleyerek, agra ilgili tehditleri ve olası saldırı senaryolarını simüle ederler.

Teknik İçeriğe Hazırlık

Bu blog yazısında, RPC ile lateral movement konusunu derinlemesine inceleyeceğiz. İlk önce, RPC servislerinin taranması ile başlayarak, bu protokolle ilgili kavramların eşleştirilmesi ve yetki yükseltme yöntemlerine geçeceğiz. Hedef sistemler üzerinde uygulanacak yetkilendirme testleri, RPC üzerinden uzaktan komut gönderme, erişim kontrolü ve dosya aktarımı gibi adımlar, bu süreçte önemli yer tutmaktadır. Bu bağlamda, okuyuculara RPC’nin nasıl çalıştığı hakkında bir dizi teknik bilgi ve pratik örnekler sunarak güvenlik açıklarının nasıl tespit edilebileceğini göstereceğiz.

Ayrıca, bu süreçlerin her birinin gerek siber güvenlik gerekse pentesting bağlamında nasıl entegre edileceği ve bu aşamalarda dikkate alınması gereken güvenlik önlemleri ile ilgili teknik bilgiler paylaşılacaktır. Örnek komutlar ve kod parçaları ile destekleyeceğimiz bu içerik, okuyucuların teknik bilgilerini geliştirmelerine yardımcı olmayı hedeflemektedir.

Aşağıda, RPC aracılığıyla sistem tarama sürecinde kullanılabilecek bir komut örneği verilmiştir:

nmap -p 135,139,445 TARGET_IP

Bu komut, belirtilen IP adresinde açık olan RPC servis portlarını tarayarak, geçerli zafiyetleri ortaya çıkarma sürecine başlayacaktır. Bunun yanı sıra, yapılan bu tarama, ardışık adımların gerçekleştirilmesinde temel bir veri sağlayarak saldırganların veya güvenlik uzmanlarının hedefe yönelik daha etkili stratejiler geliştirmelerine olanak tanır.

Bu yazı, RPC ile lateral movement’ın temel adımlarını ve bu adımların neden bu kadar önemli olduğunu anlamanızı sağlayacak detaylarla dolu olacak. okuduğunuz her aşamada, uygulamaların siber güvenlik kurallarına ne denli uygun olduğunu ve bu kuralların ihlali halinde karşılaşabileceğiniz tehditleri anlamanızı sağlamak için çalışacağız.

Teknik Analiz ve Uygulama

Adım 1: RPC Servis Tarama

Lateral movement’u başlatmak için ilk adım olarak hedef sistemdeki Remote Procedure Call (RPC) hizmetlerini taramanız gerekmektedir. Bu işlem, ağ üzerinde hangi portların açık olduğunun ve hangi RPC hizmetlerinin çalışmakta olduğunun belirlenmesine yardımcı olur. Özellikle Windows sistemlerinde, 135, 139 ve 445 nolu portlar sıklıkla RPC iletişimi için kullanılır. Aşağıdaki nmap komutu ile hedef IP adresinin açık RPC portlarını tarayabilirsiniz:

nmap -p 135,139,445 TARGET_IP

Bu komut, belirttiğiniz hedeften RPC ile iletişim kurabilen portların listesini döndürecektir. Tarama sonucunda elde edilen bilgilerin analiz edilmesi, daha sonra gerçekleştireceğiniz yetki yükseltme ve komut yürütme işlemleri için kritik bir ilk adımdır.

Adım 2: Kavram Eşleştirme

RPC ile ilgili temel kavramların anlaşılması, ilerleyen adımlarda daha derin güvenlik testleri yapabilmek adına oldukça önemlidir. Burada genel olarak DCE/RPC, tunneling ve kimlik bilgisi çalma gibi kavramlarla karşılaşabilirsiniz. Örnek olarak:

  • DCE/RPC: Dağıtık Hesaplama Ortamı ve Uzaktan Prosedür Çağrısı, ağ üzerinde veri iletişimi için kullanılan bir protokoldür.
  • Credential Theft: Saldırganın oturum bilgilerini ele geçirerek sistemde yetkisiz erişim sağlamasıdır.

Bu kavramların her birinin güvenlik saldırılarında nasıl bir rol oynadığını anlamak, durum tespiti sırasında potansiyel tehditleri belirlemenizi kolaylaştıracaktır.

Adım 3: RPC ile Yetki Yükseltme

Yetki yükseltme adımında, RPC protokolü üzerinde var olan zayıflıklardan yararlanarak daha yüksek haklara ulaşmayı hedefleyeceksiniz. Bunun için, sistemdeki mevcut zafiyetleri belirlemekte ve bu zafiyetleri istismar etmekte kullanılan rpcclient aracını kullanabilirsiniz:

rpcclient -U USER TARGET_IP

Bu komut ile hedef sistemdeki RPC servislerine bağlanabilir ve uygun yetkilerle erişim sağladığınızda, kritik bilgilere ulaşabilirsiniz. Yetki yükseltme işlemi için izlenecek adımlar, dikkate alınması gereken tehditler arasında yer almaktadır.

Adım 4: RPC Üzerinden Yetkilendirme Testi

Yetki ve kimlik doğrulama testleri gerçekleştirirken, RPC protokollerini kullanarak kimlik bilgilerini sorgulamak da önemlidir. Hedef sisteme uzaktan erişim sağlamak için aşağıdaki komutu kullanarak mevcut kullanıcı hesaplarını görüntüleyebilirsiniz:

wmic useraccount get name /node:TARGET_IP

Bu komut, hedef sistemdeki kullanıcı hesaplarının listesini döndürmekte ve sizin için potansiyel olarak kullanılabilecek kimlik bilgilerini sağlayabilmektedir.

Adım 5: Hedef Sistem için Yetki Elde Etme

RPC servisi üzerinden hedef sistemdeki kullanıcı hesapları yönetilirken, güvenlik açığı kullanarak sistem üzerinde yetki elde etme süreçlerini incelemek gerekmektedir. Bu noktada, özellikle açık portlar ve mevcut kullanıcılar dikkate alınmalıdır. Elde edilen bilgiler, yetkilerin artırılmasını ve sistemde daha fazla işlem yapabilmeyi kolaylaştıracaktır.

Adım 6: RPC Üzerinden Komut Yürütme Testi

RPC protokolü üzerinden uzaktan komut yürütme işlemi yapmak, potansiyel güvenlik zafiyetlerini değerlendirmek için kullanılabilecek etkili bir yöntemdir. wmic aracı ile hedef sisteme komut gönderirken dikkatli olunmalıdır. Aşağıda, bir komutun gönderimi ile ilgili örnek bir kullanım verilmiştir:

wmic process call create "cmd.exe /c whoami" /node:TARGET_IP

Bu komut, hedef sistemde "whoami" komutunu çalıştırarak mevcut kullanıcı bilgisini elde etmenize yardımcı olacaktır.

Adım 7: RPC ile Erişim Kontrolü

Erişim kontrollerinin doğru yapılandırılması, saldırganların RPC üzerinden yetki yükselterek sistemlere sızmasını engellemek için kritik bir öneme sahiptir. Bu yapılandırmaların gözden geçirilmesi, sistemde kollektivite içinde hangi zayıflıkların açığa çıkabileceği hakkında bilgi vermektedir. Ayrıca, sistemdeki erişim izinlerinin doğru yapılandırılmış olup olmadığını kontrol etmek, güvenliği artıracak önemli bir adımdır.

Adım 8: RPC Üzerinden Dosya Aktarımı

RPC üzerinden dosya aktarımı gerçekleştirmek için smbclient aracı kullanılabilir. Hedef sistem üzerindeki paylaşılan dosyalara erişmek ve gerektiğinde dosya aktarmak için aşağıdaki komut kullanılabilir:

smbclient //TARGET_IP/share -U USER

Bu komut ile hedef sistemdeki paylaşımlara erişim sağlayarak, gerekli dosyaları alabilir veya sistemin güvenliğini test etmek amacıyla dosya aktarım işlemleri gerçekleştirebilirsiniz.

Sonuç

RPC protokolü üzerinden yapılacak olan lateral movement işlemleri, siber güvenlik testleri açısından önemli bir yere sahiptir. RPC hizmetlerinin taranması, kavram eşleştirmeleri, yetki yükseltme, kimlik doğrulama testleri, erişim kontrolü ve dosya aktarımı gibi adımlar, bir ağdaki güvenlik açıklarını değerlendirmek için izlenmesi gereken kritik yol haritasını oluşturur. Bu süreçlerin dikkatli bir biçimde gerçekleştirilmesi, potansiyel saldırıların önüne geçmek açısından gereklidir.

Risk, Yorumlama ve Savunma

Siber tehdit ortamında, RPC (Remote Procedure Call) kullanımı, saldırganların bir ağ içinde lateral movement gerçekleştirmelerine olanak tanır. Bu süreç, bir ağda güvenlik açıklarının belirlenmesini ve kötü niyetli faaliyetlerin gerçekleştirilmesini kolaylaştırır. Aşağıda, RPC tabanlı saldırıların riskleri, bu saldırılara karşı yorumlama yöntemleri ve savunma stratejilerini ele alacağız.

RPC Servis Tarama

İlk adım olarak RPC servislerini taramak, potansiyel olarak zayıf noktaların tespit edilmesi açısından kritik öneme sahiptir. nmap aracı ile 135, 139 ve 445 portlarının taranması, hedef sistemde çalışan RPC servislerinin belirlenmesine yardımcı olur. Bu, saldırganların hangi servislerin açık olduğunu ve bunların potansiyel zafiyetlerini analiz etmelerine olanak tanır.

nmap -p 135,139,445 TARGET_IP

Bu tarama sonucunda elde edilen bilgiler, sistemdeki zayıf noktaların yorumlanmasında önemli bir rol oynar. Örneğin, açık bir RPC servisi, yetkisiz erişim için bir kapı açabilir.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, siber güvenlikte büyük risk oluşturmaktadır. Özellikle RPC üzerinden yapılan çağrılarda, ve özellikle kimlik doğrulaması ve erişim kontrolü sağlanmadığında, saldırganlar bu hizmetleri kötüye kullanabilir.

RPC servisleri genellikle kimlik bilgileriyle çalıştığından, zafiyetlerin değerlendirilmesi, erişim izinlerinin doğru yapılandırılması ile doğrudan ilişkilidir. Saldırganlar, kullanıcı kimlik bilgilerini ele geçirmek (credential theft) için kolayca RPC üzerinden yetki yükselterek saldırılarını gerçekleştirebilir.

Elde Edilen Sonuçların Yorumlanması

RPC tespiti sırasında elde edilen bilgiler, sistemin topolojik yapısı ve kurulu servisler hakkında detaylı bir görünüm sunar. Hedef sistemde kullanıcı hesaplarının yönetimi ve yapılandırılması kritik bir öneme sahiptir. Eğer bu hesaplar yeterince güvenli bir şekilde yapılandırılmamışsa, saldırganın yetki bilgilerine erişimi kolaylaşır.

Örneğin, RPC servisine erişim izni olan bir kullanıcının zafiyeti istismar etmesi durumunda, sistemde daha yüksek haklara sahip olma ihtimali artar. Bu nedenle, elde edilen verilerin yorumlanması, risk analizleri için şiddetle önerilir.

Profesyonel Önlemler ve Hardening Önerileri

RPC hizmetlerine karşı alınabilecek bazı önlemler şunlardır:

  1. En Güncel Yazılımların Kullanılması: RPC servisleri üzerinde yapılacak güncellemeler, bilinen zafiyetlerin giderilmesine yardımcı olur.
  2. Erişim Kontrollerinin Düzenlenmesi: Güvenlik grupları ve kullanıcı izinlerinin doğru yapılandırılması, yetkisiz erişim ihtimalini azaltacaktır.
  3. Ağ Segmentasyonu: Özellikle kritik sistemlerin RPC çözümlemesine karşı korunması, ağ güvenliği üzerinde büyük bir etki oluşturur.
  4. Güvenlik Duvarı Kuralları: RPC trafiği için izinli ve yasaklı IP aralıklarının belirlenmesi, saldırılara karşı proaktif bir yaklaşım sunar.
  5. Sıkı Kimlik Doğrulama Yöntemleri: Çok faktörlü kimlik doğrulama kullanmak, kimlik hırsızlığı riskini ciddi ölçüde azaltır.
  6. Loglama ve İzleme: RPC trafiğinin sürekli izlenmesi ve loglanması, şüpheli aktivitelerin anında tespit edilmesine yardımcı olur.

Sonuç

RPC ile lateral movement, siber güvenlik tehditlerinin önemli bir parçasıdır. Sistemlerin yanlış yapılandırılması ve zayıf güvenlik önlemleri, saldırganlara sistemlere kolayca sızma imkanı sunabilir. Bu nedenle, elde edilen bulguların analiz edilmesi, profesyonel savunma stratejilerinin uygulanması ve sürekli izleme gereklidir. Bu şekilde, siber saldırganların potansiyel tehditleri en aza indirilebilir.