CyberFlow Logo CyberFlow BLOG
Snmp Pentest

Siber Güvenlikte Yanal Hareket: Sızdırılmış Kimlik Bilgileriyle Nasıl İlerlemeniz Gerekiyor?

✍️ Ahmet BİRKAN 📂 Snmp Pentest

Sızdırılmış kimlik bilgileriyle yapılan yanal hareket yöntemleri ve savunma stratejileri hakkında bilgi edinin.

Siber Güvenlikte Yanal Hareket: Sızdırılmış Kimlik Bilgileriyle Nasıl İlerlemeniz Gerekiyor?

Siber güvenlikte sızdırılmış kimlik bilgileriyle yanal hareketin nasıl gerçekleştirilmesi gerektiğini ve buna karşı nasıl savunma yapılabileceğini öğrenin. Kimlik bilgisi avcılığından başlayarak, sistemler arası geçiş yapma tekniklerine kadar geniş bir yelp...

Giriş ve Konumlandırma

Siber güvenlik alanında "yanal hareket" (lateral movement), saldırganların ağ içindeki sistemlere erişim sağlamak amacıyla kullandığı kritik bir taktiktir. Bir siber saldırı bağlamında, bu kavram ilk ele geçirme noktası sonrasında, sızdırılmış kimlik bilgileri ile diğer sistemlere geçiş yapmayı ifade eder. Yani, bir saldırganın erişim elde ettiği bir sistemden diğer sistemlere geçiş yaparak ağın derinliklerine inmesi ve daha fazla bilgiye veya kritik verilere ulaşması hedeflenmektedir. Bu süreç, kurumsal ağlarda oldukça yaygın bir tehdit oluşturmaktadır ve iç ağlar üzerindeki kontrolü ciddi şekilde tehdit eder.

Yanal hareket, saldırganların ağın güvenlik önlemlerini aşarak, yetkisiz erişim elde ettikleri bir sistemden başlayıp, diğer sistemlere geçiş yapmalarını sağlar. Bu durum, ağdaki hassas verilerin açığa çıkması veya sistemlerin tamamen ele geçirilmesi bakımından büyük bir risk taşır. Özellikle günümüzdeki siber saldırılar, bu tür taktikleri kullanarak yüksek derecede gizlilik ve başarı oranı elde etmektedir.

Bu bağlamda, sızdırılmış kimlik bilgilerinin kullanımı, yanal hareketin temelini oluşturur. Birçok saldırı yöntemi, tanımlı sistemlerin açıklarını değerlendirerek bu bilgileri toplar. Saldırganlar, genellikle SNMP (Simple Network Management Protocol) gibi protokoller aracılığıyla ağdaki sistemlerin yapılandırma ve çalışma bilgilerine ulaşabilmektedir. Örneğin, SNMP üzerinden sızan veriler, o sistemdeki çalışan süreçlerin komut satırı parametrelerine ve ağ topolojisine ilişkin bilgileri içerebilir. Bu bilgiler, yanal hareket için kullanıma sunulacak dahi hassas "Credential List" (kimlik bilgisi listesi) oluşturma sürecinde kritik bir rol oynar.

Ağ güvenliğini sağlamak, yanal hareketin önlenmesi için oldukça önemlidir. Kurumların siber güvenlik stratejilerini gözden geçirmesi ve sık sık tehdit modellemeleri yapması gerekir. Yalnızca teknik araçlar ve yazılımlar değil, aynı zamanda çalışanların farkındalığı da bu konuda kritik öneme sahiptir. Sen CyberFlow gibi sistemler, bu tür tehditlere karşı hem saldırı simülasyonları gerçekleştirerek hem de güvenlik önlemleri alarak organizasyonların güvenliğini artırma yolunda önemli görevler üstlenmektedir.

Temel güvenlik önlemleri arasında, ağ segmentasyonu, kimlik doğrulama yöntemlerinin gözden geçirilmesi ve düzenli olarak zayıf noktaların analizi yer almaktadır. Bu tür önlemler, yanal hareketin etkinliğini büyük ölçüde azaltabilir. Örneğin, ağ yapılandırmalarının dikkatlice gözden geçirilmesi, yetkisiz erişimleri azaltan bir segmentasyon stratejisi geliştirmek için faydalıdır.

Sonuç olarak, siber güvenlikte yanal hareket, tehdit aktörlerinin ağ ağırlığını büyütmesine ve kurumları hedef almasına olanak tanıyan bir süreçtir. Sızdırılmış kimlik bilgilerinin kullanımı, bu süreçteki temel etkenlerden biridir ve bu bilgilerin korunması için gerekli saldırı önleme metotları üzerinde durulması kritik öneme sahiptir. Siber güvenlik uzmanları, bu taktikleri anlayarak ve savunma stratejilerini buna göre şekillendirerek, sistemlerini daha güçlü bir şekilde koruyabilirler. Yanal hareket konusunu daha fazla derinlemesine kavramak, içerdiği teknik unsurlar ve savunma yöntemlerinin belirlenmesiyle mümkün olacaktır.

Teknik Analiz ve Uygulama

Yanal Hareketin İlk Adımları

Yanal hareket, bir saldırganın ilk giriş noktasından ağdaki diğer sistemlere erişim sağlama sürecidir. Genellikle, bu aşama, sistemlerde halen geçerli olan kimlik bilgilerini elde etmeyi ve bu bilgileri kullanarak ağ üzerinde daha fazla kontrol sağlamayı içerir. İlk adım olarak, ağda çalışan süreçlerin komut satırı parametrelerini sızdırabilen OID (Object Identifier) dalını taramak önemlidir. Bu bağlamda, snmpwalk komutu etkili bir araçtır.

snmpwalk -v2c -c public <target_ip> 1.3.6.1.2.1.25.4.2.1.5

Bu komut, belirli bir IP adresindeki sistemde çalışan süreçlerin parametrelerini listeleyecektir. Bu veriler, saldırganın sistemde barındırılan uygulamaların ve bunların çalışma parametrelerinin incelenmesi için yararlıdır. Örneğin, bazen yedekleme script’lerinin şifrelerine erişmek de mümkün olabilir.

Veri Kaynakları ve Sızıntı Potansiyeli

SNMP'den (Simple Network Management Protocol) alınan veriler, yanal hareket için çeşitli siber anahtarlar sunar. Bu veriler cerrahi bir hassasiyetle ayıklanmalı ve bir "Credential List" (Kimlik Bilgisi Listesi) oluşturulmalıdır.

Veri kaynaklarının tespiti sırasında dikkat edilmesi gereken bazı önemli nesneler şunlardır:

  • sysContact: Sistem yöneticisinin iletişim bilgileri.
  • hrSWRunParameters: Uygulama çalıştırma parametreleri ve potansiyel şifreler.
  • ipRouteTable: İç ağ topolojisi ve sızma potansiyeli olan VLAN'lar.

Bu nesnelerden elde edilen veriler, bir saldırganın Ağda hareket etmesini sağlamak için gerekli olan bilgi kaynaklarını oluşturacaktır.

Yanal Hareket Teknikleri

Sızdırılan kimlik bilgilerini kullanarak yanal hareket gerçekleştirmek için çeşitli stratejiler bulunmaktadır. İlk olarak, sistemlerdeki en yaygın yönetim ve dosya paylaşım servislerini hedefleme gerekiyor.

Örneğin, ele geçirilen bir kimlik bilgisi setini bir SSH sunucusunda test etmek için Hydra aracını kullanabilirsiniz:

hydra -l <username> -p <password> ssh://<target_ip>

Bu komut, belirtilen kullanıcı adı ve parolayı kullanarak belirli bir IP adresindeki SSH sunucusuna erişim sağlamayı dener. Eğer elde edilen kimlik bilgileri doğruysa, bu noktada yanal hareket başlar.

Pivoting Terimi

Yanal hareket sürecinde, ele geçirilen bir cihazı ağdaki diğer segmentlere erişmek için sıçrama noktası olarak kullanma eylemine "pivoting" denir. Sistemler arasında ilerlerken dikkat edilmesi gereken bir diğer önemli teknik ise, "hash cracking" yani kırma işlemidir. Eğer SNMP üzerinden düz metin değil de bir hash sızmışsa, bu verinin düz metne dönüştürülmesine yönelik araçlar kullanılmalıdır.

Aşağıda, hash kırma işlemi için kullanılan bir örnek kod bulunmaktadır:

hashcat -m 0 -a 0 <hash_file> <wordlist>

Burada, <hash_file> hash'leri içeren dosyadır, <wordlist> ise olası şifrelerin listelendiği dosyadır.

Ağ Hakimiyeti ve CrackMapExec

Kimlik bilgileri ele geçirildikten sonra sistemler arasında ilerlemek için farklı araçlar kullanılabilir. Örneğin, CrackMapExec (CME), ağdaki tüm sistemlerde sızdırılan parolayı test etmek ve admin yetkisini elde etmek için kullanılır.

crackmapexec smb 192.168.1.0/24 -u <username> -p <password>

Bu komut, belirtilen IP aralığındaki tüm sistemlerde tanımlı kullanıcı adı ve şifre ile erişim denemesi yapar ve sistemin kontrolünü sağlamaya çalışır.

Savunma Stratejileri

Sıralı olarak hedeflenen bu aşamalarda, kuruluşların savunma stratejileri de oldukça önemlidir. Sızdırılan kimlik bilgisi sızıntısını ve yanal hareketi durdurmak için aşağıdaki önlemler alınabilir:

  • MFA (Multi-Factor Authentication): Parola sızsa bile ikinci bir doğrulama faktörü ile erişimi engelleyebilir.
  • Network Segmentation: Ağı küçük parçalara bölerek yanal hareketin "blast radius" (etki alanı) kısıtlanabilir.
  • Upgrade to SNMPv3: Veriyi şifreleyerek kimlik bilgilerinin sniffing (paket dinleme) ile yakalanmasını önleyebilir.

Bu önlemler, ağ güvenliğini artırırken, potansiyel zafiyetleri de minimize eder. Yanal hareket testleri, ağın bir noktasından girip tamamının ele geçirilme riskini doğrulamak için kritik bir süreçtir ve bu süreçte kullanılan teknikler, siber güvenlik alanında uzmanlaşmanın önemli bir parçasıdır.

Risk, Yorumlama ve Savunma

Siber güvenlikte yanal hareket, sızdırılmış kimlik bilgilerinin kötüye kullanılmasıyla ağ içindeki sistemlere erişimi sağlama sürecidir. Bu süreçte, elde edilen bulguların güvenlik anlamının doğru bir şekilde yorumlanması büyük önem taşımaktadır. Risk değerlendirmesi ve yorumlama aşamaları, potansiyel saldırı yollarının belirlenmesi ve bu yolların etkilerinin anlaşılması açısından kritik rol oynamaktadır.

Güvenlik Anlamının Yorumlanması

Sızdırılmış kimlik bilgileri, genellikle bir saldırganın ağda daha fazla özgürlük kazanmasına olanak tanır. Saldırganlar, SNMP (Simple Network Management Protocol) üzerinden elde edilen veri türleri ile ağın iç yapısını anlayabilirler. Örneğin, ipRouteTable nesnesi, iç ağ topolojisini deşifre etmeye yardımcı biçimde kullanılabilir ve bu da yanal hareket için kritik bir bilgi sağlar.

snmpwalk -v2c -c public target_ip 1.3.6.1.2.1.4.20

Yukarıdaki snmpwalk komutu ile hedef ağın yönlendirme tablosu sorgulanarak, saldırganın ağ içerisinde hangi sistemlerin birbirine bağlı olduğu tespit edilebilir. Bu tür bilgiler, ağın zafiyetlerini keşfetmek ve ilerdeki adımları planlamak açısından oldukça değerlidir.

Yanlış Yapılandırmalar ve Zafiyetler

Sızdırılan kimlik bilgilerinin etkisi yalnızca veri sızıntısı ile sınırlı kalmaz. Ağda kötü yapılandırılmış servisler, yönetici izinlerine sahip kullanıcı hesapları ve sistem açıkları, saldırganların ilerleyişini hızlandıracak unsurlardır. Örneğin, SMB (Server Message Block) protokolü, dosya paylaşımı için en yaygın kullanılan protokollerden biridir ve saldırganların bu servisi hedef alması ise son derece olasıdır.

crackmapexec smb 192.168.1.0/24 -u admin -p password

Yukarıdaki komut, belirli bir IP aralığında SMB hizmetlerini test etmek için kullanılabilir. Bu tür bir zafiyetin varlığı, saldırganın yönetim seviyesinde erişim elde etmesine sebep olabilir.

Elde Edilen Verilerin İncelenmesi

Saldırgan, sızdırılmış kimlik bilgilerini kullanarak farklı servislerin erişim bilgilerini test edebilir. Örneğin, hydra aracı ile SSH sunucularına kimlik bilgilerini denemek için aşağıdaki komut kullanılabilir:

hydra -l user -p pass ssh://target_ip

Bir başarısız deneme bile, saldırganın ağda daha fazla bilgi toplayabilmesi için yeni yollar keşfetmesine yardımcı olabilir. Bu yolla, zafiyetlerden yararlanarak kontrol altına alınabilecek sistemler arasında yanal hareket yapılması sağlanır.

Profesyonel Önlemler

Salıngan tespitinin ardından, yanal hareketin önlenmesi amacıyla belirli güvenlik önlemleri alınmalıdır. Önerilen stratejiler şu şekildedir:

  1. Ağ Segmentasyonu: Ağı küçük parçalara bölerek yanal hareket olasılığını azaltın. Bu işlem, potansiyel bir ihlalin kapsamını kısıtlamanıza yardımcı olur.
  2. MFA (Çok Faktörlü Kimlik Doğrulama): Kullanıcı kimlik bilgileri sızdırılsa bile, ek bir doğrulama faktörü ile erişimi engelleyin.
  3. SNMPv3’e Geçiş: Veriyi şifreleyerek ağda kimlik bilgilerinin sızdırılmasını önleyin.
  4. Düzenli Güvenlik Testleri: Ağın zayıf noktalarını tespit etmek için penetrasyon testleri gerçekleştirin.

Sonuç

Yanal hareket, siber saldırganların ilk sızma noktasından sonra ağın derinliklerine ilerlemesine olanak tanır. Kimlik bilgileri üzerinden hareketle potansiyel servisleri hedef almak, büyük bir risk oluşturur. Bu nedenle, sistem yöneticileri ve siber güvenlik profesyonelleri, sızdırılmış veri ve zafiyetler karşısında proaktif bir yaklaşım benimsemelidir. Güçlü güvenlik önlemleri uygulamak ve altyapıyı sürekli test etmek, siber tehditlerin etkisini azaltmanın en etkili yollarıdır.