CyberFlow Logo CyberFlow BLOG
Smb Pentest

SMB İmzalama Bypass Eğitimi: Siber Güvenlikte Kritik Adımlar

✍️ Ahmet BİRKAN 📂 Smb Pentest

SMB İmzalama Bypass eğitimi ile siber güvenlikte zafiyetleri keşfetmeyi öğrenin. Bu yazıda adım adım süreçleri keşfedeceksiniz.

SMB İmzalama Bypass Eğitimi: Siber Güvenlikte Kritik Adımlar

Bu blog yazısında, SMB İmzalama Bypass işleminin her adımını keşfedeceksiniz. Zafiyet keşfinden, savunma tekniklerine kadar kritik bilgileri edinin. Eğitimi hemen okuyun!

Giriş ve Konumlandırma

Siber Güvenlikte SMB İmzalama Bypass Eğitimi

Siber güvenlik dünyasında, organizasyonların veri bütünlüğünü korumak ve güvenlik açıklarını minimize etmek amacıyla çeşitli teknik ve yaklaşımlar gelişmiştir. Bu bağlamda, SMB (Server Message Block) protokolü ve onun imzalama özelliği oldukça önemli bir yer tutar. SMB, özellikle dosya paylaşımı ve yazıcı hizmetleri gibi işlevselliği sağlamak için kullanılır. Ancak, bu protokoldeki imzalama özellikleri, kötü niyetli saldırganlara zafiyetler sunabilir. "SMB İmzalama Bypass" kavramı, bu kritik anları anlamak ve siber güvenlikte alınması gereken önlemleri belirlemek için hayati öneme sahiptir.

SMB İmzalama ve Önemi

SMB imzalama, ağ üzerindeki veri paketlerinin bütünlüğünü sağlamak için kullanılan bir güvenlik özelliğidir. Bu özellik, gönderilen paketlerin ağ üzerinde değiştirilmediğini doğrulamak için bir dijital mühür işlevi görür. İmzalama zorunlu olmayan bir ağda, saldırganlar bu güvenlik zafiyetinden faydalanarak türlü saldırıları (örneğin Man-in-the-Middle) gerçekleştirebilir. Dolayısıyla, SMB imzalama konusunun anlaşılması, hem siber savunma stratejilerinde hem de penetre testlerinde kritik bir adımdır.

Penetrasyon Testleri ve Bypass Senaryoları

Pentest (penetrasyon testi) süreçlerinde, özellikle SMB imzalama bypass teknikleri, güvenlik profesyonelleri tarafından sıkça incelenmektedir. Düzensiz bir imzalama yapılandırması olan bir organizasyonda, bypass senaryolarını analiz etmek, siber tehditleri anlamak ve bu tür açıkları gidermek açısından önemli bir yer tutar. Penetre testlerinde kullanılan bu teknikler, güvenlik açıklarının gerçek dünyadaki etkilerini simüle eder ve olası zayıf noktaları tespit etme olanağı sunar.

Örneğin, temel bir bypass senaryosu, saldırganın SMBSigning ayarını 'Not Required' (Zorunlu Değil) olarak tespit etmesi üzerine kurulabilir. Bu durumda saldırgan, bir kurbanın ağda ismi araması sırasında, sahte bir yanıt göndererek trafiği kendi kontrol ettiği bir sunucuya yönlendirebilir. Bu tür bir siber saldırı, işi gerçek bir girişimin parçası olarak göstererek, sistemin güvenlik önlemlerini aşmayı mümkün kılar.

crackmapexec smb 192.168.1.0/24 --gen-relay-list targets.txt

Bu komut, ağda imzalama zorunluluğu olmayan hedefleri listeleyerek, potansiyel açıkları belirlemeye yardımcı olur. Aşağıdaki adımlar, bu sürecin etkili bir şekilde yönetilmesine katkıda bulunacaktır:

  1. Zafiyet Keşfi ve Haritalama: Hedef ağda hangi sunucuların imzalama zorunluluğu olmadığını tespit etme.
  2. İmzalama Durumlarının Etkisi: Sunucunun imzalama ayarının bypass senaryosunun uygulanabilirliğini nasıl etkilediğini değerlendirme.

Teknik Konumlandırma

Siber güvenlikte, yalnızca araçlar veya teknikler öğrenilmekle kalmayıp, bu tekniklerin arkasındaki temel ilkeler de anlaşılmalıdır. Mesaj bütünlüğü (Message Integrity), bir mesajın gönderim sırasında içeriğinin değiştirilmediğini doğrulamak için kritik bir öneme sahipken, bu bütünlüğün sağlanması için gerekli olan Message Integrity Code (MIC) gibi kavramlar hakkında derinlemesine bilgi sahibi olmak gerekir. Bu teknik bilgiler, bir bypass senaryosunun ne zaman ve nasıl uygulanacağını belirleyebilmek için gereklidir.

Bypass metodolojisinin başarılı bir şekilde gerçekleştirilmesi, genellikle ağ üzerindeki kimlik doğrulama süreçlerinin manipüle edilmesini gerektirir. Örneğin, ntlmrelayx gibi araçlar kullanılarak otomatik relay işlemleri yapılabilir. Bu tür araçlar, SMB gibi protokollerde zafiyet yaratarak, kötü niyetli bir saldırgana, hedef sistemlerde geniş bir kontrol sağlama olanağı sunar.

impacket-ntlmrelayx -tf targets.txt -smb2support

Yukarıdaki komut, ntlmrelayx ile hedef listesine karşı otomatik relay başlatmayı sağlar.

Siber güvenliğin bu karmaşık yapılarını anlamak ve bu bilgileri kullanarak güvenlik stratejileri geliştirmek, hem bireysel güvenlik uzmanları hem de organizasyonlar için kritik bir öneme sahiptir. SMB imzalama bypass eğitimleri, siber güvenlikte karşımıza çıkan bu tür zafiyetleri anlamak ve üstesinden gelmek için gereklidir. Bu eğitimler sayesinde, güvenlik uzmanları, belirli senaryolarda zafiyeti tespit etmenin ve önlemenin yollarını öğrenebilirler.

Teknik Analiz ve Uygulama

Siber güvenlik alanında SMB (Server Message Block) imzalama bypass'ı, özellikle kurumsal ağlarda ciddi tehditler oluşturabilir. Bu teknik, saldırganların dosya paylaşım protokolünü manipüle ederek hedef sistemlere yetkisiz erişim sağlamasını mümkün kılan bir dizi adımı içerir. Bu bölümde, SMB imzalama bypass sürecini detaylandırarak teknik uygulamalarını ele alacağız.

Adım 1: Zafiyet Keşfi ve Haritalama

Bypass operasyonlarının ilk adımı, ağdaki sunucuların imzalama parametrelerini araştırmaktır. Bu aşamada, hangi sunucuların imzalamayı zorunlu tutmadığını tespit etmek kritik öneme sahiptir. Bunun için, CrackMapExec aracı kullanarak ağda imzalama zorunlu olmayan hedefleri listeleyebiliriz:

crackmapexec smb 192.168.1.0/24 --gen-relay-list targets.txt

Bu komut, belirtilen alt ağda imzalama gereksinimi olmayan sunucuları belirleyerek bir liste çıkaracaktır. Bu liste, potansiyel hedeflerinizi oluşturur.

Adım 2: İmzalama Durumlarının Etkisi

Sunucunun imzalama durumu, saldırının mümkün olup olmadığını belirleyen bir faktördür. İmza durumu "Not Required" (Zorunlu Değil) olan sunucular, NSML relay bypass saldırılarına daha açıktır. İmzalamayı zorunlu hale getiren sunucularda ise, paket manipülasyonları genellikle reddedilir.

Adım 3: Temel Kavram: Message Integrity

SMB imzalama, paketlerin bir "Ortadaki Adam" (MitM) saldırısı ile değiştirilmediğinin kanıtı olan dijital bir mühür işlevi görür. Bu, iki sistem arasındaki iletişimin bütünlüğünü sağlamak için kullanılır. Genellikle "Message Integrity Code" (MIC) olarak adlandırılır.

Adım 4: NTLM Relay Testi (ntlmrelayx)

Bypass sürecinde ntlmrelayx aracı, SMB ve NTLM protokollerinin zayıflıklarını kullanarak saldırıyı gerçekleştirebilir. Hedef listesine karşı otomatik relay başlatmak için aşağıdaki komutun kullanılması önerilir:

impacket-ntlmrelayx -tf targets.txt -smb2support

Bu komut sayesinde, target.txt dosyasında yer alan tüm hedefler üzerinde otomatik bir relay süreci başlatılır, bu da saldırının etkinliğini artırır.

Adım 5: Bypass Senaryosu: Cross-Protocol

Saldırıların sadece SMB üzerinde gerçekleştirilmediğini unutmamak gerekir. Bazen HTTP üzerinden gelen bir istek SMB'ye bypass edilerek iletilebilir. Bu tür bir senaryo, HTTP to SMB relay olarak bilinir ve oldukça etkili bir yöntemdir. Kullanıcı, bir web bağlantısına tıkladığında, hedef kimliği SMB sunucusuna iletilir.

Adım 6: Zafiyet: MS16-075 (BadTunnel)

BadTunnel zafiyeti, SMB protokolü üzerinden kolay bir şekilde kötü niyetli trafiğin geçişine olanak tanır. Bu zafiyet, bir sunucuya yapılan geçersiz istekler ile birlikte exploit edilebilir. BadTunnel'ı kullanarak, sistem üzerinde kontrol sağlamak için bu açığı kullanmayı düşünmelisiniz.

Adım 7: Responder ile Zehirleme (Poisoning)

Ağda LLMNR (Link-Local Multicast Name Resolution) ve NBT-NS (NetBIOS Name Service) tespit edilirse, Responder aracı ile zehirleme gerçekleştirmek mümkündür. Aşağıdaki komut ile bu işlemi başlatabilirsiniz:

responder -I eth0 -rdv

Bu komut, ağdaki istemcileri yönlendirme ve kimlik bilgilerini toplama işlemini başlatır.

Adım 8: Evasion (Kaçınma) Teknikleri

Modern EDR (Endpoint Detection and Response) sistemleri, relay trafiğini tespit edebilir. Bu nedenle, bypass sürecini sessizce gerçekleştirmek için belirli parametrelerin değiştirilmesi gerekebilir. Bu tarz tekniklerin uygulanması, saldırı tespit sistemlerinden kaçmanın anahtarıdır.

Adım 9: Kritik Engel: MIC (Message Integrity Code)

Bypass senaryolarında kritik bir engel, Message Integrity Code (MIC) kontrolüdür. NTLMv2 el sıkışmasında, paketin kurcalanıp kurcalanmadığını kontrol eden bir kod kullanılır. Bypass araçları bu kodu manipüle edebilir, bu nedenle bu aşamanın dikkatlice ele alınması gerekmektedir.

Adım 10: SAM Veritabanı Dökümü

Bypass başarılı olduğunda, sunucu sizi "yönetici" olarak kabul eder. Bu durumda, yerel kullanıcı hash'lerini çekmek standart bir prosedür haline gelir. SAM veritabanına erişim, ağ üzerinde geniş bir yetki sağlamaktadır.

Adım 11: Savunma ve Hardening

Son adım olarak, ağ güvenlik duvarları ve diğer savunma mekanizmaları ile sistemin hardening (sertleştirme) işlemlerine yönelik önlemler alınmalıdır. İmza zorunluluğu gibi politikalar, bu tür saldırıları ciddi şekilde zorlaştırabilir.

Adım 12: Nihai Hedef: Authenticity

Tüm bu tekniklerin arkasındaki temel ilkelerden biri, isteğin kaynağının doğruluğunu sağlamaktır. Bu alanda kullanılan "Authenticity" kavramı, güvenliği artırmak için kritik öneme sahiptir. Hem teknik hem de politik düzeyde uygulanması gereken bir stratejidir.

SMB imzalama bypass işlemi, siber güvenlik alanında ciddi bir tehlike oluşturan bir konudur. Ancak doğru bilgi ve tekniklerle bu tür saldırılara hazırlıklı olmak mümkündür.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, SMB (Server Message Block) imzalama bypass saldırıları, kurumsal ağlarda ciddi riskler oluşturabilmektedir. Bu bölümde, bu tür bir siber saldırının risklerini, ortaya çıkan tehditleri ve etkili savunma stratejilerini inceleyeceğiz.

Zafiyet Keşfi ve Haritalama

SMB imzalama bypass sürecinin ilk adımı, ağdaki imzalama durumlarını haritalamak ve zayıf noktaları belirlemektir. Bu noktada, imzalama durumu “Required” olan sunucular daha güvenli kabul edilirken, “Not Required” veya “Disabled” olanlar savunmasız durumdadır. Aşağıdaki komut, ağdaki hangi sunucuların imzalamayı zorunlu kılmadığını anlamayı sağlar:

crackmapexec smb 192.168.1.0/24 --gen-relay-list targets.txt

Bu tür bir keşif, hedef ağın haritasını çıkarmak ve saldırı yüzeyini belirlemek açısından kritik önem taşır. Zayıf noktalar tespit edildikten sonra, potansiyel saldırı vektörleri ile ilişkili riskler daha iyi değerlendirilir.

İmzalama Durumlarının Etkisi

İmzalama durumları, bir ağda veri bütünlüğünü sağlamak için kritik öneme sahiptir. Sunucuların imzalamanın zorunlu olup olmadığını belirlemesi, gönderilen verilerin değiştirilip değiştirilmediğini anlamada yardımcı olur.

Örneğin, “Not Required” ayarına sahip bir sunucu, Man-in-the-Middle (MitM) saldırılarına açıktır; bu durumda, saldırgan gönderilen verileri kolayca manipüle edebilir. “Required” durumunda ise, bu tür müdahaleler sunucu tarafından reddedilir.

Sızan Veri, Topoloji ve Servis Tespiti

İmza atma durumunun etkisiz olduğu bir siber saldırıda, sunucudan elde edilebilecek verilerin önemi büyüktür. Bu tür bir bypass gerçekleştiğinde, saldırganın elde ettiği veriler genellikle kimlik bilgileri ve erişim tokenlarıdır. Aşağıdaki kod, ntlmrelayx aracı kullanılarak relay işlemi gerçekleştiren örnek bir komuttur:

impacket-ntlmrelayx -tf targets.txt -smb2support

Bu tür sızmalar sonucunda, ağın topolojisi daima değişir. Elde edilen verilerin yanında, ağ yapısı ve kullanılan servisler hakkında detaylı bilgi sahibi olmak, gelecekteki saldırıları önlemek açısından faydalı bilgiler sunar.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenliği artırma amacıyla, SMB imzalama bypass riskini azaltmak için birkaç strateji uygulanabilir:

  1. SMB İmzalama Özelliğini Zorunlu Kılma: Tüm sunucularda imzalamayı zorunlu hale getirmek, relay saldırılarını engellemenin en etkili yoludur.
  2. LLMNR ve NetBIOS'u Devre Dışı Bırakma: Bu protokoller, saldırganların trafiği kendine çekmesine olanak tanır. Bu nedenle kesinlikle kapatılmalıdır.
  3. Extended Protection (EPA) Kullanımı: Kimlik doğrulama kanallarının birbirine bağlanması, bypass saldırılarını zorlaştırabilir.
  4. Ağ Monitörizasyon Araçları: Modern EDR sistemleri kullanarak ağ trafiğinin izlenmesi, potansiyel saldırıları erken aşamalarında tespit etmeye yardımcı olabilir.

Aşağıda, LLMNR ve NBT-NS zehirlemesi yapan bir Responder komutu örneği verilmiştir:

responder -I eth0 -rdv

Sonuç Özeti

SMB imzalama bypass saldırıları, hala birçok organizasyon için kritik bir tehdit oluşturmaktadır. Zafiyetlerin doğru bir şekilde keşfi ve yorumlanması, etkili savunma stratejileri geliştirilmesini sağlar. SMB imzalama ayarlarının gözden geçirilmesi ve gerekli hardening adımlarının uygulanması, ağ güvenliğini önemli ölçüde artıracaktır. Tüm bu önlemler, siber tehditlerle daha etkili bir mücadele sağlamak için önemlidir. Unutulmamalıdır ki, siber güvenlik sürekli bir gelişim ve gözden geçirme sürecidir.