CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

SMB ve Named Pipe: İç Ağ İletişiminde Siber Güvenlik Riskleri

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

SMB C2 ile Named Pipe iletişimi arasında nasıl bir bağlantı var? Bu blogda detayları keşfedin.

SMB ve Named Pipe: İç Ağ İletişiminde Siber Güvenlik Riskleri

SMB (Server Message Block) ve Named Pipe iletişimi, siber güvenlikte önemli bir konudur. İç ağlar arasında veri akışını sağlayan bu yapılar, saldırganların hedefleri hakkında bilgi edinmesi için kritik bir rol oynar.

Giriş ve Konumlandırma

Giriş

Siber güvenlik alanında, iç ağ iletişimi oldukça kritik bir konu haline gelmiştir. Küçük ve orta ölçekli işletmeler (SMB’ler), yaptıkları operasyonlarda verimliliği artırmak için çeşitli iletişim protokollerinden faydalanmaktadır. Bu bağlamda, Server Message Block (SMB) protokolü ve Named Pipe (Adlandırılmış Kanal) yapısı, iç ağdaki cihazlar arasında veri iletimi sağlamak için yaygın olarak kullanılmaktadır. Ancak bu iletişim yöntemleri, aynı zamanda siber güvenlik açısından önemli riskler de barındırmaktadır.

SMB, dosya ve yazıcı paylaşımı için kullanılan bir protokol olup, aynı zamanda iç ağ iletişimi için de kritik bir rol oynamaktadır. Saldırganlar tarafından kötüye kullanıldığında, SMB trafiği, zararlı yazılımların iç ağda yayılmasına olanak tanıyan bir araç olarak kullanılabilmektedir. Named Pipe ise, aynı sistemdeki veya ağdaki farklı süreçlerin veri alışverişi yapması için tasarlanmış sanal bir iletişim kanalıdır. Bu yapı, verilerin bellek üzerinde hızlı bir şekilde aktarılmasını mümkün kılarken, aynı zamanda izlenmesi zor olan iletişim biçimlerini de içermektedir.

Neden Önemli?

Günümüzde siber saldırıların sayı ve çeşitliliği artarken, SMB ve Named Pipe kullanımlarının artışı da benzeri bir ivme göstermektedir. Özellikle iç ağda tanınan ve meşru gibi görünen trafiğin, aslında kötü niyetli bir iletişim ağına dönüşmesi, işletmeler açısından büyük bir risk oluşturmaktadır. iç ağında SMB ve Named Pipe kullanarak gerçekleştirilen iletişim kanalları, genellikle alarm vermeyen ve dikkat çekmeyen bir yapıdadır. Saldırganlar, bu durumdan faydalanarak, hedef aldıkları sistemler üzerinde yetkilerini sürdürebilmekte ve daha geniş yelpazedeki sistemlere sızabilmektedirler.

Pentest süreçlerinde, bu iletişim kanallarının analizi kritik bir öneme sahiptir. Saldırganların kullanabileceği farklı tekniklerin belirlenmesi ve iç ağ trafiklerinin incelenmesi, olası tehditlerin önceden tespit edilmesine yardımcı olur. İç ağdaki anormal SMB trafiği, örneğin, şüpheli Named Pipe kullanımları veya alışılmadık veri yazma/okuma işlemleri, saldırının başladığına dair önemli göstergeler olarak işlev görebilir. Aşağıdaki örnek, ağ izleme araçlarıyla yapılacak bir analizde karşımıza çıkabilecek bir durumu gözler önüne sermektedir:

Timestamp        Source IP         Destination IP       Event 
2023-10-10 12:00:00 192.168.1.5    192.168.1.10  SMB2_WRITE - حجم 4032 bytes
2023-10-10 12:00:10 192.168.1.5    192.168.1.10  SMB2_READ - حجم 2048 bytes

Bu örnekte, 192.168.1.5 IP adresine sahip bir cihazın, 192.168.1.10 IP adresine sürekli veri yazdığı ve okuduğu görülmektedir. Bu tarz davranışlar, iç ağda kötü niyetli bir C2 (Command and Control) dinamiğinin varlığına işaret edebilir.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlamlandırma

SMB ve Named Pipe'lerin siber güvenlikteki yerine baktığımızda, bu iki prokolün iç ağ üzerinde oluşturduğu tehditlerin farkında olmak, savunma stratejileri geliştirmek için hayati öneme sahiptir. SMB üzerinden yürütülen siber saldırılar, genellikle içerdikleri kötü amaçlı yazılımlar veya ortamdaki güvenlik açıkları sayesinde hızlı ve etkili bir şekilde yürütülebilir. Bu durum, bir Blue Team analisti için ciddi zorluklar yaratmakta ve bu tür tehditlerin tespitinde sürekli olarak güncel kalmayı zorunlu kılmaktadır.

Pentest süreçlerinde SMB ve Named Pipe analizi, saldırganların kullandığı bu iletişim yollarının belirlenmesini sağlarken, potansiyel zafiyetlerin ve anormalliklerin tespit edilmesine de yardımcı olmaktadır. Bu nedenle, iç ağda SMB ve Named Pipe trafiğinin sürekli izlenmesi ve analiz edilmesi gerekmektedir.

Sonuç olarak, siber güvenlik açısından SMB ve Named Pipe kullanımlarının doğru bir şekilde anlaşılması, işletmelerin siber saldırılara karşı daha dayanıklı hale gelmesine olanak tanıyacaktır. Bu konular üzerinde yapılacak detaylı incelemeler, hem savunma mekanizmalarının geliştirilmesine hem de gelecekteki tehditlerin önlenmesine katkıda bulunacaktır.

Teknik Analiz ve Uygulama

SMB C2 Tanımı

Server Message Block (SMB), ağ üzerindeki cihazlar arasında dosya ve yazıcı paylaşımı gibi işlemler için kullanılan bir protokoldür. Bunun yanı sıra, saldırganlar tarafından iç ağlarda kontrol edilecek cihazlar aracılığıyla komut ve kontrol (C2) iletişimini sağlamak için de kullanılır. Bu bağlamda, SMB protokolü, iç ağda dışarıya doğrudan çıkışı olmayan sistemleri yönlendirmek amacıyla saldırganlar tarafından oldukça etkili bir araç olarak kullanılmaktadır. Örneğin, bir saldırgan, "master beacon" olarak adlandırılan ve internete doğrudan bağlı olan bir kurban üzerinden, iç ağda bulunan diğer cihazlara komutlar gönderebilir.

Named Pipe (Adlandırılmış Kanal) Mantığı

Named Pipe, aynı sistem içerisindeki veya ağ ortamındaki farklı süreçler arasında veri alışverişi yapılmasını sağlayan bir iletişim mekanizmasıdır. Bu yapı, aslında bellekte oluşturulan sanal dosya yapılarından oluşur. Saldırganlar, bu mekanizmaları kullanarak kurban sistemler arasında gizli ve güvenli bir iletişim kanalı oluştururlar.

Kullanılan Standart Port

SMB, standart olarak TCP 445 portu üzerinden çalışmaktadır. Bu özellik, ağ güvenliği izleme sistemlerinin SMB trafiğini meşru trafikle karıştırabilmesine neden olur. Saldırganlar, bu durumu avantaja çevirerek iç ağda sızmalarını ve komutlarını iletmelerini kolaylaştırır. Aşağıda SMB üzerinde kullanılan bazı komutların örneklerini bulabilirsiniz:

# SMB üzerinden bir dosyayı paylaşma komutu
smbclient //192.168.1.1/share -U user

İletişim Akışı (Pivoting)

SMB protokolü üzerinden gerçekleştirilen yanal hareket (lateral movement), genellikle bir cihazdan diğerine geçiş yapmayı içerir. Örneğin, bir cihazın diğerine sürekli olarak alışılmadık boyutta veri yazması (SMB2_WRITE) veya okuması (SMB2_READ), bir C2 veri iletimine işaret edebilir.

Ağ İzi: SMB Write/Read

Ağ loglarında SMB trafiği incelenirken, bu tür alışılmadık davranışların izlenmesi önemlidir. Aşağıdaki komut yardımıyla, ağınızdaki SMB trafiğini analiz edebilirsiniz:

tshark -Y smb2.filename -T fields -e smb2.filename

Bu komut, ağınızdaki Microsoft ağ protokollerini izleyerek belirli herhangi bir dosya adı ile ilişkili olan SMB trafiğini ortaya çıkartmanıza yardımcı olacaktır.

Named Pipe İsim Anomalileri

Saldırganlar, gizlilik sağlamak amacıyla adlandırılmış kanallar kullanarak iletişimini gerçekleştirirler. Özellikle Cobalt Strike gibi araçlar, rastgele adlara sahip kanallar oluşturarak bu durumu daha da karmaşık hale getirir. Örneğin, Cobalt Strike için varsayılan pipe ismi \\pipe\\msagent olup, bu kanal üzerinden komutlar iletilir. Benzer şekilde, Metasploit Meterpreter tarafından sıkça kullanılan bir diğer pipe deseni ise \\pipe\\status_ şeklindedir. Aşağıda rastgele isimlendirme örneği verilmiştir:

\\pipe\\random_pipe_name_12345

Bu tür rastgele isimlendirilmiş kanallar, analiz sırasında tespiti zorlaştırabilir.

Tshark ile Pipe Analizi

Tshark kullanarak, ağ trafiğindeki SMB Named Pipe isimlerini listeleme mantığı, saldırgan aktivitelerinin izlenmesi açısından önemlidir. tshark komutu, belirli bir kanal adını veya diğer parametreleri izlemek için düzenlenmiştir. Aşağıda bir örnek verilmiştir:

tshark -f "tcp port 445" -Y "smb.pipes"

Bu komut, yalnızca TCP 445 üzerinden geçen SMB trafiğini analiz eder ve adlandırılmış pipe bağlantılarını raporlar.

Yanal Hareket (Lateral) Tespiti ve Operasyonel Sıkılaştırma

Bir azure veya güvenli ağ içinde saldırgan aktivitelerini tespit etmek için dikkat edilmesi gereken noktalar arasında, SMB üzerinden yapılan alışılmadık yazma veya okuma işlemleri öncelikli olarak izlenmelidir. "Blue Team" analistleri, sunucu ve istemci arasındaki anormal pipe isimlerini loglardan inceleyerek potansiyel riskleri belirleyebilir.

Ayrıca, SMB C2 riskini azaltmak için, çalışan istasyonları arasında SMB trafiğinin kısıtlanması ve pipe oluşturma olaylarının izlenmesi gibi önleyici tedbirler alınmalıdır. Bu politika, ağın güvenliğini artıracak ve potansiyel saldırı yüzeyini azaltacaktır.

Sonuç olarak, SMB ve adlandırılmış kanalların güvenliği, iç ağları korumak için kritik önemli bir alan oluşturur. Gerekli önlemler alınmadığı takdirde, bu sistemler, kullanıcıların ya da sistem yöneticilerinin yanı sıra, zararlı yazılımlar tarafından kolayca istismar edilebilir ve tehdit oluşturabilir.

Risk, Yorumlama ve Savunma

SMB (Server Message Block) protokolü, iç ağdaki cihazlar arasında dosya ve yazıcı paylaşımı gibi işlemleri gerçekleştirmek için yaygın olarak kullanılan bir protokoldür. Ancak, bu protokolün siber saldırganlar tarafından kötüye kullanılması, iç ağ güvenliği açısından önemli riskler taşımaktadır. Özellikle, adlandırılmış kanallar (Named Pipes) üzerinden yapılan iç iletişim, C2 (Command and Control) yapıları için kritik bir rol oynamaktadır.

Güvenlik Anlamının Yorumlanması

Bir ağda SMB ve Named Pipe kullanımı alışılmadık veya aşırı seviyelerdeyse, bu durum bir güvenlik açığı veya yanlış yapılandırma belirtisi olabilir. Örneğin, sıradan bir kullanım senaryosunda cihazlar arası veri alışverişi belirli bir düzeyde gerçekleşir. Ancak, bir cihazın sürekli olarak büyük miktarda veri yazması (SMB2_WRITE) ya da okuması (SMB2_READ), siber suçluların iç ağda hareket etmek ve verileri toplamak için kullandıkları C2 kanalları olarak yorumlanabilir. Bu tür bir aktivite, ağ loglarında dikkat çekici bir anomali olarak kaydedilmelidir.

tshark -Y smb2.filename -T fields -e smb2.filename

Yukarıdaki komut, ağ trafiğinde SMB protokolü üzerinden geçen adlandırılmış kanalların isimlerini listelemek için kullanılabilir. Analistler, yüksek doğrulukla bu isimleri inceleyerek şüpheli aktiviteleri tespit edebilir.

Yanlış Yapılandırma ve Zafiyet Etkisi

Yanlış yapılandırmalar, saldırganların memnuniyetle yararlandığı zayıf noktalardır. Örneğin, SMB hizmetinin yalnızca iç ağ ile sınırlı kalmaması durumunda, saldırganlar bu protokolü kullanarak dış dünyaya erişim sağlayabilirler. Bu noktada, adverslerin genellikle Cobalt Strike gibi araçlar kullanarak varsayılan pipe isimlerinden faydalandıkları görülmektedir.

Hedef sistemler arasında kurulan bağlantılar ve bu bağlantılarda kullanılan nesneler (örneğin, \\pipe\\msagent veya \\pipe\\status_) sıklıkla izlenmeli ve anormal isimlendirmeler tespit edilmelidir. Şüpheli adlandırmalar, saldırganların sızma girişimlerini gizlemeye çalıştığının bir işareti olabilir.

Master Beacon: İnternete bağlı ilk kurban.
SMB Beacon: İç ağda komut alan kurban.
Linked Session: SMB üzerinden kurulan bağlantı durumu.

Bu örnekler, C2 iletişiminde kullanılan kavramların önemini göstermektedir. Sürekli olarak izlenmeyen veya dikkat edilmeyen bu tür aktiviteler, potansiyel veri sızıntılarına yol açabilir.

Profesyonel Önlemler ve Hardening Önerileri

SMB ve Named Pipe ile ilgili riskleri azaltmak için uygulanabilecek bazı proaktif önlemler şunlardır:

  1. Erişim Kontrollerinin Güçlendirilmesi: SMB hizmetinin sadece gerekli sistemlere erişime izin verecek şekilde yapılandırılması, dışarıdan gelebilecek tehditleri minimize eder.

  2. İzleme ve Logging: Ağ trafiği sürekli olarak izlenmeli ve kaydedilmelidir. İşletim sistemi ve uygulama logları, şüpheli aktiviteleri tespit etmek için analiz edilmelidir.

  3. Şifreleme: SMB trafiğinin şifrelenmesi, verilerin güvenliğini artırır. Özellikle hassas bilgilerin iletimi esnasında bu uygulama kritik bir öneme sahiptir.

  4. Hardening Prosedürleri: Sistemlerin ve uygulamaların güvenlik ayarlarını sıkılaştırmak (hardening) önemlidir. Örneğin, yalnızca gerekli olan SMB sürümlerinin etkinleştirilmesi ve makine üzerinde gereksiz hizmetlerin devre dışı bırakılması önerilmektedir.

  5. Düzenli Güvenlik Testleri: İç ağda gerçekleştirilen izlemeler ve testler, potansiyel zayıf noktaların ve hatalı yapılandırmaların belirlenmesine yardımcı olacaktır.

Sonuç Özeti

SMB ve Named Pipe, iç ağ iletişiminde kritik öneme sahiptir ancak yanlış yapılandırmalar ve zayıflıklar, siber saldırganların bu mekanizmaları kötüye kullanmasına davetiye çıkarabilir. İç ağ trafiğinin sürekli izlenmesi, anormal aktivitelerin hızlıca tespit edilmesi ve güvenlik önlemlerinin güçlendirilmesi, bu tehditleri minimize etmenin temel unsurlarıdır. Ağ güvenliği stratejileri, hem proaktif hem de reaktif tedbirlerle desteklenmelidir.