CyberFlow Logo CyberFlow BLOG
Smb Pentest

SMB Relay Saldırıları: Siber Güvenlikte Ele Geçirme Tehditleri

✍️ Ahmet BİRKAN 📂 Smb Pentest

SMB Relay saldırıları hakkında kapsamlı bilgi edinin. Zayıf noktaları keşfederek etkili savunma yöntemlerini öğrenin.

SMB Relay Saldırıları: Siber Güvenlikte Ele Geçirme Tehditleri

SMB Relay saldırıları, ağ sistemlerinde kritik güvenlik tehditleri oluşturmaktadır. Bu yazıda, saldırı yöntemlerini ve etkili savunma stratejilerini keşfedin.

Giriş ve Konumlandırma

SMB Relay Saldırıları ve Önemi

Siber dünyada, bilgisayar sistemleri ve ağları birbiriyle etkileşim halindedir. Bu etkileşimlerin güvenli bir şekilde gerçekleşmesi, siber güvenlik açısından kritik bir öneme sahiptir. Özellikle, SMB (Server Message Block) protokolü, dosya paylaşımı ve yazıcı hizmetleri gibi işlemler için yaygın olarak kullanılmaktadır. Ancak, bu protokolün zayıf noktaları, siber saldırganlar tarafından kötüye kullanılabilmektedir. SMB Relay saldırıları, bu zayıflıkların altında yatan karmaşık ve tehlikeli bir tehdittir.

SMB Relay Nedir?

SMB Relay saldırısı, bir istemciden gelen NTLM (NT LAN Manager) kimlik doğrulama paketlerini yakalayan ve bu paketleri sanki istemciymiş gibi davranarak hedef sunucuya ileten bir siber saldırı türüdür. Bu saldırı türü, saldırganın istemcinin kimliğini taklit ederek hedef makineye giriş yapmasına olanak tanır. Bu noktada, hedef makinenin SMB imzalamayı zorunlu kılmaması, saldırının başarılı olabilmesi için kritik bir şarttır. Aksi halde, paketler yolda manipüle edilemez ve saldırı gerçekleşmez.

Neden Önemlidir?

SMB Relay saldırılarının önemi, genellikle iki ana bileşenin bir araya gelmesine dayanmaktadır: Zayıf güvenlik önlemleri ve sistemlerin bu tehditlere karşı farkındalığının düşük olması. Bu durum, saldırganların iç ağda bulunmayan sistemleri ele geçirme fırsatı sağlar. Bir saldırgan, bir istemci kimliğini kullanarak yalnızca bir makineyi değil, o ağ içindeki diğer makineleri de ele geçirebilir. Bu yüzden, SMB Relay saldırılarını anlamak ve bunlara karşı önlemler almak siber güvenlik uzmanları için kritik bir gerekliliktir.

Örneğin, bir saldırgan ağdaki zayıf bir noktayı istismar ederek, aşağıdaki şekilde bir saldırıyı gerçekleştirebilir:

impacket-ntlmrelayx -tf targets.txt -smb2support

Bu komut, daha önce tanımlanan hedeflerin listesini kullanarak saldırıyı başlatmayı sağlar. Dolayısıyla, ağda imzalama zorunluluğu olmayan makineleri tespit etmek ve bunları saldırı için hedeflemek son derece önemlidir.

Pentest ve Savunma Bağlamı

Pentest (penetrasyon testi), bir sistemin güvenliğini test etmek amacıyla yapılan simüle edilmiş saldırılardır. SMB Relay saldırıları, siber güvenlik uzmanları tarafından gerçekleştirilerek, şirketlerin ağlarındaki zayıf noktaların ve güvenlik açıklarının belirlenmesine yardımcı olur. Pentest sırasında, saldırganın kötü amaçlı bir aktör gibi davrandığı, örneğin bir istemcinin kimlik doğrulama bilgilerini yakaladığı ve bunları ele geçirdiği senaryolar oluşturulabilir.

Bu tür saldırılara karşı koymak için birçok savunma tekniği mevcuttur. Örneğin, ağa bağlanan cihazlarda "SMB Signing" zorunlu hale getirilerek, bu tür saldırıların etkisi azaltılabilir. Ayrıca, sistem yöneticilerinin, eski protokollerin (LLMNR, NBT-NS gibi) kullanımını minimize etmeleri gerekmektedir. Bu tür eski protokoller, ağda zayıf bir yapı oluşturabilir ve saldırganların işini kolaylaştırabilir.

Teknik Hazırlık

SMB Relay saldırılarını anlamak, yalnızca teorik bilgilerle sınırlı kalmamalıdır. Uygulama yapmak, bu saldırı türünün dinamiklerini anlamak için kritik bir adımdır. Saldırganın kullanacağı araçlar, saldırının nasıl gerçekleştirileceği, hedeflerin belirlenmesi, bu süreçte karşılaşılabilecek engeller ve alınabilecek savunma önlemleri ile birlikte incelenmelidir.

Bu bağlamda, SMB Relay saldırılarını öğrenmek üzere iyi bir başlangıç yapacak konular şunlardır:

  • Hedef sunucunun SMB imzalama ayarlarının kontrolü
  • Protokoller arası iletişimde yer alan zayıf noktaların belirlenmesi
  • Saldırı sonrası elde edilen bilgilerin kullanımı ve bu bilgilerle saldırının genişletilmesi

Siber güvenlik alanında bilgi sahibi olmak, yalnızca teorik bir temel oluşturmakla kalmayıp, pratik tecrübe ile desteklenmesi gereken bir süreçtir. Bu noktada, SMB Relay saldırılarının derinlemesine anlaşılması, sistemlerin güvenliğini arttıracak önemli bir adım olacaktır.

Teknik Analiz ve Uygulama

SMB Relay Saldırıları: Teknik Analiz ve Uygulama

SMB Relay saldırıları, ağ üzerindeki zayıf kimlik doğrulama protokolleri sayesinde, saldırganların bir istemci tarafından gönderilen NTLM kimlik bilgilerini yakalayarak diğer bir sunucuya iletmesini sağlayan güçlü, ancak kötüye kullanılabilen bir teknik türüdür. Bu bölümde, bu saldırının nasıl gerçekleştirileceğini derinlemesine inceleyeceğiz.

Adım 1: Relay Edilebilir Hedeflerin Keşfi

İlk aşamada, ağınızdaki imzalamanın zorunlu olmadığı hedef sistemleri belirlemek için uygun komutları kullanmalısınız. Bunun için CrackMapExec aracı oldukça faydalıdır:

crackmapexec smb 192.168.1.0/24 --gen-relay-list targets.txt

Bu komut, belirtilen ağda SMB imzalamanın devre dışı olduğu sistemleri keşfetmek için targets.txt adlı bir dosya oluşturur.

Adım 2: Saldırı İçin Gerekli Koşullar

SMB Relay saldırısının gerçekleştirilmesi için üç temel koşulun sağlanması gerekmektedir. Bunlar:

  1. Hedef sunucuda SMB Signing (İmzalama) zorunlu olmamalıdır.
  2. Saldırgan, bir istemciden gelen NTLM kimlik doğrulama paketini yakalayıp kullanabilmelidir.
  3. Hedef sistemin, kullanıcının kimlik bilgilerini kabul edebilmesi için uygun izinlere sahip olması şarttır.

Adım 3: Tanım: NTLM Relay

NTLM Relay, istemciden alınan kimlik bilgilerini (genellikle bir NTLM hash) başka bir sunucuya iletme tekniğidir. Bu işlem sırasında, saldırgan hedef sistemle kurduğu bağlantının bir istemci gibi davranarak kimlik doğrulama sürecini geçmesine olanak tanır.

Adım 4: Responder ile SMB/HTTP Kapatma

Saldırının etkili bir şekilde yürütülebilmesi için Responder aracının uygun şekilde yapılandırılması gerekmektedir. Responder.conf dosyasında SMB ve HTTP servislerini kapatmak için aşağıdaki ayarları yapmalısınız:

[SMB]
Enabled = Off
[HTTP]
Enabled = Off

Bu, saldırının başarısını artıracak önemli bir adımdır.

Adım 5: Araç Seti: Responder + ntlmrelayx

Saldırı için kullanacağınız temel araçlar Responder ve ntlmrelayx'dir. Responder, LLMNR/NBT-NS gibi zayıf protokolleri kullanarak hedef sistemlere sahte yanıtlar verir ve bu sayede istemcilerin kimlik bilgilerini ele geçirir. Ardından ntlmrelayx, elde edilen hash'i hedef sunucuya iletmek için kullanılır.

Adım 6: Zafiyet: LLMNR/NBT-NS

LLMNR ve NBT-NS, Windows sistemlerin ağda bulamadıkları isimleri sormak için kullandıkları protokollerdir. Saldırgan, bu protokoller üzerinden zararlı bir yanıt vererek istemcinin kendi kimlik bilgilerini göndermesini sağlayabilir.

Adım 7: ntlmrelayx Operasyonu Başlatma

ntlmrelayx aracını başlatarak relay işlemini gerçekleştirmek için aşağıdaki komutu kullanabilirsiniz:

impacket-ntlmrelayx -tf targets.txt -smb2support

Bu komut, hedef listesindeki sunuculara otomatik olarak kimlik bilgilerini iletecek ve başarılı olursa SAM veritabanını dökmeye çalışacaktır.

Adım 8: Relay Sonrası (Post-Exploitation)

Relay işlemi başarılı olduğunda, saldırganın elinde hedef sistemin kimlik bilgileri bulunacak ve tüm sistem üzerinde hakimiyet sağlayabilir. Ancak, bu aşamada sadece kimlik bilgilerini ele geçirmek yeterli değildir; aynı zamanda mümkünse hedef sisteme bir arka kapı da yüklenmelidir.

Adım 9: Kritik Engel: Same Account Relay

Modern Windows sürümlerinde, bir makineden alınan hash'lerin aynı makineye relay edilmesi yapılamaz. Bu duruma "Loopback Restriction" denir. Saldırganın, hash'i farklı bir makineye iletmesi gerekmektedir.

Adım 10: Komut Çalıştırma (Command Exec)

Başarıyla bir sistem ele geçirildiğinde, doğrudan komut çalıştırmak için aşağıdaki örnek komutu kullanabilirsiniz:

-c "whoami"

Bu komut, hedef sistemde hangi kullanıcının aktif olduğunu sorgular ve bu sayede kontrol sağlayabilirsiniz.

Adım 11: Savunma ve Hardening

SMB Relay saldırılarını önlemek için bazı önlemler alınmalıdır. Bu önlemler arasında:

  • SMB Signing zorunluluğu getirmek.
  • LLMNR ve NetBIOS protokollerini etkisiz hale getirmek.
  • LAPS (Local Administrator Password Solution) çözümü ile her makinede farklı yönetici parolası kullanmak yer alır.

Adım 12: Nihai Hedef: Lateral Movement

SMB Relay saldırıları, ağdaki tek bir kullanıcının kimlik bilgilerini ele geçirerek diğer sistemlere geçiş yapma şansı sunar. Bu, "Lateral Movement" olarak adlandırılan saldırı türüdür ve siber saldırganlar için çok önemli bir adımdır.

Sonuç olarak, SMB Relay saldırıları, ağ güvenliği açısından ciddi tehditler oluşturur. Bu tür saldırılara karşı sürekli bir uyanıklık ve gerekli önlemlerin alınması, bilgi güvenliği açısından kritik öneme sahiptir.

Risk, Yorumlama ve Savunma

Siber güvenlik dünyasında, SMB Relay saldırıları, özellikle küçük ve orta ölçekli işletmeler (SMB) arasında yaygın bir tehdit oluşturur. Bu tür saldırılar, saldırganların bir ağda kullanıcı kimlik bilgilerini ele geçirmek ve bu bilgileri kullanarak ağın tamamını tehlikeye atmak için kullandıkları etkili bir yöntemdir. Bu bölümde, SMB Relay saldırılarının getirdiği riskler, bu risklerin yorumlanması ve savunma stratejileri üzerinde durulacaktır.

Risk Değerlendirmesi

SMB Relay saldırıları, birçok riski beraberinde getirir. Bu saldırılar, özenli bir yapılandırma gerektiren SMB protokollerini hedef alır. Eğer hedef sunucularda SMB Signing zorlanmıyorsa, saldırganlar iletişim sırasında paketleri manipüle edebilir. Bu durum, hem bilgilerin ele geçirilmesi hem de ağ üzerinde yetkisiz erişim sağlanması açısından son derece tehlikeli bir senaryodur.

Ayrıca, ağ üzerinde bulunan zayıf veya yanlış yapılandırılmış protokoller, saldırganların istemciden sunucuya yönlendirdiği kimlik bilgilerini çalmalarına olanak tanır. Özellikle LLMNR ve NBT-NS gibi protokoller, saldırganlar tarafından zehirlenip kullanılabilir. Bu tür protokoller ile bir kişi, kimlik bilgilerini istismar etmesi için saldırgana gönderebilir.

Saldırı Sonrası Durum

Saldırılar başarılı olduğunda, saldırganın elinde hedef sistemin "anahtarları" bulunmaktadır. Bu sayede, SAM veritabanından parolaların hash'lerini dökme işlemine geçilebilir. ntlmrelayx aracı ile bu veriler otomatik olarak hedef sistemlere iletilir. Başarılı bir relay saldırısında, saldırganın yalnızca bilgi toplamakla kalmayıp, aynı zamanda hedef sistem üzerinde komut çalıştırabilir hale gelmesi büyük bir risktir. Bu noktada, ilgili kod şöyle olabilir:

impacket-ntlmrelayx -tf targets.txt -smb2support

Bu komut, relay işlemine geçilmeden önceki aşamada kullanılabilir ve belirli hedefleri işleme almak için kullanılmaktadır.

Yanlış Yapılandırma Etkileri

Yanlış yapılandırmalar, bu tür saldırılara kapı açar. Örneğin, SMB Signing özelliğinin devre dışı bırakılması durumunda, saldırganlar iletişimi manipüle etme olanağına sahip olurlar. Bu sayede, bir istemciden elde edilen NTLM kimlik doğrulaması, hedef sunucuya iletilerek saldırganın tüm yetkilerine erişim sağlaması mümkün hale gelir.

Profesyonel Savunma Önlemleri

SMB Relay saldırılarından korunmak için alınabilecek bazı önlemler şunlardır:

  1. SMB İmzalamayı Zorunlu Kılın: Tüm ağ üzerinde SMB Signing özelliklerini aktif hale getirerek, iletişim sırasında paketlerin güvenliğini artırın. Bu durum, potansiyel bir saldırganın iletişimi manipüle etmesini engeller.

  2. LLMNR ve NetBIOS’u Devre Dışı Bırakın: Grup İlkesi Objesi (GPO) kullanarak bu eski ve tehlikeli protokolleri kapatmak, saldırganların zayıflıklarını ortadan kaldırır.

  3. Yerel Yönetici Parolalarını Yönetim: LAPS (Local Administrator Password Solution) uygulaması, her makinede farklı bir yerel yönetici parolası kullanarak yanal hareketleri kısıtlar.

  4. Ağ Takibi: Ağ trafiğini dikkatle izleyin ve şüpheli davranışları hemen tespit edin.

  5. Eğitim: Çalışanlara siber güvenlik eğitimi vererek, olası sosyal mühendislik saldırılarına karşı farkındalığını arttırın.

Sonuç

SMB Relay saldırıları, kötü yapılandırmalar ve zayıf protokoller nedeniyle oldukça tehlikeli hale gelebilir. Ağ yapısı ve kullanılan protokoller dikkatlice incelenmeli, güvenlik önlemleri güçlendirilmelidir. Teknolojik müsaade ve detaylı bir güvenlik değerlendirmesi ile birlikte, bu tehditlerin etkilerinin minimize edilmesi mümkündür. Siber güvenlikte proaktif bir yaklaşım benimsemek, SMB Relay saldırıları gibi hayati tehditlerle daha etkili bir mücadele sağlanmasına yardımcı olacaktır.