CyberFlow Logo CyberFlow BLOG
Smb Pentest

SMB Trafik Analizi ve Manipülasyonu: Siber Güvenlikte Derinlemesine İnceleme

✍️ Ahmet BİRKAN 📂 Smb Pentest

SMB protokolü trafikteki zafiyetleri tespit etmek için detaylı analiz yöntemlerini keşfedin.

SMB Trafik Analizi ve Manipülasyonu: Siber Güvenlikte Derinlemesine İnceleme

Bu yazıda, SMB protokolü üzerinden gerçekleştirilen trafik analizi ve manipülasyonu konusundaki adımları detaylandırıyoruz. Hem siber güvenlik uzmanları hem de meraklılar için faydalı bilgiler sunuyoruz.

Giriş ve Konumlandırma

SMB Trafik Analizi ve Manipülasyonu: Siber Güvenlikte Derinlemesine İnceleme

Siber güvenlik alanında, ağ üzerindeki veri trafiğini anlamak ve bu trafiği analiz etmek, potansiyel tehditleri tespit etmek için kritik öneme sahiptir. Özel olarak SMB (Server Message Block) protokolü, dosya paylaşımı ve baskı hizmetleri gibi çeşitli servislerin sunulmasında yaygın olarak kullanılır. Bu protokol üzerinde gerçekleştirilen trafik analizi ve manipülasyonu, yalnızca güvenlik açığını tespit etmekle kalmayıp aynı zamanda mevcut yapıların nasıl çalıştığını anlamaya da yardımcı olur.

Neden SMB Trafik Analizi Önemlidir?

Küçük ve orta ölçekli işletmeler (SMB), sıklıkla siber saldırıların hedefi haline gelir. Bu da siber güvenlik olarak bilinen alanın önemini artırmaktadır. SMB protokolü üzerindeki zafiyetleri analiz etmek, ağ güvenliğini sağlamanın ilk adımıdır. Özellikle, SMB üzerinden gönderilen verilerin çoğunluğunun şifrelenmeden geçmesi, saldırganların hassas bilgilere ulaşabilmesi için önemli bir fırsat sunar. Bunun yanı sıra, ağdaki bilgisayarlar arasında gerçekleşen iletişimde veri kaybı veya bozulma riskini azaltmak için doğru trafik analizi kritik bir rol oynar.

Siber Güvenlik Bağlamında SMB Trafigi

Siber güvenlik uzmanları, ağ üzerindeki verinin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamaya çalışırken SMB trafiğini analiz etmek durumundadır. Güvenlik testi (pentest) yapan uzmanlar, genellikle SMB üzerinde güçlü yeteneklere sahip olmalıdır. Örneğin, bir Man-in-the-Middle (MitM) saldırısı gerçekleştirmek, SMB trafiği üzerinden saldırıya geçiş noktası oluşturmak için gereklidir. Trafik analizi sırasında, ağ üzerindeki paketlerin doğru bir şekilde analizi hem saldırganların kullandığı teknikleri anlamaya hem de bu tekniklerin nasıl bertaraf edileceğini düşünmeye yardımcı olur.

Analiz İçin Araçlar ve Teknikler

Bu bağlamda, SMB trafiğini analiz etmek için kullanabileceğiniz bazı önemli araçlar ve teknikler şunlardır:

  • Wireshark: Trafik analizi için kullanabileceğiniz en iyi grafik tabanlı araçlardan biridir. SMB trafiğini cerrahi bir hassasiyetle ayıklamak için filtreler kullanarak hedefle ilgili belirli paketlere odaklanmanızı sağlar.

    tshark -i eth0 -Y smb2

  • Tshark: Wireshark'ın komut satırı versiyonudur ve grafik arayüz olmayan sistemlerde anahtar bir araçtır. Özellikle ağ tabanlı analiz yapmak için idealdir.

  • Scapy: Python tabanlı bir kütüphane olan Scapy, ham SMB paketlerini oluşturmanıza ve ağ üzerinden göndermenize olanak tanır. Saldırı amaçlı paket manipülasyonu için kullanılabilecek güçlü bir araçtır.

Yöntemsel Yaklaşım

SMB trafiği üzerindeki güvenlik analizlerini gerçekleştirirken, bir dizi adımı izlemek önemlidir. Öncelikle, SMB paket yapısının ve başlık bilgilerinin anlaşılması gerekmektedir. Her bir SMB paketi, belirli bir komutun taşıyıcısıdır ve bu paketlerin analizi sonucunda potansiyel zafiyetler tespit edilebilir. Daha sonra, ağda paket filtreleme yöntemleri kullanılarak yalnızca ilgili trafiğin izlenmesi sağlanabilir.

Daha karmaşık bir durum olan MitM saldırıları ile, saldırganın kurban ile sunucu arasında trafiği kontrol edebilmesi ve dolaylı olarak manipüle etmesi mümkündür. Bu tür saldırılar, verinin bozulmasına neden olabileceği gibi aynı zamanda yetkisiz veri erişimi de sağlayabilir. Dolayısıyla, SMB trafiği ile ilgili yapılacak olan güvenlik analizleri, bu tür tehditlerin önüne geçmek adına kritik bir öneme sahiptir.

Sonuç

Küçük ve orta ölçekli işletmelerin (SMB) karşılaştığı siber tehditler giderek daha karmaşık hale geliyor. SMB protokolü, dosya paylaşımı ve sistemleri için yaygın bir çözüm sunarken, aynı zamanda bunu kötüye kullanma potansiyeli de taşır. Bu protokol üzerindeki trafik analizi ve manipülasyonu, siber güvenlikte önemli bir savunma katmanıdır. Kısa vadede yapılacak incelemeler, uzun vadeli güvenlik politikalarının oluşturulmasına katkıda bulunarak, işletmelerin güvenliğini artırır. Bu nedenle, SMB ile ilgili gerekli bilgi ve araçları öğrenmek ve uygulamak, günümüzde kaçınılmaz bir gerekliliktir.

Teknik Analiz ve Uygulama

SMB Paket Yapısı

SMB (Server Message Block) protokolü, ağ üzerinden dosya ve yazıcı paylaşımında yüksek düzeyde bir protokol olarak kullanılır. Her bir SMB paketi, başlık ve veri olarak iki ana kısımdan oluşur. Başlık kısmı, paketle ilgili önemli kimlik bilgilerini ve hangi komutun taşındığını barındırırken, veri kısmı gerçek yükü içerir. Paket yapısı genel olarak şu şekilde tanımlanabilir:

  • Header: Paket kimliği, oturum bilgileri ve komut detayları.
  • Data: Gerçek transfer edilen veri.

Başlık yapısını anlamak, siber güvenlik uzmanları için kritik bir adımdır, çünkü burada sizin için önemli olan bilgilerin çoğu yer alır.

Wireshark ile Filtreleme

Ağın içine sızmadan önce, sadece SMB trafiğini izole etmek için etkili filtreleme yöntemleri kullanmalıyız. Wireshark gibi bir araç kullanırken, trafik analizi yapmak için filtrelerin doğru kurulması önemlidir. Aşağıdaki gibi bir filtre kullanarak yalnızca SMB2 paketlerini görüntüleyebilirsiniz:

smb2

Böylece yalnızca modern SMB sürümlerinin iletişimlerini izleyebileceksiniz. Bu, daha eski sürümlerdeki potansiyel zafiyetlerin analizine göre daha güvenli bir analiz süreci sunar.

Tshark ile Komut Satırı Analizi

Tshark, Wireshark'ın komut satırı aracıdır ve grafik arayüz kullanmak istemeyen profesyoneller için güçlü bir seçenektir. Linux tabanlı sistemlerde, ağ arayüzünüz üzerinden yalnızca SMB2 trafiğini yakalamak için aşağıdaki komutu kullanabilirsiniz:

tshark -i eth0 -Y smb2

Bu komut, belirtilen ağ arayüzünden SMB2 paketlerini aktif olarak dinler. Tshark, büyük veri akışlarında kafanızın karışmasını önleyerek doğru veriyi ayıklamanıza olanak tanır.

Protokol Müzakeresi (Negotiate)

SMB protokolü, istemci ve sunucu arasında ilk el sıkışma aşamasında hangi SMB lehçesinin kullanılacağını belirler. Bu aşama, “Negotiate” paketi ile başlatılarak, istemci ve sunucunun hangi sürümlerde iletişim kuracağını saptar. Aşağıda örnek bir Negotiate paket analizi yapılabilir:

Frame 1: 69 bytes on wire (552 bits), 69 bytes captured (552 bits)
Ethernet II, Src: IntelCor_1234 (00:1a:2b:3c:4d:5e), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
...
SMB2 Negotiate Request

Bu verileri incelemek, hangi sürümlerin desteklendiğini ve potansiyel güvenlik zafiyetlerini tespit etmek açısından önemlidir.

MitM ve ARP Spoofing

Trafik analizi yapabilmek için, kurban ile sunucu arasına sızarak trafiği kendiniz üzerinden geçirmeniz gerekir. Bu işlem, “Man-in-the-Middle” (MitM) saldırısı olarak bilinir. Birçok şekilde gerçekleştirilebilecek bu işlem için en yaygın tekniklerden birisi ARP Spoofing'dir. ARP tabloyu manipüle ederek, ağdaki bilgisayarların trafiğini kendi bilgisayarınıza yönlendirebilirsiniz.

arpspoof -i eth0 -t <Kurban_IP> <Gateway_IP>

Bu komut, hedef IP ile ağ geçidi arasındaki trafiği kendi makinenize yönlendirir. Ancak siber güvenlik uzmanları, yalnızca etik amaçlarla ve izni olan sistemlerde bu tür testler yapmalıdır.

Zafiyet: Cleartext Metadata

SMB trafiği, SMB Signing kapalı olsa bile bazı hassas bilgileri içerebilir. Özellikle paketlerin içinde yer alan dosya isimleri, dizin yapıları ve kullanıcı adları genellikle şifrelenmez. Bu durum, siber saldırganlar için büyük bir fırsat sunar. Siber güvenlik uzmanları, ağ analizi sırasında bu bilgileri yazarak güvenlik açıklarını tespit etmelidir.

Bettercap ile SMB Caplet

Bettercap, ağdaki trafiği gerçek zamanlı olarak manipüle eden güçlü bir araçtır. SMB trafiğini yakalayan ve parolaları otomatik olarak dökümleyen 'caplet' dosyalarını çalıştırmak, profesyonel bir test aşamasıdır. Aşağıdaki komut, Bettercap ile SMB yakalayıcıyı başlatmak için kullanılabilir:

set smb.proxy.enabled true

Bu işlem, hedef sistemlerdeki şifreleri yakalamanıza olanak tanırken güvenlik testlerinizi derinleştirir.

Paket Manipülasyonu Teknikleri

Analiz edilen bir paketi, ağda değiştirerek sunucunun veya istemcinin davranışını manipüle etmek mümkündür. Bunun için paketlerin içeriğini değiştirebilir ve zararlı komutlar enjekte edebilirsiniz. Aşağıda basit bir paket enjekte etme örneği gösterilmektedir:

from scapy.all import *

# Paket oluşturma
packet = IP(dst="target_ip")/TCP(dport=445, flags="S")
send(packet)

Bu komut, hedef IP adresine SMB portu üzerinden bir TCP paket göndermektedir.

Kritik Araç: Scapy

Scapy, Python tabanlı bir paket manipülasyon kütüphanesidir. Bu kütüphane, ham SMB paketleri oluşturmanıza ve ağ üzerinden göndermenize olanak tanırken, trafikteki anormallikleri daha detaylı incelemenize yardımcı olur.

Impacket ile smbserver.py

Kendi sahte SMB sunucunuzu oluşturarak, ağınızdaki istemcilerin size bağlanmasını ve kimlik bilgilerini teslim etmesini sağlayabilirsiniz. Aşağıdaki komut, bunu sağlamak için Impacket kütüphanesinin smbserver.py aracını kullanır:

python smbserver.py SHARE /tmp/hacker_tools

Bu komut, sahte bir SMB paylaşımı oluşturur ve istemcilerin bu paylaşımı kullanarak kimlik bilgilerini göndermelerini sağlar.

Savunma ve Analiz: IDS/IPS

Son olarak, anormal SMB trafik şablonlarını tespit etmek için ağ tabanlı savunma sistemleri kullanılır. Suricata veya Snort gibi IDS sistemleri, anormal SMB komut dizilerini algılama ve alarm üretme yeteneğine sahiptir. Bu tür sistemler, siber güvenlik stratejinizi güçlendirmenin önemli bir parçasıdır.

Tüm bu teknikler ve araçlarla, SMB trafiği üzerindeki etkilerinizi gözlemleyebilir ve güvenlik açıklarını tespit edebilirsiniz. Bu bilgiler, siber güvenlik alanında yetkinlik kazanmak için kritik öneme sahiptir.

Risk, Yorumlama ve Savunma

Siber güvenlikte risk analizi, özellikle SMB (Server Message Block) protokolü üzerinden geçen trafik için oldukça kritik bir öneme sahiptir. SMB protokolü, dosya paylaşımı ve yazıcı hizmetleri gibi temel işlevleri sağlarken, aynı zamanda yanlış yapılandırmalar veya zafiyetler ortaya çıkabilir. Bu bölümde, SMB trafik analizi ile elde edilen bulguların güvenlik anlamını yorumlayarak, karşılaşılabilecek olası riskleri, zafiyetleri ve bunun yanı sıra savunma stratejilerini detaylandıracağız.

Elde Edilen Bulguların Yorumlanması

SMB trafik analizi, ağdaki anormallikleri ve potansiyel tehditleri belirlemek için gereklidir. Analiz sırasında elde edilen trafik verileri, potansiyel veri sızıntıları, kötü amaçlı istekler veya yetkisiz erişim girişimleri hakkında bilgi verebilir. Örneğin, aşağıdaki gibi bir veri akışını ele alalım:

SMB2 Open Request
Client: 192.168.1.5
Access Mask: 0x00120189
File Name: \\server\share\secret.doc

Bu tür bir paket analizi, istemcinin belirli bir dosyaya erişim talebini ortaya koyar. Eğer istemci tarafında yetkilendirilmiş bir kullanıcı değilse, bu durum ciddi bir güvenlik riski teşkil eder. Özellikle SMB signing özelliği kapalıysa, tüm iletişim şifresiz olarak gerçekleşir ve kötü niyetli bir aktör, bu tür trafiği manipüle edebilir.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, siber güvenlikte sıkça karşılaşılan bir sorundur. SMB protokolü, bazen varsayılan ayarlarla bırakılabilmekte ve bu durum saldırganların ağ içinde rahatça dolaşmalarına olanak tanıyabilmektedir. Örneğin, SMBv1 gibi daha eski sürümlerin açık bırakılması, downgrade attack (zayıflatma saldırısı) gibi saldırılara zemin hazırlar. Aşağıdaki kod, ağdaki SMBv1 trafiğinin olup olmadığını kontrol etmek için kullanılabilir:

tshark -i eth0 -Y "smbv1"

Bu komut, ağda geçmekte olan paketlerin içerisinden sadece SMBv1 paketlerini yakalar. Eğer bu tür paketler tespit edilirse, öncelikle bu protokolün kapatılması ve daha güvenli bir sürüme geçilmesi gerekmektedir.

Sızan Veri ve Topoloji Analizi

SMB trafiği analiz edildikçe, sızan verilerle ilgili daha fazla bilgi elde edilebilir. Analiz esnasında gerçekleştirilen servis tespiti, hangi hizmetlerin açık olduğunu ve hangi sistemlerin potansiyel hedefler olduğunu belirlemek açısından önem arz eder. Örneğin, Network Discovery saldırılarında tespit edilen açık portlar, sızma girişimlerinin hedeflerini belirleyebilir. 

Port 445 (SMB) open on 192.168.1.10

Bu tür bir bilgi, sistem yöneticilerine hangi sistemlerin risk altında olduğunu gösterir ve gerekli güvenlik önlemlerinin alınmasını sağlar.

Profesyonel Önlemler ve Hardening Önerileri

SMB protokolü için alınabilecek önlemler ve hardening teknikleri şunlardır:

  1. SMBv1'in Kapatılması: SMBv1 desteği güvenlik risklerini artırır. Mümkünse sadece SMBv2 ve üst sürümleri kullanılmalıdır.

  2. SMB Signing’in Aktifleştirilmesi: SMB trafiğindeki verilerin bütünlüğünü sağlamak için signing özelliği devreye alınmalıdır.

  3. Ağ Segmentasyonu: Kritik sistemlerin diğer ağlardan izole edilmesi, siber tehditlerin yayılmasını büyük ölçüde azaltır.

  4. IDS/IPS Sistemlerinin Kullanımı: Anormal SMB komut dizilerini tespit eden sistemler, potansiyel saldırıları önceden belirleyebilir. Örneğin, Snort veya Suricata gibi IDS/IPS araçları bu tür trafiği yakalayabilir.

  5. Şifreli İletişim: SMBv3 ile sağlanan şifreleme özellikleri, verilerin uçtan uca korunmasını sağlar. Bu sayede, ağ üzerinden geçen verilerin güvenliği artırılmış olur.

Sonuç Özeti

SMB trafik analizi, ağdaki potansiyel güvenlik açıklarını ortaya çıkarmada önemli bir rol oynamaktadır. Yanlış yapılandırmalar veya zayıf güvenlik önlemleri, ciddi siber saldırıların meydana gelmesine olanak tanıyabilir. Dolayısıyla, profesyonel önlemler ve hardening tekniklerinin uygulanması, sistemlerin güvenliğini artırmak için büyük önem taşır. Siber güvenlikte sürekli olarak risk değerlendirmesi yapmak ve güncel tehditleri izlemek, ağ güvenliğini sağlamak adına kritik bir önceliktir.