CyberFlow Logo CyberFlow BLOG
Smb Pentest

SMB Üzerinden Yanal Hareket: Temel Bilgiler ve Uygulamalar

✍️ Ahmet BİRKAN 📂 Smb Pentest

Bu blog yazısı, SMB üzerinden yanal hareketin temellerini, yöntemlerini ve savunma önlemlerini ele almaktadır.

SMB Üzerinden Yanal Hareket: Temel Bilgiler ve Uygulamalar

Siber güvenlikte yanal hareket, saldırganların ağda ele geçirdiği ilk noktadan diğer sistemlere geçiş sürecidir. Bu yazıda, SMB üzerinden yanal hareketin teknik detaylarını bulabilirsiniz.

Giriş ve Konumlandırma

SMB Üzerinden Yanal Hareket: Temel Bilgiler ve Uygulamalar

Yanal Hareket Nedir?

Yanal hareket, bir siber saldırganın, ağda ele geçirdiği ilk noktadan (foothold) başlayarak diğer sistemlere erişim sağlaması ve yetkilerini artırması sürecidir. Bu teknik, bir siber güvenlik saldırısının çoğu zaman en kritik aşamalarından biridir, çünkü genellikle bir ağı hedef almanın ve kontrol etmenin ilk adımıdır. Başlangıçta sınırlı erişim haklarına sahip olan bir saldırgan, yanal hareket ile daha fazla sistem ve veri üzerinde kontrol sağlamayı hedefler.

Neden Önemli?

Yanal hareket, pek çok siber saldırının başarısında kritik bir rol oynamaktadır. Özellikle küçük işletmeler (SMB) için bu durum, dikkate alınması gereken bir güvenlik açığı oluşturur. Yanal hareket sayesinde bir saldırgan, ağa sızdıktan sonra kullanıcı hesaplarının kimlik bilgilerini elde edebilir, yetkisiz erişimler sağlayabilir ve sonuç olarak büyük veri ihlalleri gerçekleştirebilir. Bu nedenle, SMB'lerin yanal hareket tekniklerini anlamaları ve bu tehditleri önlemek için uygun önlemleri almaları hayati önem taşır.

Siber Güvenlik ve Pentest Açısından Yanal Hareket

Bir sızma testi (pentest) sürecinde, uzmanlar genellikle yanal hareket yöntemlerini simüle ederek organizasyonların güvenlik açıklarını keşfederler. Bu, yalnızca mevcut savunma sistemlerinin ne kadar etkili olduğunu değerlendirmekle kalmaz, aynı zamanda olası ihtimallere karşı zayıf noktaların belirlenmesine de olanak tanır.

Pentester'lar, bu süreçte kullanılan çeşitli araç ve teknikleri bilmelidir. Örneğin, PsExec gibi araçlar, hedef sistemde bir servis oluşturarak komut çalıştırılmasına olanak tanır. Ancak bu tür araçlar, yüksek miktarda iz bıraktığı için, saldırganlar daha sessiz teknikler arayışına girebilir. Bu noktada, WmiExec gibi yöntemler devreye girer. WMI üzerinden çalışan bu araçlar, hedef sistemde herhangi bir iz bırakmamak için tasarlanmıştır.

Yanal Hareketin Uygulamalarını Anlamak

Yanal hareketin sağlanabilmesi için birçok teknik ve araca ihtiyaç vardır. Bu araçlar arasında en yaygın olanları; PsExec, WmiExec ve CrackMapExec (CME) gibi uygulamalardır.

  • PsExec: Hedef sistemde bir hizmet oluşturmak için kullanılır ve genellikle en gürültülü yanal hareket yöntemlerinden biridir. Örneğin:
    psexec.py admin@target_ip -hashes aad3...:b0f2...
  • WmiExec: Bu araç, hedef sistemde servis oluşturmadan komut çalıştırabilir ve bu nedenle güvenlik yazılımlarının tespitinden kaçma şansı daha yüksektir.
  • CrackMapExec (CME): Yüzlerce makinede aynı anda komut çalıştırmak için kullanılan otomasyon aracıdır. Aşağıda bir örnek verilmiştir:
    crackmapexec smb 10.0.0.0/24 -u admin -p pass -x whoami

Okuyucuyu Teknik İçeriğe Hazırlamak

Bu yazıda, SMB üzerinden yanal hareketin temel kavramlarını, uygulamalarını ve savunma mekanizmalarını detaylı bir biçimde ele alacağız. Ayrıca, her bir adımın nasıl uygulanacağını ve hangi araçların kullanılacağını gösterecek örnekler sunacağız.

Okuyucuların, yanal hareketlerin ağ içerisinde nasıl gerçekleştiğini ve bu süreçte dikkat edilmesi gereken tehditleri anlamaları önemlidir. Bu bilgi, sadece saldırıların anlaşılması değil, aynı zamanda etkili bir savunma stratejisinin geliştirilmesi açısından da kritik öneme sahiptir. Yanal hareketin, ağa verilen zararı en aza indirmek için alabileceğiniz önlemler üzerinde de duracağız ve bu süreçte gerçekleştirilecek her adımın sistem loglarında nasıl bir iz bırakabileceğine dikkat edeceğiz.

Sonuç olarak, bu yazı boyunca elde edeceğiniz bilgiler, bilgi güvenliği alanındaki yeteneklerinizi geliştirecek ve ağ güvenliği konusunda daha sağlam bir altyapı oluşturmanıza yardımcı olacaktır. Hazırlanın; zira yanal hareketin derinliklerine dalıyoruz.

Teknik Analiz ve Uygulama

Yanal Hareketin Teknik Analizi ve Uygulamaları

Y anal hareket (lateral movement), siber saldırganların bir ağda ilk ele geçirdikleri noktadan başlayarak diğer sistemlere erişim sağlamaya çalıştıkları süreçtir. Bu süreç, çeşitli teknikler ve araçlar kullanılarak gerçekleştirilir. Bu bölümde, y anal hareketin nasıl yapıldığını, kullanılan araçları ve teknik taktikleri inceleyeceğiz.

Lateral Movement Nedir?

Lateral hareket, saldırganların bir ağda geçerli kimlik bilgilerini kullanarak farklı sistemlere erişim sağlama çabasıdır. Bu işlem, genellikle bir sistemin kontrolünü ele geçirdiğinde başlar. Saldırganlar, başlangıçta yakaladıkları kimlik bilgilerini kullanarak ağdaki diğer cihazlara sızmaya ve yetkilerini artırmaya çalışır. Bu noktada dikkat edilmesi gereken en önemli unsur, saldırganın geçerli kimlik bilgilerini elde etmesidir. Bu bilgiler, genellikle parolalar veya şifreleme çözümleri ile korunan NTLM hash'leridir.

Geçiş Anahtarları: Kimlik Bilgileri

Y anal hareketin temel unsuru geçerli kimlik bilgileridir. Kullanıcıların veya sistemlerin hesap bilgileri, saldırganlar tarafından kullanılarak ağa diğer cihazlardan erişim sağlanabilir. Bu noktada, "Pass-the-Hash" veya "Pass-the-Ticket" gibi yöntemler önem kazanmaktadır. Örneğin, NTLM hash'ini kullanarak bir sisteme erişmek için aşağıdaki komut kullanılabilir:

psexec.py admin@target_ip -hashes aad3...:b0f2...

Bu komut, psexec.py aracı kullanılarak hedef ip adresine bağlanmayı sağlar.

Klasik Yöntem: PsExec

PsExec, y anal hareket gerçekleştirmek için kullanılan en yaygın araçlardan biridir. Bu araç, hedef sistemde bir hizmet oluşturarak komut çalıştırmayı mümkün kılar. Örneğin, aşağıdaki komutla bir hizmet oluşturulabilir:

psexec \\target_ip cmd

Bu komut, cmd üzerinde etkileşimli bir terminal açarak erişim sağlayabilir. Ancak PsExec, oldukça gürültülü bir araçtır ve sistemde belirli izler bırakır. Özellikle ADMIN$ gibi paylaşımlar üzerinden çalıştığı için dikkat çekme potansiyeli yüksektir.

Gizlilik Odaklı: WmiExec

WMI üzerinden çalışan WmiExec ise daha sessiz bir alternatif sunar. Bu araç, hedef sistemde herhangi bir dosya bırakmadan uzaktan komut çalıştırmamıza olanak tanır. WmiExec kullanarak komut çalıştırmak için aşağıdaki komutu kullanabiliriz:

wmiexec.py admin:password@target_ip "whoami"

Bu komut, hedef sistemde kullanıcı kimliğini sormakta ve sistem logları üzerinde minimal iz bırakmaktadır.

Yönetimsel Paylaşımlar (Targeting)

Y anal hareket gerçekleştirmek için hedef makinede belirli paylaşımların açık olması gerekir. ADMIN$, C$ ve IPC$ gibi paylaşımlar, saldırganların hareket edebilmesi için temel hedeflerdir. Bu paylaşımlar sayesinde dosya transferleri ve uzaktan komut çalıştırma işlemleri gerçekleştirilebilir.

CrackMapExec (CME) ile Otomasyon

Ağ içerisinde çok sayıda sistem üzerinde komut çalıştırmak veya yetki denetimi yapmak için CrackMapExec (CME) gibi araçlar kullanılabilir. CME, özellikle büyük ağlarda y anal hareketi otomatikleştirerek büyük kolaylık sağlar. Aşağıdaki komut, bir ağda tüm sistemlere whoami komutunu çalıştırmak için kullanılabilir:

crackmapexec smb 10.0.0.0/24 -u admin -p pass -x whoami

Bu komut, belirtilen IP aralığında tüm sistemlerde belirtilen kullanıcı kimlik bilgileriyle whoami komutunu çalıştıracaktır.

Mekanizma: Service Creation

Y anal hareket genellikle geçici Windows servisleri oluşturarak gerçekleştirilir. Örneğin, PsExec ve benzeri araçlar, sistemde en yüksek yetkiyi almak için SYSTEM yetkisi ile işlemi yürütmek üzere bir servis oluşturur. Bu, sistem loglarında belirli izler bırakır ve dikkat çekebilir. Aşağıdaki komut, yeni bir hizmet oluşturmak için kullanılabilir:

sc create MyService binPath= "C:\path\to\payload.exe"

Bu komut, belirtilen yükleyiciyi çalıştıracak yeni bir hizmet oluşturur.

Tespit ve Gürültü Analizi

Y anal hareket, çoğu zaman EDR sistemleri tarafından tespit edilmeye açıktır. Bu noktada, saldırgannın hangi izleri bıraktığı konusunda bilgi sahibi olması kritik önem taşır. Ağ denetimi ve izleme sistemleri ile bu aktivitelerin analizi yapılmalıdır.

Kritik Engel: SMB Signing

Eğer hedef makinede SMB imzalama zorunlu ise, y anal hareket yapmak büyük ölçüde kısıtlanır. Bu özellik, kimlik bilgilerini relay ederek y anal hareket gerçekleştirilmesini imkansız hale getirir. Yönetimsel paylaşımlar üzerinde çalışmak için bu engelin aşılması gerektiği unutulmamalıdır.

Sonuç

Y anal hareket, sertifikalı siber güvenlik uzmanları tarafından etkili bir şekilde yönetilmesi gereken karmaşık bir süreçtir. Kullanılan teknikler ve araçlar, güvenlik açığına neden olabileceğinden, bu tür hareketlerin dikkatli bir şekilde izlenmesi ve yönetilmesi gerekmektedir. Siber güvenlik alanında bu tip bilgiler, sistemleri korumak ve saldırganların ilerlemesini durdurmak için kritik öneme sahiptir.

Risk, Yorumlama ve Savunma

Yanal hareket, siber saldırganların bir ağda ele geçirdiği ilk noktadan başlayarak, diğer sistemlere erişim sağlamak ve yetkilerini artırmak amacıyla gerçekleştirdiği bir işlemdir. Bu süreçte, çeşitli araçlar ve teknikler kullanılarak ağ içinde yer değiştirilir. Ancak, siber güvenlik açısından bu tür hareketlerin anlaşılması ve bunlara karşı etkili bir savunma geliştirilmesi büyük önem taşır.

Elde Edilen Bulguların Güvenlik Anlamı

Yanal hareketin temelinde, ele geçirilmiş kimlik bilgileri (örneğin, parolalar veya hash değerleri) yatmaktadır. Bu kimlik bilgileri, saldırganların hedef sistemler arasında geçiş yapmasına olanak tanır. Bu noktada, sistemlerde mevcut olan yapılandırmalar ve güvenlik açıkları dikkate alınmalıdır. Elde edilen bir veri, bir ağda bir saldırganın varlığını gösterir. Kullanıcı adı ve parola bilgileri, hedef sistemin genel güvenlik açığını ortaya çıkarır.

Yanlış yapılandırmalar ve zafiyetler, ağın güvenliğini tehdit eder. Örneğin, bir makinedeki SMB imzalama özelliği zorunlu (Required) değilse, bu durum saldırganların kimlik bilgilerini "relay" ederek yanal hareket yapmasına olanak tanır. Bu tür güvenlik açıkları, saldırganların erişimi üzerinde büyük bir avantaj sağlar.

Sızan Veri, Topoloji ve Servis Tespiti

Saldırganlar, hedef sistemler üzerinde çeşitli komutlar çalıştırarak bilgi toplayabilir. Örneğin, PsExec aracı kullanılarak bir hedef makinede komutlar çalıştırılabilir:

psexec.py admin@target_ip -hashes aad3...:b0f2...

Bu komut, belirtilen hedef makinede hizmet çalıştırarak, sistemdeki kritik bilgilere erişim sağlar. Ayrıca, bu tür araçlar, sistem hizmetleri üzerinde analiz yapmanıza olanak tanır. Hedef sistemin yapısı ve topolojisi hakkında bilgi toplamak, ağ üzerinde daha fazla sistemin kapısını açma fırsatı sunar.

Profesyonel Önlemler ve Hardening Önerileri

Yanal hareketi durdurmak, ağın genel güvenliğini artırmak için kritik bir adımdır. Aşağıdaki önlemler, ağ güvenliğini artırmak ve yanal hareket risklerini azaltmak amacıyla önerilmektedir:

  1. Yapılandırma ve Güncellemeler:

    • Sistem yapılandırmaları dikkatli bir şekilde gözden geçirilmeli ve güncellemeler düzenli olarak uygulanmalıdır.
    • SMB imzalama, etkin hale getirilerek kimlik bilgisi relay saldırılarına karşı bir koruma oluşturulmalıdır.

  2. Ağ Segmentasyonu:

    • Kritik sistemlerin (domain controller gibi) ağda izole edilmesi ve etkinleştirilmiş güvenlik duvarları ile korunması önerilmektedir.
    • Bu tür bir segmentasyon, yanal hareketi sınırlayabilir ve ağın daha güvenli olmasını sağlar.

  3. LAPS (Local Administrator Password Solution):

    • Tüm makinelerin yerel admin parolalarının farklı tutularak yayılmanın önüne geçilmesi sağlanmalıdır.
    • Bu, bir sızma durumunda saldırganın etki alanını kısıtlayacaktır.

  4. Eğitim ve Farkındalık:

    • Kullanıcıların, güçlü parolaların önemini ve kimlik bilgilerini koruma gerekliliğini anlamaları için düzenli eğitimler verilmelidir.

  5. İzleme ve Anomali Tespiti:

    • EDR (EndPoint Detection and Response) çözümleri kullanılarak sistem aktiviteleri izlenmeli ve anormal davranışlar derhal tespit edilmelidir.
    • Log analizi gerçekleştirilerek, Potansiyel tehditler ve geçmiş saldırılar kaydedilmelidir.

Sonuç

Yanal hareket, günümüzde siber tehditlerin önemli bir parçasıdır ve doğru bir şekilde anlaşılması, etkili bir savunma stratejisi geliştirilmesi açısından kritik öneme sahiptir. Yanlış yapılandırmalar ve zafiyetlerin etkileri göz önüne alındığında, profesyonel önlemler almak ve sürekli bir güvenlilik kültürü oluşturmak, siber güvenlik alanında başarı için esastır. Unutulmamalıdır ki, etkili bir savunma, sadece teknolojik önlemlerle değil, aynı zamanda eğitim ve kullanıcı farkındalığı ile de desteklenmelidir.