CyberFlow Logo CyberFlow BLOG
Mysql Pentest

Veritabanı Kimlik Bilgileri ile Lateral Movement: Siber Güvenlik Stratejileri

✍️ Ahmet BİRKAN 📂 Mysql Pentest

Veritabanı kimlik bilgileri ile lateral movement tekniklerini öğrenin. Ağ içindeki kritik sistemlere erişim sağlamak için etkili yöntemleri keşfedin.

Veritabanı Kimlik Bilgileri ile Lateral Movement: Siber Güvenlik Stratejileri

Bu yazıda, veritabanı kimlik bilgileri kullanarak lateral movement nasıl gerçekleştirilir? Ağ içindeki hareketleri anlamak ve savunma önlemleri hakkında bilgi edinin.

Giriş ve Konumlandırma

Lateral movement, siber güvenlik alanında önemli bir kavramdır ve bir ağ içerisinde yetkisiz erişim sağlamak için kullanılan kritik tekniklerden biridir. Bu teknik, bir saldırganın ele geçirdiği bir sistemden başlayarak, ağ üzerindeki diğer sistemlere geçiş yapması sürecini ifade eder. Özellikle veri tabanı ortamlarında, bu tür hareketlilikler, saldırganların imzalarını gizlemesine ve hedef sistemlere ulaşmasına olanak tanır; bu nedenle konunun anlaşılması, hem savunma hem de saldırı senaryoları için büyük önem taşımaktadır.

Siber güvenliğin bir parçası olarak tanımlanan lateral movement, özellikle ağ içindeki kritik varlıkların hedef alınması açısından tehdit oluşturur. Bir saldırgan, başlangıçta elde ettiği bir veri tabanı kimlik bilgisi ile birçok sisteme daha kolay ulaşabilir. Bu durum, ağın güvenliğini tehlikeye atar ve kurumsal sistemlerin bütünlüğüne yönelik riskleri artırır. Dolayısıyla, bu tür saldırıların nasıl gerçekleştiğini anlamak, güvenlik uzmanları ve ağ yöneticileri için elzemdir.

Lateral movement'ın nasıl işlediğine dair bir örnek vermek gerekirse, bir veri tabanı ortamında yanlış yapılandırılmış kullanıcı yetkileri ile bir saldırganın yüksek yetkiler elde etmesi mümkündür. Ele geçirilen veri tabanında, sadece aktüel kullanıcıların kimlik bilgileri değil, aynı zamanda kullanıcının bağlandığı diğer sistemlerin bilgileri de bulunabilir. Bu bilgiler, saldırganın hareket alanını genişletir ve yeni sistemlere erişim elde etmesine olanak tanır. İşte bu noktada, siber güvenlik stratejileri devreye girer. Kurumlar, olası lateral movement saldırılarına karşı proaktif tedbirler almayı hedefler.

Ağ içinde uygun bir koruma sağlamak adına, pek çok savunma önlemi uygulanmaktadır. Bu önlemler arasında, ağ segmentasyonu, kimlik bilgisi döngüsü (credential rotation), erişim izleme gibi prosedürler yer almakta ve bu tür saldırılara karşı güvenliğin artırılması hedeflenmektedir. Ayrıca, yetkisiz erişimlerin tespit edilmesi için düzenli olarak bağlantı günlüklerinin analiz edilmesi ve güvenlik açıklarının sürekli olarak taranması da önemlidir.

Veri tabanı kimlik bilgileri kullanılarak yapılan lateral movement sürecini anlamak için, bazı teknik adımlar üzerinde durulması gerekmektedir. Mesela, aktif MySQL oturumlarını görüntülemek için kullanılan SQL komutu, ağdaki mevcut bağlantıları göstermek için faydalıdır:

SHOW PROCESSLIST;

Bu komut, sistemdeki aktif oturumları ve hangi kullanıcıların bağlandığını incelemenize yardımcı olur. Ek olarak, kimlik bilgisi yeniden kullanımı (credential reuse) gibi zafiyetler de, siber güvenlik stratejilerinin göz önünde bulundurulması gereken önemli unsurlarındandır.

Sonuç olarak, lateral movement'un anlaşılması, hem saldırı hem de savunma bağlamında kritik bir öneme sahiptir. Gelişmiş saldırgan tekniklerini, veri tabanı kimlik bilgilerini ve ağ içindeki hareketliliği iyice anlamak, siber güvenlik uzmanlarının karşılaştığı tehditleri etkili bir şekilde yönetmelerine olanak sağlar. Anahtar noktalar arasında güvenlik önlemlerinin sürekli güncellenmesi ve saldırılara karşı etkili savunma stratejilerinin uygulanması yer almaktadır. Bu bağlamda, siber güvenlik alanında başarılı bir strateji geliştirmek için proaktif olmak ve sürekli bir bilinçlendirme sağlamak gerekmektedir.

Teknik Analiz ve Uygulama

Aktif MySQL Oturumlarını Görüntüleme

Siber saldırılar, genellikle ele geçirilen veritabanı bilgileri ile başlar. Bu durum, saldırganların ağ içinde hareket etmesine olanak tanır. İlk adım, veritabanındaki aktif bağlantıları görüntülemektir. MySQL veri tabanına bağlandığınızda, SHOW PROCESSLIST komutunu kullanarak aktif oturumları listeleyebilirsiniz. Bu komut, hangi kullanıcıların bağlandığını ve hangi işlemleri yaptığını kontrol etmenize yardımcı olur.

SHOW PROCESSLIST;

Bu komut, sistemdeki tüm aktif bağlantıları ve her bir bağlantının durumunu görüntüleyecektir. Örneğin, hangi IP adreslerinin veri tabanına bağlı olduğunu görebiliriz.

Lateral Movement Kaynakları

Elde edilen veritabanı bilgileri, bir saldırganın ağ içinde hareket etmesi için kullanılabilir. Saldırganlar, elde ettikleri kimlik bilgilerini başka sistemlerde kullanmaya çalışarak nereye hareket edebileceklerini belirlerler. Bu süreç, "lateral movement" yani "yan hareket" olarak adlandırılır.

Bu aşamada, kullanılan kaynakların sınıflandırılması önemlidir. Örneğin, uygulama yapılandırma dosyaları içinde yer alan kullanıcı adı ve parolalar, saldırganlar için önemli bilgiler sağlayabilir.

Ağ İçinde Hareket Tanımı

Lateral hareket, bir saldırganın ele geçirilen bir sistemden başka sistemlere geçiş yapma eylemidir. Bu hareketin amacı, genellikle ağın en kritik varlıklarına ulaşmaktır. Lateral hareketi gerçekleştirmek için, saldırganın mevcut bağlantılarını ve izinlerini kullanarak yeni hedeflere ulaşması gerekir.

Yetkili Kullanıcıları Görüntüleme

Ele geçirilen veritabanında hangi kullanıcıların yüksek yetkilere sahip olduğunun tespiti, önemli bir adımdır. Bunu yapmak için SHOW GRANTS FOR CURRENT_USER() SQL komutunu kullanarak mevcut kullanıcının yetkilerini görüntüleyebilirsiniz:

SHOW GRANTS FOR CURRENT_USER();

Bu komut ile hangi yetkilere sahip olduğunuzu öğrenebilir, böylece başka sistemlere geçiş sırasında kullanabileceğiniz verileri belirleyebilirsiniz.

Pivot Senaryoları

Ağ içinde hareket ederken, genellikle gaye başka sistemlere erişmektir. Bu tür bir hareket, "pivoting" teknikleri ile gerçekleştirilir. Pivoting, ele geçirilen bir sistemi kullanarak başka hedeflere ulaşmayı ifade eder. Örneğin, mysql -h target_ip -u user komutu ile farklı bir hosta bağlantı kurmaya çalışabilirsiniz:

mysql -h target_ip -u user -p

Bu bağlantı ile hedef sistemin veritabanına erişebilir ve gerekli keşifleri gerçekleştirebilirsiniz.

Credential Reuse

Kimlik bilgileri genellikle birden fazla sistemde tekrar kullanılabilir. Bu durum, saldırgana büyük avantaj sağlar çünkü ele geçirdiği kullanıcı adı ve parolası ile başka sistemlere erişim sağlayabilir. "Credential reuse" olarak adlandırılan bu güvenlik açığı, veritabanı yönetim sistemlerinde sıkça karşılaşılan bir durumdur.

Ağ İçinde Keşif

Ağ içinde yapacağınız keşif, yeni hedef IP adreslerini belirlemenizi sağlar. Bu amaçla, arp -a komutu kullanarak yerel ağınızdaki aktif cihazları listeleyebilirsiniz:

arp -a

Bu bilgi, ağda hangi cihazların bulunduğunu anlamanıza yardımcı olur ve potansiyel hedefleri belirlemenize olanak tanır.

Savunma Önlemleri

Lateral hareketleri engellemek için kurumlar genellikle bir dizi güvenlik stratejisi uygular. Öncelikle, credential rotation yani şifrelerin düzenli aralıklarla değiştirilmesi, önemli bir savunma mekanizmasıdır. Bunun yanı sıra, network segmentation yani ağın farklı segmentlere ayrılması, tehlikelerin yayılmasını engelleyerek güvenliği artırır.

Sonuç olarak, veritabanı kimlik bilgileri ile lateral movement, siber güvenlik açısından son derece kritik bir konu olup, doğru stratejilerin uygulanması ile saldırıların önüne geçilebilir. Uygulayıcıların, aktif oturumları izlemeleri ve potansiyel riskleri sürekli değerlendirmeleri gerekmektedir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, veritabanı kimlik bilgileri kullanılarak gerçekleştirilen lateral movement (yatay hareket), sistemin genel güvenliğini tehdit eden ciddi bir risk oluşturmaktadır. Herhangi bir veri tabanına erişim sağlandığında, potansiyel saldırganlar, bu bilgileri kullanarak ağ içinde daha geniş bir keşif yürütme imkanına sahip olabilirler. Bu bölümde, elde edilen bulguların güvenlik anlamı, yanlış yapılandırmalar veya zafiyetlerin etkileri ile profesyonel savunma stratejileri üzerinde durulacaktır.

Elde Edilen Bulguların Güvenlik Anlamı

Veritabanı sistemlerinde aktif bağlantıların tespiti, sistemin güvenlik durumu için kritik bir adımdır. SHOW PROCESSLIST komutu kullanılarak, veritabanına bağlanan kullanıcıların listesi görüntülenir. Bu, başka sistemlerden bağlanan kullanıcılar ve bu kullanıcıların yetkileri hakkında bilgi edinilmesini sağlar. 

SHOW PROCESSLIST;

Bu komutun çıktısı, yalnızca hangi kullanıcıların sistemde aktif olduğunu göstermekle kalmaz, aynı zamanda kötü niyetli bir saldırganın ipuçlarını da barındırır. Dolayısıyla, bu bilgileri analiz etmek, potansiyel tehditleri tanımlamak için hayati bir öneme sahiptir.

Yanlış Yapılandırmalar ve Zafiyetler

Veritabanı yapılandırmalarındaki zafiyetler, saldırganların ağa giriş yapmasını ve daha fazla kötü amaçlı faaliyet gerçekleştirmesini kolaylaştırır. Özellikle, credential reuse (kimlik bilgisi tekrar kullanma) gibi güvenlik açıkları, saldırganların aynı kimlik bilgilerini farklı sistemlerde kullanabilmesi riskini taşır.

Bu durum, bir sistemde ele geçirilen kimlik bilgilerinin başka sistemlere sızmak için kullanılabileceği anlamına gelir. Ayrıca, uygulama yapılandırma dosyaları, bağlantı günlükleri, yedekleme dump dosyaları gibi unsurlar, kontrol edilmediği takdirde daha fazla güvenlik riski oluşturur.

Sızan Veri, Topoloji ve Servis Tespiti

Bir saldırgan, ele geçirdiği veri tabanı kimlik bilgileri ile ağ içinde hareket ederken, diğer sistemlerin tespit edilmesi için çeşitli metodlar uygulayabilir. Bu metodlar arasında service enumeration (servis sıralaması) ve network segmentation (ağ segmentasyonu) gibi stratejiler bulunmaktadır.

Service enumeration, ele geçirilmiş kimlik bilgileriyle başka hizmetlerde oturum açmaya çalışmak anlamına gelir ve çoğu zaman ağ içerisinde popüler servislerin hedeflenmesi için kullanılır. Bu süreçte, ağda bulunan kritik varlıkları (örneğin, veritabanları, uygulama sunucuları) tanımak büyük bir avantaj sağlar.

Profesyonel Önlemler ve Hardening Önerileri

Lateral movement saldırılarına karşı etkili bir savunma stratejisi oluşturmak için aşağıdaki önlemler alınmalıdır:

  1. Erişim Kontrolü ve İzleme: Tüm erişimlerin sürekli izlenmesi ve anormal erişim tespit sistemlerinin kurulması önemlidir. Bu, saldırganların aktivitelerinin hızlı bir şekilde anlaşılmasını sağlar.

  2. Ağ Segmentasyonu: Ağın farklı güvenlik bölgelerine ayrılması, saldırganların bir sistemden diğerine geçişini zorlaştırır.

  3. Kimlik Bilgisi Yönetimi: Credential rotation (kimlik bilgisi döngüsü) uygulamak ve zayıf parolaları ortadan kaldırmak, siber tehditlere karşı etkili bir savunma sağlar.

  4. Yazılım ve Donanım Güncellemeleri: Tüm sistemlerde güncellemelerin yapılması ve zafiyetlerin giderilmesi için en son yamaların uygulanması gereklidir. Bu, yanlış yapılandırma riski ile birlikte zafiyetlerin etkisini düşürür.

Sonuç

Veritabanı kimlik bilgileri ile lateral movement, çok yönlü bir tehdit yönetimi ve siber güvenlik koruması gerektiren karmaşık bir meseledir. Yanlış yapılandırmalar veya zafiyetler, yalnızca bireysel sistemleri değil, tüm ağı tehdit eden bir domino etkisi yaratabilir. Dolayısıyla, yukarıda belirtilen önlemleri alarak, organizasyonlar siber güvenlik stratejilerini güçlendirebilir ve potansiyel saldırıları önleyebilir.