CyberFlow Logo CyberFlow BLOG
Soc L1 Etki Analizi

Yatay Hareket İzlemenin Önemi ve Teknikleri

✍️ Ahmet BİRKAN 📂 Soc L1 Etki Analizi

Yatay hareket izleme, siber güvenlikte kritik bir öneme sahiptir. Saldırganların ağ içinde nasıl ilerlediğini anlamak için gerekli yöntemleri keşfedin.

Yatay Hareket İzlemenin Önemi ve Teknikleri

Siber güvenlikte kritik bir adım olan yatay hareket izleme, ağ içindeki tehditleri tespit etmenin anahtarıdır. Saldırganın hareketlerini anlamak ve engellemek için gereken teknikler burada.

Giriş ve Konumlandırma

Yatay hareket (lateral movement), bir saldırganın saldırı girişiminde bulunduğu, ilk şekilde sızdığı sistemden diğer sistemlere geçiş yapmasını ifade eder. Bu hareket, genellikle bir ağda daha fazla kontrol elde etmek veya dolaylı olarak veri çalmak amacıyla gerçekleştirilir. Yatay hareketin izlenmesi, bir siber güvenlik stratejisinin önemli bir parçasını oluşturur ve zafiyetlerin sınırlı kalmasını sağlamak için kritik bir öneme sahiptir.

Neden Önemli?

Bir siber saldırı gerçekleştiğinde, genellikle saldırganlar sadece ilk enfekte cihazı temizlemekle kalmaz. Bunun yerine, sıfır noktasından (ilk sızılan sistem) başlayarak, diğer bağlı sistemlere yönelirler. Bu aşamada, eğer yatay hareket izlenmezse, saldırganın başka bir sunucuya "arka kapı" (backdoor) bırakmış olabileceği gerçeği göz ardı edilir. Dolayısıyla, yalnızca ilk saldırıyı durdurmak yeterli değildir; devam eden hareketleri de izlemek ve engellemek gereklidir.

Yatay hareketin gözlemlenmesi, bir organizasyonun ağ güvenliğini sağlamada kritik bir rol oynar. Saldırganların ağda yayılmak için kullandığı çeşitli tekniklerin anlaşılması ve bu tekniklere karşı koyma yollarının belirlenmesi, saldırıların etkilerini minimize edecektir. Ayrıca, bu sürecin izlenmesi, güvenlik ekiplerinin, anormal davranışları ve şüpheli aktiviteleri erken aşamada tespit etmelerine yardımcı olur.

Ağ İçinde İlerleme ve Yöntemler

Saldırganlar, ilk sistemden sonraki hedeflere ulaşmak için genellikle keşif (discovery) faaliyetlerinde bulunurlar. İç keşif (internal discovery), saldırganın ağda başka sistemleri, IP adreslerini ve açık portları tarayarak belirlemesini ifade eder. Bu yöntem, saldırganların ağdaki açıkları değerlendirmesine imkan tanırken, güvenlik ekiplerinin de bu tür aktiviteleri tespit etmesini sağlar. Örneğin, bir saldırganın RDP gibi protokollerle bir sistemden diğerine geçiş yapması, ağ içinde yayılımın ne kadar hızla gerçekleştiğini anlamak için kritik bir göstergedir.

Bir güvenlik analisti, günlük (log) verilerini incelediğinde, olağandışı bağlantı istekleri veya alışılmadık bir kullanıcı davranışı ile karşılaşabilir. Örneğin, sıradan bir muhasebe çalışanının neden Domain Controller sunucusuna PowerShell ile bağlanmaya çalıştığını sorgulamak gerektiği gibi, bu tür anomali tespitlerinin yapılması da büyük önem taşır.

Bu bağlamda, bir saldırgana tuzak kurmak amacıyla oluşturulan sahte sistemler (honeypots), yatay hareketi tespit etmenin birkaç etkili yolundan biridir. Saldırganın bu sahte sistemlere girmesi durumunda, güvenlik ekipleri anında uyarı alır ve müdahale edebilirler.

Sonuç

Yatay hareket izleme, siber güvenliğin dinamik ve karmaşık bir yönüdür. Saldırganın ilk sızdığı noktadan itibaren diğer sistemlere geçişini izlemek, etki alanının nasıl büyüdüğünü anlamanın anahtarıdır. Bu süreç, yalnızca bir saldırının etkilerini anlamakla kalmaz, aynı zamanda gelecekteki saldırıların önlenmesi için de bir temel oluşturur.

Gelişen tehditler karşısında, kuruluşların kendilerini sürekli güncellemeleri ve siber güvenlik stratejilerini daha da güçlendirmeleri gerekmektedir. Yatay hareket izleme, bu durumun başında gelir ve etkili bir savunma için önemli bir adımdır. Bu blogun ilerleyen bölümlerinde, yatay hareket izleme teknikleri, yayılım yöntemleri ve anomali avcılığı detaylı bir şekilde ele alınacaktır.

Teknik Analiz ve Uygulama

Ağ İçinde İlerleme

Siber saldırıların çoğu, ilk sızmanın ardından ağ içinde ilerlemeyi gerektirir. Bu, saldırganın ilk saldırısı sırasında elde ettiği kimlik bilgileriyle diğer cihazlara erişimini sağlaması anlamına gelir. Yatay hareket, yani "lateral movement", saldırganın bireysel cihazlardan diğer cihazlara geçiş yapmasını ifade eder. Bu hareketleri izlemek, ağın güvenliğini sağlamak için kritik öneme sahiptir. Bu bağlamda, etkili bir izleme ve analiz stratejisi oluşturmak, siber güvenlik analistlerinin öncelikli hedeflerinden biri olmalıdır.

Yatay hareketi anlamak ve izlemek için izlenebilirlik sağlayan bazı teknikler uygulanabilir. Örneğin, bir ağdaki cihazların IP adresleri, açık portlar ve hizmetler hakkında bilgi toplamak, saldırganın hangi yolları kullanacağını tahmin etmeye yardımcı olabilir. Bu bilgiler, bir saldırganın ağ içinde ilerleme seansını izlemek için hayati öneme sahiptir.

Neden İzliyoruz?

Yatay hareket izlemenin en önemli nedeni, yalnızca ilk enfekte cihazı temizlemenin yeterli olmamasıdır. Saldırgan, ilk giriş yaptığı cihazda kalmayıp diğer sunuculara veya cihazlara arka kapılar bırakmış olabilir. Bu durum, saldırganın ağ üzerinde oluşturduğu risklerin artmasına yol açar. İzleme süreçleri, bu tür hareketlerin tespit edilmesine ve azaltılmasına olanak tanır. Ağınızdaki her bir etkinlik kaydını analiz etmek, şüpheli hareketleri ortaya çıkarmak için gereken temeli oluşturur.

Örneğin, bir analistin her zamanki kullanıcı davranışları dışında oluşan bağlantı taleplerini kontrol etmesi gerekmektedir. Kullanıcıların normalde erişmediği kaynaklara yönelik istekler tespit edildiğinde, bu durum dikkatle incelenmelidir. Bu bağlamda, süreçlerin izlenebilirliğini artırmak için aşağıdaki kod bloğu gibi günlük kayıtlarını analiz edebilirsiniz:

# PowerShell kullanarak etkinlik günlüğünden giriş kayıtlarını kontrol etme
Get-WinEvent -LogName Security | Where-Object { $_.Id -eq 4624 } | Select-Object -Property TimeCreated, @{Name='UserName';Expression={$_.Properties[5].Value}}, @{Name='Source';Expression={$_.Properties[18].Value}} | Sort-Object TimeCreated -Descending

Yayılım Yöntemleri

Saldırganların ağ üzerinde yayılım gerçekleştirme yöntemleri çeşitlilik göstermektedir. Bu yöntemlerden bazıları şunlardır:

  1. RDP (Uzak Masaüstü Protokolü): Saldırgan, çalınan kimlik bilgileri ile bir bilgisayara bağlanarak diğer cihazlara erişim sağlar.

  2. SMB / PowerShell Remoting: Ağ üzerindeki sistemlere komut çalıştırmak veya dosyaları kopyalamak için kullanılır.

  3. Pass-the-Hash (PtH): Kullanıcının açık parolasını bilmeden, parolanın karma (hash) değerini kullanarak oturum açma tekniğidir. Bu metot, güvenlik açığı bulunan sistemleri hedef alarak hızlı bir şekilde yayılma sağlar.

Bu yayılım yöntemlerini anlamak, saldırganların potansiyel hareketlerini tahmin etmek ve önleyici tedbirler almak için önemlidir. Ek olarak, saldırganların sistemleri keşfederken iç keşif (internal discovery) tekniklerini kullandıklarını unutulmamalıdır.

Hedef Arama

Yatay hareketi izlerken, saldırganların hedef arama sürecini anlamak kritik bir rol oynamaktadır. Hedef arama, saldırganın ağ içindeki diğer cihazları, IP adreslerini ve açık portları taraması anlamına gelir. Bunu yaparken, saldırgan normalde sahip olmadıkları yetkilere ulaşmaya çalışacaktır.

Saldırganın iç keşif boyunca kullandığı sıklıkla görülen komutları aşağıdaki gibi örneklendirebiliriz:

# Ağda diğer cihaza bağlanmak için PowerShell ile uzak bilgisayarı tarama
Invoke-Command -ComputerName "PC-2" -ScriptBlock { Get-Process }

Anomali Avcılığı

Anomali avcılığı, yatay hareketin tespit edilmesinde önemli bir yöntemdir. Kullanıcı davranışlarının normalden farklılık gösterip göstermediğini belirlemek bu sürecin temelini oluşturur. Örneğin, bir muhasebe çalışanının normalde erişmediği bir sunucuya erişim talep etmesi şüpheli bir davranış olarak değerlendirilmelidir.

Bu tür anomalilerin tespit edilmesi için, kullanıcıların erişim ve etkileşim alışkanlıklarını anlamak gerekir. Herhangi bir norm dışı davranış, anında bir alarm olarak değerlendirilmelidir.

Saldırgana Tuzak

Saldırganları tespit etmek için kullanılan bir başka teknik ise "bal küpü" (honeypot) sistemleridir. Bu sistemler, siber saldırganlar tarafından hedeflenmesi beklenen sahte sistemlerdir ve içerisine girildiğinde anında uyarı verirler.

Bal küpü sistemi, bir saldırganın ağda nasıl hareket ettiğini gözlemlemek için mükemmel bir alan sunar. Saldırganın izini sürmek ve davranışlarını analiz etmek, güvenlik ekiplerine değerli bilgiler sağlar.

# Basit bir bal küpü sunucusu kurma örneği
apt-get install honeyd
honeyd -d -f honeyd.conf

Bu tür sistemler, saldırganların hareketlerini analiz etme fırsatı sunar ve böylece güvenlik önlemlerinin güçlendirilmesine yardımcı olur.

Sonuç olarak, yatay hareket izleme, siber saldırıların etkilerini önlemek için hayati bir tekniktir. Ağ içinde ilerlemeyi izlemenin önemini kavrayarak, analistler saldırganların hareketlerini daha etkili bir şekilde tespit edebilir ve buna göre önlemler alabilirler.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, yatay hareketin izlenmesi, bir saldırının etkisini anlamak ve müdahale stratejilerini geliştirmek açısından kritik bir öneme sahiptir. Saldırganlar, genellikle bir ağa giriş yaptıktan sonra, bu ağı kullanarak diğer sistemlere geçiş yaparlar. Bu durum, saldırganın hareketlerini yorumlamak ve potansiyel riskleri belirlemek için etkili veri analizine dayanır.

Elde Edilen Bulguların Güvenlik Anlamı

Saldırganların sızdığı sistemden diğer sistemlere geçiş süreci, genellikle belirgin IP adresleri ve açık bağlantılar ile izlenir. Ağ içindeki hareketler, gözlemlenerek bunların güvenlik faktörü üzerinden değerlendirilmesi gerekir. Örneğin, bir kullanıcının normalde erişmediği bir sunucuya erişim isteği, potansiyel bir anomaliyi temsil edebilir. Bu tür durumlar, genellikle farklı log kaynaklarını bir araya getirerek veya anomali tespiti yöntemleri ile değerlendirilir. Gelişmiş tehdit tespiti çözümlerinin kullanımı, siber güvenlik profesyonellerinin bu tür incelemeleri daha etkili bir şekilde yapabilmelerine olanak tanır.

# Örnek: PowerShell ile aktif bağlantıları listeleme
Get-NetTCPConnection | Where-Object { $_.State -eq 'Established' }

Bu PowerShell komutu, ağınızdaki aktif TCP bağlantılarını listelemenizi sağlar ve şüpheli bağlantıları tespit edebilmeniz için iyi bir başlangıçtır.

Yanlış Yapılandırma veya Zayıflıklara Dikkat Etme

Yanlış yapılandırmalar, siber saldırıların kapılarını açan zayıf noktalardır. Örneğin, ağ donanımı veya hizmetleri üzerindeki varsayılan ayarlar saldırganlar tarafından kolayca sömürülebilir. Bir saldırgan, kimlik bilgilerini çaldıktan sonra, bu bilgileri kullanarak diğer sistemlere sızabilir.

Geçmişte yaşanan saldırılar, genellikle Pass-the-Hash tarzı tekniklerle yapılmıştır. Bu teknik, bir kullanıcının açık parolasını bilmeden, parolanın karma (hash) değeri üzerinden oturum açılmasına olanak tanır. Bu tür bir sızma sonrasında, zararlı yazılım, veri çalmak veya sistemleri ele geçirmek amacıyla ağ üzerinden ilerleyebilir.

Sızan Veri ve Topoloji

Sızan veriler, saldırganın hedef aldığı sistemlerin önemini belirtir. Bir saldırganın, öncelikle düşük riskli sistemlerden başlayarak, kritik verilere (örneğin, veritabanlarına) ulaşmaya çalışması sıkça görülen bir durumdur. Aşağıda, farklı saldırı senaryolarının risk derecelerini içeren basit bir örnek verilmiştir:

Saldırı Senaryosu Risk Seviyesi
PC-1 -> PC-2 (Aynı departman) Düşük
PC-1 -> Server-X (Veritabanı) Yüksek
PC-1 -> Domain Controller (AD) Kritik

Bu tablo, saldırganların ağ içindeki hareketlerini belirlemek ve doğru müdahale stratejileri oluşturmak için bir rehber görevi görmektedir.

Profesyonel Önlemler ve Hardening Önerileri

Yatay hareketleri izlemek ve potansiyel sızmaları önlemek için çok yönlü bir savunma stratejisi geliştirilmelidir. Bu stratejiler arasında, aşağıdakileri dikkate almak önemlidir:

  1. Anomali Tespiti: Ağ trafiğinde olağan dışı davranışlar tespit edilmelidir. Örneğin, sıradan kullanıcıların beklenmedik sunuculara bağlantı istekleri atıp atmadıkları kontrol edilmelidir.

  2. Honeypot Kullanımı: Ağa sahte sistemler yerleştirilmesi, saldırganların bu sistemlere yönelmesi durumunda anında uyarı almak için etkili bir yöntemdir. Sahte sistemler, saldırganın algılanmadan ilerlemesinin önüne geçebilir.

  3. Güvenlik Duvarlarının İyileştirilmesi: Ağda yer alan güvenlik duvarlarının doğru yapılandırılması ve sürekli güncellemelerle güçlendirilmesi gerekmektedir. Bu noktada, sadece dışarıdan gelen trafiğin değil, iç ağdan çıkan trafiğin de denetlenmesi önem taşır.

  4. Erişim Kontrolleri: Yetkisiz erişimlerin önüne geçebilmek için erişim kontrol mekanizmalarının titizlikle uygulanması gerekir. Minimum yetki prensibi benimsenmelidir.

Sonuç

Yatay hareket izleme, siber güvenlikte kritik bir öneme sahiptir. Elde edilen bulguların doğru yorumlanması, yanlış yapılandırmaların tespit edilmesi ve saldırganların ağ üzerinde nasıl hareket ettiğinin anlaşılması, etkili bir savunma stratejisi oluşturmanın temelini atar. Bu bağlamda, profesyonel önlemlerin alındığı ve güvenlik duvarlarıyla desteklenen sağlam bir güvenlik yapısı oluşturmak, siber saldırılara karşı korunmanın en önemli yöntemlerinden biridir.