Size daha iyi hizmet sunabilmek için çerezleri kullanıyoruz.
Web sitemizde gezinme deneyiminizi geliştirmek, size kişiselleştirilmiş içerik ve hedefli reklamlar göstermek, web sitesi trafiğimizi analiz etmek ve ziyaretçilerimizin nereden geldiğini anlamak için çerezleri ve diğer izleme teknolojilerini kullanıyoruz.
⚠️
KVKK ve Çerez Politikası Bilgilendirmesi
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Aydınlatma Yükümlülüğü kapsamında; web sitemizin temel fonksiyonlarının çalışabilmesi, veri güvenliğinin sağlanması ve performans analizi yapılabilmesi için zorunlu çerezlerin kullanımı gerekmektedir. Çerez kullanımını reddetmeniz halinde, teknik imkansızlıklar ve veri senkronizasyonu kesintileri nedeniyle web sitemizdeki hizmetlerden yararlanmanız mümkün olmamaktadır. Sitemizdeki içeriklere erişebilmek için çerez kullanımını onaylamanız gerekmektedir.
İç Ağ Sızma Testlerinde Post Exploitation Stratejileri ve Derinlemesine Analiz
İç ağ sızma testleri, savunma hatlarının geçildiği andan itibaren başlayan “post-exploitation” (istismar sonrası) süreci ile gerçek değerini bulur. Bir ağın dış çevresini aşmak, sadece kapıyı aralamaktır; esas mesele, ağın içinde derinleşmek, yetkileri yükseltmek ve nihai hedeflere (domain admin hakları, kritik veri tabanları, yedekleme sunucuları) ulaşmaktır. Bu aşama, saldırganın ağ üzerindeki izlerini gizlemesi, kalıcılık (persistence) sağlaması ve yanal hareket (lateral movement) gerçekleştirmesi ile karakterize edilir.
Şekil 1: İç Ağ Sızma Testlerinde Post Exploitation Stratejileri ve Derinlemesine Analiz.
Yetki Yükseltme ve Yerel Sömürü
Sisteme ilk erişim genellikle düşük yetkili bir kullanıcı hesabı ile elde edilir. İlk hedef, sistemde “Local Administrator” veya “NT AUTHORITY\SYSTEM” seviyesine çıkmaktır.
Windows Ortamında Yetki Yükseltme
Modern Windows sistemlerinde en sık başvurulan yöntemler yanlış yapılandırılmış servisler, zayıf izinler veya kernel zafiyetleridir.
Unquoted Service Paths: Eğer bir servisin çalıştırılabilir dosya yolu boşluk içeriyorsa ve tırnak işareti kullanılmamışsa, sistem yanlış dizinleri çalıştırmaya çalışabilir.
Kernel Exploitleri: Özellikle yamalanmamış sistemlerde kullanılan winPEAS veya Metasploit suggester gibi araçlar, sistemdeki potansiyel kernel açıklarını tespit eder.
# Basit bir PowerShell ile servis izinlerini sorgulamaGet-Service | Where-Object {$_.StartType -eq'Automatic'} | Select-Object Name, StartName
Linux Ortamında Yetki Yükseltme
Linux dünyasında SUID bitleri ve sudo konfigürasyon hataları altın madenidir. find komutu ile SUID iznine sahip dosyalar aranır:
find / -perm -u=s -type f 2>/dev/null
Eğer bu dosyalar arasında nmap veya vim gibi araçlar varsa, bu araçların “shell escape” özellikleri kullanılarak root erişimi elde edilebilir.
Kalıcılık Sağlama Teknikleri
Sızılan sistemde, yeniden başlatmalar sonrası veya bağlantı kesildiğinde erişimin yitirilmemesi için kalıcılık sağlanmalıdır.
Scheduled Tasks (Zamanlanmış Görevler): En klasik yöntemdir. Sistemin her açılışında veya belirli bir saatte arka kapıyı tetikleyen bir görev oluşturulur.
Registry Manipülasyonu: Windows’ta HKCU\Software\Microsoft\Windows\CurrentVersion\Run anahtarına eklenen bir payload, oturum açıldığı anda çalışacaktır.
WMI (Windows Management Instrumentation) Event Subscription: Daha gizli bir yöntemdir. Belirli bir sistem olayı (örneğin sistemin 300 saniye boşta kalması) gerçekleştiğinde tetiklenen WMI nesneleri oluşturulur.
Yanal Hareket ve Ağ Üzerinde İlerleme
Ağ içinde bir sistemden diğerine geçiş, “lateral movement” olarak adlandırılır. Burada temel amaç, etki alanı yöneticisi (Domain Admin) hesaplarının kimlik bilgilerine ulaşmaktır.
Mimikatz ve Bellek Analizi
Mimikatz, lsass.exe sürecini hedef alarak bellekteki clear-text şifreleri, NTLM hash’lerini veya Kerberos biletlerini (tickets) çalmak için standart bir araçtır.
# Mimikatz kullanarak bellekten tüm parolaları çekmesekurlsa::logonpasswords
Pass-the-Hash (PtH) ve Pass-the-Ticket (PtT)
Parolayı bilmenize gerek yoktur. Sadece ele geçirdiğiniz NTLM hash’i ile PsExec veya WMI kullanarak diğer makinelere erişim sağlayabilirsiniz. Kerberos biletlerini ele geçirmek (Golden Ticket veya Silver Ticket saldırıları) ise ağ üzerindeki yetkinizi kalıcı hale getiren en tehlikeli yöntemlerdendir.
Veri Toplama ve İz Gizleme
Post-exploitation sürecinin son adımı, stratejik verilerin dışarı çıkarılması (exfiltration) ve yapılan tüm işlemlerin loglardan temizlenmesidir.
PowerShell Logging:ScriptBlockLogging özelliği aktifse, komutlarınız kaydedilir. Bu nedenle, mümkün olduğunca In-Memory (bellek içi) saldırılar tercih edilmelidir. Reflective DLL Injection bu konuda anahtar bir tekniktir.
Log Temizleme: Windows Event Loglarının silinmesi şüphe uyandırır; bu yüzden wevtutil ile sadece ilgili oturumun logları silinmelidir:
wevtutil cl System
wevtutil cl Security
Kullanılan Araç Setleri ve Kütüphaneler
Bu tür operasyonlarda manuel yöntemlerin yanı sıra profesyonel framework’ler kullanılır:
Cobalt Strike: Beacon yapısı sayesinde ağ içinde tam kontrol sağlar. C2 (Command & Control) mimarisinin öncüsüdür.
Empire / Starkiller: PowerShell ve Python tabanlı, modüler bir post-exploitation framework’üdür.
BloodHound: Active Directory ortamını grafiksel olarak analiz eder. “Path to Domain Admin” sorguları ile hangi kullanıcının hangi yetki ile en kısa sürede admin olabileceğini hesaplar.
Impacket: Python kütüphanesidir. SMB, MSRPC, MSSQL gibi protokoller üzerinde manipülasyon yapmak için vazgeçilmezdir. Özellikle psexec.py, wmiexec.py ve secretsdump.py scriptleri sızma testlerinin temel taşıdır.
Not: Bu tekniklerin tamamı yalnızca yetkili sızma testi faaliyetleri kapsamında kullanılmalıdır. Ağ güvenliğini savunmak, bu tekniklerin nasıl çalıştığını ve hangi izleri bıraktığını bilmekten geçer. İzinsiz yapılan tüm işlemler siber suç kapsamındadır.
Savunma Bakış Açısı
Saldırganları durdurmak için:
Least Privilege (En Az Yetki): Kullanıcılara sadece ihtiyaçları olan haklar verilmelidir.
Tiered Administration: Domain Admin yetkileri sadece en güvenli sunucularda kullanılmalı, kullanıcı makinelerinde asla kullanılmamalıdır.
EDR Çözümleri: Bellek içi saldırıları ve alışılmadık süreç etkileşimlerini tespit edebilecek gelişmiş Endpoint Detection & Response (EDR) sistemleri kullanılmalıdır.
Bu süreçlerin her biri, bir ağın zayıf halkasını bulmak ve o halkadan tüm sistemi çökertmek üzerine kurulu bir satranç oyunudur. Teknik bilginin yanında, ağ yapısını (topolojiyi) analiz edebilme yeteneği, bir sızma testi uzmanını diğerlerinden ayıran en önemli özelliktir.
