İç Ağ Sızma Testi: Yanal Hareket ve Yetki Yükseltme

Kısaca

• AD/LDAP keşfi ile etki alanı haritası çıkarın; kritik yolakları işaretleyin.
• Kimlik/NTLM zafiyetleri yanal hareketin anahtarıdır; LSASS/DPAPI dikkat.
• Yetki yükseltme sonrası iz ve temizlik; denetimle uyumlu notlar tutun.

Özet Anlatım

İç ağda amaç; yanlış yapılandırmaları, zayıf kimlik uygulamalarını ve segmentasyon açıklarını kullanarak etkiyi büyütebilecek yolları göstermektir. Bunu yaparken, üretim ortamında iz bırakmamak ve iş sürekliliğini etkilememek temel ilkedir.

Keşif ve Kimlik

• AD objeleri, GPO ve paylaşımların haritalanması
• Yerel admin, parola tekrar kullanımı ve zayıf konfigürasyonlar
• NTLM relay/signer zorlamaları ve segmentasyon testleri

Yanal Hareket ve Yetki Yükseltme

• Pass-the-Hash/Pass-the-Ticket, Kerberoasting, AS-REP roast
• Hizmet hesapları ve güvenlik açığı olan servisler
• Çapraz segment geçişleri ve tespit/engelleme önerileri

Pratik Rehber

İç ağ testlerinde amaç, üretimi riske atmadan gerçekçi tehdit yollarını göstermek ve kapatılabilir önlemler önermektir. AD sağlığı, segmentasyon ve kimlik hijyeni üçlüsü güçlü ise risk hızla düşer.

Adım adım:

1. LAB’da doğrulayın. Kullanacağınız tekniklerin (ör. Kerberoasting) etkisini güvenli ortamda görün.
2. Kapsam/izinleri yazılı onaylayın. Hangi segmentler, hangi saatlerde ve hangi hesaplarla test yapılacağı net olsun.
3. Kanıt ve iz yönetimini uygulayın. Her bulgu için tekrar eden bir PoC ve iz/tasfiye planı hazırlayın.

Örnek: Zayıf parola politikası nedeniyle yakalanan bir hizmet hesabı, segmentler arası yanal hareketi mümkün kılıyorsa, öneri seti sadece parolayı değiştirmek değil; aynı zamanda parola kaslarını güçlendirmek ve servis kimliklerini ayrı kasada yönetmeyi de içermelidir.

İç Ağ Sızma Testi Aşamaları

Kapsamlı bir iç ağ sızma testi, yapılandırılmış aşamalar halinde yürütülür. Her aşama bir öncekinin çıktılarını besler ve güvenlik açığı taraması sürecini sistematik hale getirir. Aşağıda detaylı adımlar yer almaktadır:

• 1. Kapsam Belirleme ve Planlama: Test edilecek ağ segmentleri, IP aralıkları, kritik sistemler ve istisna listeleri tanımlanır. İş saatleri/dışı test penceresi, iletişim matriksi ve eskalasyon prosedürleri yazılı hale getirilir. Zafiyet yönetimi ekibiyle koordinasyon sağlanır.
• 2. Pasif Keşif: Ağ trafiğini dinleyerek (sniffing), ARP tabloları incelenerek ve DNS sorgularıyla mevcut cihazlar, servisler ve iletişim örüntüleri haritalanır. Bu aşamada herhangi bir aktif saldırı yapılmaz; amaç siber güvenlik savunmalarını tetiklemeden bilgi toplamaktır.
• 3. Aktif Keşif: Nmap, Masscan gibi araçlarla port taraması, servis ve sürüm tespiti yapılır. SNMP, NetBIOS, LDAP ve WMI sorguları ile ağ topolojisi, paylaşımlar ve kullanıcı hesapları keşfedilir.
• 4. Zafiyet Analizi: Keşif sonuçlarına göre bilinen güvenlik açığı veritabanları (CVE, NVD) ile eşleştirme yapılır. Manuel doğrulama ile false positive oranı düşürülür ve önceliklendirme gerçekleştirilir.
• 5. Sömürü (Exploitation): Belirlenen zafiyetler kontrollü ortamda istismar edilerek gerçek etkisi doğrulanır. Pass-the-Hash, Kerberoasting veya yazılım zafiyetleri gibi tekniklerle ilk erişim sağlanır.
• 6. Yanal Hareket ve Yetki Yükseltme: İlk erişim noktasından kritik varlıklara ulaşma yolları denenir. Her adımda kanıtlar toplanır ve iş etkisi değerlendirilir.
• 7. Raporlama ve Düzeltme Doğrulaması: Tüm bulgular, saldırı yolları ve kanıtlar detaylı rapora dönüştürülür. Düzeltmeler yapıldıktan sonra yeniden test (re-test) ile kapatma doğrulanır.

Her aşamada zafiyet yönetimi platformu üzerinden bulguları gerçek zamanlı takip etmek, ekipler arası iletişimi hızlandırır ve denetim izlerini otomatik oluşturur.

Active Directory Saldırı Yüzeyi

Active Directory (AD), kurumsal ağların merkezinde yer aldığı için saldırganların birincil hedefidir. Bir iç ağ sızma testi sırasında AD'ye yönelik saldırı vektörlerinin kapsamlı şekilde test edilmesi, siber güvenlik duruşunun gerçekçi değerlendirilmesi için zorunludur.

AD saldırı yüzeyi; kullanıcı hesapları, grup politikaları (GPO), güvenlik grupları, hizmet hesapları (SPN), sertifika hizmetleri (AD CS), DNS ve DHCP yapılandırmaları ve güven ilişkileri (trust) gibi geniş bir alanı kapsar. Her bileşen farklı güvenlik açığı türlerine açık olabilir.

• Kerberoasting: SPN atanmış hizmet hesaplarının biletlerini talep ederek çevrimdışı parola kırma. Zayıf parolalı servis hesapları dakikalar içinde ele geçirilebilir.
• AS-REP Roasting: Kerberos ön kimlik doğrulaması devre dışı bırakılmış kullanıcıları hedef alarak şifreli yanıt üzerinden parola kırma girişimi.
• AD CS Saldırıları (ESC1-ESC8): Yanlış yapılandırılmış sertifika şablonları üzerinden domain admin yetkisi elde etme. Certipy ve Certify araçlarıyla keşif ve istismar yapılır.
• GPO Kötüye Kullanımı: Yazma yetkisi olan GPO'lar aracılığıyla zararlı komut dağıtma veya yetki yükseltme.
• Güven İlişkisi (Trust) Saldırıları: Forest/domain trust ilişkilerini kullanarak bir domain'den diğerine geçiş (SID History injection, Golden Ticket cross-forest).
• DACL/ACL Kötüye Kullanımı: BloodHound ile keşfedilen zayıf erişim denetim listeleri üzerinden zincirleme yetki yükseltme yolları.
• NTLM Relay ve Coercion: PetitPotam, PrinterBug gibi yöntemlerle NTLM kimlik doğrulamasını zorla tetikleyip relay saldırısı gerçekleştirme.

AD saldırı yüzeyini daraltmak için zafiyet yönetimi programınıza düzenli AD sağlık denetimi ekleyin: ayrıcalıklı hesap envanteri, SPN hijyen kontrolü, GPO denetimi ve sertifika şablonu gözden geçirmesi periyodik olarak yapılmalıdır.

Ağ Segmentasyonu Testleri

Ağ segmentasyonu, iç ağda yanal hareketi sınırlandırmanın en etkili yollarından biridir. Ancak segmentasyon kuralları yalnızca kağıt üzerinde değil, gerçek dünyada da çalıştığı doğrulanmalıdır. İç ağ sızma testi sırasında segmentasyon etkinliğinin test edilmesi kritik bir aşamadır.

• VLAN Hopping: 802.1Q trunking yapılandırma hatalarını kullanarak bir VLAN'dan diğerine yetkisiz geçiş denemeleri. DTP (Dynamic Trunking Protocol) açık bırakılmış portlardan trunk bağlantısı kurma.
• Firewall Kural Doğrulaması: Segmentler arası güvenlik duvarı kurallarının beklenen erişim kontrol matrisine uygun olup olmadığının test edilmesi. İzin verilmemesi gereken portlardan iletişim denemeleri.
• Mikro Segmentasyon Testi: Uygulama katmanı segmentasyonunun doğrulanması; aynı VLAN içindeki farklı iş yükleri arasında gereksiz iletişim olup olmadığının kontrolü.
• DMZ Kaçış Testi: DMZ segmentinden iç ağa veya yönetim ağına erişim yollarının araştırılması. DNS tünelleme, ICMP tünelleme ve HTTP üzerinden veri kaçırma denemeleri.
• IoT/OT Segmentasyonu: IoT cihazlarının ve OT/SCADA sistemlerinin kurumsal ağdan yeterli düzeyde izole edilip edilmediğinin doğrulanması.
• Yönetim Ağı İzolasyonu: Jump server, bastion host ve yönetim arayüzlerinin (iLO, iDRAC, vCenter) yalnızca yetkili ağlardan erişilebilir olduğunun doğrulanması.

Segmentasyon testlerinin sonuçlarını güvenlik açığı taraması raporlarıyla birleştirin. Her geçiş başarısı, segmentasyon kurallarında bir güvenlik açığı olduğunu gösterir ve acil düzeltme gerektirir.

Kimlik Bilgisi Toplama ve Sömürü

İç ağ sızma testi sürecinde kimlik bilgisi toplama (credential harvesting), yanal hareket ve yetki yükseltmenin temel yapı taşıdır. Saldırganlar çeşitli tekniklerle ağdaki kimlik bilgilerine ulaşır ve bunları siber güvenlik savunmalarını aşmak için kullanır.

• LLMNR/NBT-NS Poisoning: Responder aracıyla ağdaki isim çözümleme isteklerini zehirleyerek NTLMv2 hash'lerini yakalama. Yakalanmış hash'ler Hashcat veya John the Ripper ile çevrimdışı kırılır.
• Pass-the-Hash (PtH): Ele geçirilen NTLM hash'i ile parola bilmeden kimlik doğrulaması yapma. CrackMapExec, Impacket-psexec veya evil-winrm ile uzaktan komut yürütme.
• Pass-the-Ticket (PtT): Kerberos TGT veya TGS biletlerini ele geçirip yeniden kullanarak hedef kaynaklara erişim. Mimikatz veya Rubeus ile bilet çıkarma ve enjekte etme.
• LSASS Bellek Dökümü: İşletim sistemi belleğinden düz metin parola veya hash çıkarma. Mimikatz, comsvcs.dll MiniDump veya ProcDump teknikleri. Credential Guard korumasının test edilmesi.
• DPAPI Sırlarını Çıkarma: Windows Data Protection API ile korunan tarayıcı parolaları, Wi-Fi anahtarları ve uygulama kimlik bilgilerinin şifresini çözme.
• Kerberos Delegasyon Kötüye Kullanımı: Unconstrained, constrained ve resource-based constrained delegation zafiyetlerini kullanarak yüksek yetkili hesapların biletlerini ele geçirme.
• SAM Veritabanı ve NTDS.dit: Yerel SAM veritabanından veya domain controller üzerindeki NTDS.dit dosyasından toplu hash çıkarma. Tüm domain hesaplarının parolalarına erişim riski.

Bu tekniklerin her biri için zafiyet yönetimi raporunda sömürü kanıtı (PoC), etki analizi ve spesifik düzeltme önerisi sunulmalıdır. Kimlik bilgisi güvenliği, iç ağ siber güvenlik stratejisinin en kritik bileşenlerinden biridir.

Post-Exploitation ve Veri Sızdırma

Sızma testinin post-exploitation aşaması, erişim sağlandıktan sonra gerçek dünya etkisini göstermek için kritik önemdedir. Bu aşamada test uzmanı, bir saldırganın ağda neleri başarabileceğini kanıtlayarak siber güvenlik ekibine somut risk kanıtları sunar.

• Kalıcılık (Persistence): Erişimin yeniden başlatma sonrası kalıcı tutulması teknikleri - zamanlanmış görevler, servis oluşturma, WMI event subscription, Registry run key ve scheduled task. Test sırasında bu tekniklerin tespit edilip edilmediği kontrol edilir.
• Veri Keşfi ve Sınıflandırma: Dosya paylaşımları, veritabanları, e-posta sunucuları ve bulut depolama alanlarında hassas verilerin (PII, finansal bilgiler, ticari sırlar) keşfi. Snaffler ve ShareFinder gibi araçlarla otomatik tarama.
• Veri Sızdırma (Data Exfiltration) Teknikleri: DNS tünelleme (dnscat2, iodine), HTTPS üzerinden şifreli kanal, ICMP tünelleme, steganografi ve bulut depolama servisleri üzerinden veri çıkarma. DLP çözümlerinin etkinliğinin test edilmesi.
• C2 (Command & Control) Kanalları: Cobalt Strike, Sliver veya Havoc gibi C2 çerçeveleriyle gizli iletişim kanalı kurma. Ağ güvenlik izleme çözümlerinin bu trafiği tespit edip edemediğinin doğrulanması.
• İz Temizleme ve Tespit Analizi: Olay günlüklerinin (Event Log) manipülasyonu, antivirüs/EDR atlatma teknikleri ve SOC ekibinin tespit sürelerinin ölçülmesi. Bu veriler mavi takım için değerli geri bildirim sağlar.

Post-exploitation bulguları, güvenlik açığı taraması sonuçlarının ötesinde gerçek iş etkisini somut olarak gösterir. Yönetim katmanına sunulacak raporlarda bu bulgular, zafiyet yönetimi yatırımlarının gerekçelendirilmesinde en etkili kanıtlardır.

İç Ağ Güvenlik Sertleştirme Önerileri

İç ağ sızma testi bulgularına dayalı sertleştirme önerileri, zafiyet yönetimi sürecinin en değerli çıktılarından biridir. Aşağıda katmanlı savunma yaklaşımıyla iç ağ güvenliğini güçlendirecek kapsamlı öneriler sunulmaktadır:

• Kimlik Güvenliği: LAPS (Local Administrator Password Solution) uygulayarak her makinede benzersiz yerel admin parolası kullanın. Credential Guard ve Remote Credential Guard'ı etkinleştirin. Ayrıcalıklı hesaplar için MFA zorunlu kılın. Parola politikasını en az 14 karakter, karmaşık ve sözlük kontrolü içerecek şekilde güncelleyin.
• Active Directory Sertleştirme: Ayrıcalıklı erişim iş istasyonları (PAW) kullanın. Tier modeli (Tier 0/1/2) uygulayarak yönetim hesaplarını izole edin. Gereksiz SPN'leri temizleyin, Kerberos ön kimlik doğrulamasını tüm hesaplarda zorunlu kılın. AD CS şablonlarını denetleyip tehlikeli yapılandırmaları düzeltin.
• Ağ Segmentasyonu: Mikro segmentasyon uygulayarak iş yüklerini izole edin. Varsayılan reddet (default deny) kuralları oluşturun. Yönetim trafiğini ayrı VLAN'lara taşıyın. 802.1X ile ağ erişim kontrolü uygulayın.
• Protokol Güvenliği: NTLM kimlik doğrulamasını kısıtlayarak Kerberos'a geçiş yapın. SMBv1'i devre dışı bırakın. LDAP imzalama ve kanal bağlamayı zorunlu kılın. LLMNR ve NBT-NS'yi devre dışı bırakın.
• İzleme ve Tespit: SIEM entegrasyonuyla kritik olay günlüklerini merkezi olarak toplayın. Honey token ve canary hesapları yerleştirerek yanal hareket tespitini güçlendirin. EDR çözümünü tüm uç noktalara dağıtın ve LSASS korumasını etkinleştirin.
• Düzenli Denetim: AD sağlık denetimini çeyrekte bir yapın. Güvenlik açığı taraması sonuçlarını haftalık olarak gözden geçirin. BloodHound ile saldırı yolu analizini periyodik olarak güncelleyin.

Sertleştirme önerilerini siber güvenlik yol haritanıza öncelik sırasıyla entegre edin. En yüksek etkili ve en düşük maliyetli düzeltmeleri ilk sıraya koyarak hızlı kazanımlar (quick wins) elde edin.

Araçlar ve Teknikler

İç ağ sızma testi uzmanlarının araç çantası, keşiften raporlamaya kadar her aşamayı destekleyen kapsamlı bir ekosistemdir. Aşağıda kategori bazında en yaygın araçlar ve kullanım alanları listelenmiştir:

• Keşif ve Tarama: Nmap (port/servis keşfi, NSE script desteği), Masscan (hızlı büyük ağ taraması), NetExec/CrackMapExec (SMB/WinRM/LDAP/MSSQL keşfi ve sömürüsü), enum4linux-ng (SMB/RPC enumerasyon).
• Active Directory Keşif: BloodHound (AD saldırı yolu görselleştirme ve analiz), SharpHound (BloodHound veri toplayıcı), ADRecon (AD durum raporu), PowerView (PowerShell tabanlı AD keşif).
• Kimlik Bilgisi Saldırıları: Responder (LLMNR/NBT-NS zehirleme ve hash yakalama), Impacket Suite (secretsdump, psexec, smbexec, wmiexec - çok amaçlı Python araç seti), Mimikatz (bellek içi kimlik bilgisi çıkarma), Rubeus (Kerberos saldırıları).
• Exploitation ve Post-Exploitation: Metasploit (exploit çerçevesi), Cobalt Strike/Sliver (C2 çerçeveleri), Certipy (AD CS saldırıları), Evil-WinRM (WinRM üzerinden uzaktan yönetim).
• Parola Kırma: Hashcat (GPU hızlandırmalı hash kırma), John the Ripper (çoklu format destekli kırma), kural tabanlı ve sözlük saldırıları.
• Veri Keşfi ve Sızdırma: Snaffler (dosya paylaşımlarında hassas veri keşfi), dnscat2 (DNS tünelleme), Chisel (HTTP tünelleme ve port yönlendirme).
• Raporlama: Dradis, PlexTrac veya zafiyet yönetimi platformları ile bulguların merkezi takibi, önceliklendirme ve yeniden test koordinasyonu.

Araç seçiminde lisans maliyeti, ekip yetkinliği ve güvenlik açığı taraması süreciyle entegrasyon kolaylığını değerlendirin. Açık kaynak araçlar çoğu senaryo için yeterli derinliği sağlayabilir; ticari araçlar ise otomasyon ve raporlama konusunda avantaj sunar.

SSS