İç Ağ Sızma Testi: Yanal Hareket ve Yetki Yükseltme
AD/LDAP keşfi, kimlik/NTLM zafiyetleri, lateral movement ve iz yönetimi.
Kısaca
- AD/LDAP keşfi ile etki alanı haritası çıkarın; kritik yolakları işaretleyin.
- Kimlik/NTLM zafiyetleri yanal hareketin anahtarıdır; LSASS/DPAPI dikkat.
- Yetki yükseltme sonrası iz ve temizlik; denetimle uyumlu notlar tutun.
Özet Anlatım
İç ağda amaç; yanlış yapılandırmaları, zayıf kimlik uygulamalarını ve segmentasyon açıklarını kullanarak etkiyi büyütebilecek yolları göstermektir. Bunu yaparken, üretim ortamında iz bırakmamak ve iş sürekliliğini etkilememek temel ilkedir.
Kısaltmalar
- AD: Active Directory.
- NTLM: Microsoft kimlik doğrulama protokolü.
- LSASS: Kimlik bilgilerini tutan Windows süreç bileşeni.
- DPAPI: Windows veri koruma arabirimi (şifreleme).
Keşif ve Kimlik
- AD objeleri, GPO ve paylaşımların haritalanması
- Yerel admin, parola tekrar kullanımı ve zayıf konfigürasyonlar
- NTLM relay/signer zorlamaları ve segmentasyon testleri
Yanal Hareket ve Yetki Yükseltme
- Pass-the-Hash/Pass-the-Ticket, Kerberoasting, AS-REP roast
- Hizmet hesapları ve güvenlik açığı olan servisler
- Çapraz segment geçişleri ve tespit/engelleme önerileri
Pratik Rehber
İç ağ testlerinde amaç, üretimi riske atmadan gerçekçi tehdit yollarını göstermek ve kapatılabilir önlemler önermektir. AD sağlığı, segmentasyon ve kimlik hijyeni üçlüsü güçlü ise risk hızla düşer.
Adım adım:
- LAB’da doğrulayın. Kullanacağınız tekniklerin (ör. Kerberoasting) etkisini güvenli ortamda görün.
- Kapsam/izinleri yazılı onaylayın. Hangi segmentler, hangi saatlerde ve hangi hesaplarla test yapılacağı net olsun.
- Kanıt ve iz yönetimini uygulayın. Her bulgu için tekrar eden bir PoC ve iz/tasfiye planı hazırlayın.
Örnek: Zayıf parola politikası nedeniyle yakalanan bir hizmet hesabı, segmentler arası yanal hareketi mümkün kılıyorsa, öneri seti sadece parolayı değiştirmek değil; aynı zamanda parola kaslarını güçlendirmek ve servis kimliklerini ayrı kasada yönetmeyi de içermelidir.