Günümüzde siber güvenlik, işletmeler için en öncelikli konulardan biri haline gelmiştir. Saldırganlar, ne kadar sağlam bir güvenlik altyapısı oluşturursanız oluşturun, ağınıza sızma girişimlerinde bulunmaktan vazgeçmiyorlar. Bu nedenle, siber güvenliği anlamak ve siber saldırganların kullandığı teknikleri bilmek, işletmelerin savunma stratejilerini güçlendirmenin önemli bir adımıdır. Bu yazıda, siber saldırganların “Yanal Hareket” ve “Ayrıcalık Yükseltme” olarak adlandırılan tehlikeli tekniklerini ayrıntılı bir şekilde inceleyeceğiz. Ayrıca, bu tehditlere karşı nasıl korunabileceğinizi ve siber güvenlik stratejinizi güçlendirmek için izlemeniz gereken adımları bir sonraki blog yazımızda ele alacağız.

Saldırganların Yanal Hareketlerini Caydırma Teknikleri
Ağ ve altyapı güvenliğiniz için Sıfır Güven güvenlik paradigmasını uygulamış olsanız bile, kaçınılmaz olanı planlamanız gerekir. Bir noktada saldırganlar fidye yazılımını dağıtmak veya başka bir zarar vermek amacıyla ağınıza girebilirler.

Tipik bir saldırı şu şekilde gerçekleşir:

Saldırganlar, bir tehdit aktörü, kimlik avı kampanyası, parola tahmin saldırısı veya başka bir teknikle bir kullanıcı hesabı ele geçirilerek bir uç noktada, IoT cihazında veya başka bir sistemde yer edinir.

Saldırganlar ortamda yanal olarak hareket eder ve hayati BT kaynaklarına erişim elde edene kadar ayrıcalıklarını arttırır. Bu aşama, saldırgan ağınızda dolaşırken ve ağınızı incelerken haftalar, hatta aylar sürebilir.

Saldırganlar hassas verileri dışarı sızdırır, fidye yazılımı veya diğer kötü amaçlı yazılımları dağıtır ve/veya sistemlere zarar vererek kesintiye neden olurlar.

Yanal hareket tehditlerinin şirket içi ağlarla sınırlı olduğuna dair yanlış bir kanı vardır. Yanal hareket bulut ortamlarında da gerçekleşebilir. Saldırganlar şirket içi veya bulut sistemleri arasında bile yanal olarak hareket edebilirler.

Tehditleri tespit etmek, daha fazla yayılmasını önlemek için saldırıları kontrol altına almak ve virüs bulaşmış tüm sistemleri temizlemek siber güvenlik personelinin görevidir. Kurumunuzu savunmak için öncelikle saldırganların kullandıkları teknikleri anlamanız gerekir.

 

Yanal hareket ve ayrıcalık yükseltme nedir?
Siber saldırganlar genellikle, bir ağa sızarken standart kullanıcı ayrıcalıklarına sahip bir hesabı ele geçirerek başlarlar. Ancak bu aşamada saldırganların hedefi, daha yüksek seviyede erişim ve kontrol elde etmektir. Bu nedenle, saldırganlar ağa girdiklerinde, hangi kaynaklara erişebileceklerini ve hangi hesapları ele geçirebileceklerini belirlemek için keşif işlemlerine başlarlar. Yüksek ayrıcalıklı hesapları ve kritik kaynakları hedef alarak, ayrıcalıklarını artırmaya çalışırlar. İşte saldırganların bu amaçla kullandığı bazı özel teknikler.

Saldırganlar hangi özel teknikleri kullanır?
Saldırganların yanal hareket ederek ayrıcalıklarını artırmak için kullandıkları en yaygın tekniklerden bazıları şunlardır:

LDAP keşfi: Saldırganlar, yüksek ayrıcalıklı hesapları ve üzerinde kontrol elde etmek için kritik kaynakları belirlemek amacıyla nesneler ve öznitelikler hakkında bilgi toplamak için bir LDAP dizin hizmetini sorgulayabilir.

Pass-the-Hash saldırısı: Bu teknik, ağ trafiğine müdahale ederek veya parola karmasını çıkarmak için kötü amaçlı yazılım kullanarak yüksek ayrıcalıklara sahip bir kullanıcıdan parola çalmayı içerir.

Kerberoasting: Saldırganlar, servicePrincipleNames’e sahip Active Directory kullanıcılarının kimlik bilgilerini çalmak için Kerberos kimlik doğrulama protokolünü kötüye kullanabilir. Çoğu zaman, bu hesaplar hizmet hesaplarıdır. Bu nedenle normal kullanıcı hesaplarından daha yüksek ayrıcalık düzeylerine sahiptirler.

Güvenlik açıklarından yararlanma: Bu saldırı türü, yamalanmamış veya eski yazılımlardan yararlanarak saldırganın ayrıcalıklarını yükseltmek veya ek sistemlere erişim sağlamak için bilinen güvenlik açıklarından yararlanır.

Zayıf yapılandırmaları kötüye kullanma: Sunucular, uç noktalar ve diğer sistemlerdeki zayıf yapılandırmalar, düşmanlara saldırıları için birden fazla açık kapı verir.

RDP’den yararlanma: Windows sistemlerindeki Uzak Masaüstü Protokolü (RDP) gibi uzaktan yönetim araçları, siber suçlular tarafından genellikle bir ağ içinde yanal olarak hareket etmek için hedeflenir.

 

Bilgisayar korsanları genellikle Bloodhound, PowerSploit veya Empire gibi yanal hareket için tasarlanmış özel araçlar kullanırlar. Bunlar ağın haritasını çıkarmak ve istismar edilecek potansiyel hedefleri belirlemek için kullanılır.

 

Gerçek Dünyadan Örnekler
Yanal hareket içeren bir saldırının çokça duyurulan bir örneği, 2020’deki SolarWinds tedarik zinciri saldırısıydı. Saldırganlar, SolarWinds yazılımına erişim kazanmış ve bir yazılım güncellemesine arka kapı yerleştirdi. Böylece müşteriler bu güncellemeyi yüklediğinde, saldırganlar ağlarına ayrıcalıklı erişim elde etti.

Aynı yıl yaşanan bir başka örnek de Universal Health Services’e yönelik Ryuk fidye yazılımı saldırısıydı. Burada kullanıcılar bir Trojan uygulaması sunmak için  kimlik avı e-postası kullandılar ve ardından fidye yazılımını indirdiler. Böylece saldırganlar, Mimikatz’ı kullanarak bir yöneticinin kimlik bilgilerini çalmış ve ağ üzerinde yanal olarak hareket edebilmişlerdi.