Günümüzde siber güvenlik dünyası her an gelişmeye devam etmektedir. Bununla birlikte saldırganlar tarafından her gün yeni saldırı yöntemleri de beraberinde gelmektedir.
2025 yılının siber saldırı istatistiklerine göre en çok kullanılan saldırı yöntemlerinin başında Ransomware saldırıları, Malware saldırıları ve Phishing/Social Engineering saldırıları yer almaktadır.
Phishing saldırıları ile çalışan kişilerin kurumlarda ki kimlik bilgilerine erişim sağlamak hedeflenerek saldırılar gerçekleştirilmektedir. Burada kurumlardaki özellikle IT çalışanlarının kimlik bilgilerinin ne kadar kritik bir rol aldığı görülmektedir.
Burada kullanılan saldırı yöntemlerinden birisi de Pass the Hash saldırılarıdır. Pass the Hash saldırısı yaygın olarak bilinen ve kullanılan bir kimlik doğrulama saldırısıdır. Saldırgan kullanıcının şifresini bilmeden ya da çözmeden sadece o şifreden oluşmuş Hash’i kullanarak sisteme kullanıcının kimliği ile erişim sağlar. Sonrasında yetki yükseltme işlemleri ile içeride yaptığı yanal hareketler ile tüm sisteme erişim elde etmeye çalışır.
Saldırgan bunları yapılabilmek için Mimikatz gibi uygulamalar ile hash’i çekebilir ve bu hash ile powershell üzerinden ilgili komutlar ile erişim elde edebilir.
Hash genellikle veri doğrulama, şifreleme veya veri bütünlüğünü sağlama gibi amaçlar için kullanılan bir fonksiyondur. Bu fonksiyonlar verilen girdiler için sabit bir çıktı boyutu üretirler. Verilerin hızlı bir şekilde işlenebilmesi için verilen girdinin boyutunun yada yapısının nasıl olduğu farketmeden çıktı her zaman aynı uzunlukta olur. En basit örneklerden birini düşünecek olursak bir password hashlenerek saklanabilir. User’ların her seferinde girdiği password’ler ile bu hashler karşılaştırılabilir. Böylelikle gerçek password’un bir yerde tutulmasına gerek kalmadan sadece hashler üzerinden password’lerin doğruluğu kontrol edilir. Hashler doğrudan bakıldığında anlaşılır bir yapıda olmadığı içinde güvenlik belirli bir düzeyde sağlanmış olur.
Birden fazla hash algortiması vardır. MD5 , SHA256 gibi ancak her algoritma tam anlamıyla güvenilirliği sağlamamaktadır. MD5 algoritması bazı güvenlik açıklarına sebebiyet verdiği için önerilmemektedir. En sık kullanılan algoritmalardan birisi SHA256 algoritmasıdır. 32 byte (256 bit) uzunluğunda bir çıktı oluşturur. Bu çıktı verinin benzersiz bir temsili gibi düşünülebilir. Bu algoritma özellikle veri bütünlüğünün sağlanması, dijital imza oluşturma ve parola depolama gibi durumlarda sıkça kullanılır.
Şekil 1’de ki diyagramda bir saldırganın bir hash’i ele geçirdikten sonra kurumun Domain Controller makinesine nasıl erişim sağlayabileceğini görebilmekteyiz.
Burada User1 Makine1’den Makine2, Makine3, Makine4 ve Makine5’e erişebilir durumdadır. Görüldüğü üzere Domain Controller’a sadece Makine9’dan erişim var. Makine1’e erişim sağlamış bir saldırgan User1’in hash çıktısını ele geçirebilir ve bu sayede diğer makinelerde erişim sağlayarak Makine9 ve oradan Domain Controller’a erişim sağlayabilir. Kurumdaki parolalar hash’ler doğru bir şekilde yönetilmezse bu gibi durumlar çok fazla risk teşkil edebilirler. CyberArk’ın PAM ürünü burada devreye girerek ortamdaki password’lerin periyodik ve güvenli bir şekilde yönetilmesinde önemli bir rol oynar.
Bu saldırıların olma ihtimallerini minimuma indirmek için yapılması gereken ilk iş, kurumda-ortamda bu tarz saldırılara karşı savunmasız olan hesapların ve makinelerin belirlenmesidir. Burada CyberArk’ın DNA(Discovery&Audit) adını verdiği tool’u kullanılarak bu hesaplar ve makineler tespit edilebilir.
DNA şu başlıkları ele alarak ortamda ki tarama işlemini gerçekleştirir :
CyberArk’ın DNA Tool’unu kullanabilmek için taranacak makinelerin sayısı kadar (Unix ve Windows) lisans gereklidir.
Tool’u çalıştırmak için exe dosyasına çift tıklanır. Sonrasında CyberArk DNA Software License Agreement penceresi gelir (Şekil 2).
Burada tarama yapabilebilecek üç farklı asset ortamı bulunmaktadır (Şekil 3) :
Bu ekrandan sonra burada taramayı yapacak User credential bilgileri girilir. Burada kullanılacak olan User Active Directory’e erişip OU’ları ve hedef makinelerin taramasını gerçekleştirir. Bunu yapabilmesi için bu User’ın Read permission’una sahip olması gerekmektedir. Domain alanına FQDN formatında giriş yapılmalıdır. Eğer Unix makineler de taranacak ise girilen User’ın Unix sistemlerde Root permission’larına sahip olması gerekmektedir. Eğer bu credential’lar farklı ise Unix ve Windows sistemler de ayrı iki tarama yapılabilir. MacOS taramaları da Unix taramaları ile beraber yapılır (Şekil 4).
AWS veya IP üzerinden taramalar içinde ilgili konfigürasyonları yapıldıktan sonra tarama başlatılır (Şekil 5).
Tarama işlemi bittikten sonra DNA Tool geniş çaplı ve detaylı raporlar sunar. Burada bulduğu ayrıcalıklı hesapları da gösterir ve bu tool yardımı ile CyberArk PAM ortamına bu hesaplar onboard edilebilir.
DNA tool tarama sonrası birden fazla başlık altında tarama yapılan ortam ile ilgili rapor çıktıları üretir. Bunlardan birisi de Credential Theft Vulnerability raporudur (Şekil 6). Bu raporda kimlik hırsızlığına karşı (Golden Ticket, Pass the Hash, Pass the Ticket, Overpass the Hash gibi) sistemlerin açıklarını gösterir ve bunlarla ilgili bir map oluşturur.
Burada Active Threats altında saldırıya açık makinelere karşı kullanılabilecek ve kuruma risk oluşturabilecek ayrıcalıklı hesapların hash’lerini gösterir.
Inactive Threats altında daha önce bir makinede tutulan ayrıcalıklı hesap hash’lerinin oluşturduğu riski gösterir.
Mtitigated With Privileged Access Security altında ise ortamda ki PAM ile varlıkların password’lerinin yönetilmesi ile birlikte kurumun tehdit durumu simüle edilir.
Pass the Hash : Organization Vulnerability Map altında kurumun Pass the Hash saldırılarına karşı savunmasız olan makineler ile birlikte bu saldırılara sebep olan makinelerin de görsel olarak bir haritasını oluşturulur (Şekil 7).
Yine aynı şekilde yapılan tarama sonucunda sunucularda clear text olarak (hard-coded) olarak tutulan credential bilgileri varsa bunlar tespit edilir (Şekil 8). Bu kimlik bilgilerine sahip olan WebSphere, WebLogic ve IIS sunucularının sayısını tespit ederek riskte olan hedef sistemleri (veritabanları gibi) belirler.
Ortamdaki SSH Key’leri tespit eder (Şekil 9) ve bu Key’leri yaptığı tarama sonucu bulduğu account’lar ile eşleştirir. Makinelerde ki account’ların uzak bir makinede ki hangi account’a bağlanabileceğini analiz eder ve bu analiz sonucu bir harita oluşturarak görsel bir şekilde sunar.
CyberArk PAM kullanarak ayrıcalıklı hesapların yönetimini periyodik bir şekilde gerçekleştirilir. Parolalar düzenli olarak otomaitk bir şekilde yönetileceği için bu parolaların hash’leri de değişir. Ayrıca burada erişim yetkilerinin özelleştirilip role based olarak verilmesi bu gibi saldırılardan etkilenme riskini azaltacaktır. Aynı zamanda one-time-password uygulanarak hesapların parolalarının her kullanıldığında değişmesini sağlayarak bu ataklara karşı güvenlik sağlanmış olur.
CyberArk EPM (Endpoint Privilege Manager) kullanarak hesapların local admin yetkileri alınarak uygulama bazlı erişimler verilebilir. Böylece saldırgan bu hesabı ele geçirse bile hash’leri toplayabilmesi için gerekli yetkileri edinmesi engellenebilir.
Sunucu erişimlerini CyberArk PAM ortamında PSM sunucuları üzerinden vermek yine bu saldırı riskini azaltacaktır. PSM sunucuları CyberArk PAM ürününün Proxy sunucularıdır. Session’ları kendi üzerinden geçirerek yapılan bağlantıları izole eder ve kimlik bilgilerini açığa çıkarmadan güvenli bir şekilde hedef sistemlere bağlantıların yapılmasını sağlar.
Yine CyberArk PAM ürününü kullanarak saldırıların tespiti hızlı bir şekilde gerçekleştirilebilir. Privilege Threat Analytic modülü Kerberos trafiğini analiz ederek olası kimlik hırsızlığı ataklarına karşı alarmlar oluşturur ve kullanıcıları bilgilendirir.
GPO yapılandırması yapılabilir. Örneğin ; Mimikatz’in bellekten şifre ya da hash alması engellenebilir ya da NTLM sınırılandırmaları yapılabilir (NTLM yerine Kerberos kullanılması zorlanabilir).
Event ID 4624 (logon success) ve Event ID 4625 (logon failure) loglar izlenmelidir. Beklenmedik bir şekilde logon success ya da üst üste çok fazla logon failure Event’ları gözlemleniyorsa bu durum risk olarak değerlendirilebilir. Yine aynı şekilde anormal oturum açma davranışları takip edilmelidir (aynı Hash’in farklı makinelerde aynı anda kullanılması gibi).
Yukarıda bahsedilen Event ID’leri SIEM ürünlerinde çeşitli korellasyonlara tabi tutularak kontrol edilmesi sağlanabilir.
Bu saldırılarda saldırganlar genelde LSASS (Local Security Authority Subsystem Service) belleğine erişim sağlayarak Hash’leri elde ederler. Bu hareketler yine SIEM ürünleri tarafında izlenebilir ve ayrıca EDR (Endpoint Detection and Response) ürünü ile gelen alarmlar ile aksiyon alınabilir.
Kurumlarda ki sistemlerin Hardening politikalarına uygun olarak yönetilmesi yine bir çok açığın önüne geçecektir. Yama yönetimleri düzgün takip edilmelidir.
MFA (Multifactor Authentication) uygulaması sıkılaştırılmalıdır. Özellikle yüksek yetkili hesaplar için MFA şart tutulmalıdır.
Domain Admin, Root gibi yüksek yetkili hesapların doğrudan sistemlere erişimleri engellenebilir. Böylelikle saldırgan bu hesaplara erişim sağlasa bile bu hesaplar ile diğer makinelere erişim sağlayamayacaktır.
İyi bir şekilde önlem almak için bu ve bunun gibi önlemleri bir arada ve entegre bir şekilde kullanmak büyük bir önem taşımaktadır.
-
Kuantum bilgisayarlar, klasik bilgisayarların ötesine geçen hesaplama yetenekleriyle, modern kriptografi altyapılarını tehdit eden yeni bir dönemi beraberinde getirmektedir.
Windows Event Forwarding, Windows tabanlı sistemlerde yerel olarak desteklenen günlük merkezileştirme özellikleri sağlar. Microsoft, sunucular üzerindeki logların tek bir yerde toplanması WEF mimarisi ile sağlamaktadır.
Veri Koruma Günü, her yıl 28 Ocak’ta, kişisel verilerin korunması ve veri gizliliği konusunda farkındalık yaratmak amacıyla belirlenmiş bir gündür.
USOM, Ulusal Siber Olaylara Müdahale Merkezi kelimelerinin kısaltmasıdır. USOM, 2013’de “Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı” 4.maddesi dahilinde BTK bünyesinde kurulmuştur.
