Yatay Hareket (Lateral Movement) Teknikleri

kullanici2

Nisan 9, 2026

Uncategorized
Surface Web (Yüzey Ağ)

Siber güvenlik operasyonlarında ve gelişmiş kalıcı tehdit (APT) senaryolarında, bir saldırganın ağa ilk giriş noktası (Initial Access) genellikle nihai hedef değildir. Saldırganlar, düşük yetkili bir kullanıcı bilgisayarını veya dışa açık bir sunucuyu ele geçirdikten sonra, asıl hedefledikleri kritik verilere, domain kontrolcülerine (Domain Controller) veya finansal sistemlere ulaşmak için ağ içerisinde ilerlemek zorundadır.

Bu stratejik ilerleyişe Yatay Hareket (Lateral Movement) denir. Yatay hareket, bir ağın derinliklerine sızma sürecinin en kritik aşamalarından biridir. Bu aşamada saldırganlar, ağ topolojisini haritalandırır, kimlik bilgilerini toplar ve ele geçirdikleri yetkileri kullanarak bir sistemden diğerine atlar. Bu makalede, modern ağlarda kullanılan temel yatay hareket tekniklerini ve kurumsal yapılarda bu tehditlere karşı nasıl savunma geliştirileceğini teknik detaylarıyla inceleyeceğiz.

Konun Temel Açıklaması

Lateral Movement, bir saldırganın ağın içindeki sistemler arasında yanal olarak yer değiştirmesini ifade eder. Bu süreç genellikle doğrusal olmayan bir döngü çerçevesinde gerçekleşir:

  1. Keşif (Reconnaissance): Saldırgan mevcut sistemden erişilebilen diğer cihazları, aktif servisleri ve açık paylaşımları belirler.

  2. Kimlik Bilgisi Avcılığı (Credential Harvesting): RAM, disk veya ağ trafiği üzerinden kullanıcı adları, parolalar veya session token‘lar ele geçirilir.

  3. Erişim ve Yayılma: Ele geçirilen bu kimlik bilgileri veya sistem zafiyetleri kullanılarak yeni bir sistemde oturum açılır.

Bu döngüsel sürecin temel amacı, ağ içerisinde yetki yükselterek (Privilege Escalation) en yüksek yetkiye sahip “Domain Admin” seviyesine ulaşmak ve hedeflenen verileri dışarı sızdırmaktır.

Teknik Detaylar ve Aşamalar

Yatay hareket teknikleri, saldırganın elindeki verilere ve ağın yapılandırmasına göre çeşitlilik gösterir. En yaygın ve etkili yöntemlerin başında kimlik bilgisi tabanlı saldırılar gelir.

  • Pass-the-Hash (PtH): Modern Windows ağlarında parolaların kendisi yerine, bu parolaların matematiksel özetleri olan “hash” değerleri kullanılır. Saldırgan, kullanıcının düz metin parolasını bilmek zorunda değildir. Yerel yönetici yetkisiyle ele geçirilen bir sistemde, LSASS belleğinden alınan NTLM hash’i kullanılarak diğer sistemlere kimlik doğrulaması yapılabilir.

  • Pass-the-Ticket (PtT): Kerberos protokolü istismar edilerek “Ticket Granting Ticket” (TGT) biletleri çalınır ve parolaya ihtiyaç duymadan kaynaklara erişim sağlanır.

  • Uzaktan Yönetim Araçlarının İstismarı: Sistem yöneticilerinin işlerini kolaylaştırmak için kullandığı yasal araçlar, saldırganlar için “Living off the Land” stratejisinin bir parçası haline gelir. Örneğin, WMI (Windows Management Instrumentation) protokolü veya PowerShell Remoting üzerinden Invoke-Command gibi komutlarla uzak sistemlerde tam yetkili işlemler yürütülebilir.

  • SMB Paylaşımları: SMB protokolü üzerinden erişilen yönetici paylaşımları (C$, Admin$), dosyaların hedef makineye taşınması ve servis olarak çalıştırılması için sıkça kullanılır.

Riskler ve Kurumsal Etkiler

Lateral Movement aşaması, tespit edilmesi en zor siber saldırı evrelerinden biridir. Bunun temel nedeni, saldırganın gerçekleştirdiği işlemlerin meşru bir sistem yöneticisinin rutin aktiviteleriyle birebir örtüşmesidir.

  • Veri Sızıntısı: Şirketin fikri mülkiyeti, müşteri verileri ve ticari sırları bu aşamada tehlikeye girer.

  • Fidye Yazılımı Yayılımı: Modern ransomware saldırıları, yatay hareket tekniklerini kullanarak tüm ağdaki yedekleme ünitelerini ve ana sunucuları hedef alarak kurumu tamamen işlevsiz bırakabilir.

  • Kalıcılık (Persistence): Saldırganın ağın birçok farklı noktasına arka kapılar bırakması, sistemlerin bir kısmının temizlenmesine rağmen saldırganın ağda varlığını sürdürmesine neden olur.

Önleme ve Güvenlik Önlemleri

Yatay hareketi durdurmak için savunma stratejilerinin “Sıfır Güven” (Zero Trust) prensiplerine dayanması gerekir:

  • LAPS (Local Admin Password Solution): Her bilgisayarın yerel yönetici parolasını benzersiz ve karmaşık hale getirerek PtH saldırılarının yayılma alanını daraltır.

  • Ağ Segmentasyonu: Saldırganın hareket alanını fiziksel veya mantıksal bariyerlerle kısıtlar; örneğin bir muhasebe bilgisayarının teknik sunuculara doğrudan erişimi engellenmelidir.

  • PAM (Ayrıcalıklı Erişim Yönetimi): Kritik hesapların kullanımını izleyerek ve her oturum için geçici biletler üreterek riskleri minimize eder.

  • EDR ve SIEM İzleme: LSASS belleğine erişim teşebbüsleri, alışılmadık SMB trafiği ve şüpheli PowerShell komutları gerçek zamanlı olarak takip edilmelidir.

  • MFA (Çok Faktörlü Kimlik Doğrulama): İç ağdaki RDP ve VPN girişlerinde zorunlu tutularak çalınan parolaların tek başına yeterli olması engellenmelidir.

Sonuç

Yatay hareket, siber saldırı zincirinin en stratejik halkasını oluşturur. Kurumlar, sadece dış çevre güvenliğine odaklanmak yerine, ağ içindeki her kullanıcının ve her sistemin potansiyel olarak ele geçirilebileceğini varsayan “Assume Breach” yaklaşımını benimsemelidir. Yetkilerin sınırlandırılması ve sürekli izleme faaliyetleri sayesinde yatay hareket girişimleri erken aşamada fark edilebilir.

Tags :
#LateralMovement,#PasstheHash,cybersecurity,YatayHareket
Share This :

Diğer Yazılar

Bize Soru Sorun

Soru ve görüşleriniz için bizimle iletişime geçebilirsiniz.

Instagram Youtube

Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.