İç Ağ Saldırı Senaryoları Nedir?
Dış güvenlik duvarlarının (Perimeter) aşıldığı varsayımıyla başlayan iç ağ saldırı senaryoları, siber savunma katmanlarının gerçek bir kriz anındaki dayanıklılığını ölçen en kritik testlerden biridir. Bu süreç, MITRE ATT&CK ve Cyber Kill Chain metodolojileri haritalandırılarak kurgulanır. Özellikle ağ içinde yetki yükseltmek (Privilege Escalation) ve yatayda ilerlemek (Lateral Movement) için Python veya Go (Golang) ile geliştirilmiş özel ofansif araçların ve hedefe yönelik optimize edilmiş parola listelerinin kullanılması, senaryolara yüksek gerçekçilik katar. İç ağ testleri; EDR/XDR atlatma denemelerini, Active Directory yapılandırma zafiyetlerini ve Command & Control (C2) üzerinden veri sızdırma (Exfiltration) simülasyonlarını kapsar. Düzenli olarak “Purple Team” yaklaşımıyla icra edilen bu senaryolar, SOC analistlerinin tespit sürelerini (MTTD) iyileştirir, Incident Response (Olay Müdahale) playbook’larındaki eksikleri giderir ve kurumsal ağı “düz (flat)” bir yapıdan, mikro-segmentasyona dayalı Zero-Trust mimarisine taşır.
Active Directory Güvenlik Testi Nedir?
Kurumsal kimlik doğrulama ve yetkilendirme süreçlerinin merkezi olan Active Directory (AD), siber saldırganlar için ağı tamamen ele geçirmenin (Domain Compromise) anahtarıdır. Active Directory güvenlik testi; domain controller’ların, grup politikalarının (GPO), Kerberos/NTLM gibi kimlik doğrulama protokollerinin ve kullanıcı yetkilerinin bir saldırgan (Red Team) perspektifiyle sistematik olarak analiz edilmesidir. Saldırganlar genellikle düşük yetkili bir hesapla iç ağa sızdıktan sonra; zayıf parola politikalarını, delegasyon hatalarını ve yapılandırma zafiyetlerini istismar ederek yatay hareket eder ve nihai hedef olan “Domain Admin” yetkisine ulaşmaya çalışırlar. Kurumların bu yıkıcı etkilere karşı koyabilmesi için; minimum yetki prensibini (Least Privilege) benimsemesi, SIEM üzerinden davranış analizi yapması ve düzenli AD sızma testleriyle altyapısını sürekli denetlemesi hayati önem taşır.
Active Directory Yetki Matrisi ve KVKK Uyumu
Active Directory (AD), kurumsal ağlarda kimlik doğrulama ve yetkilendirmenin merkezi yönetim sistemidir. KVKK’nın “Erişim Kontrolü” yükümlülüğü uyarınca kurumlar, çalışanlarına sadece iş tanımları için gerekli olan verilere erişim izni veren En Az Yetki İlkesi (Least Privilege) ve Yetki Matrisi yapılarını kurmak zorundadır. Rol Tabanlı Erişim Kontrolü (RBAC) sayesinde kullanıcılar doğrudan klasörlere değil, AD gruplarına atanır; bu da personelin işten ayrılması veya departman değiştirmesi durumunda erişimlerin saniyeler içinde kesilmesini sağlayarak “yetki sünmesini” (privilege creep) ve veri ihlallerini önler.
Active Directory Tam Ele Geçirme Senaryosu
Kurumsal BT altyapılarının merkezi olan Active Directory (AD), siber saldırganlar için en yüksek değere sahip stratejik hedeftir. Bir AD yapısının tam ele geçirilmesi (Domain Compromise); BloodHound ile keşif, Kerberoasting ile kimlik avı, Pass-the-Hash ile yatay hareket ve DCSync ile domain dominansı sağlama gibi adımları içeren karmaşık bir saldırı zincirine dayanır. Bu süreç, tek bir parolanın ele geçirilmesinden ziyade, sistemdeki güven ilişkilerinin ve yetki delegasyonu hatalarının sistematik olarak istismar edilmesidir. Kurumların bu yıkıcı tehditlere karşı koyabilmesi için sadece ağ güvenliğine değil, kimlik tabanlı tespit yeteneklerine odaklanması gerekir. Kimlik katmanlama (Tiering), ayrıcalıklı erişim istasyonları (PAW), Sıfır Güven (Zero Trust) mimarisi ve düzenli Red Team simülasyonları, Active Directory altyapısını korumanın ve siber dayanıklılığı sürdürülebilir kılmanın en etkili yollarıdır.
Kerberoasting Nedir?
Kerberoasting, bir saldırganın Active Directory ağındaki servis hesaplarına (SPN) ait biletleri (Ticket Granting Service – TGS) talep ederek, bu biletlerin şifrelenmiş kısımlarını çevrimdışı (offline) ortamda kırmaya çalıştığı bir saldırı türüdür. Bu teknik, bir yazılım açığına ihtiyaç duymadan, Kerberos protokolünün çalışma prensibini suistimal eder ve düşük yetkili bir kullanıcıdan yüksek yetkili servis hesaplarına geçiş imkanı tanır.
Pass-the-Hash ve Pass-the-Ticket Saldırıları: Kimlik Doğrulama Mekanizmalarına Yönelik Tehditler
Kurumsal ağ güvenliğinde en büyük risklerden biri, saldırganın kullanıcı parolasını hiç bilmeden, sistemde geçerli bir kimlik doğrulaması yapabilmesidir. Pass-the-Hash (PtH) ve Pass-the-Ticket (PtT), Windows kimlik doğrulama mekanizmalarının çalışma prensiplerini istismar ederek yetkisiz erişim elde etmeyi sağlayan sinsi saldırı vektörleridir.
Pass-the-Hash, Windows’un NTLM protokolünü hedef alır. Saldırgan, bir sistemin belleğinden (LSASS süreci gibi) elde ettiği parola hash değerini, parolanın kendisiymiş gibi kullanarak ağdaki diğer makinelere giriş yapabilir.
Pass-the-Ticket ise Kerberos protokolüne odaklanır. Burada saldırgan, parolanın hash değerini değil, kullanıcının o anki oturumu için oluşturulmuş olan ve bellekte saklanan Kerberos biletlerini (TGT/TGS) çalar. Bu biletleri kendi oturumuna “enjekte ederek”, Active Directory ortamında yasal bir kullanıcı gibi dolaşabilir.
Bu saldırılara karşı en etkili savunma; Windows Credential Guard kullanarak kimlik bilgilerini izole etmek, yerel yönetici parolalarını LAPS ile benzersiz kılmak ve ağ içerisinde ayrıcalıklı hesapların (Domain Admin gibi) düşük güvenlikli makinelerde oturum açmasını engelleyen “Tiered Administration” (Kademeli Yönetim) modelini benimsemektir. Kimlik hırsızlığı, sadece parolanın çalınması değil, o parolayı temsil eden her türlü dijital izin belgesinin (token/hash/ticket) ele geçirilmesidir.
Kerberoasting ve AS-REP Roasting: Active Directory Ortamlarında Parola Saldırıları
Kurumsal ağların kalbi olan Active Directory ortamlarında kimlik doğrulama süreçleri Kerberos protokolü üzerine inşa edilmiştir. Ancak bu güvenli protokol, zayıf parola politikaları ve hatalı yapılandırmalarla birleştiğinde Kerberoasting ve AS-REP Roasting gibi sinsi saldırı vektörlerine zemin hazırlar.
Kerberoasting, bir ağda geçerli bir kullanıcı hesabı olan saldırganın, servis hesaplarına (SPN) ait biletleri (TGS) talep edip bu biletleri kendi sistemine indirerek şifrelenmiş hash değerlerini çevrimdışı kırma işlemidir. Servis hesapları genellikle yüksek yetkilere sahip olduğundan, bu saldırı başarılı olursa saldırgan tüm domain yapısını ele geçirebilir.
AS-REP Roasting ise “Pre-Authentication” (Ön Doğrulama) özelliği devre dışı bırakılmış kullanıcı hesaplarını hedef alır. Bu zafiyette saldırgan, parola bilmesine gerek kalmadan sunucudan şifreli bir yanıt (AS-REP) alır ve bu yanıtı yine kendi bilgisayarında kırmaya çalışır.
Bu saldırılara karşı en güçlü savunma; servis hesapları için Grup Yönetimli Servis Hesapları (gMSA) kullanmak, parolaları minimum 25-30 karakterden oluşturmak ve Active Directory envanterinde pre-authentication özelliği kapalı kullanıcıları düzenli olarak denetlemektir. Kerberos güvenliği, sadece protokolün kendisiyle değil, o protokolü taşıyan hesapların “parola kalitesi” ile ölçülür.
Windows Privilege Escalation (Yerel Yetki Yükseltme)
Windows işletim sistemlerinde güvenliğin en kritik kırılma noktası, bir saldırganın düşük ayrıcalıklı bir kullanıcı hesabından tam yetkili Administrator veya SYSTEM seviyesine ulaştığı Yerel Yetki Yükseltme (Local Privilege Escalation – LPE) aşamasıdır. Bu geçiş, saldırganın sistemdeki güvenlik mekanizmalarını tamamen devre dışı bırakmasına ve ağ içinde yanal hareket (lateral movement) başlatmasına olanak tanır.
Windows LPE riskleri genellikle üç ana koldan beslenir: Çekirdek (kernel) ve sürücülerdeki yama eksiklikleri, yanlış yapılandırılmış Servis İzinleri (ACL) ve Zamanlanmış Görevler (Scheduled Tasks) gibi operasyonel zayıflıklar. Özellikle servislerin ikili dosyalarına (binary) veya kayıt defteri (registry) anahtarlarına verilen hatalı “yazma” izinleri, saldırgan için doğrudan bir yetki yükseltme kapısıdır.
Kurumsal savunma tarafında bu riski yönetmek; LAPS ile her makinede benzersiz yerel yönetici parolaları kullanmak, “En Az Ayrıcalık” (Least Privilege) prensibini uygulamak ve EDR/SIEM üzerinden şüpheli süreç ağaçlarını izlemekle mümkündür. LPE savunması, yalnızca bir yama yönetimi değil, aynı zamanda sıkı bir sistem sertleştirme (hardening) ve sürekli denetim disiplinidir.
SMB Signing ve Relay Saldırıları
Kurumsal ağların vazgeçilmez protokolü olan SMB (Server Message Block), yanlış yapılandırıldığında saldırganlar için parola kırmaya gerek bırakmayan bir yetki yükseltme kapısına dönüşebilir. Relay saldırıları, bir kullanıcının ağ üzerinde yaptığı kimlik doğrulama isteğinin (özellikle NTLM) araya giren bir saldırgan tarafından yakalanıp başka bir hedef servise iletilmesi (relay edilmesi) prensibine dayanır.
Bu riskin en temel çözümü olan SMB Signing (SMB İmzalama), istemci ve sunucu arasındaki her mesajın kriptografik olarak imzalanarak bütünlüğünün doğrulanmasını sağlar.
Eğer SMB imzalama “zorunlu” (required) değilse, saldırgan araya girerek oturumu manipüle edebilir ve hedef sistemde yetkisiz işlemler gerçekleştirebilir. Özellikle ayrıcalıklı hesapların (Domain Admin vb.) hedef alındığı bu senaryolardan korunmak için; SMB imzalamanın tüm kritik sunucularda zorunlu hale getirilmesi, NTLM kullanımının minimize edilerek Kerberos’a geçiş yapılması ve ağ segmentasyonu ile yanal hareket alanının daraltılması siber dayanıklılık için hayati önem taşır.