İç Ağ Saldırı Senaryoları Nedir?
Dış güvenlik duvarlarının (Perimeter) aşıldığı varsayımıyla başlayan iç ağ saldırı senaryoları, siber savunma katmanlarının gerçek bir kriz anındaki dayanıklılığını ölçen en kritik testlerden biridir. Bu süreç, MITRE ATT&CK ve Cyber Kill Chain metodolojileri haritalandırılarak kurgulanır. Özellikle ağ içinde yetki yükseltmek (Privilege Escalation) ve yatayda ilerlemek (Lateral Movement) için Python veya Go (Golang) ile geliştirilmiş özel ofansif araçların ve hedefe yönelik optimize edilmiş parola listelerinin kullanılması, senaryolara yüksek gerçekçilik katar. İç ağ testleri; EDR/XDR atlatma denemelerini, Active Directory yapılandırma zafiyetlerini ve Command & Control (C2) üzerinden veri sızdırma (Exfiltration) simülasyonlarını kapsar. Düzenli olarak “Purple Team” yaklaşımıyla icra edilen bu senaryolar, SOC analistlerinin tespit sürelerini (MTTD) iyileştirir, Incident Response (Olay Müdahale) playbook’larındaki eksikleri giderir ve kurumsal ağı “düz (flat)” bir yapıdan, mikro-segmentasyona dayalı Zero-Trust mimarisine taşır.
Yatay Hareket (Lateral Movement) Teknikleri
Yatay Hareket (Lateral Movement), bir saldırganın ağa ilk giriş noktasını sağladıktan sonra, asıl hedefi olan kritik verilere veya sistem yöneticisi yetkilerine ulaşmak amacıyla ağ içerisindeki diğer sistemlere sızma sürecidir. Bu süreç; Keşif, Kimlik Bilgisi Avcılığı ve Erişim/Yayılma döngüsünden oluşur. Saldırganlar genellikle parolaların özet değerlerini kullanan Pass-the-Hash veya Kerberos protokolünü hedef alan Pass-the-Ticket gibi tekniklerin yanı sıra, meşru yönetim araçlarını (WMI, PowerShell Remoting) suistimal ederek iz bırakmadan ilerlemeyi hedefler. Etkili bir savunma için ağ segmentasyonu, LAPS kullanımı ve “Sıfır Güven” (Zero Trust) mimarisi hayati önem taşır.
Pass-the-Hash ve Pass-the-Ticket Saldırıları: Kimlik Doğrulama Mekanizmalarına Yönelik Tehditler
Kurumsal ağ güvenliğinde en büyük risklerden biri, saldırganın kullanıcı parolasını hiç bilmeden, sistemde geçerli bir kimlik doğrulaması yapabilmesidir. Pass-the-Hash (PtH) ve Pass-the-Ticket (PtT), Windows kimlik doğrulama mekanizmalarının çalışma prensiplerini istismar ederek yetkisiz erişim elde etmeyi sağlayan sinsi saldırı vektörleridir.
Pass-the-Hash, Windows’un NTLM protokolünü hedef alır. Saldırgan, bir sistemin belleğinden (LSASS süreci gibi) elde ettiği parola hash değerini, parolanın kendisiymiş gibi kullanarak ağdaki diğer makinelere giriş yapabilir.
Pass-the-Ticket ise Kerberos protokolüne odaklanır. Burada saldırgan, parolanın hash değerini değil, kullanıcının o anki oturumu için oluşturulmuş olan ve bellekte saklanan Kerberos biletlerini (TGT/TGS) çalar. Bu biletleri kendi oturumuna “enjekte ederek”, Active Directory ortamında yasal bir kullanıcı gibi dolaşabilir.
Bu saldırılara karşı en etkili savunma; Windows Credential Guard kullanarak kimlik bilgilerini izole etmek, yerel yönetici parolalarını LAPS ile benzersiz kılmak ve ağ içerisinde ayrıcalıklı hesapların (Domain Admin gibi) düşük güvenlikli makinelerde oturum açmasını engelleyen “Tiered Administration” (Kademeli Yönetim) modelini benimsemektir. Kimlik hırsızlığı, sadece parolanın çalınması değil, o parolayı temsil eden her türlü dijital izin belgesinin (token/hash/ticket) ele geçirilmesidir.