Saldırı Tekniği
SMB Tarama
SMB taraması, ağ yöneticileri tarafından şirket kaynaklarını yönetmek ve yetkili erişimi sağlamak için kullanılan bir tekniktir. Aynı zamanda giriş noktaları bulmak veya güvenlik açıklarından yararlanmak isteyen saldırganlar için de birincil hedeftir.
Tanım
SMB taraması nedir?
SMB, dosya, yazıcı ve diğer ağ kaynaklarını paylaşmaya yönelik bir protokol olan Server Message Block'un kısaltmasıdır. Genellikle NTLM kimlik doğrulaması ile eşleştirildiği Windows ortamlarında yaygın olarak kullanılır. SMB taraması, yöneticiler tarafından ağda açık SMB bağlantı noktalarını araştırmak için kullanılır. Ancak, saldırganlar tarafından SMB aktarma saldırıları başlatmak için de kullanılabilir.
Nasıl çalışır
SMB aktarma saldırıları nasıl çalışır?
Bu teknikle saldırganlar SMB protokolünün ağ kullanıcılarına olan yerleşik güveninden yararlanır. Saldırgan, hedefleyeceği mevcut hesapları belirlemek için tarama yöntemini kullanır, ardından geçerli bir kimlik doğrulama oturumunu ele geçirir ve manipüle eder. Kimlik doğrulama trafiğini yakalayıp aktaran saldırgan, yetkisiz erişim elde etmek için kullanıcının kimliğine bürünür.
İşte yaygın bir SMB aktarma saldırısı ilerlemesi:
- Saldırgan, bir istemci ile meşru bir sunucu arasındaki SMB trafiğini keserek kendisini "ortadaki adam" olarak konumlandırır. Bu, SMB trafiğini saldırganın makinesi üzerinden yeniden yönlendirmek için ARP sahtekarlığı veya DNS zehirlenmesi gibi ağ düzeyinde tekniklerle gerçekleştirilebilir.
- Ortaya girdikten sonra saldırgan, istemci tarafından gönderilen ve genellikle düz metin parolalar yerine karma kimlik bilgileri içeren SMB kimlik doğrulama isteğini ele geçirir.
- Saldırgan daha sonra ele geçirdiği kimlik bilgilerini kimlik doğrulama için SMB kullanan başka bir hedef sunucuya ileterek meşru kullanıcının kimliğine bürünür. NTLM (New Technology LAN Manager) kimlik doğrulama işlemi kimlik doğrulama mesajının kaynağını doğrulamadığından, saldırgan bu koruma mekanizmasını atlayabilir ve sunucuya erişim sağlayabilir.
Saldırganlar bunu neden kullanır?
Saldırganlar SMB aktarma saldırılarını neden kullanır?
SMB aktarma saldırıları, saldırganların parola karmalarını kırmak zorunda kalmadan ağlara sızmasına olanak tanır. Ağa girdikten sonra, diğer savunmasız hesapları bulmak ve saldırıyı ilerletmek veya daha derin erişim elde etmek için SMB taramasını kullanabilirler.
Platform Tespitleri
SMB aktarma saldırıları nasıl önlenir ve tespit edilir
SMB aktarma saldırılarına karşı savunmak için kuruluşlar ağ güvenliği önlemleri ve çalışan eğitiminin bir kombinasyonunu uygulamalıdır. Örneğin, kimlik doğrulama girişimlerini doğrulamak için SMB imzalamayı zorunlu tutabilir ve NTLM'yi daha güçlü, daha güvenli kimlik doğrulama yöntemleriyle değiştirebilirsiniz.
Buna ek olarak, ağı şüpheli SMB faaliyetlerine karşı izlemek de çok önemlidir.
Vectra AI Platformu, SMB taraması ve SMB aktarma saldırıları dahil olmak üzere ağ tabanlı tehditleri bulmak için güçlü yapay zeka odaklı tespitler içerir. Makine öğrenimi ve davranışsal analizden yararlanan Vectra AI , SMB etkinliğinin olağandışı modellerini hızla tanımlar, böylece SOC ekipleri saldırıları başlamadan önce durdurabilir.
