Psexec, kötü niyetli yan hareket kampanyalarının temel taşı haline gelen meşru bir sistem yönetimi yardımcısı olan siber güvenlik manzarasındaki en çelişkili araçlardan birini temsil eder.
Son tehdit istihbarat raporları, Psexec’in 2025 itibariyle siber saldırılarda kullanılan ilk beş araç arasında kaldığını ve Medusa, Lockbit ve Kasseika gibi fidye yazılım gruplarının ağ yayılımı için aktif olarak yararlandığını gösteriyor.
Bu kalıcı istismar, güvenlik profesyonellerinin hem PSEXEC’in teknik mekaniğini hem de aktörlerin yeteneklerinden yararlanmasının karmaşık yollarını anlamaları için kritik ihtiyacın altını çizmektedir.
Psexec, temel Windows protokollerinden ve hizmetlerini kullanan sofistike çok aşamalı bir süreçle çalışır.
Meşru olarak yürütüldüğünde, Psexec, hedef makinede PsexesVC adlı, uzaktan komut yürütme için bir kanal görevi gören geçici bir hizmet oluşturur.
Araç, SMB (Sunucu Mesaj Bloğu) protokolü aracılığıyla hedef sisteme kimlik doğrulaması yaparak başlar, ardından doğrudan C: \ Windows diziniyle eşleşen Yönetici $ yönetici paylaşımına bağlanır.
Kimlik doğrulama işlemi, geçerli oturum açma kimlik bilgilerini veya açıkça sağlanan kullanıcı adı ve şifre kombinasyonlarını kullanır.
Başarılı kimlik doğrulama üzerine PSEXEC, Boru adlı SVCCTL aracılığıyla Hedef’in Servis Kontrol Yöneticisi’ne (SCM) bir DCE/RPC (dağıtılmış bilgi işlem ortamı/uzaktan prosedür çağrısı) bağlantısı oluşturur.
Bu bağlantı, Psexec’in uzaktan yürütme özelliklerinin temelini oluşturarak hizmetleri uzaktan oluşturmasını ve yönetmesini sağlar.
Servis oluşturma süreci, PsexesVC.exe ikilisini hedefin yönetici $ paylaşımına yüklemeyi, ardından SCM arayüzü aracılığıyla Windows hizmeti olarak kaydedilmeyi içerir.
Kurulduktan sonra, hizmet, STDIN, STDOUT ve STDERR için ek borularla, genellikle standart giriş/çıkış için Psexecsvc için adlandırılmış borular oluşturur.
Bu borular, yerel ve uzak sistemler arasında tam çift yönlü iletişimi kolaylaştırarak etkileşimli komut yürütmeyi sağlıyor.
Saldırı vektörleri ve kötü niyetli sömürü
Tehdit aktörleri, tehlikeye atılan ağlarda birden fazla kötü niyetli hedefe ulaşmak için Psexec’in meşru işlevselliğini silahlandırdı.
2025 siber geçirmez yıl ortası tehdit peyzaj raporu, Psexec’i saldırılarda kullanılan ilk beş araçtan biri olarak tanımlayarak modern tehdit kampanyalarında devam eden alaka düzeyini vurgulamaktadır.
Saldırganlar, kimlik bilgisi çöplük, şifre püskürtme veya depolanan kimlik bilgilerini istismar etmek de dahil olmak üzere çeşitli yollarla geçerli yönetimsel kimlik bilgileri aldıktan sonra öncelikle yanal hareket için Psexec’ten yararlanır.
Yanal hareket işlemi tipik olarak öngörülebilir bir paterni takip eder. Saldırganlar ilk olarak bir başlangıç sistemi ve hedef makinelerde yerel yönetici ayrıcalıkları ile kimlik bilgilerini hasat eder.
Daha sonra komutları uzaktan yürütmek için Psexec kullanırlar, genellikle ek kötü amaçlı yazılımlar dağıtarak, backdoors oluşturur veya kalıcılık mekanizmaları oluştururlar.
Aracın komutları sistem düzeyinde ayrıcalıklarla çalıştırma yeteneği, güvenlik kontrollerini devre dışı bırakma ve fidye yazılımı yüklerini dağıtmak için özellikle cazip hale getirir.
Son fidye yazılımı kampanyaları, sofistike Psexec istismar modellerini göstermektedir. Medusa Ransomware Group, toplu komut dosyalarını uzaktan makinelere kopyalamak ve bunları sistem ayrıcalıklarıyla yürütmek için -c bayrağı ile Psexec kullanır.
Bu komut dosyaları genellikle Windows Defender’ı devre dışı bırakır, uzak masaüstü bağlantılarına izin vermek için güvenlik duvarı kuralları oluşturur ve kalıcı erişimi kolaylaştırmak için kayıt defteri ayarlarını değiştirir.
Benzer şekilde, lockbit iştirakleri, hipervizörlerle ilgili önyükleme yapılandırma veri kayıt defteri girişlerini uzaktan düzenlemek için Psexec kullanılarak gözlemlenmiştir ve özellikle VMware ESXI ortamlarını hedefler.
Tespit eserleri ve adli analiz
PSEXEC uygulaması, güvenlik ekiplerinin kötü niyetli etkinlikleri tespit etmek için izleyebileceği çok sayıda adli artefakt üretir. En güvenilir gösterge, sistem günlüğündeki hizmet yükleme olaylarını kaydeden Windows Event ID 7045’tir.
Psexec PsexesVC hizmetini oluşturduğunda, bu etkinlik hizmet adını, yürütülebilir yol ve hesap bağlamını yakalar ve uzaktan yürütme girişimlerine ilişkin açık kanıtlar sağlar.
Ağ tabanlı algılama fırsatları SMB trafik analizine odaklanın ve adlandırılmış boru izleme. Güvenlik Olay Kimliği 5145 Günlükleri Ağ Paylaşımı Erişimi, PSEXEC’in dosya yüklemeleri için gerektirdiği Yönetici $ paylaşımına bağlantılar da dahil.
“-Stdin”, “-stdout” ve “*-stderr” gibi desenlere sahip adlandırılmış boruların oluşturulması, özellikle bu borular karşılık gelen meşru Psexesvc hizmet girişleri olmadan göründüğünde ek algılama sinyalleri sağlar.
Gelişmiş tespit yaklaşımları imza tabanlı yöntemlerden ziyade davranışsal analize odaklanır.
SMB kimlik doğrulaması (olay kimliği 4624), hizmet oluşturma (olay kimliği 7045) ve kısa sürede adlandırılan boru aktivitesinin kombinasyonu PSEXEC kullanımının yüksek güven göstergeleri oluşturur.
Sağlam günlüğe kaydetme olan kuruluşlar, kapsamlı saldırı zaman çizelgeleri oluşturmak için bu olayları süreç oluşturma izleme (Sysmon olay kimliği 1) ile ilişkilendirebilir.
Kaçma teknikleri ve varyantlar
Sofistike tehdit aktörleri, Psexec’in işlevselliğini korurken tespitten kaçınmak için çeşitli teknikler kullanırlar. Hizmet Adı Özelleştirme, varsayılan PsexesVC yerine alternatif hizmet adlarını belirtmek için -r parametresini kullanarak en yaygın kaçış yöntemini temsil eder.
Bu basit değişiklik, sadece hizmet adı eşleşmesine dayanan algılama kurallarını atlayabilir ve savunucuların daha karmaşık davranışsal algılama mantığı uygulamalarını gerektirir.
Özel Psexec uygulamaları tespit çabalarını daha da karmaşıklaştırır. Impacket gibi araçlar, yapılandırılabilir hizmet adları, boru adları ve iletişim protokolleri ile Psexec tarzı işlevsellik sağlar.
Bu alternatifler benzer operasyonel kalıpları takip eder, ancak belirli araç imzalarından ziyade davranışsal göstergelere odaklanan algılama kuralları gerektiren farklı eserler kullanır.
Kayıt defteri manipülasyonu başka bir Kaçma Caddesi sunar. Saldırganlar, PSEXEC’in ilk kullanımdan sonra oluşturduğu EulaAccepted Kayıt Defteri Anahtarını silebilir ve kaynak sistemleri hakkındaki adli kanıtları ortadan kaldırabilir.
Bazı gruplar, EULA kabul gereksinimini tamamen atlayan ve adli ayak izlerini daha da azaltan özel derlenmiş sürümler kullanır.
Gerçek Dünya Saldırı Kampanyaları
Çağdaş tehdit grupları, daha geniş saldırı zincirlerinde sofistike Psexec entegrasyonu göstermektedir.
Kasseika Ransomware Group, Psexec’i, antivirüs kaçakçılığı için savunmasız sürücüleri yükleyen kötü amaçlı toplu iş dosyaları dağıtmak için Psexec’i kullanarak kendi savunmasız sürücü (BYOVD) saldırılarınızı getirme ile birleştirir.
Bu çok aşamalı yaklaşım, modern saldırganların tespitten kaçınırken hedeflerine ulaşmak için birden fazla teknik katmanlamayı gösteriyor.
Blacksuit fidye yazılımı operatörleri, kapsamlı ağ kontrolü kurmak için Powershell, Cobalt Strike ve Mimikatz ile birlikte Psexec’i kullanır.
Kampanyaları, Psexec’in hızlı ağ numaralandırma ve yük dağıtımındaki rolünü, saldırganların keşif komut dosyalarını yürütmek ve şifreleme yüklerini aynı anda birden fazla sistemde dağıtmak için kullanan araçları gösteriyor.
İstihbarat raporları, PSEXEC istismarının gelişmeye devam ettiğini, tehdit aktörlerinin tekniklerini ortaya çıkan tespit yeteneklerini atlamak için uyarladığını gösteriyor.
Aracın meşru durumu ve kurumsal ortamlarda yaygın dağıtım, saldırı senaryolarında devam eden ilgisini sağlar.
Azaltma stratejileri
Etkili PSEXEC istismarı önleme, hem teknik hem de prosedürel yönleri ele alan katmanlı güvenlik kontrolleri gerektirir. Ağ segmentasyonu, saldırganlar geçerli kimlik bilgileri elde etse bile yanal hareket fırsatlarını sınırlayan temel savunmayı temsil eder.
Kuruluşlar, ağ segmentleri arasındaki SMB trafiğini kontrol eden ve idari pay erişimini izleyen katı güvenlik duvarı kuralları uygulamalıdır.
Kimlik bilgisi hijyen uygulamaları Psexec istismar potansiyelini önemli ölçüde azaltır. En az ayrıcalık ilkelerinin uygulanması, düzenli şifre rotasyonları ve ayrıcalıklı erişim yönetimi (PAM) çözümleri, saldırganlar için mevcut idari kimlik bilgilerini sınırlar.
Kuruluşlar, özellikle yaygın ağ erişimi sağlayan hizmet hesaplarını ve paylaşılan idari kimlik bilgilerini korumaya odaklanmalıdır.
Tespit mühendisliği kapsamlı bir kayıt ve izleme yetenekleri gerektirir. Güvenlik ekipleri, özellikle olağandışı hizmet adları veya yürütülebilir yolları olan etkinlik kimliği 7045 hizmet kurulumları için uyarılar uygulamalıdır.
Olay Kimliği 5145 aracılığıyla adlandırılmış boru izleme, özellikle SMB bağlantı analizi ile birleştirildiğinde ek algılama fırsatları sağlar.
Gelişmiş savunma önlemleri arasında uygulama beyaz listesi, uç nokta tespiti ve yanıt (EDR) dağıtım ve davranışsal analiz platformları bulunmaktadır. Bu teknolojiler, saldırganlar kaçınma teknikleri kullansa bile, örüntü tanıma ve anomali tespiti yoluyla PSEXEC istismarını tanımlayabilir.
Yanal hareket göstergelerine odaklanan düzenli tehdit av egzersizleri, kuruluşların otomatik algılama sistemlerini atlayan sofistike saldırıları belirlemelerine yardımcı olur.
PSEXEC’in modern saldırı kampanyalarında sürekli kötüye kullanılması, meşru idari araçların güvence altına alınmasının devam eden zorluğunu göstermektedir.
Tehdit aktörleri tekniklerini geliştirmeye devam ettikçe, güvenlik ekipleri kapsamlı izleme, sağlam algılama yetenekleri ve proaktif tehdit avcılık uygulamaları yoluyla uyanıklığı korumalıdır.
Psexec’in teknik mekaniği ve saldırı kalıplarını anlamak, savunucuların aracın meşru idari değerini korurken etkili karşı önlemler uygulamalarını sağlar.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
