
Siber saldırılar giderek daha karmaşık hale geldikçe, yanal hareketi tespit ederek rakiplerin ilk uzlaştıktan sonra ağlarda gezinmek için kullandıkları teknikler siber güvenlik ekipleri için kritik bir odak noktası haline geldi.
2025 yılında kuruluşlar, geleneksel savunmaları atlamak için uzaktan masaüstü protokolü (RDP), Sunucu Mesaj Bloğu (SMB) ve Windows Yönetimi Enstrümantasyonu (WMI) gibi meşru Windows hizmetlerinden yararlanan saldırganlardan artan risklerle karşı karşıyadır.
Bu makale, bu gizli manevralarla mücadele eden en son tespit metodolojilerini, araçlarını ve yeniliklerini inceler.
Yanal hareket tekniklerinin evrimi
Yanal hareket, saldırganların düşük değerli sistemlerden kritik varlıklara, genellikle güvenilir protokollerde çalınan kimlik bilgileri veya güvenlik açıkları kullanarak dönmesini sağlar.
MITER ATT & CK Framework, Horh-Pass, Uzaktan Hizmetlerin Kullanımı ve Dahili Mızrakfing dahil olmak üzere ortak taktikleri sınıflandırır.
Örneğin, rakipler, komutları uzaktan yürütmek için Psexec veya WMI gibi araçları sıklıkla kötüye kullanır ve meşru idari faaliyetleri taklit eder.
Son kampanyalar, yanal geçiş için Windows Uzaktan Yönetimi (WINRM) ve SMB’nin kötüye kullanılmasını vurgulamaktadır. Saldırganlar, cihazlar arasında kimlik doğrulaması yapmak için olay kimliği 4648 (“Açık kimlik bilgileri”) kullanırken, bellekte saklanan Mimikatz Hasat Kimlik Bilgileri gibi araçlar.
Microsoft’un kimlik savunucusu birçok ihlalde yanal hareket yollarını (LMP) tanımladı ve taktiğin yaygınlığının altını çizdi.
Tespit stratejileri: günlük analizi ve davranışsal izleme
1. Olay Günlüğü Korelasyonu
Güvenlik ekipleri, kimlik doğrulama anomalilerini izlemek için Windows güvenlik günlüklerine öncelik verir. Temel göstergeler şunları içerir:
- Oturum Açma Tip 3 (Ağ Girişleri) Ayrıcalıklı hesap erişimi ile eşleştirildi (Olay Kimliği 4672)
- WinRM Etkinlik Kimlikleri 6 ve 91, Uzaktan PowerShell Yürütülmesini Sinyalleştiriyor
- Admin Olmayan Kullanıcılardan SMB Dosya Erişimi (Olay Kimliği 5145)
Tespit kuralları şüpheli WMI işlemlerini işaretleyebilir ( wmiprvse.exe
) ve 5985/5986 bağlantı noktalarında winrm kabuk infazları. Benzer şekilde, güvenlik analistleri Psexec etkinliğini beklenmedik hizmet kurulumlarıyla ilişkilendirebilir (Olay Kimliği 4697).
2. Son nokta ve ağ telemetrisi
Son nokta algılama ve yanıt (EDR) araçları, kötü amaçlı iş akışlarını tanımlamak için işlem ağaçlarını ve kayıt defteri değişikliklerini analiz eder. Ağ segmentasyonu yanal yayılmayı sınırlar ve saldırganları daha tespit edilebilir bölgeler arası trafiği tetiklemeye zorlar.
Yanal hareket tespitinde yenilikler
1. Kimlik LMP’leri için Microsoft Defender
Microsoft, LMP görselleştirme araçlarını geliştirerek, duyarlı olmayan hesapların ayrıcalıklı kaynaklara nasıl erişmesine neden oldu. Grup üyeliklerini ve giriş kalıplarını analiz ederek Defender, “Etki Alanı Kullanıcısı → İK Server → Etki Alanı Yöneticisi” gibi saldırı yollarını tanımlar.
Gelişmiş av sorguları artık proaktif LMP azaltmayı etkinleştirerek pozlama pencerelerini önemli ölçüde azaltır.
2. Crowdstrike’ın evlilik çapraz tehdidi bağlantısı
CrowdStrike’ın yanal hareket zaman çizelgesi, şüpheli kimlik bilgisi kullanımını veya uzaktan yürütmeleri vurgulayarak ev sahipleri arasındaki olayları otomatik olarak ilişkilendirir. Bu araç, daha geniş saldırı anlatılarındaki uyarıları bağlamsallaştırarak araştırma süresini azaltır.
3. Makine Öğrenimi ve UEBA
Kullanıcı ve Varlık Davranış Analizi (UEBA) Platformları Temel Düzenli Etkinlik, Saatler Sabağı Oturum Açmaları veya Atipik RDP bağlantıları gibi sapmalar. Kimlik doğrulama olayları konusunda eğitilmiş makine öğrenme modelleri, bilet geçiş saldırılarını doğru bir şekilde tespit edebilir.
Zorluklar ve azaltma önerileri
Gelişmelere rağmen, saldırganlar sürekli uyum sağlar. İstismar etmek gibi arazi taktikleri schtasks.exe
Planlanan görevler için karmaşık algılama. Buna karşı, uzmanlar:
- Süreç oluşturma ve dosya transferlerini izlemesini sağlayan sysmon günlüğünün etkinleştirilmesi
- İmtiyazlı hesapların kimlik bilgisi tabanlı hareketi bozması için çok faktörlü kimlik doğrulama (MFA) uygulama
- Hizmet hesaplarını düzenli olarak denetleme ve RDP/SMB izinlerini kısıtlama
Sonuç: 2025 için katmanlı bir savunma
Yanal hareket teknikleri geliştikçe, savunma stratejileri bu yüzden olmalıdır. Granüler günlük analizini, EDR görünürlüğünü ve AI güdümlü davranışsal izlemeyi birleştirmek sağlam bir algılama çerçevesi oluşturur.
Microsoft’un LMP’leri ve CrowdStrike’ın ev sahipleri arası analizleri gibi araçlar ileri ileri önemli sıçramaları temsil ediyor, ancak insan uzmanlığı uyarıları yorumlamak ve altyapıyı sertleştirmek için hayati önem taşıyor.
İhlallerin önemli bir kısmının yanal hareketi içerdiği bir dönemde, proaktif savunma artık isteğe bağlı değil, varoluşsaldır.
Kuruluşlar, önde kalmak için sürekli eğitime, yama yönetimine ve tehdit istihbarat topluluklarıyla işbirliğine öncelik vermelidir. Yanal hareket araştırmalarında, muhafaza ve felaket arasındaki fark genellikle saatlerce değil, dakikalara bağlıdır.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!