Bilgi güvenliği testlerinde iç ağ keşfi ve saldırıları, kurumsal sistemlerde kritik zafiyetleri tespit etmek ve bu zafiyetlerden faydalanmak için kullanılan temel tekniklerdendir. Bu yazıda ARP Spoofing, Man-in-the-Middle (MITM) saldırıları, SMB Relay, LLMNR ve NBT-NS Poisoning gibi yaygın tekniklerin teorik ve uygulamalı detayları ele alınacaktır.

ARP Spoofing ve Man-in-the-Middle (MITM) Saldırıları

ARP Spoofing Nedir?

ARP (Address Resolution Protocol), IP adreslerini fiziksel MAC adreslerine eşleştiren bir protokoldür. ARP Spoofing, bu protokolün çoklu yayın (“broadcast”) özelliğinden faydalanarak hedeflerin ARP tablolarına sahte bilgiler enjekte edilmesi ile yapılan bir saldırı türüdür. Bu sayede bir siber saldırgan, ağda çift taraflı trafik akışını kendi cihazı üzerinden yönlendirebilir.

Man-in-the-Middle (MITM) Saldırıları

MITM saldırıları, iki cihaz arasındaki iletişimi gizlice ele geçirmek ve değiştirmek üzere yapılan bir tekniktir. Bu, ağı dinleme (packet sniffing), veri manipülasyonu ve kimlik bilgisi çalma gibi çeşitli amaca hizmet edebilir.

Uygulama: ARP Spoofing ve MITM

Araçlar:

• Ettercap: ARP Spoofing ve paket dinleme için yaygın bir aracıdır.
• Wireshark: Trafiği analiz etmek ve kritik verileri yakalamak için kullanılır.

Adımlar:

1. Ettercap kullanarak ağda hedef cihazın IP adresini ve ağ geçidini belirleyin.
2. ARP Spoofing işlemini başlatın ve hedef cihaz ile ağ geçidi arasındaki trafiği kendi cihazınız üzerine yönlendirin.
3. Wireshark kullanarak oturum açma bilgilerinin (örneğin, kullanıcı adı ve şifre) ele geçirilmesini sağlayın.

Korunma Yöntemleri:

• Statik ARP tabloları kullanın.
• Yerel ağda IPSec veya HTTPS gibi güvenli protokoller uygulayın.
• IDS/IPS sistemleri ile ARP tablosu anormalliklerini izleyin.

SMB Relay ve LLMNR/NBT-NS Poisoning Teknikleri

SMB Relay Nedir?

SMB Relay, hedef bir kullanıcının kimlik bilgilerini yakalayan ve bu bilgileri kullanarak hedef sistemde oturum açmaya çalışan bir saldırı tekniğidir. Bu tür saldırılar genellikle şifreleme olmayan SMB (Server Message Block) protokolü üzerinde yapılır.

LLMNR/NBT-NS Poisoning

LLMNR (Link-Local Multicast Name Resolution) ve NBT-NS (NetBIOS Name Service), sistemlerin DNS ad çözümü yapamadığı durumlarda alternatif olarak kullanılır. Poisoning saldırılarında, saldırgan kendini sahte bir kaynak olarak tanıtarak kimlik bilgilerini ele geçirebilir.

Uygulama: Responder ile Kimlik Bilgisi Yakalama

Araçlar:

• Responder: SMB, LLMNR ve NBT-NS trafiğini ele geçirmek için kullanılan etkili bir aracıdır.

Adımlar:

1. Responder aracını ağ dinleme modunda çalıştırın.

   responder -I [interface]

2. Hedef kullanıcının DNS ad çözüm sorunları oluşturmasını bekleyin.
3. Responder, LLMNR/NBT-NS trafiğini zehirleyerek kullanıcı kimlik bilgilerini ele geçirecektir.
4. Yakalanan NTLMv2 hash bilgilerini John the Ripper veya Hashcat ile kırın ya da SMB Relay tekniği ile yeniden kullanın.

Korunma Yöntemleri:

• LLMNR ve NBT-NS’yi devre dışı bırakın.
• SMB Signing (imzalama) özelliğini etkinleştirin.
• Aktif dizin ve DNS yapısını optimize ederek çözüm problemlerini azaltın.

Örnek Uygulama: Responder ile Kimlik Bilgisi Yakalama

Bu bölümde, yukarıda belirtilen tekniklerin nasıl birleştirilebileceği anlatılmaktadır.

Senaryo:

Bir şirkete ait ağda, kullanıcı kimlik bilgilerinin ele geçirilmesi ve bu bilgilerin SMB protokolü aracılığıyla istismar edilmesi.

Adımlar:

1. Responder aracı ile ağ trafiği dinlenir ve NBT-NS Poisoning ile kimlik bilgileri yakalanır.
2. Yakalanan NTLM hash değeri Hashcat kullanılarak kırılır veya SMB Relay işlemiyle hedef sistemde oturum açılır.
3. Hedef sistemde kritik dosyalar veya ağ kaynakları incelenir.

Komutlar:

# Responder ile dinleme başlatılır
responder -I eth0

# Yakalanan NTLM hash bilgisi kırılır
hashcat -m 5600 hash.txt wordlist.txt

Bu uygulama, zafiyetlerin tespiti ve çözümü için etkili bir metodoloji sunar. Aynı zamanda, ağ güvenliği konusundaki farkındalığı artırır.

Bu detaylar, iç ağ güvenliği ve test tekniklerinde çalışan uzmanlar için hem teorik hem de pratik bilgi sağlamaktadır.