Lateral Movement / Yatayda İlerleme Nedir? Ağ İçindeki Gizli Yayılım

Bir siber saldırı, genellikle düşük yetkili bir bilgisayara sızılmasıyla başlar. Ancak saldırganın asıl hedefi genellikle ana sunucular veya yönetici hesaplarıdır. Lateral Movement / Yatayda İlerleme, bu hedefe ulaşmak için ağ içerisinde bir cihazdan diğerine "zıplama" sürecidir. Bir Infostealer saldırısında yatayda ilerleme, tek bir bilgisayarın enfekte olmasından tüm şirketin ele geçirilmesine giden yolu açar.

Yatayda İlerleme Teknikleri ve Infostealer Rolü

Saldırganlar ağ içinde yayılmak için şu yöntemleri kullanır:

1. Kimlik Bilgisi Hırsızlığı: İlk enfekte edilen cihazdan çalınan Windows parolaları veya NTLM hash'leri ile diğer bilgisayarlara giriş yapılır.
2. Uzak Masaüstü ve SSH: Çalınan RDP veya SSH bilgileri kullanılarak sunuculara erişim sağlanır.
3. Sistem Açıklarını Kullanma: Ağ üzerindeki yaması yapılmamış diğer cihazlardaki zafiyetler (SMB vb.) tetiklenir.

Neden Tespit Edilmesi Zordur?

Yatayda İlerleme, genellikle ağın kendi içindeki "yasal" trafiği (yönetim araçları gibi) kullandığı için güvenlik duvarları tarafından fark edilmeyebilir. Ancak Dark Radar gibi gelişmiş izleme sistemleri, bir kullanıcı hesabının alışılmadık bir saatte veya farklı bir sunucuda oturum açmaya çalışması gibi anomalileri takip ederek bu sinsi yayılımı yakalar.

Zafiyet Analizinde Segmentasyonun Önemi

Yatayda ilerlemeyi durdurmanın en etkili yolu "Ağ Segmentasyonu"dur. Kurumsal bir zafiyet analizinde, bir bilgisayarın ağdaki tüm sunuculara erişebiliyor olması en büyük risklerden biri olarak raporlanır. Bu analizin amacı, bir Infostealer sızsa bile onu girdiği cihazda hapis tutmaktır.

Özetle; Lateral Movement, saldırının büyüme evresidir. Bu yayılımı durdurmak, yerel bir enfeksiyonun büyük bir veri felaketine dönüşmesini engeller.