← Tüm terimler
Yanal Hareket

Yanal Hareket Nedir?

Yanal hareket, saldırganların ele geçirdikleri bir sistemden diğerlerine, kimlik bilgilerini ve güven ilişkilerini kullanarak yayılması ve değerli hedeflere ulaşmasıdır.

Son güncelleme: 15 Temmuz 2026

Yanal Hareket Nasıl Çalışır

İlk erişim, saldırganı nadiren değerin bulunduğu yere indirir. Oltalanan bir iş istasyonu veya kaba kuvvetle ele geçirilen bir uç sunucu yalnızca başlangıç noktasıdır; veriler, yedekler ve etki alanı denetleyicileri başka yerdedir. Yanal hareket, saldırganın tek tutunma noktasını çok sayıda noktaya dönüştürdüğü, hedefine ulaşana kadar sistemden sisteme atladığı aşamadır.

İşleyiş, istismarlardan çok ezici biçimde meşru işlevselliğe dayanır. Saldırganlar ilk makinede önbelleğe alınmış kimlik bilgilerini, yani parolaları, özetleri, Kerberos biletlerini, SSH anahtarlarını ve oturum belirteçlerini toplar ve bunları uzak masaüstü, SMB, uzaktan yönetim çerçeveleri ve SSH gibi olağan yönetim kanalları üzerinden yeniden kullanır. Her yeni sistem, çoğu zaman bir öncekinden daha yetkili taze kimlik bilgileri sağlar ve döngü tekrarlanır. Trafik olağan yönetim işlemleri gibi göründüğü için bu aşama haftalarca alarm tetiklemeden sürebilir.

Neden Önemli

Ele geçirilen tek bir dizüstü bilgisayar ile tüm etki alanını kapsayan bir fidye yazılımı olayı arasındaki mesafe, yanal harekettir. Bu hareketi durdurmak, olayın sınırlı bir temizlik mi yoksa şirket çapında bir kriz mi olacağını belirler. Büyük ihlallerin analizleri, saldırganların bekleme sürelerinin çoğunu bu aşamada, harekete geçmeden önce ağı haritalayıp kimlik bilgisi biriktirerek geçirdiğini tutarlı biçimde gösterir.

Bu hareketi ucuz kılan, düz ağlar ve kalıcı yönetimsel erişimdir. Tek bir yerel yönetici parolası yüzlerce uç noktada tekrar kullanıldığında ya da etki alanı yöneticileri sıradan iş istasyonlarına girip bellekte kimlik bilgisi bıraktığında, her sıçrama saldırgana neredeyse hiçbir şeye mal olmaz. Buna karşılık ağı bölümlere ayıran ve kalıcı ayrıcalığı ortadan kaldıran ortamlar, saldırganları gürültülü ve tespit edilebilir davranışlara zorlar.

Yanal Hareket Nasıl Sınırlanır

Savunmanın amacı her sıçramayı pahalı hale getirmektir. Ağ bölümlendirmesi ve ana bilgisayar güvenlik duvarları, iş istasyonları arasındaki doğrudan yolları kaldırır ve yönetimi özel kanallarla sınırlar. Makine başına benzersiz yerel yönetici parolaları, tek bir kimlik bilgisinin tüm filoyu açmasını engeller; katmanlı yönetim ise etki alanı düzeyindeki kimlik bilgilerini, toplanabilecekleri düşük güvenlikli sistemlerden uzak tutar.

Ayrıcalıklı erişim kontrolleri bu kazanımları katlar: kullanıcıların hiç görmediği kasadaki kimlik bilgileri makinelerinden çalınamaz; tam zamanında yetki yükseltme sayesinde kötüye kullanılacak kalıcı yönetici erişimi çoğu zaman bulunmaz; yönetim oturumlarını Monopam gibi kayıt tutan bir geçitten geçirmek hem bir denetim noktası hem de bir iz oluşturur. Tespit ise hareketin kendisini izler: alışılmadık sistem çiftleri arasındaki oturum açmalar, mesai dışı kimlik bilgisi kullanımı ve daha önce hiç çalışmadıkları makinelerde beliren yönetim araçları.

Sık sorulan sorular

Yanal hareketten önce her zaman ayrıcalık yükseltme mi gelir?
Şart değildir; ikisi iç içe ilerler. Saldırgan, sıradan kullanıcı kimlik bilgileriyle yanal hareket ederek yükseltmenin mümkün olduğu bir sisteme ulaşabilir, ardından elde ettiği yüksek haklarla daha da ilerleyebilir. Zincirin herhangi bir halkasını koparmak, yani sıçramaları engellemek veya yükseltmeyi önlemek, tüm zinciri bozar.
Yanal hareketi tespit etmek neden zordur?
Çünkü meşru yönetimle aynı protokolleri, araçları ve kimlik bilgilerini kullanır. Geçerli kimlik bilgileriyle açılan bir uzak masaüstü oturumu tek başına normaldir; ancak bir hesabın daha önce hiç kullanmadığı sistemlere dokunması gibi bağlam içinde şüpheli hale gelir. Bu yüzden tespit, normal davranışın taban çizgisini çıkarmaya ve olayları sistemler arasında ilişkilendirmeye dayanır.