Merhabalar. RDP yani Uzak Masaüstü Protokolü, Windows sistemlerin en çok hedef alınan noktalarından biridir. Shodan'da port 3389 araması yapıldığında milyonlarca açık sistem çıkar ve bu sistemlerin büyük çoğunluğu sürekli brute force saldırısı altındadır. Saldırgan sisteme girdiğinde, girmeye çalıştığında veya başarısız olduğunda her adım iz bırakır. Bu yazımda RDP brute force saldırısının nasıl gerçekleştiğini, sistemde hangi izleri bıraktığını, bu izlerin nerede bulunduğunu ve bir mavi takım analistinin bu olayı nasıl yeniden inşa ettiğini anlatacağım. İyi okumalar.
RDP Protokolü ve Saldırı Yüzeyi
RDP, Microsoft'un uzak masaüstü erişimi için geliştirdiği protokoldür. Varsayılan olarak TCP port 3389 üzerinden çalışır, şifreli bağlantı kurar ve kullanıcı adı ile parola ile kimlik doğrulama yapar.
Bu tanım güvenli görünür ama pratikte durum farklıdır. RDP doğrudan internete açık bırakıldığında otomatik tarayıcılar dakikalar içinde bağlantı kurmaya çalışır. Botnet'ler yaygın kullanıcı adı ve parola listelerini sırayla dener. Credential stuffing saldırılarında daha önce sızdırılmış kullanıcı adı ve parola çiftleri denenir. Bunlar saatte binlerce deneme anlamına gelir.
RDP brute force özellikle tehlikelidir çünkü başarı durumunda saldırgan doğrudan grafiksel masaüstüne erişir. Dosya sistemi, Görev Yöneticisi, komut istemi, PowerShell hepsi elinin altındadır. Post-exploitation adımları için ideal bir başlangıç noktasıdır.
RDP saldırısında iki ayrı kimlik doğrulama katmanı vardır. Birincisi Network Level Authentication (NLA): bağlantı kurulmadan önce kimlik doğrulama yapılır, başarısız denemeler daha az kaynak tüketir. İkincisi eski protokol modu: bağlantı tamamen kurulduktan sonra giriş ekranı gösterilir, her deneme daha pahalıdır ama daha fazla iz bırakır.
Event Log
Windows olay günlükleri (Event Log) RDP analizi için birincil kaynaktır. Ama tüm günlükler eşit değildir ve her birinin farklı bir hikâyesi vardır.
Security.evtx en kritik olanıdır. Kimlik doğrulama olayları burada kayıt altına alınır. Başarısız giriş denemeleri, başarılı girişler, hesap kilitleme olayları hepsi bu günlükte birikir.
Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational RDP bağlantılarını özel olarak kaydeder. Hangi IP'den bağlantı kuruldu, hangi kullanıcı adıyla denendi, bağlantı başarılı mı oldu bunlar bu günlükte bulunur.
Microsoft-Windows-TerminalServices-LocalSessionManager/Operational ise oturum düzeyinde olayları kaydeder. Oturum ne zaman açıldı, ne zaman bağlantı kesildi, ne zaman yeniden bağlandı.
System.evtx hesap kilitleme politikasıyla ilgili olaylar için ikincil kaynaktır.
Bu günlüklerin Event ID'lerini ezbere bilmek gerekir. 4625 başarısız giriş, 4624 başarılı giriş, 4740 hesap kilitleme, 4648 açık kimlik belirterek giriş, 1149 RDP kullanıcı kimlik doğrulaması. Bunlar bir brute force olayını yeniden kurarken sürekli bakılan değerlerdir.
Brute Force İzini Adım Adım Okumak
Bir brute force saldırısı olay günlüklerinde çok belirgin bir pattern bırakır. Bunu somut bir senaryo üzerinden anlatalım.
Gece 02:14'te bir IP adresinden art arda başarısız giriş denemeleri başlar. Event ID 4625, Logon Type 3 veya 10, aynı kaynak IP, farklı kullanıcı adları sırayla deneniyor: Administrator, admin, user, test, guest... Bu ilk aşama kullanıcı adı numaralandırmasıdır. Sub Status değeri 0xC0000064 ise kullanıcı adı mevcut değil demektir. 0xC000006A ise kullanıcı adı doğru ama parola yanlış demektir ve bu değer gördüğünüzde saldırgan geçerli bir hesap bulmuş demektir.
İkinci aşamada saldırgan bulunan hesaba parola listesi dener. Yine art arda 4625 olayları ama artık aynı kullanıcı adıyla. Bu noktada hesap kilitleme politikası devredeyse 4740 olayı görünür.
Başarılı giriş gerçekleşirse 4624 olayı Logon Type 10 ile görünür, hemen ardından Event ID 21 TerminalServices günlüğünde oturum açılmasını kaydeder. Event ID 1149 kaynak IP'yi ve kullanıcı adını teyit eder.
Bu zinciri takip etmek, saldırının tam olarak ne zaman başladığını, kaç deneme yapıldığını, hangi hesabın kırıldığını ve girişin ne zaman gerçekleştiğini ortaya koyar.
Başarılı Girişten Sonra Bırakılan İzler
Brute force başarıya ulaştığında olay günlükleri tek başına yeterli değildir. Saldırgan sisteme girdikten sonra çok daha fazla iz bırakır ve bu izler farklı yerlerde birikir.
Prefetch dosyaları Windows'un uygulama başlatmayı hızlandırmak için tuttuğu kayıtlardır. Her çalıştırılan uygulama C:\Windows\Prefetch\ altına .pf uzantılı bir dosya bırakır. Saldırgan cmd.exe, powershell.exe, whoami.exe veya mimikatz.exe gibi araçları çalıştırdığında bu araçların prefetch kaydı oluşur ve son çalışma zamanı bu dosyada saklanır.
Shellbag'ler kullanıcının hangi dizinleri gezdiğini kayıt altına alır. Registry'de NTUSER.DAT ve UsrClass.dat içinde saklanır. Saldırgan masaüstünü açtı, Belgelerim'e girdi, C:\Users\ dizinini gezdi bunların hepsi shellbag kayıtlarında görünür.
Recent Items ve LNK dosyaları hangi dosyaların açıldığını gösterir. C:\Users\kullanici\AppData\Roaming\Microsoft\Windows\Recent\ altında her açılan dosya için kısa yol (.lnk) dosyası oluşturulur.
UserAssist kayıtları ise hangi uygulamaların GUI üzerinden ne kadar çalıştırıldığını ROT13 kodlu olarak Registry'de saklar.
Registry Üzerindeki İzler
Registry, Windows'un hafızasıdır. Saldırganın her hareketi burada iz bırakır ve bu izlerin büyük bölümü kullanıcı girişleriyle silinmez.
RDP MRU (Most Recently Used) listesi önemlidir. Kullanıcı veya saldırgan RDP istemcisiyle bir yere bağlandığında bu bağlantı geçmişe yazılır: HKCU\Software\Microsoft\Terminal Server Client\Default ve Servers anahtarlarının altında. Saldırgan sisteme girdikten sonra başka sistemlere atlamak için RDP kullandıysa bu kayıtlar lateral movement zincirini ortaya koyar.
Run ve RunOnce anahtarları kalıcılık için kullanılır. Saldırgan sistemde kalıcı olmak istediğinde zararlı yazılımını bu anahtarlara ekler. HKLM\Software\Microsoft\Windows\CurrentVersion\Run burada standart lokasyondur.
BAM/DAM kayıtları Background Activity Monitor ve Desktop Activity Moderator'ın kısaltmalarıdır. Windows 10 ile gelmiştir ve her uygulamanın son çalışma zamanını UTC olarak Registry'de saklar. Prefetch kayıtları üzerine yazılabilir ama BAM kayıtları silinmesi daha zordur.
Ağ Tarafında RDP İzi
Olay günlükleri ve Registry yalnızca hedef sistem tarafındaki izi gösterir. Ama ağ tarafı da eşit derecede değerli bir kaynak sunar.
NetFlow kayıtları hangi IP'nin ne zaman hangi porta ne kadar veri gönderdiğini özetler. Brute force saldırısı NetFlow'da çok belirgin görünür: bir kaynak IP'den 3389 portuna çok sayıda kısa süreli bağlantı, her biri birkaç kilobyte. Gerçek bir RDP oturumu ise uzun süreli ve çok daha fazla veri taşıyan bir akış olarak görünür.
Firewall logları hangi bağlantılara izin verildiğini ve hangilerinin engellendiğini kaydeder. Brute force IP'si genellikle çok sayıda kabul edilmiş bağlantı üretir.
pcap analizi mümkünse çok daha derin bilgi sunar. RDP TLS şifreli olduğundan içerik okunamaz ama bağlantı kurulum kalıpları, paket boyutları, zamanlama analizi ve TLS handshake bilgileri çıkarılabilir.
JA3 fingerprinting burada da değerlidir. Saldırgan hangi RDP istemcisini kullanıyor? FreeRDP, Remmina, mstsc.exe veya özel bir araç mı? Her istemcinin TLS handshake'i farklı bir JA3 değeri üretir.
Credential Dumping — Girişten Sonra Parola Avcılığı
Saldırgan sisteme girdi. Amacı genellikle tek bir hesapla yetinmemektir. Domain adminliğe ulaşmak, başka sistemlere atlamak, daha yüksek yetkiler elde etmek ister. Bunun için credential dumping yani parola çalma tekniklerine başvurur.
En yaygın hedef LSASS prosesidir. Local Security Authority Subsystem Service, aktif oturumların kimlik bilgilerini bellekte tutar. Mimikatz bu prosesi hedef alarak NTLM hash'lerini ve açık metin parolaları çalar. Bu işlem çok belirgin izler bırakır.
Olay günlüklerinde Event ID 4656 lsass.exe'ye handle açılmasını kaydeder. Event ID 10 Sysmon günlüğünde lsass.exe'ye erişimi özellikle kaydeder. Bu iki olay birlikte görüldüğünde credential dumping girişimi olarak değerlendirilmelidir.
SAM dosyası da hedef alınabilir. Yerel hesap hash'leri bu dosyada saklanır ve normale erişilemez ama reg save komutuyla veya Volume Shadow Copy üzerinden kopyalanabilir.
NTLM hash elde edildikten sonra Pass-the-Hash saldırısı mümkün hale gelir. Parola kırılmak zorunda değildir, hash doğrudan kimlik doğrulama için kullanılır.
Savunma — RDP'yi Nasıl Korursunuz?
Tüm bu izleri okuyabilmek için önce olayın yaşanması gerekmez. Doğru önlemler alındığında RDP brute force saldırısı ya hiç başlamaz ya da çok erken kesilir.
RDP'yi internete doğrudan açmayın. Bu en temel kural ve en sık ihlal edilenidir. RDP'ye erişim yalnızca VPN üzerinden veya belirli IP aralıklarından izin verilmelidir. Bunun tek istisnası yoktur.
NLA zorunlu kılın. Network Level Authentication etkinleştirildiğinde kimlik doğrulama bağlantı kurulmadan önce gerçekleşir. Başarısız denemeler çok daha az kaynak tüketir ve bazı eski exploit tekniklerini engeller.
Hesap kilitleme politikası kurun. Belirli sayıda başarısız denemeden sonra hesabı kilitleyin. Bu brute force'u yavaşlatır ama dikkatli ayarlanmalıdır yoksa DoS riski doğar.
Varsayılan Administrator hesabını devre dışı bırakın. Brute force listelerinin ilk sıralarında Administrator ve admin yer alır. Bu hesabı kapatmak saldırının büyük bölümünü etkisiz kılar.
Çok faktörlü doğrulama. RDP için MFA desteği Windows Hello for Business, Azure AD ve üçüncü taraf çözümlerle sağlanabilir. Parola ele geçirilse bile giriş mümkün olmaz.
Port değiştirme işe yaramaz. 3389 yerine başka port kullanmak yalnızca basit tarayıcıları geçiktirir. Kapsamlı taramalar her portu kontrol eder. Güvenlik için geçerli bir yöntem sayılmaz.
RDP brute force Windows ortamında en yaygın saldırı vektörlerinden biridir ve her adımı iz bırakır. Security.evtx'te Event ID 4625 başarısız girişleri, 4624 başarılı girişi, 4740 hesap kilitlenmeyi kaydeder. Sub Status 0xC000006A geçerli hesap bulunduğunu gösterir. TerminalServices günlüğü kaynak IP ve kullanıcı adını teyit eder. Başarılı girişin ardından prefetch dosyaları çalıştırılan araçları, shellbag'ler gezilen dizinleri, LNK dosyaları açılan belgeleri, BAM kayıtları uygulama çalışma zamanlarını ortaya koyar. Registry'de RDP MRU listesi lateral movement için kullanılan hedefleri, Run anahtarları kalıcılık mekanizmalarını gösterir. Ağ tarafında kısa süreli yüksek frekanslı bağlantılar NetFlow'da brute force desenini açıkça işaret eder. Savunmada RDP'yi internete doğrudan açmamak, NLA zorunlu kılmak, hesap kilitleme politikası ve MFA bu riski büyük ölçüde ortadan kaldırır.
Önemli Hatırlatma: Bu yazıdaki teknikler eğitim, yetkili adli soruşturma ve savunma amaçlı güvenlik araştırması kapsamında paylaşılmıştır. Yetkisiz sistemlere erişim TCK Madde 243 kapsamında suçtur. Denemeyiniz efendim.
RDP Protokolü ve Saldırı Yüzeyi
RDP, Microsoft'un uzak masaüstü erişimi için geliştirdiği protokoldür. Varsayılan olarak TCP port 3389 üzerinden çalışır, şifreli bağlantı kurar ve kullanıcı adı ile parola ile kimlik doğrulama yapar.
Bu tanım güvenli görünür ama pratikte durum farklıdır. RDP doğrudan internete açık bırakıldığında otomatik tarayıcılar dakikalar içinde bağlantı kurmaya çalışır. Botnet'ler yaygın kullanıcı adı ve parola listelerini sırayla dener. Credential stuffing saldırılarında daha önce sızdırılmış kullanıcı adı ve parola çiftleri denenir. Bunlar saatte binlerce deneme anlamına gelir.
RDP brute force özellikle tehlikelidir çünkü başarı durumunda saldırgan doğrudan grafiksel masaüstüne erişir. Dosya sistemi, Görev Yöneticisi, komut istemi, PowerShell hepsi elinin altındadır. Post-exploitation adımları için ideal bir başlangıç noktasıdır.
RDP saldırısında iki ayrı kimlik doğrulama katmanı vardır. Birincisi Network Level Authentication (NLA): bağlantı kurulmadan önce kimlik doğrulama yapılır, başarısız denemeler daha az kaynak tüketir. İkincisi eski protokol modu: bağlantı tamamen kurulduktan sonra giriş ekranı gösterilir, her deneme daha pahalıdır ama daha fazla iz bırakır.
Event Log
Windows olay günlükleri (Event Log) RDP analizi için birincil kaynaktır. Ama tüm günlükler eşit değildir ve her birinin farklı bir hikâyesi vardır.
Security.evtx en kritik olanıdır. Kimlik doğrulama olayları burada kayıt altına alınır. Başarısız giriş denemeleri, başarılı girişler, hesap kilitleme olayları hepsi bu günlükte birikir.
Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational RDP bağlantılarını özel olarak kaydeder. Hangi IP'den bağlantı kuruldu, hangi kullanıcı adıyla denendi, bağlantı başarılı mı oldu bunlar bu günlükte bulunur.
Microsoft-Windows-TerminalServices-LocalSessionManager/Operational ise oturum düzeyinde olayları kaydeder. Oturum ne zaman açıldı, ne zaman bağlantı kesildi, ne zaman yeniden bağlandı.
System.evtx hesap kilitleme politikasıyla ilgili olaylar için ikincil kaynaktır.
Bu günlüklerin Event ID'lerini ezbere bilmek gerekir. 4625 başarısız giriş, 4624 başarılı giriş, 4740 hesap kilitleme, 4648 açık kimlik belirterek giriş, 1149 RDP kullanıcı kimlik doğrulaması. Bunlar bir brute force olayını yeniden kurarken sürekli bakılan değerlerdir.
Brute Force İzini Adım Adım Okumak
Bir brute force saldırısı olay günlüklerinde çok belirgin bir pattern bırakır. Bunu somut bir senaryo üzerinden anlatalım.
Gece 02:14'te bir IP adresinden art arda başarısız giriş denemeleri başlar. Event ID 4625, Logon Type 3 veya 10, aynı kaynak IP, farklı kullanıcı adları sırayla deneniyor: Administrator, admin, user, test, guest... Bu ilk aşama kullanıcı adı numaralandırmasıdır. Sub Status değeri 0xC0000064 ise kullanıcı adı mevcut değil demektir. 0xC000006A ise kullanıcı adı doğru ama parola yanlış demektir ve bu değer gördüğünüzde saldırgan geçerli bir hesap bulmuş demektir.
İkinci aşamada saldırgan bulunan hesaba parola listesi dener. Yine art arda 4625 olayları ama artık aynı kullanıcı adıyla. Bu noktada hesap kilitleme politikası devredeyse 4740 olayı görünür.
Başarılı giriş gerçekleşirse 4624 olayı Logon Type 10 ile görünür, hemen ardından Event ID 21 TerminalServices günlüğünde oturum açılmasını kaydeder. Event ID 1149 kaynak IP'yi ve kullanıcı adını teyit eder.
Bu zinciri takip etmek, saldırının tam olarak ne zaman başladığını, kaç deneme yapıldığını, hangi hesabın kırıldığını ve girişin ne zaman gerçekleştiğini ortaya koyar.
Başarılı Girişten Sonra Bırakılan İzler
Brute force başarıya ulaştığında olay günlükleri tek başına yeterli değildir. Saldırgan sisteme girdikten sonra çok daha fazla iz bırakır ve bu izler farklı yerlerde birikir.
Prefetch dosyaları Windows'un uygulama başlatmayı hızlandırmak için tuttuğu kayıtlardır. Her çalıştırılan uygulama C:\Windows\Prefetch\ altına .pf uzantılı bir dosya bırakır. Saldırgan cmd.exe, powershell.exe, whoami.exe veya mimikatz.exe gibi araçları çalıştırdığında bu araçların prefetch kaydı oluşur ve son çalışma zamanı bu dosyada saklanır.
Shellbag'ler kullanıcının hangi dizinleri gezdiğini kayıt altına alır. Registry'de NTUSER.DAT ve UsrClass.dat içinde saklanır. Saldırgan masaüstünü açtı, Belgelerim'e girdi, C:\Users\ dizinini gezdi bunların hepsi shellbag kayıtlarında görünür.
Recent Items ve LNK dosyaları hangi dosyaların açıldığını gösterir. C:\Users\kullanici\AppData\Roaming\Microsoft\Windows\Recent\ altında her açılan dosya için kısa yol (.lnk) dosyası oluşturulur.
UserAssist kayıtları ise hangi uygulamaların GUI üzerinden ne kadar çalıştırıldığını ROT13 kodlu olarak Registry'de saklar.
Registry Üzerindeki İzler
Registry, Windows'un hafızasıdır. Saldırganın her hareketi burada iz bırakır ve bu izlerin büyük bölümü kullanıcı girişleriyle silinmez.
RDP MRU (Most Recently Used) listesi önemlidir. Kullanıcı veya saldırgan RDP istemcisiyle bir yere bağlandığında bu bağlantı geçmişe yazılır: HKCU\Software\Microsoft\Terminal Server Client\Default ve Servers anahtarlarının altında. Saldırgan sisteme girdikten sonra başka sistemlere atlamak için RDP kullandıysa bu kayıtlar lateral movement zincirini ortaya koyar.
Run ve RunOnce anahtarları kalıcılık için kullanılır. Saldırgan sistemde kalıcı olmak istediğinde zararlı yazılımını bu anahtarlara ekler. HKLM\Software\Microsoft\Windows\CurrentVersion\Run burada standart lokasyondur.
BAM/DAM kayıtları Background Activity Monitor ve Desktop Activity Moderator'ın kısaltmalarıdır. Windows 10 ile gelmiştir ve her uygulamanın son çalışma zamanını UTC olarak Registry'de saklar. Prefetch kayıtları üzerine yazılabilir ama BAM kayıtları silinmesi daha zordur.
Ağ Tarafında RDP İzi
Olay günlükleri ve Registry yalnızca hedef sistem tarafındaki izi gösterir. Ama ağ tarafı da eşit derecede değerli bir kaynak sunar.
NetFlow kayıtları hangi IP'nin ne zaman hangi porta ne kadar veri gönderdiğini özetler. Brute force saldırısı NetFlow'da çok belirgin görünür: bir kaynak IP'den 3389 portuna çok sayıda kısa süreli bağlantı, her biri birkaç kilobyte. Gerçek bir RDP oturumu ise uzun süreli ve çok daha fazla veri taşıyan bir akış olarak görünür.
Firewall logları hangi bağlantılara izin verildiğini ve hangilerinin engellendiğini kaydeder. Brute force IP'si genellikle çok sayıda kabul edilmiş bağlantı üretir.
pcap analizi mümkünse çok daha derin bilgi sunar. RDP TLS şifreli olduğundan içerik okunamaz ama bağlantı kurulum kalıpları, paket boyutları, zamanlama analizi ve TLS handshake bilgileri çıkarılabilir.
JA3 fingerprinting burada da değerlidir. Saldırgan hangi RDP istemcisini kullanıyor? FreeRDP, Remmina, mstsc.exe veya özel bir araç mı? Her istemcinin TLS handshake'i farklı bir JA3 değeri üretir.
Credential Dumping — Girişten Sonra Parola Avcılığı
Saldırgan sisteme girdi. Amacı genellikle tek bir hesapla yetinmemektir. Domain adminliğe ulaşmak, başka sistemlere atlamak, daha yüksek yetkiler elde etmek ister. Bunun için credential dumping yani parola çalma tekniklerine başvurur.
En yaygın hedef LSASS prosesidir. Local Security Authority Subsystem Service, aktif oturumların kimlik bilgilerini bellekte tutar. Mimikatz bu prosesi hedef alarak NTLM hash'lerini ve açık metin parolaları çalar. Bu işlem çok belirgin izler bırakır.
Olay günlüklerinde Event ID 4656 lsass.exe'ye handle açılmasını kaydeder. Event ID 10 Sysmon günlüğünde lsass.exe'ye erişimi özellikle kaydeder. Bu iki olay birlikte görüldüğünde credential dumping girişimi olarak değerlendirilmelidir.
SAM dosyası da hedef alınabilir. Yerel hesap hash'leri bu dosyada saklanır ve normale erişilemez ama reg save komutuyla veya Volume Shadow Copy üzerinden kopyalanabilir.
NTLM hash elde edildikten sonra Pass-the-Hash saldırısı mümkün hale gelir. Parola kırılmak zorunda değildir, hash doğrudan kimlik doğrulama için kullanılır.
Savunma — RDP'yi Nasıl Korursunuz?
Tüm bu izleri okuyabilmek için önce olayın yaşanması gerekmez. Doğru önlemler alındığında RDP brute force saldırısı ya hiç başlamaz ya da çok erken kesilir.
RDP'yi internete doğrudan açmayın. Bu en temel kural ve en sık ihlal edilenidir. RDP'ye erişim yalnızca VPN üzerinden veya belirli IP aralıklarından izin verilmelidir. Bunun tek istisnası yoktur.
NLA zorunlu kılın. Network Level Authentication etkinleştirildiğinde kimlik doğrulama bağlantı kurulmadan önce gerçekleşir. Başarısız denemeler çok daha az kaynak tüketir ve bazı eski exploit tekniklerini engeller.
Hesap kilitleme politikası kurun. Belirli sayıda başarısız denemeden sonra hesabı kilitleyin. Bu brute force'u yavaşlatır ama dikkatli ayarlanmalıdır yoksa DoS riski doğar.
Varsayılan Administrator hesabını devre dışı bırakın. Brute force listelerinin ilk sıralarında Administrator ve admin yer alır. Bu hesabı kapatmak saldırının büyük bölümünü etkisiz kılar.
Çok faktörlü doğrulama. RDP için MFA desteği Windows Hello for Business, Azure AD ve üçüncü taraf çözümlerle sağlanabilir. Parola ele geçirilse bile giriş mümkün olmaz.
Port değiştirme işe yaramaz. 3389 yerine başka port kullanmak yalnızca basit tarayıcıları geçiktirir. Kapsamlı taramalar her portu kontrol eder. Güvenlik için geçerli bir yöntem sayılmaz.
RDP brute force Windows ortamında en yaygın saldırı vektörlerinden biridir ve her adımı iz bırakır. Security.evtx'te Event ID 4625 başarısız girişleri, 4624 başarılı girişi, 4740 hesap kilitlenmeyi kaydeder. Sub Status 0xC000006A geçerli hesap bulunduğunu gösterir. TerminalServices günlüğü kaynak IP ve kullanıcı adını teyit eder. Başarılı girişin ardından prefetch dosyaları çalıştırılan araçları, shellbag'ler gezilen dizinleri, LNK dosyaları açılan belgeleri, BAM kayıtları uygulama çalışma zamanlarını ortaya koyar. Registry'de RDP MRU listesi lateral movement için kullanılan hedefleri, Run anahtarları kalıcılık mekanizmalarını gösterir. Ağ tarafında kısa süreli yüksek frekanslı bağlantılar NetFlow'da brute force desenini açıkça işaret eder. Savunmada RDP'yi internete doğrudan açmamak, NLA zorunlu kılmak, hesap kilitleme politikası ve MFA bu riski büyük ölçüde ortadan kaldırır.
Önemli Hatırlatma: Bu yazıdaki teknikler eğitim, yetkili adli soruşturma ve savunma amaçlı güvenlik araştırması kapsamında paylaşılmıştır. Yetkisiz sistemlere erişim TCK Madde 243 kapsamında suçtur. Denemeyiniz efendim.
