Tehdit aktörleri, Active Directory (AD) ortamlarında gizli bir şekilde hareket etmek için Windows Uzaktan Yönetimi’ni (WINRM) giderek daha fazla kullanıyor, ayrıcalıkları artırırken ve kötü niyetli yükleri dağıtarken geleneksel algılama mekanizmalarından kaçıyor.
Microsoft’un WS-Management Protokolü’nü uygulaması WinRM, Windows sistemlerinin temel bir bileşenidir. Yöneticilerin uzak komutları yürütmesini, yapılandırmaları yönetmesini ve PowerShell komut dosyalarını ağ boyunca çalıştırmasını sağlar.
Varsayılan olarak, WINRM HTTP bağlantı noktası 5985 ve HTTPS bağlantı noktası 5986’da dinler ve kimlik doğrulamalı kullanıcıların oturumlar kurmasına ve yönetim görevlerini uzaktan gerçekleştirmesine izin verir.
.png
)
Meşru uzaktan yönetim için tasarlanmış olsa da, WinRM’nin yaygınlığı ve PowerShell ile entegrasyonu, onu yanal hareket yetenekleri arayan saldırganlar için birincil bir hedef haline getiriyor.
Saldırganlar, genellikle kimlik avı, kimlik bilgisi boşaltma veya kaba kuvvet saldırıları yoluyla geçerli kimlik bilgileri elde ettikten sonra, AD etki alanındaki diğer sistemlerde keyfi komutlar veya komut dosyaları yürütmek için WinRM’yi kullanabilirler.
WinRM tabanlı bir saldırının saldırı zinciri
Pratik Güvenlik Analizi bloguna göre, saldırı zinciri genellikle aşağıdaki gibi ortaya çıkıyor:
- İlk Erişim: Saldırgan, genellikle standart bir etki alanı kullanıcısı olarak tek bir uç noktada bir dayanak kazanır.
- Keşif: WinRM özellikli PowerShell komutlarını (örneğin, çağırma-komuta, enter-pssession) kullanan saldırgan, 5985/5986 açık bağlantı noktalarını tarayarak erişilebilir sistemleri numaralandırır.
Kimlik Bilgisi Kötüye Kullanım: Geçerli kimlik bilgileri ile saldırgan, yeni PowerShell oturumlarını ortaya çıkararak uzak sistemlere kimlik doğrulaması yapar.
Her oturum, kullanıcının bağlamı altında WSMPROVHOST.EXE işlemi tarafından normal idari etkinliğe karışabilecek işlenir.
Yük dağıtım: Saldırganlar, PowerShell Cradles veya Reflective .NET modül yükleyicileri gibi gelişmiş teknikleri kullanarak kötü amaçlı yükler kullanırlar.
Bu yöntemler yükü gizler, AMSI’yi (antimalware tarama arayüzü) atar ve tespitten kaçınmak için olay günlüğünü devre dışı bırakır.
Kalıcılık ve yanal hareket: Bu işlemi tekrarlayarak, saldırgan ağ boyunca yanal olarak hareket eder, ayrıcalıkları artırır ve etki alanı denetleyicileri gibi yüksek değerli varlıkları hedefler.
Saldırganlar, bellekte ek yükleri indirip yürüten gizlenmiş bir PowerShell komut dosyası (“beşik”) oluşturur. Komut dosyası aşağıdakiler kullanılarak uzaktan yürütülür:
Bu çok aşamalı yaklaşım AMSI’yi atlar, günlüğü devre dışı bırakır ve son implantı (“Spectre”) tamamen belleğe yükleyerek adli artefaktları azaltır.
Yansıtıcı .NET Modülü Yükleyici yönteminde, saldırganlar derlenmiş bir .NET Assembly’i, modülü yansıtıcı olarak yükleyen ve yürüten iyi huylu görünümlü bir PowerShell komut dosyasına bir bağımsız değişken olarak geçirir:
Bu yaklaşım, meşru idari komut dosyalarında kötü niyetli kodları gizleyerek algılamayı daha zor hale getirir.
Azaltma
Güvenlik uzmanları, WinRM tabanlı yanal hareketin tespit edilmesinin zor olduğu konusunda, yerleşik Windows işlevselliğini kullandığı ve genellikle şifreli kanallar kullandığından uyarıyor. Bununla birlikte, savunucular şu şekilde anormal kullanım modellerini izleyebilir:
- Beklenmedik wsmprovhost.exe işlemleri.
- Olağandışı uzaktan PowerShell aktivitesi.
- İkiz edici olmayan hesaplardan kimlik doğrulama girişimleri.
- 5985/5986 limanlarında yüksek hacimli trafik.
Kuruluşlardan WinRM erişimini kısıtlamaları, güçlü kimlik bilgisi hijyeni uygulamaları ve ağ genelinde yanal hareket göstergelerini ilişkilendirebilen gelişmiş izleme çözümlerini dağıtmaları istenir.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri