Tehdit aktörleri yakın zamanda kurumsal bir ortama sızdı, reklam veritabanı dosyasını ntds.dit attı ve neredeyse tam alan kontrolü elde etti.
AD, Windows alan adlarının omurgası olarak işlev görür, hesap verilerini, grup politikalarını ve şifre karmalarını saklar. Çekirdek dosyasının uzlaşması, saldırganlara Krallığın anahtarlarını etkili bir şekilde verir.
Saldırı Genel Bakış
İhlal, saldırganların bir uzaktan erişim aracını bırakan bir kimlik avı e -postasıyla bir iş istasyonunda idari ayrıcalıklar kazandıklarında başladı.
Oradan yanal olarak hareket ettiler, Mimikatz ile şifre karmalarını çalmak için LSASS proses belleğini yakaladılar.
Horh-the Pass tekniklerini kullanarak, sunuculara kimlik doğruladılar ve sonuçta bir etki alanı denetleyicisine ulaştılar.
Etki alanı denetleyicisinde, saldırganlar kilitli bir reklam veritabanı ile karşılaştı. Kilidi atlamak için, sistem hacminin gizli bir anlık görüntüsünü oluşturmak için Hacim Gölgesi Kopya Hizmeti (VSS) kullandılar.
Bu, şifre çözme anahtarını içeren NTDS.DIT dosyasını ve sistem kayıt defteri kovanını sessizce çıkarmalarını sağladı. Bu iki dosya elinizde olduğunda, tüm reklam veritabanını çevrimdışı şifresini çözebilir ve işleyebilirler.
Gürültülü özel araçlara güvenmek yerine, rakipler kilitli dosyaları kopyalamak için VSSAdmin ve PowerShell yardımcı programları gibi yerleşik Windows komutlarını kullandılar.
SecretDump ile kimlik bilgilerini dökmeden önce Gölge Kopyasını Esentutl ile onardılar.
Son olarak, NTDS.DIT ve Sistem Kovasını bir arşive sıkıştırdılar ve normal trafiğe karışmak için standart KOBİ bağlantılarını kullanarak saldırgan kontrollü bir sunucuya taşıdılar.
Trellix Ağ Tespit ve Yanıtı (NDR), basit imzalar yerine davranışsal kalıpları ve protokol anomalilerini analiz ederek ihlalin temel aşamalarını tanımladı.
Çözüm işaretlendi:
- Şüpheli SMB Trafiği: Yüksek hacimli dosya harici bir IP’ye aktarılır, hizmet protokolleri normal kalıplardan saptığında bir uyarı başlattı.
- Gölge Kopya Oluşturma: VSSADMIN’in uygulayıcı olmayan bir hesapla olağandışı kullanımı, potansiyel veritabanı eksfiltrasyonunu vurgulayarak davranışsal bir tespiti tetikledi.
- Arşiv exfiltration: Sistem hacmi anlık görüntülerinde KOBİ okuma işlemlerinde ani bir artış, yüksek sadakatli bir eksfiltrasyon imzası olarak işaretlendi.
Olay boyunca, Trellix NDR’nin yapay zeka ile çalışan motoru bu uyarıları tutarlı bir öldürme zinciriyle ilişkilendirerek analistleri ilk uzlaşmadan veri hırsızlığına yönlendirdi.
Bu bağlamsal görüş, yanıt sürelerini hızlandırdı ve saldırganların daha da ilerlemesi için ihlalin bulunmasına yardımcı oldu.
Bu ihlal üç hayati dersin altını çiziyor:
- Yerel araç kullanımını izleyin: Yerleşik komutları kullanırken bile atipik VSS ve kayıt defteri dışa aktarma işlemleri konusunda uyarın.
- Profil protokolü davranışları: İnce eksfiltrasyon girişimlerini yakalamak için KOBİ ve RPC trafiği için taban çizgileri oluşturun.
- Uyarıları zincirlerle ilişkilendirin: Swift eylemine rehberlik etmek için bireysel anomalileri birleşik bir saldırı anlatısına gruplayın.
Birden fazla noktada gizli reklam veritabanı hırsızlığı tespit ederek, Trellix NDR gibi modern NDR platformları gelgiti kimlik tabanlı saldırılara karşı çevirebilir.
Güvenlik ekipleri, tam etki alanı uzlaşması gerçekleşmeden önce NTDS.DIT ekstraksiyonunun görünmez işaretlerini tespit etmek için izlemelerini ayarlamalıdır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.