Siber güvenliği artırmak amacıyla Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), çeşitli uluslararası siber güvenlik ajanslarıyla iş birliği yaparak Active Directory ihlallerini tespit etme ve azaltma konusunda kapsamlı bir kılavuz yayınladı.
Avustralya Sinyal Müdürlüğü (ASD), Ulusal Güvenlik Ajansı (NSA), Kanada Siber Güvenlik Merkezi (CCCS), Yeni Zelanda Ulusal Siber Güvenlik Merkezi (NCSC-NZ) ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi’nin (NCSC-UK) ortaklaşa hazırladığı bu rehber, kuruluşları kötü niyetli kişilerin Microsoft Active Directory’yi hedef almak için kullandıkları yaygın teknikler hakkında bilgilendirmeyi amaçlamaktadır.
Active Directory, dünya genelinde kurumsal BT ağlarında kimlik doğrulama ve yetkilendirmenin temel taşıdır ve Active Directory Etki Alanı Hizmetleri (AD DS), Active Directory Federasyon Hizmetleri (AD FS) ve Active Directory Sertifika Hizmetleri (AD CS) gibi hizmetler sunar.
Ancak, temel rolü onu siber saldırganlar için birincil hedef haline getirir. Kılavuz, Active Directory’nin tehlikeye açık olmasının, izin verici varsayılan ayarlarından, karmaşık ilişkilerden ve eski protokollere desteğinden ve güvenlik sorunlarını teşhis etmek için yeterli araçların olmamasından kaynaklandığını vurgular.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağına Dair Ücretsiz Web Semineri -> Ücretsiz Kayıt
Kötü Amaçlı Aktörler Tarafından Kullanılan Yaygın Teknikler
Kılavuzda, kötü niyetli kişilerin Active Directory’yi tehlikeye atmak için kullandıkları 17 yaygın teknik ayrıntılı olarak açıklanıyor.
Temel Teknikler Şunları İçerir:
Kerbero kızartma:Bu, bilet verme hizmeti (TGS) biletlerini elde etmek için bir hizmet asıl adı (SPN) ile yapılandırılmış kullanıcı nesnelerini istismar etmeyi içerir; bu biletler kırılarak düz metin parolası ortaya çıkarılabilir.
Kimlik Doğrulama Sunucusu Yanıtı (AS-REP) Kavurma: Bu teknik, Kerberos ön kimlik doğrulaması gerektirmeyen kullanıcı nesnelerini hedef alır ve saldırganların parolayı elde etmek için Kimlik Doğrulama Sunucusu Yanıt (AS-REP) biletini kırmasına olanak tanır.
Şifre Püskürtme: Saldırganların birden fazla hesaba ait ortak parolaları kullanarak giriş yapmaya çalıştığı bir kaba kuvvet saldırı yöntemi.
MachineAccountQuota Uzlaşması:Bir kullanıcı tarafından oluşturulabilen makine hesaplarının varsayılan kotasını kullanarak yetkisiz erişim elde etmek.
Sınırsız Yetkilendirme: Saldırganların etki alanındaki herhangi bir kullanıcıyı taklit etmesine olanak tanır.
Azaltma Stratejileri
Kılavuz, bu tehditlere karşı korunmak için sağlam azaltma stratejileri sunmaktadır:
Microsoft’un Kurumsal Erişim Modelinin Uygulanması: Bu kademeli model, Seviye 0 kullanıcı nesnelerinin (önemli erişime sahip olanlar) kimlik bilgilerinin daha düşük kademeli sistemlere ifşa edilmemesini ve Seviye 0 bilgisayar nesnelerinin yalnızca Seviye 0 kullanıcı nesneleri tarafından yönetilmesini sağlar.
SPN’leri en aza indirme: Kerberoasting için saldırı yüzeyini sınırlamak amacıyla SPN’lerle yapılandırılmış kullanıcı nesnelerinin sayısını azaltmak.
Kerberos Ön Kimlik Doğrulamasının Sağlanması: AS-REP Kavurmayı azaltmak için tüm kullanıcı nesnelerinin Kerberos ön kimlik doğrulamasını gerektirecek şekilde yapılandırılması.
Grup Yönetimli Hizmet Hesaplarını (gMSA’lar) Kullanma: Hizmet hesaplarını korumak için şifreleri otomatik olarak döndürmek ve karmaşık, öngörülemez şifreler kullanmak.
İzleme ve Kayıt: Şüpheli faaliyetleri tespit etmek için TGS bilet istekleri gibi olayları merkezi olarak kaydedin ve analiz edin.
Meşru ve kötü amaçlı faaliyetler arasındaki benzerlik nedeniyle Active Directory ihlallerini tespit etmek zor olabilir.
Kılavuzda, yanlış yapılandırmaları ve zayıflıkları anlamak ve belirlemek için BloodHound, PingCastle ve Purple Knight gibi araçların kullanılması öneriliyor.
Ayrıca, olası Kerberoasting etkinliğini belirlemek için TGS bilet istekleri için 4769 gibi belirli olay kimliklerinin analiz edilmesini de öneriyor.
Bu kılavuzun yayınlanması, kuruluşların Active Directory ortamlarının güvenliğine öncelik vermeleri konusundaki kritik ihtiyacın altını çiziyor.
Kötü niyetli aktörlerin kullandığı yaygın teknikleri anlayarak ve önerilen azaltma stratejilerini uygulayarak, kuruluşlar siber güvenlik duruşlarını önemli ölçüde iyileştirebilir ve potansiyel olarak yıkıcı tehlikelere karşı koruma sağlayabilirler.
Siber tehditler gelişmeye devam ettikçe, kurumsal BT ağlarının bütünlüğünü korumak için bilgili ve proaktif olmak büyük önem taşıyor.
Herhangi birini analiz edinSuspicious Links Using ANY.RUN's New Safe Browsing Tool: Try It for Free