Kimlik doğrulama zorlaması, küresel olarak kuruluşlar genelinde Windows ve Active Directory ortamlarını hedef alan karmaşık ve gelişen bir tehdidi temsil eder.
Bu saldırı yöntemi, her Windows işletim sisteminde yerleşik olan temel iletişim mekanizmalarından yararlanarak makineleri, hassas kimlik bilgilerini saldırganın kontrol ettiği altyapıya otomatik olarak iletecek şekilde yönlendirir.
Bu tehdit vektörünün ortaya çıkışı, tehdit aktörlerinin giderek karmaşıklaşan savunma mekanizmalarını atlatmak için stratejilerini nasıl uyarladıklarındaki önemli değişimi yansıtıyor.
Saldırının karmaşıklığı, meşru Windows işlevselliğini kendisine karşı kullanma becerisinde yatmaktadır. Saldırganlar, bir kuruluşun ağında güvenilir kaynaklar olarak görünecek şekilde tasarlanmış kötü niyetli dinleyiciler oluşturur.
Güvenliği ihlal edilmiş veya hedeflenen bir makine, meşru bir sunucu olduğuna inandığı bir sunucuya bağlanmaya çalıştığında, saldırgana otomatik olarak karma şifrelenmiş kimlik bilgileri gönderir.
Bu işlem, Windows ve Active Directory altyapısında işlemler arası iletişimin omurgası görevi gören Uzaktan Yordam Çağrısı (RPC) işlevleri aracılığıyla gerçekleşir.
Saldırı, herhangi bir özel izin gerektirmediğinden, kavram kanıtlama araçları kullanıma sunulduktan sonra minimum teknik uzmanlıkla çalışan tehdit aktörlerinin erişimine açık hale geliyor.
Son dönemdeki tehdit istihbaratı, bu saldırı yönteminin yaygın kullanım yetenekleri nedeniyle önemli riskler taşıdığını gösteriyor.
Palo Alto Networks güvenlik analistleri, kimlik doğrulama zorlama tekniklerinin nadir ve daha az bilinen RPC protokolleri aracılığıyla silah haline getirilerek saldırganların geleneksel algılama mekanizmalarından kaçmasına olanak sağladığını tespit etti.
Güvenlik araştırmacıları, bunun, tehdit aktörlerinin geleneksel izleme uyarılarını tetiklemekten kaçınmak için belirsiz RPC işlevlerini kasıtlı olarak kötüye kullandığı endişe verici bir eğilimi temsil ettiğini belirtti.
Kimlik doğrulama zorlamasının teknik mekaniği, RPC mesaj protokolleri ve bunların parametre yönetimi üzerinde yoğunlaşır.
.webp)
Uzaktan Yordam Çağrısı işlevleri, çoğu Evrensel Adlandırma Kuralı (UNC) yollarını parametre olarak kabul ederek hem yerel hem de uzak sistem iletişimi için tasarlanmıştır.
Saldırganlar, saldırgan tarafından kontrol edilen UNC yollarını içeren kötü amaçlı RPC istekleri oluşturduğunda, hedeflenen makinenin otomatik kimlik doğrulama davranışı silah haline gelir.
Örneğin, MS-EVEN EventLog Uzaktan İletişim Protokolü içindeki ElfrOpenBELW işlevi bu şekilde kullanılabilir, ancak bu özel arayüz normal kurumsal ağ trafiğinde nadiren görünür.
Kimlik doğrulama zorlama mekanizmaları
Kimlik doğrulama zorlama mekanizmalarının ayrıntılı bir analizi, farklı protokoller aracılığıyla birden fazla istismar vektörünü ortaya çıkarır.
MS-RPRN Yazdırma Sistemi Uzaktan Protokolü, MS-EFSR Şifreleme Dosya Sistemi Uzaktan Protokolü, MS-DFSNM Dağıtılmış Dosya Sistemi Ad Alanı Yönetim Protokolü ve MS-FSRVP Dosya Sunucusu Uzaktan VSS Protokolü’nün tümü, tehdit aktörlerinin yararlanabileceği istismar edilebilir seçenekler sunar.
.webp)
PrinterBug, PrintNightmare, PetitPotam, DFSCoerce ve ShadowCoerce gibi iyi belgelenmiş araçlar, kullanıma hazır yararlanma çerçevelerinin bu saldırıların yürütülmesini ne kadar kolaylaştırdığını gösteriyor.
Başarılı kimlik doğrulama zorlamasının etkisi, basit kimlik bilgisi hırsızlığının çok ötesine uzanır. Kuruluşlar, saldırganların Etki Alanı Denetleyicileri ve Sertifika Yetkilisi sunucuları da dahil olmak üzere kritik altyapının NTLM karmalarını çaldığı tam etki alanı güvenliği ihlali senaryolarıyla karşı karşıyadır.
Bu kimlik bilgileri yatay harekete, DCSync saldırıları yoluyla ayrıcalık yükseltmeye ve kalıcı erişim mekanizmalarının kurulmasına olanak tanır.
Belgelenen olaylarda, tehdit aktörleri, çalıntı makine hesabı karmalarını sertifika yetkililerine karşı kullanarak NTLM geçiş saldırıları gerçekleştirerek, uzun vadeli kalıcılık ve hassas verilerin sızması için yollar oluşturdu.
Kuruluşların, olağandışı kaynak-hedef kombinasyonları, şüpheli UNC yolu parametreleri ve nadiren kullanılan arayüzleri hedefleyen çağrılar dahil olmak üzere anormal RPC trafik modellerine odaklanan güçlü algılama stratejileri uygulaması gerekir.
Kritik önleyici tedbirler arasında etki alanları arasında SMB imzalamanın zorunlu kılınması, kritik varlıklarda kullanılmayan RPC hizmetlerinin devre dışı bırakılması, Kimlik Doğrulaması için Genişletilmiş Korumanın uygulanması ve netsh yardımcı programları aracılığıyla Windows RPC filtrelerinin kullanılması yer alır.
Modern uç nokta tespit ve yanıt platformları, başarılı bir kimlik bilgisi toplama gerçekleşmeden önce bu ince saldırı modellerini tanımlamak için gerekli olan davranışsal analiz yeteneklerini sağlar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
