Çok faktörlü kimlik doğrulama (MFA) ayarlarından yararlanan tehdit aktörlerinden bulut hesaplarının güvenliğini sağlamak zordur.
Tehdit aktörleri genellikle gereksinimleri atlayarak, başkaları için MFA’yı devre dışı bırakarak veya sisteme hileli cihazlar kaydederek güvenliği ihlal edilen kullanıcıların MFA özelliklerini değiştirir.
Bunu gizlice yapıyorlar, yardım masası işlemlerini yansıtıyorlar ve dizin denetim günlüklerinin gürültüsünü fark etmeyi zorlaştırıyorlar.
Buluttaki bu sinsi saldırı vektörüne karşı kendilerini korumak için kuruluşların MFA yapılandırma değişiklikleriyle ilgili izleme ve kontrolleri güçlendirmesi gerekiyor.
Microsoft’taki siber güvenlik araştırmacıları kısa süre önce MFA manipülasyonunu tespit etmek için KQL’nin (Kusto Sorgu Dili) kullanımını ayrıntılı olarak açıkladı.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
MFA Manipülasyonları İçin KQL Avı
Microsoft Entra denetim günlükleri, MFA ayar değişikliklerini kaydederek iki giriş oluşturur: biri açıklayıcı bir etkinlik adına sahip ancak ayrıntılar eksik, diğeri ise çok fazla gürültü arasında değiştirilmiş özellikleri gösteren “Kullanıcıyı Güncelle” olayı.
Bunları Entra portalında analiz etmek, özellikle büyük kiracılar için veri hacmi nedeniyle zordur. Ancak Kusto Sorgu Dili (KQL) bu görevi basitleştirebilir.
Siber güvenlik analistleri, kendi kiracınızdaki MFA yapılandırma değişikliklerini analiz etmenize ve tespit etmenize yardımcı olmak amacıyla Azure Log Analytics ve Microsoft Defender 365 Advanced Hunting için kullanıma hazır KQL sorguları sağladı.
.webp)
Bu, denetim günlükleri varsayılan olarak yalnızca 30 gün saklansa bile gelişmiş izlemeye olanak tanır.
3 MFA özelliği vardır ve aşağıda bunlardan bahsettik: –
- Güçlü Kimlik Doğrulama Yöntemi
- Güçlü Kimlik DoğrulamaKullanıcı Ayrıntıları
- Güçlü Kimlik DoğrulamaUygulama Detayı
Amaç, kullanıcının kayıtlı MFA’sındaki ve varsayılan yöntemlerdeki değişiklikleri tespit etmektir.
Araştırmacılar, değişen, eski ve yeni değerlerinin yanı sıra zaman damgaları, aktörler ve hedefleri içerebilecek günlüklerdeki girişleri filtrelemek için KQL’i kullandı. Birden fazla değiştirilen özellik için satırlar oluşturulur.
Sonuçlar, belirli kullanıcılar tarafından değiştirilen MFA ayarlarını, bunları değiştiren kişileri ve daha fazla araştırmanın nereye yoğunlaşması gerektiğini gösterir.
Güvenlik analistleri, eklenen veya değiştirilen e-postalar ve telefon numaraları gibi MFA ayrıntılarındaki değişiklikleri tespit etmek için OldValue ve NewValue’yu karşılaştırır. Çıktı, beklenebilecek veya beklenmeyebilecek örnekleri gösterir.
Manipülasyonları avlamak için sorguyu, bir zaman dilimi içinde birden fazla kullanıcıya eklenen MFA ayrıntılarını arayacak şekilde genişleterek, potansiyel olarak hileli e-posta adreslerini veya tamamıyla sağlanan telefon numaralarını ortaya çıkarırlar.
Ayrıca, ilk 3 karakterin eski ve yeni değerler arasında değişip değişmediğini kontrol ederek, kullanıcıların telefon numaralarını farklı bir ülke koduna değiştirip değiştirmediğini de izleyebilirler.
Bu sorgular, şüpheli MFA yapılandırma değişikliklerinin geniş ölçekte tanımlanmasına olanak tanır.
DeviceName ve DeviceToken, Authenticator Uygulaması oturum açma işlemleri için kayıtlı cihazları tanımlar. OldValue ve NewValue’nun karşıtlaştırılması, kullanıcıların cihazları ne zaman eklediğini veya kaldırdığını gösterir.
DeviceToken’in kullanıcılar arasında kontrol edilmesi, bir cihazın birden fazla hesapta kayıtlı olup olmadığını tespit eder ve bu da potansiyel olarak bir saldırganın çok faktörlü erişimi sürdürmek için kullandığı, güvenliği ihlal edilmiş hesapları gösterir.
Bazen BT yöneticileri tarafından yapılsa da, cihazların hesaplar arasında yeniden kullanılması, her ikisi de aynı kullanıcıya ait olmadığı sürece genellikle güvenli değildir.
Çok faktörlü kimlik doğrulama (MFA) yaygınlaştıkça, saldırganlar token ele geçirme veya çalma ve sosyal mühendislik saldırıları yoluyla elde edilen ilk erişim için giderek daha fazla MFA’ya odaklanıyor.
Hesap kimlik doğrulama yöntemleri, ilk uzlaşmanın ardından sıklıkla değiştirilir.
MFA değişiklik olaylarına ilişkin Microsoft Entra Denetim Günlükleri hakkında bilgi sahibi olmak, kuruluşunuz genelinde yasa dışı senaryolar gibi MFA ile ilgili şüpheli etkinliklerin tespit edilmesine yardımcı olarak hızlı soruşturma ve düzeltmeye yol açar.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo