Active Directory bilgisayar korsanları için önemli bir hedef olduğundan, Active Directory saldırı tekniklerini detaylandıran yakın tarihli bir rapor, güvenlik savunucuları için yararlı dersler içermektedir.
Active Directory’nin çekirdeğindeki kritik NTDS.dit dosyasını hedef alan saldırı, bir blogda ayrıntılarıyla anlatıldı. postalamak Trellix Çalışan Araştırma Bilimcisi Maulik Maheta tarafından.
Maheta, “Bir Windows etki alanı ortamında Active Directory (AD), kimin oturum açabileceğini, neye erişebileceğini ve kuruluş genelinde güvenin nasıl uygulanacağını yöneten merkezi sinir sistemidir” diye yazdı.
“Bir saldırgan için NTDS.dit dosyasını ele geçirmek, dijital kimlik sisteminizin planını keşfetmeye eşdeğerdir” diye yazdı.
Active Directory Saldırısı ‘Altyapı Düzeyinde Kimlik Hırsızlığı’dır
NTDS.dit, NT Dizin Hizmetleri Dizin Bilgi Ağacıdır ve Etki Alanı Yöneticileri gibi ayrıcalıklı hesaplar da dahil olmak üzere tüm etki alanı kullanıcıları için kullanıcı hesaplarını, grup ilkelerini, bilgisayar nesnelerini ve parola karmalarını saklayan “etki alanının tüm veritabanını içerir”.
Maheta, doğru araçlarla ve şifre çözme için SİSTEM kovanına erişimle, saldırıların “bu karmaları çıkarabileceğini, şifreleri çevrimdışı olarak kırabileceğini ve herkesin kimliğine bürünebileceğini” yazdı. “Artık kullanıcılarınıza kimlik avı yapmaları veya kaba kuvvetle giriş yapmaları gerekmiyor; artık krallığın anahtarları onlarda.”
Saldırganlar, bir ana bilgisayarda yönetici ayrıcalıkları elde etmek için genellikle vssadmin gibi yerel araçları kullanarak Birim Gölge Kopyası (VSS) oluşturur ve dosya kilitlerini atlar. Daha sonra NTDS.dit’i çıkarabilir, esentutl veritabanı yardımcı programları ile onarabilir ve ardından SecretsDump, Mimikatz veya basit bir Kopyalama Komutu gibi araçlarla “geleneksel alarmları tetiklemeden” bir kimlik bilgisi dökümü gerçekleştirebilirler.
Maheta, “NTDS.dit’i çalmanın bu kadar tehlikeli olmasının nedeni budur” diye yazdı. “Bu sadece veri kaybı değil; aynı zamanda altyapı düzeyinde kimlik hırsızlığıdır.”
Active Directory Saldırı Adımları
Maheta saldırıyı dört adımda özetledi.
Ağ erişimi elde ettikten sonraki ilk adım, DCSync gibi yöntemlerle parola karmalarını çalmak, ntds.dit’ten karmaları çıkarmak veya o anda oturum açmış olan kullanıcılar için karmaları depolayan lsass.exe işlem belleğinden karmaları çıkarmaktır.
Saldırgan daha sonra, çalınan parola karmasını kullanan bir kullanıcı olarak kimlik doğrulaması yapmak, çalınan karmayı kullanarak cmd.exe’yi başlatmak veya bunu NTLM kimlik doğrulamasını destekleyen ağ kaynaklarına bağlanmak için kullanmak için Pass the Hash yöntemini kullanabilir.
Saldırgan, buradan itibaren, örneğin PSExec aracını kullanarak uzaktaki sistemlerde komutlar yürüterek ağ üzerinde yanal olarak hareket edebilir, “böylece ayak izini genişletebilir ve kimlik bilgileri hırsızlığı ve yanal hareket döngüsünü artan sayıda sistemde tekrarlayabilir.”
Etki alanı denetleyicisinin dosya sistemine erişimi olan bir saldırgan, NTDS.dit dosyasının şifresini çözmek için Önyükleme Anahtarını almak üzere gereken NTDS.dit ve HKEY_LOCAL_MACHINE\SYSTEM kayıt defteri kovanına sızabilir. AD, kopyalama girişimlerini engellemek için ntds.dit dosyasına bir dosya sistemi kilidi yerleştirir, ancak Maheta bu korumayı aşmanın birkaç yoluna dikkat çekti:
- VSS ile birimin anlık görüntüsünü alma ve ardından NTDS.dit dosyasını buradan çıkarma
- Kullanım sırasında dosyaları kopyalamak için PowerShell yardımcı programını kullanma
- DSDBUtil.exe veya NTDSUtil.exe gibi yerleşik bir programı kullanarak Active Directory yükleme medya dosyalarını oluşturma.
Maheta sözlerini şöyle tamamladı: “NTDS.dit dosyasının çalınması bir veri ihlalinden daha fazlasıdır; bir Windows etki alanında tam bir kimlik, güven ve kontrol kaybıdır.” “Bu tehdidi özellikle tehlikeli kılan şey gizliliğidir: Saldırganlar tespit edilmekten kaçınmak için sıklıkla yerel araçları, düşük gürültülü teknikleri ve şifreli sızmayı kullanır.”
Trellix NDR’nin “geleneksel savunmaların gözden kaçırdığı ince davranış kalıplarını ve sızma girişimlerini” tespit ederek yardımcı olabileceğini söyledi.