Active Directory (AD) Grup İlkesi Nesneleri (GPO’lar), Windows ortamları için merkezi yönetimin temel taşıdır, bu da yöneticilerin tüm alan adına bağlı makinelerde işletim sistemlerini, uygulamaları ve kullanıcı ayarlarını yapılandırmasını sağlar.
Bu politikaları istemci makinelerine uygulama gerçek çalışması, GPO ayarlarını yorumlayan ve uygulayan özelleştirilmiş dinamik bağlantı kütüphaneleri (DLL’ler) istemci tarafı uzantıları (CSE’ler) tarafından ele alınmaktadır.
Her CSE, küresel olarak benzersiz bir tanımlayıcı (GUID) tarafından benzersiz bir şekilde tanımlanır ve aşağıdaki Windows kayıt defterine kaydedilir:
.png
)
textHKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions
Hem yöneticiler ve saldırganlar PowerShell’i kullanarak CSE’leri numaralandırabilir:
powershellGet-ChildItem "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions" |
Select-Object @{Name="GUID";Expression={$_.PSChildName}}, @{Name="Name";Expression={$_.GetValue('')}}
Bir GPO’nun uygun şekilde uygulanması, CSE’nin hem istemcide hem de GPO’nun özellikleri içinde varlığına ve doğru kaydına bağlıdır (gPCMachineExtensionNames veya gPCUserExtensionNames).
Bunlar yanlış yapılandırılmışsa, politika uygulama başarısız olur.
Kötü niyetli bir özel ÖAM işçiliği ve kaydetme
Savunucular, yerleşik CSE’lerden (planlanan görevler veya dosya dağıtımları için olanlar gibi) yararlanan saldırılara aşina olsa da, saldırganlar bilinmeyen kılavuzlara sahip özel CSE’ler oluşturarak gizliliği önemli ölçüde artırabilirler.
Bu yaklaşım yaygın olarak belgelenmemiştir, bu da algılamayı önemli ölçüde daha zor hale getirir.
Minimal kötü niyetli CSE DLL
Visual Studio kullanılarak C ++ ‘da özel bir CSE oluşturulabilir.
DLL adlı bir işlevi dışa aktarmalıdır ProcessGroupPolicygrup politika motorunun arayacağı.
İşte basitleştirilmiş bir kod snippet:
cpp// advshcore.def
LIBRARY "advshcore"
EXPORTS
ProcessGroupPolicy
DllRegisterServer PRIVATE
DllUnregisterServer PRIVATE
cpp// dllmain.cpp (partial)
DWORD CALLBACK ProcessGroupPolicy(
DWORD dwFlags,
HANDLE hToken,
HKEY hKeyRoot,
PGROUP_POLICY_OBJECT pDeletedGPOList,
PGROUP_POLICY_OBJECT pChangedGPOList,
ASYNCCOMPLETIONHANDLE pHandle,
BOOL* pbAbort,
PFNSTATUSMESSAGECALLBACK pStatusCallback)
{
LogToFile(TEXT("ProcessGroupPolicy called"));
LogExecutionContext();
return ERROR_SUCCESS;
}
Derleme yaptıktan sonra, saldırgan DLL’yi aşağıdakilerle kaydettirir:
textregsvr32 "advshcore.dll"
Kayıt defteri, özel kılavuzu DLL’ye bağlamak ve gerekli GPO öznitelikleriyle ilişkilendirmek için güncellenir.
ÖAM için Kayıt Defteri Ayarları
| Kayıt Defteri Anahtarı | Değer/ayar | Amaç |
|---|---|---|
| (Varsayılan) | “Grup Politika Kabuğu Yapılandırması” | ÖAM için Dost Adı |
| Dllname | “Advshcore.dll” | DLL yol |
| NogpolistChanges | 0 | Daima ProcessGrouppolicy’yi arayın |
| ProcessGrouppolicy | “ProcessGrouppolicy” | Yürütmek için dışa aktarılan işlev |
Dağıtım, tespit ve savunma
Bir GPO’ya kaydedildikten ve bağlandıktan sonra, özel CSE her grup ilkesi yenilemesi sırasında sistem ayrıcalıklarıyla yürütülür – her alan denetleyicilerinde 5 dakika ve üye makinelerde her 90 dakikada bir.
Saldırganlar DLL’yi SYSVOL hisseleri aracılığıyla dağıtabilir veya DLL’yi birden çok uç noktaya kopyalamak ve kaydetmek için grup ilkesi tercihlerini kullanabilir.
Bununla birlikte, bu teknik uyanık savunucuların izleyebileceği izler bırakır:
- Olay Kimliği 5145: Potansiyel DLL düşüşlerini sinyal veren Sysvol’e yazma erişimini algılar.
- Olay Kimliği 4688: Regsvr32 veya başlangıç komut dosyaları gibi işlem oluşturmayı izler.
- Olay Kimliği 5136: GPO özelliklerinde yetkisiz değişiklikler gibi bayraklar
gPCMachineExtensionNames.
Özel ÖDSE kötüye kullanımı için algılama noktaları
| Tespit noktası | Olay kimliği | Ne İzlenmeli |
|---|---|---|
| Sysvol Yazma Erişimi | 5145 | Dll kopya veya gpo dosya/komut dosyası değişikliği |
| Süreç oluşturma | 4688 | regsvr32, cmd.exe veya şüpheli komut dosyaları |
| GPO öznitelik değişikliği | 5136 | GPCMachineExtensionNames’te Değişiklikler |
Proaktif izleme ihtiyacı
Özel CSE kötüye kullanımı, AD ortamlarında gizli ve kalıcı bir arka kapı yöntemini temsil eder.
Bu uzantılar güvenilir sistem işlemleri olarak çalıştığından ve yerel pencere mekanizmalarını kullandığından, geleneksel güvenlik araçlarıyla tespit edilmesi zordur.
GPO değişikliklerinin, CSE kayıtlarının ve ilgili olay günlüklerinin sürekli izlenmesi, bu gelişmiş saldırı vektörüne karşı savunmak için gereklidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!.