Özel Active Directory Uzantıları Kurumsal Saldırılar için Gizli Backroors Oluşturun


Active Directory (AD) Grup İlkesi Nesneleri (GPO’lar), Windows ortamları için merkezi yönetimin temel taşıdır, bu da yöneticilerin tüm alan adına bağlı makinelerde işletim sistemlerini, uygulamaları ve kullanıcı ayarlarını yapılandırmasını sağlar.

Bu politikaları istemci makinelerine uygulama gerçek çalışması, GPO ayarlarını yorumlayan ve uygulayan özelleştirilmiş dinamik bağlantı kütüphaneleri (DLL’ler) istemci tarafı uzantıları (CSE’ler) tarafından ele alınmaktadır.

Her CSE, küresel olarak benzersiz bir tanımlayıcı (GUID) tarafından benzersiz bir şekilde tanımlanır ve aşağıdaki Windows kayıt defterine kaydedilir:

– Reklamcılık –
Google Haberleri
textHKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions

Hem yöneticiler ve saldırganlar PowerShell’i kullanarak CSE’leri numaralandırabilir:

powershellGet-ChildItem "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions" | 
    Select-Object @{Name="GUID";Expression={$_.PSChildName}}, @{Name="Name";Expression={$_.GetValue('')}}

Bir GPO’nun uygun şekilde uygulanması, CSE’nin hem istemcide hem de GPO’nun özellikleri içinde varlığına ve doğru kaydına bağlıdır (gPCMachineExtensionNames veya gPCUserExtensionNames).

Bunlar yanlış yapılandırılmışsa, politika uygulama başarısız olur.

Kötü niyetli bir özel ÖAM işçiliği ve kaydetme

Savunucular, yerleşik CSE’lerden (planlanan görevler veya dosya dağıtımları için olanlar gibi) yararlanan saldırılara aşina olsa da, saldırganlar bilinmeyen kılavuzlara sahip özel CSE’ler oluşturarak gizliliği önemli ölçüde artırabilirler.

Bu yaklaşım yaygın olarak belgelenmemiştir, bu da algılamayı önemli ölçüde daha zor hale getirir.

Minimal kötü niyetli CSE DLL

Visual Studio kullanılarak C ++ ‘da özel bir CSE oluşturulabilir.

DLL adlı bir işlevi dışa aktarmalıdır ProcessGroupPolicygrup politika motorunun arayacağı.

İşte basitleştirilmiş bir kod snippet:

cpp// advshcore.def
LIBRARY "advshcore"
EXPORTS
    ProcessGroupPolicy
    DllRegisterServer PRIVATE
    DllUnregisterServer PRIVATE
cpp// dllmain.cpp (partial)
DWORD CALLBACK ProcessGroupPolicy(
    DWORD dwFlags,
    HANDLE hToken,
    HKEY hKeyRoot,
    PGROUP_POLICY_OBJECT pDeletedGPOList,
    PGROUP_POLICY_OBJECT pChangedGPOList,
    ASYNCCOMPLETIONHANDLE pHandle,
    BOOL* pbAbort,
    PFNSTATUSMESSAGECALLBACK pStatusCallback)
{
    LogToFile(TEXT("ProcessGroupPolicy called"));
    LogExecutionContext();
    return ERROR_SUCCESS;
}

Derleme yaptıktan sonra, saldırgan DLL’yi aşağıdakilerle kaydettirir:

textregsvr32 "advshcore.dll"

Kayıt defteri, özel kılavuzu DLL’ye bağlamak ve gerekli GPO öznitelikleriyle ilişkilendirmek için güncellenir.

ÖAM için Kayıt Defteri Ayarları

Kayıt Defteri AnahtarıDeğer/ayarAmaç
(Varsayılan)“Grup Politika Kabuğu Yapılandırması”ÖAM için Dost Adı
Dllname“Advshcore.dll”DLL yol
NogpolistChanges0Daima ProcessGrouppolicy’yi arayın
ProcessGrouppolicy“ProcessGrouppolicy”Yürütmek için dışa aktarılan işlev

Dağıtım, tespit ve savunma

Bir GPO’ya kaydedildikten ve bağlandıktan sonra, özel CSE her grup ilkesi yenilemesi sırasında sistem ayrıcalıklarıyla yürütülür – her alan denetleyicilerinde 5 dakika ve üye makinelerde her 90 dakikada bir.

Saldırganlar DLL’yi SYSVOL hisseleri aracılığıyla dağıtabilir veya DLL’yi birden çok uç noktaya kopyalamak ve kaydetmek için grup ilkesi tercihlerini kullanabilir.

Bununla birlikte, bu teknik uyanık savunucuların izleyebileceği izler bırakır:

  • Olay Kimliği 5145: Potansiyel DLL düşüşlerini sinyal veren Sysvol’e yazma erişimini algılar.
  • Olay Kimliği 4688: Regsvr32 veya başlangıç ​​komut dosyaları gibi işlem oluşturmayı izler.
  • Olay Kimliği 5136: GPO özelliklerinde yetkisiz değişiklikler gibi bayraklar gPCMachineExtensionNames.

Özel ÖDSE kötüye kullanımı için algılama noktaları

Tespit noktasıOlay kimliğiNe İzlenmeli
Sysvol Yazma Erişimi5145Dll kopya veya gpo dosya/komut dosyası değişikliği
Süreç oluşturma4688regsvr32, cmd.exe veya şüpheli komut dosyaları
GPO öznitelik değişikliği5136GPCMachineExtensionNames’te Değişiklikler

Proaktif izleme ihtiyacı

Özel CSE kötüye kullanımı, AD ortamlarında gizli ve kalıcı bir arka kapı yöntemini temsil eder.

Bu uzantılar güvenilir sistem işlemleri olarak çalıştığından ve yerel pencere mekanizmalarını kullandığından, geleneksel güvenlik araçlarıyla tespit edilmesi zordur.

GPO değişikliklerinin, CSE kayıtlarının ve ilgili olay günlüklerinin sürekli izlenmesi, bu gelişmiş saldırı vektörüne karşı savunmak için gereklidir.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!.



Source link