
Microsoft kısa bir süre önce, uzak masaüstü protokolü (RDP) aracılığıyla alan denetleyicilerini (DCS) kullanan fidye yazılımı saldırılarında keskin bir artış ortaya çıkardı ve ortalama saldırı kuruluşları 2024’te 9.36 milyon dolar maliyeti.
Bu sofistike kampanyalar, Microsoft’un bulgularına ve gerçek dünya davalarına dayanarak DCS’den, RDP’nin önemli rolü ve pratik savunmalarla kritik sistemleri şifreleyerek işletmeleri sakatlamayı amaçlamaktadır.
Modern fidye yazılımı iki temel unsur gerektirir: sistemler arasında kimlik doğrulaması yapmak için etki alanı yönetici kimlik bilgileri gibi yüksek pratik hesaplar ve aynı anda birden fazla cihaz vurmak için merkezi ağ erişimi.
Active Directory (AD) kimlik doğrulaması ve politikalarını yöneten DCS, hesaplar üzerindeki kontrolleri ve ağ çapında görünürlük nedeniyle ana hedeflerdir.
Domain denetleyicilerini sömürmek
DCS, tüm reklam hesapları için şifre karmalarını içeren NTDS.DIT dosyasını depolar. Saldırganlar, bu karmaları çıkarmak için Mimikatz gibi araçları kullanır ve etki alanı yöneticilerinin taklit edilmesini sağlayarak saldırı saldırılarını sağlar.
Ayrıca erişimi sürdürmek için hesaplar oluşturabilir veya yükseltebilirler. Ayrıcalıklı kimlik bilgileri ile saldırganlar ağlar arasında yanal olarak hareket eder.
DCS’nin bağlantısı, saldırganların ağları Bloodhound gibi araçları kullanarak haritalamasına ve fidye yazılımlarını çok sayıda uç noktaya dağıtmasına olanak tanır. Microsoft, insan tarafından işletilen fidye yazılım saldırılarının% 78’inin DC’leri tehlikeye attığını ve% 35’inin bunları ana dağıtım noktası olarak kullandığını bildirdi.
Gerçek Dünya Saldırısı: Storm-0300
Microsoft, bir üreticiyi hedefleyen Storm-0300 grubunu gözlemledi. Saldırganlar, kimlik bilgilerini çalmak için Mimikatz kullanarak (Microsoft Defender tarafından ilk hesabı bloke eden, kullanıcı 1) kullanarak ağa savunmasız bir VPN aracılığıyla ihlal ettiler.
Etki alanı yönetici kimlik bilgilerini (kullanıcı 2) sabitledikten sonra, RDP aracılığıyla bir DC’ye (DC1) bağlanırlar. DC1’de sunucuları reklam araçlarıyla eşleştirdiler, grup ilkesi değişiklikleri yoluyla antivirüs devre dışı bıraktılar ve iki yeni yönetici hesabı (Kullanıcı 3 ve Kullanıcı 4) eklediler.

DC1’de fidye yazılımı çalıştırmayı denediler, ancak Defender kullanıcı 2, kullanıcı 3 ve RDP bağlantılı cihaz içeriyordu. Kullanıcı 4’e geçerek, DC1’den ağ çapında şifrelemeyi, yalnızca Defender’ın DC1 ve Kullanıcı 4’ünü engellemesi için korunan cihazlara yönelik saldırıyı durdurarak denediler.
Tipik olarak TCP 3389’da çalışan RDP, yaygın bir zayıf noktadır. Saldırganlar, Brute-Force saldırıları, çalınan kimlik bilgileri veya Blueeps (CVE-2019-0708) gibi kusurlarla maruz kalan RDP bağlantı noktalarından yararlanıyor. İçeri girdikten sonra, RDP’nin arayüzü, Storm-0300 saldırısında görüldüğü gibi, araçları dağıtmalarına ve DC’lere doğrudan erişmelerine izin verir.
DC’lerin kimlik doğrulama için erişilebilir kalması ve kilitlenmelerini zorlaştırmalıdır. Endpoint’s için Microsoft Defender, yüksek değerli varlıklar içerir. DC’leri sınıflandırarak ve tehlikeye girerse üç dakikadan kısa bir sürede içererek, kimlik doğrulama gibi kritik işlevleri koruyarak bunu ele alıyor. Storm-0300 vakasında, bu ağı bozmadan saldırıyı durdurdu.
Ağınızı nasıl korursunuz
Etki alanı denetleyicilerini güvence altına almak, operasyonel kritiklikleri nedeniyle doğal olarak zordur. Diğer uç noktalardan farklı olarak, DC’ler iş sürekliliği riski olmadan kilitlenemez. DC’leri izole etmek veya erişimi kısıtlamak gibi geleneksel önlemler genellikle kimlik doğrulama ve politika uygulanmasını bozar.
Bunu ele almak için, Microsoft Defender for Endpoint, cihaz içerme özelliklerini geliştiren Yüksek Değerli Varlıklar (HVA) özelliğini tanıttı. Temel yönler şunları içerir:
- Rol tabanlı muhafaza: Defender, cihazları, uyarlanmış sınırlama politikaları uygulayarak rol ve kritikliğe göre sınıflandırır. DC’ler için bu, kimlik doğrulama gibi temel işlevleri korurken kötü amaçlı etkinliklerin engellenmesini sağlar.
- Hızlı tepki: muhafaza üç dakikadan kısa bir sürede meydana gelir, bu da yanal hareket ve fidye yazılımı dağıtımını önler.
- Granüler kontrol: Sistem, korunma sırasında operasyonel sürekliliği koruyarak kötü niyetli ve iyi huylu davranış arasında ayrım yapar.
Bu yaklaşımın, savunucunun mağdurun reklam ortamını bozmadan güvenliği ihlal edilmiş hesaplar ve DC1 içerdiği Storm-0300 vakasında etkili olduğunu kanıtladı.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!