Active Directory sızma yöntemleri, yetkisiz erişim elde etmek için Microsoft’un Active Directory’sindeki güvenlik açıklarından veya zayıflıklardan yararlanır.
Active Directory birçok kuruluşta merkezi bir bileşen olduğundan, aşağıdakilere erişim isteyen saldırganlar için onu değerli bir hedef haline getirir: –
- Hassas bilgi
- Kullanıcı hesapları
- Ağ kaynakları
Başarılı sızma, tehdit aktörlerinin şunları yapmasına olanak sağlar:-
- Kalıcılık oluşturun
- Verileri sızdır
- Operasyonları kesintiye uğratın
ASEC’teki siber güvenlik araştırmacıları yakın zamanda tehdit aktörlerinin Microsoft’un Active Directory sızma yöntemlerinden aktif olarak yararlandığını keşfetti.
MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.
Ücretsiz Kayıt Ol
Active Directory Sızma Yöntemleri
Windows’taki Active Directory (AD), bir ağdaki kullanıcı ve kaynak verilerini yönetir. Etki Alanı Denetleyicileri AD’deki etki alanlarını kontrol eder ve bunlardan birinin tehlikeye atılması tüm etki alanının risk altında olduğu anlamına gelir.
Kısacası, alan adı Yöneticileri nihai kontrole sahiptir ve bu yetenek, alan adının tamamını istismar etmeyi amaçlayan tehdit aktörleri için onları birincil hedef haline getirir.
Bunu başarmak için, güvenlik açıklarını arayan tehdit aktörleri öncelikle aşağıdaki gibi araçları kullanarak etki alanı yapısını analiz eder:-
Bağlantı noktası tarama, hedef etki alanından çalışan hizmetler ve bağlantı noktası numaraları da dahil olmak üzere ağ bilgilerini çıkarır. Tehdit aktörleri bunu ağ yapısını, alt ağı ve ana bilgisayar ayrıntılarını ortaya çıkarmak için kullanır.
Cobalt Strike’ın varsayılan liman taraması keşiflere yardımcı olur. Araç, şirket ağlarındaki güvenlik açıklarını kontrol eder. Aşağıdaki gibi özellikleri kapsar: –
- İç keşif
- Ayrıcalık artışı
- Yanal hareket
- Komuta ve kontrol
Windows’ta varsayılan net komutları, özellikle Active Directory’de kullanıcı ve ağ verileri araması için yararlı olan ağ kaynaklarını yönetir.
Tehdit aktörleri kontrolü ele geçirir ve ardından temel ağ bilgilerini toplamak için net komutları dağıtır. Active Directory ortamlarına yapılan saldırılarda ana ağ komutları kullanıldı.
Aşağıda tüm komutlardan bahsettik: –
- net zaman
- Kullanıcı
- net grubu /etki alanı
- net grubu /domain “Etki Alanı Yöneticileri”
- net grubu /domain “Kurumsal Yöneticiler”
- net grubu /etki alanı “Etki Alanı Bilgisayarları”
- net grubu /domain “Etki Alanı Denetleyicileri”
- net yerel grup Yöneticileri
PowerSploit’teki PowerView, tehdit aktörlerine aşağıdaki konularda yardımcı olan Windows etki alanı bilgilerini toplar ve görüntüler: –
- Ağ yapısını anlama
- Ayrıcalık yükseltmeyi hedefleme
AdFind, Active Directory bilgileri için daha gizli bir yaklaşım sunan bir komut satırı aracı olan PowerView’a da benzer.
Ryuk fidye yazılımı, alan verilerini gizlice toplamak için AdFind’i kullanarak tipik kötü amaçlı yazılım önleme tespitini geride bıraktı.
Bunun yanı sıra BloodHound, Active Directory’de ayrıcalık artışı için saldırı yollarını eşler ve yürütülebilir veya PowerShell komut dosyası formatları aracılığıyla bilgi toplamak için SharpHound’u kullanır.
Active Directory ortamlarındaki casuslar aşağıdakiler için PowerView ve AdFind gibi araçları dağıtır: –
- Keşif
- Etki alanı yöneticisi ayrıcalıklarını hedefleme
BloodHound yanal hareket yollarını optimize ederken geleneksel güvenlik yazılımı bu tehditleri gözden kaçırabilir.