SOAPHound, Active Directory Web Hizmetleri (ADWS) protokolü aracılığıyla Active Directory ortamlarını numaralandırabilen açık kaynaklı bir veri toplama aracıdır.
SOAPHound nasıl çalışır?
SOAPHound, genellikle LDAP protokolü aracılığıyla Active Directory’den veri çıkarmak için kullanılan çeşitli açık kaynaklı güvenlik araçlarının yerine geçen bir üründür. LDAP sunucusuyla doğrudan arayüz oluşturmadan aynı veri çıkarımını gerçekleştirir. Bu, LDAP sorgularının bir NetTCPBinding iletişim kanalı aracılığıyla ADWS sunucusuna iletilen bir dizi SOAP mesajı içinde kapsüllenmesiyle gerçekleştirilir.
ADWS sunucusu bu LDAP sorgularının kodunu çözer ve bunları aynı etki alanı denetleyicisinde bulunan LDAP sunucusuna aktarır. Bu yaklaşım, LDAP trafiğinin açıkça iletilmemesini sağlayarak standart izleme araçları tarafından daha az tespit edilmesini sağlar.
SOAPHound aşağıdaki kimlik doğrulama yöntemlerini destekler:
- Geçerli kullanıcının mevcut kimlik doğrulama belirtecini kullanma. Kullanıcı adı ve parola girilmezse bu varsayılan seçenektir.
- Komut satırında kullanıcı adı ve şifrenin sağlanması.
SOAPHound’un özellikleri
“SOAPHound esas olarak bir BloodHound veri alma aracıdır. Ancak onu öne çıkaran bir dizi özellik kullanıyor. Öncelikle LDAP’ye doğrudan dokunmadan tüm AD verilerini toplar. Bunun yerine, tüm iletişim ve veri sızıntısı, Etki Alanı Denetleyicilerinin TCP bağlantı noktası 9389’da çalışan ADWS protokolü aracılığıyla gerçekleştirilir. LDAP trafiği, NetTCPBinding iletişim kanalı kullanılarak şifrelenen SOAP XML mesajlarının içine sarılır. Sonuç olarak, LDAP verileri kablo üzerinden hiçbir zaman şifrelenmemiş olarak gönderilmez ve bu nedenle ağ düzeyinde tespit edilmesi çok daha zordur. Dahası, daha önce benzer numaralandırma teknikleri için ADWS hizmetini hedef alan belgelenmiş bir saldırı yoktu ve bu nedenle tespit kuralları tarafından gözden kaçırılmış olabilir,” SOAPHound’un geliştiricisi FalconForce’un Red Teamer’ı Nikos Karouzos, Help Net Security’ye söyledi.
Karouzos bize SOAPHound’un ilgi çekici bir özelliğinin de gönderdiği gerçek LDAP sorguları olduğunu söyledi. Farklı nesneler hakkında bilgi edinmek için birden fazla LDAP sorgusu gerçekleştirmek yerine, tek bir sorguyla tüm verileri elde eder ve ardından verileri istemci tarafında çevrimdışı olarak ayrıştırır. Bu, gönderilen LDAP sorgularının hacminin yanı sıra ilgili LDAP günlüklerinin temel hacmini de önemli ölçüde azaltır.
Son olarak SOAPHound, Active Directory Sertifika Hizmetleri (ADCS) ve Active Directory tümleşik DNS kayıtları gibi ilgilenilen belirli dahili hizmetler için ek toplama yöntemlerini destekler.
Gelecek planları
“SOAPHound şu anda Bloodhound sürüm 4 ile uyumludur. Bloodhound’un en son sürümünü (yani Community Edition) da destekleyen bir sürüm oluşturmayı ve ayrıca SOAPHound’u Active Directory ortamlarındaki kötüye kullanılabilir güven ilişkileriyle ilgili yeni keşifler konusunda güncel tutmayı planlıyoruz. Topluluk tarafından ek ilgi çekici özelliklerin de eklenebilmesi için aracı açık kaynaklı hale getirdik ve güzel fikirleri olan herkesi, aracın yeteneklerinin genişletilmesine katkıda bulunmaya davet etmek istiyoruz,” diye açıkladı Karouzos.
SOAPHound GitHub’da ücretsiz olarak mevcuttur.
Okumalısınız: Keşke daha önce bilseydim diyeceğiniz 15 açık kaynaklı siber güvenlik aracı
Göz önünde bulundurulması gereken daha fazla açık kaynak araç: