Active Directory, kuruluştaki kimlik ve erişim yönetiminin hâlâ baskın kaynağı olduğu için birçok saldırının merkezinde yer almaktadır.
Bilgisayar korsanları genellikle Active Directory’yi birçok saldırı vektörünü kapsayan çeşitli saldırı teknikleriyle hedefler. Bu saldırılardan birkaçını ve kuruluşların kendilerini korumak için neler yapabileceğini ele alalım.
Tehdit aktörleri tarafından kullanılan modern Active Directory saldırıları
Active Directory Etki Alanı Hizmetlerini (AD DS) hedef alan birçok farklı saldırı ortamı tehlikeye atabilir. AD DS’ye karşı kullanılan aşağıdaki modern saldırılara dikkat edin.
- DCSync
- DCShadow
- Şifre spreyi
- Karmayı Geç
- Bilet Geçişi
- altın bilet
- Hizmet Sorumlusu adı
- Yönetici Sayısı
- adminSDSahibi
1. DC Senkronizasyonu
Active Directory Etki Alanı Hizmetlerini barındıran etki alanı denetleyicileri, değişiklikleri eşitlemek için bir tür çoğaltma kullanır. Deneyimli bir saldırgan, bir etki alanı denetleyicisinin meşru çoğaltma etkinliğini taklit edebilir ve birincil etki alanı denetleyicisinden kimlik bilgileri sağlamaları istemek için GetNCChanges isteğini kullanabilir.
Bu tür saldırıları son derece kolay hale getirmek için Mimikatz gibi ücretsiz ve açık kaynaklı araçlar mevcuttur.
DCSync saldırılarına karşı koruma:
- Ayrıcalıklı hesapları güçlü parolalarla koruyarak etki alanı denetleyicileri için iyi güvenlik uygulamaları uygulayın
- Hizmet hesapları da dahil olmak üzere gereksiz hesapları Active Directory’den kaldırın
- Etki alanı gruplarındaki ve diğer etkinliklerdeki değişiklikleri izleyin
2. DCShadow
DCShadow saldırısı, etki alanı denetleyicileri arasındaki meşru Active Directory iletişim trafiğinden yararlandığından DCSync saldırısına çok benzer. Ayrıca DCShadow saldırısı, Mimikatz lsadump modülünün bir parçası olarak DCShadow komutunu kullanır.
Microsoft Directory Replication Service Remote protokolündeki yönergeleri kullanır. Saldırganların ortama sahte bir etki alanı denetleyicisi kaydetmesine ve değişiklikleri arka planda diğer etki alanı denetleyicilerine çoğaltmasına olanak tanır. Etki alanı yöneticileri grubuna bilgisayar korsanı tarafından kontrol edilen hesapların eklenmesini içerebilir.
DCShadow saldırılarına karşı koruma:
- Ortamınızı ayrıcalık yükseltme saldırılarına karşı koruyun
- Tüm korunan hesaplarda ve hizmet hesaplarında güçlü parolalar kullanın
- İstemci bilgisayarlarda oturum açmak için etki alanı yöneticisi kimlik bilgilerini kullanmayın
3. Şifre spreyi
Parola püskürtme, Active Directory Etki Alanı Hizmetlerindeki zayıf hesap parolalarını hedefleyen bir parola saldırısıdır. Parola püskürtme ile saldırganlar tek bir ortak veya zayıf parola kullanır ve aynı parolayı birden çok Active Directory hesabına karşı dener.
Saldırgan parolayı hesap başına yalnızca bir kez denediğinden, hesap kilitlenmelerini tetiklemediğinden klasik kaba kuvvet saldırısına göre avantajlar sunar. Saldırganlar bu sayede ortamda birden çok kullanıcı genelinde zayıf parolalar bulabilir.
Şifre püskürtme saldırılarına karşı koruma:
- İyi parola politikaları kullanarak güçlü parolaları zorunlu kılın
- Artımlı parolaların kullanılmasını veya parolaları ihlal etmeyi önleyin
- Hesap şifresinin yeniden kullanılmasını engelle
- Parolalar için parola kullanımını teşvik edin
4. Karmayı geç
Diğer parola veritabanları gibi, Active Directory de veritabanında saklanan parolaları hash eder. Karma, basit bir şekilde, parolayı herkesin göremeyeceği şekilde gizleyen açık metin parolasının matematiksel bir temsilidir. Karmayı geçirme saldırısı, saldırganın kullanıcı parolasının karma biçimine erişmesine izin verir ve bunu, kaynaklara erişmek için aynı ağ üzerinde yeni bir oturum oluşturmak için kullanır.
Bu saldırı ile saldırganın şifreyi bilmesi veya kırması gerekmez, sadece şifre karmasına sahip olması gerekir.
Pass-the-hash saldırılarına karşı koruma:
- Yönetici haklarına sahip kullanıcı sayısını sınırlayın
- Güçlendirilmiş iş istasyonlarını yönetici atlama kutuları olarak kullanın
- Yerel hesaplar için Microsoft Yerel Yönetici Parola Çözümünü (LAPS) uygulayın
5. Geçiş bileti
Modern Active Directory ortamları, bilet tabanlı bir kimlik doğrulama protokolü olan Kerberos kimlik doğrulamasını kullanır. Pass-the-ticket saldırıları, ortamdaki kaynakların kimliğini doğrulamak için çalınan Kerberos biletlerini kullanır.
Saldırganlar, bu saldırıyı kullanarak bir Active Directory ortamında hareket etmek, kaynakların kimliğini gerektiği gibi doğrulamak ve ayrıcalık yükseltmek için kimlik doğrulamasından yararlanabilir.
Pass-the-bilet saldırılarına karşı koruma:
- Özellikle yönetici ve hizmet hesapları için güçlü parolalar kullanın
- Ortamda ihlal edilen parolaları ortadan kaldırın
- Ortamdaki en iyi uygulamaları izleyerek genel güvenlik duruşunuzu artırın
6. Altın bilet
Altın Bilet saldırısı, bir saldırganın Active Directory anahtar Dağıtım Hizmeti Hesabının (KRBTGT) NTLM karmasını çaldığı bir siber saldırıdır. Diğer saldırı türlerini kullanarak bu hash’i elde edebilirler. KRBTGT şifresine sahip olduklarında, kendilerine ve başkalarına bilet oluşturma yetkisi verebilirler.
Bu tür bir saldırıyı tespit etmek zordur ve uzun vadeli uzlaşmaya yol açabilir.
Altın bilet saldırılarına karşı koruma:
- KRBTGT şifresini en az 180 günde bir düzenli olarak değiştirin
- Active Directory ortamınızda en az ayrıcalığı zorunlu kılın
- Güçlü şifreler kullanın
7. Hizmet Asıl Adı
Hizmet Asıl Adı (SPN), Active Directory’deki bir hizmet örneği için özel bir tanımlayıcıdır. Kerberos, Microsoft SQL Server gibi bir hizmet örneğini bir Active Directory hesabıyla ilişkilendirmek için SPN’yi kullanır. Kerberoasting saldırıları, SPN için kullanılan hizmet hesabının parolasını kırmaya çalışır.
İlk olarak, bir Kerberos hizmet bileti için kötü niyetli istekleri tarafından verilen TGS biletini yakalarlar. Ardından, hizmet hesabının şifresini düz metin olarak kırmak için Hashcat gibi araçları kullanmak üzere yakalanan bileti çevrimdışına alıyorlar.
Kerberoasting saldırılarına karşı koruma:
- Gereksiz Kerberos bileti istekleri gibi şüpheli etkinlikleri izleyin
- Hizmet hesaplarında son derece güçlü parolalar kullanın ve bunları döndürün
- Hizmet hesabı kullanımını ve diğer ayrıcalıklı hesapları izleyin
8. Yönetici sayısı
Saldırganlar genellikle bir ağa düşük düzeyde erişime sahip olduklarında bir ortamı gözetlerler. Bir saldırganın aradığı ilk ek görevlerden biri ayrıcalıklarını yükseltmektir. Ayrıcalıkları yükseltmek için hangi hesapların ayrıcalıklı hesap olduğunu bilmeleri gerekir.
AdminCount özniteliği adı verilen bir Active Directory özniteliği, Etki Alanı Yöneticileri gibi korumalı gruplara eklenen kullanıcıları tanımlar. Saldırgan, bu özniteliği izleyerek yönetici ayrıcalıklarına sahip nesneleri etkili bir şekilde tanımlayabilir.
adminCount saldırılarına karşı koruma:
- Hileli kullanıcılar veya gruplar için adminSDHolder ACL’yi düzenli olarak izleyin
- adminCount özniteliği “1” olarak ayarlanmış hesapları izleyin
- Yönetim kurulu genelinde güçlü parolalar kullanın
9. adminSDSahibi
Diğer bir yaygın Active Directory saldırı vektörü, ayrıcalıklı erişim elde etmek için Güvenlik Tanımlayıcısı Yayma (SDProp) sürecini kötüye kullanmaktır.
SDProp nedir?
Her 60 dakikada bir SDProp işleminin çalıştırıldığı ve adminSDHolder nesnesindeki ACL’yi adminCount özniteliği “1” olarak ayarlanmış her kullanıcı ve gruba kopyaladığı Active Directory’de otomatikleştirilmiş bir işlemdir. Saldırganlar potansiyel olarak adminSDHolder ACL’ye hileli bir kullanıcı veya grup ekleyebilir.
SDProp işlemi daha sonra hileli kullanıcı izinlerini adminSDHolder ACL ile eşleşecek şekilde ayarlayarak ayrıcalıklarını yükseltir.
adminSDHolder saldırılarına karşı koruma:
- Hileli kullanıcılar veya gruplar için adminSDHolder ACL’yi düzenli olarak izleyin
- adminCount özniteliği “1” olarak ayarlanmış hesapları izleyin
- Yönetim kurulu genelinde güçlü parolalar kullanın
Specops Şifre Politikası (SPP) ile Aktif Dizin Güvenliğini Güçlendirin
Active Directory, iş açısından kritik verileri tehlikeye atmanın kolay yollarını arayan saldırganların birincil hedefidir.
Zayıf, ihlal edilmiş, artımlı ve diğer parola türleri genellikle hesapların ele geçirilmesini kolaylaştırır. Ne yazık ki Active Directory, modern parola ilkelerini etkinleştirmek veya ihlal edilen parolalara karşı koruma sağlamak için yerel araçlar içermez.
Specops Parola İlkesi, kuruluşların parolalarını çeşitli Active Directory saldırılarına karşı korumasına yardımcı olur ve mevcut Grup İlkelerinin doğal bir uzantısını sağlar. Specops Şifre Politikası ile kuruluşlar şunları yapabilir:
- Kuruluşunuzda ortak olan sözcükleri engellemek için özel sözlük listeleri oluşturun
- Bilinen ihlal listelerinde bulunan parolaların yanı sıra şu anda meydana gelen saldırılarda kullanılan parolaları içeren İhlal Edilmiş Parola Koruması ile güvenliği ihlal edilmiş 3 milyardan fazla parolayı bulun ve kullanımını önleyin
- Specops Authentication istemcisi ile parola değişikliğinde son kullanıcılara gerçek zamanlı dinamik geri bildirim sağlayın
- Kullanıcı adlarını, görünen adları, belirli sözcükleri, ardışık karakterleri, artımlı parolaları engelleyin ve geçerli parolanın bir bölümünü yeniden kullanın
- Herhangi bir GPO düzeyini, bilgisayarı, kullanıcıyı veya grup popülasyonunu hedefleyin
- Specops, güçlü ihlal edilmiş parola koruması sunar
.jpg)
Sarma
Active Directory altyapınızı saldırılardan korumak, genel siber güvenlik duruşunuz için çok önemlidir. Siber suçlular, listelediklerimiz de dahil olmak üzere birçok farklı saldırı vektörünü kullanarak genellikle Active Directory hesaplarına saldırır.
Ortamdaki genel parola güvenliğini artırmak, iyi parola hijyeni sağlamak ve ihlal edilmiş, artımlı ve başka türlü zayıf parolaları ortadan kaldırmak, Active Directory ortamınızın ve ayrıcalıklı hesaplarınızın güvenliğini güçlendirmeye yardımcı olur.
Parola İhlal Korumalı Specops Parola Politikası, kuruluşların bu hedefe etkili ve kolay bir şekilde ulaşmasına yardımcı olur.
Sponsorlu ve Specops Software tarafından yazılmıştır