Zerologon fidye yazılımı istismarı şeklinde önemli bir tehdit ortaya çıkmıştır. Bu istismar, Microsoft’un Active Directory’sinde, özellikle etki alanı denetleyicilerini etkileyen kritik bir güvenlik açığını hedefler.
CVE-2020-1472 olarak bilinen güvenlik açığı, saldırganların “Zerologon” adını adlandıran kimlik bilgilerine ihtiyaç duymadan etki alanı denetleyicilerine yetkisiz erişim kazanmalarını sağlar.
Zerologon istismarı, Active Directory ortamlarında kimlik doğrulama ve yetkilendirme için kullanılan Netlogon Uzaktan Protokolündeki (MS-NRPC) bir kusurdan yararlanır.
Grup-IB’deki siber güvenlik araştırmacıları, bu protokolün etki alanı denetleyicilerinin ağ üzerindeki kullanıcı ve makine hesaplarını yönetmesi ve doğrulaması için çok önemli olduğunu tespit etti.
Bunun yanı sıra, Ransomhub Şubat 2024’ün başlarında, Alphv altyapısını kapattıktan hemen sonra ortaya çıkan yeni bir fidye yazılımı (RAAS) operasyonu olarak ortaya çıktı.
.webp)
ALPHV’nin kapanması, değişim sağlık hizmetlerine yönelik büyük bir saldırıdan geri tepmeyi izledi.
ALPHV ve Lockbit Fidye Yazılım Grupları üzerindeki kolluk kuvvetleri arasında Ransomhub, kendi ortaklık programını sunma fırsatını ele geçirdi.
CVE-2020-1472 Güvenlik Açığı
- Tanım: Güvenlik açığı, bir saldırganın kimlik doğrulamasını atlamasına ve bir etki alanı denetleyicisine yönetimsel erişim kazanmasına izin verir. Bu, etki alanı denetleyicisine, geçerli şifreyi bilmeden Etki Alanı Denetleyicisi hesabının şifresini sıfırlayabilen özel olarak hazırlanmış bir NetLogon mesajı gönderilerek elde edilir.
.webp)
- Darbe: Bir saldırgan bir etki alanı denetleyicisine erişim kazandığında, tüm Active Directory ortamını kontrol edebilir. Bu, yeni kullanıcı hesapları oluşturmayı, mevcut olanları değiştirmeyi ve hatta ağ genelinde kötü amaçlı yazılım dağıtmayı içerir.
.webp)
Sömürü süreci, saldırganın genellikle kimlik avı veya sosyal mühendislik taktikleri aracılığıyla ilk ağ erişimini kazanmasıyla başlar.
.webp)
İçeri girdikten sonra, etki alanı denetleyicisine hazırlanmış bir netlogon mesajı göndermek, şifresini sıfırlamak ve kimlik bilgileri olmadan erişime izin vermek için Zerologon Sümesi gibi araçları kullanırlar.
Etki alanı denetleyicisi üzerinde kontrol ile saldırgan komutları yürütebilir, kötü amaçlı yazılım yükleyebilir veya fidye yazılımlarını ağ üzerinden dağıtabilir.
Güvenlik endişeleri nedeniyle burada belirli istismar kodu sağlanmasa da, kuruluşlar şüpheli netlogon etkinliğini izlemek için PowerShell komut dosyaları gibi araçları kullanabilir.
Örneğin, olağandışı kimlik doğrulama denemeleri için olay günlüklerini izlemek potansiyel sömürünün tespit edilmesine yardımcı olabilir.
# Example PowerShell script to monitor event logs for suspicious activity
Get-WinEvent -FilterHashtable @{
LogName="Security"
ID = 4624 # Logon event
} | Where-Object {$_.Properties[8].Value -eq '0'} # Filter for logons with no credentialsZerologon istismarına karşı korumak için kuruluşlar, tüm etki alanı denetleyicilerinin Microsoft’tan en son güvenlik yamalarıyla güncellenmesini, özellikle de alan denetleyicileri etrafında şüpheli etkinlik için ağ trafiğini izlemesini ve sınırlamak için çok faktörlü kimlik doğrulama ve ağ segmentasyonu gibi ek güvenlik önlemleri uygulamalıdır. kötü amaçlı yazılım yayıldı.
Bununla birlikte, bu tür güvenlik açıklarını azaltmak için bilgilendirilmiş ve proaktif kalmak şarttır. Zerologon istismarı, BT uzmanlarından ve siber güvenlik ekiplerinden derhal dikkat gerektiren ciddi bir tehdittir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free