Active Directory Nedir?
IT altyapısının önemli bir parçası olan Active Directory, Microsoft tarafından Server ve Client bilgisayar sistemleri için tasarlanan ve içerisinde sunucu, client bilgisayar, kullanıcı ve yazıcı gibi sistemleri barındıran bir dizin servisidir.
Active Directory’de Şüpheye Neden Olabilecek Davranış ve Olaylar
Active Directory (AD) sunucuları üzerinde hareketleri izlerken bazı davranışlar ve olaylar şüphe uyandırabilir. Dikkat edilmesi ve araştırılması gereken şüpheli davranış ve olaylar şunlardır:
1. Başarısız Kullanıcı Giriş Denemeleri
- Event ID: 4625
- Aynı kullanıcı adıyla “x” dakikada “x” başarısız oturum açma denemesi
- Kaba kuvvet saldırılarının işareti olabilecek başarısız oturum açma denemeleri, AD’de kesinlikle dikkat etmeniz gereken noktalardandır. Eğer bir kişi sürekli oturum açmayı deniyor ve her seferinde yanlış kullanıcı adı veya parola veriyorsa şüphelenmekte haklısınız. Burada almanız gereken en temel güvenlik önlemi, giriş sayılarını sınırlandırmak olacaktır. Örneğin 3 başarısız giriş denemesinden sonra kullanıcıyı 5 dakika kadar engellemelisiniz.
2. Password Spraying
- Event ID = 4625
- Aynı Kaynak
- X dakika içinde 2 veya daha fazla kullanıcı adı
Yine kaba kuvvet saldırılarının işareti olabilen bu durumda, istek aynı kaynaktan gelir ve 2 veya daha fazla kullanıcı adı içerir. Aktif Dizin kurallarına göre, bu tür kaba kuvvet (brute force) saldırılarını engellemek için giriş sınırlandırmaları uygulanabilir.
3. Devre Dışı Hesap Kullanma Talebi
- Event ID = 4625
- Alt Durum Kodu: 0xC0000072
Devre dışı bırakılmış hesapların kullanılmaya çalışılması, kötü niyetli davranışları veya giriş yapmaya çalışan eski çalışanların daha olası olduğunu gösterebilir. Devre dışı bırakılmış hesaplara giriş yapma girişimleri araştırılmalıdır.
4. Geçerli Olmayan Hesap Kullanma Talebi
- Event ID = 4625
- Alt Durum Kodu: 0xC0000193
Öncekine benzer şekilde, saldırganlar veya eski çalışanlar süresi dolmuş hesaplara erişmeye çalışabilir.
5. Başarılı Zararlı Girişler
Active Directory‘de dikkat edilmesi gereken bir diğer hususta zararlının sisteme sızmış olduğu durumdur. Bu aşamada, zararlının hareketlerinden varlığı tespit edilebilmektedir.
5.1. İzin Verilmemiş Hesaplar
- Event ID = 4624
- Kullanıcı adı ^ SVC. * veya. * \ $ ifadesiyle eşleşir.
Sistem güvenliğini sağlamak için kullanıcıların bazı hesaplarla oturum açmasını kısıtlamış olabilirsiniz, eğer bu hesaplar ile oturum açılıyorsa sisteminize sızılmış olması ihtimali epey artacaktır.
5.2. Doğrudan Domain Controller’a Yapılan Girişler
- Event ID = 4624
- Oturum Açma Türü 2 veya 10
- Oturum açma hedefi bir DC (Domain Controller)’dir.
- Kullanıcı bir DC yöneticisi değildir.
Bir sistemde eğer saldırganlar doğrudan domain controller’a erişim sağlayabiliyorsa bu çok ciddi bir güvenlik açığının varlığına işarettir.
5.3. Pass the Hash
- Event ID = 4624
- Oturum Açma Türü 3
- Oturum Açma İşlemi: NtLmSsp
- SubjectUserSID, S-1-0-0
- Anahtar Uzunluğu 0
Saldırganlar ağ içine yanlamasına hareket (move laterally) etmek için parolaların hash değerlerini kullanırlar. Parolaları kullanmak yerine elde ettikleri hash değerleri sayesinde, diğer kullanıcılar üzerinde NTLM veya LanMan hash değerleri ile oturum açmalarını sağlarlar.
5.3. OverPass the Hash
- Event ID = 4624
- Oturum Açma Türü 9
- Oturum Açma İşlemi: seclogo
6. Zararlı AD Senkronizasyonları
Bir sisteme yapılan çoğu saldırıda saldırganlar domain controller’lardan kullanıcı bilgilerini enumerate etmeye çalışır. Böyle bir enumeration’ın varlığını tespit etmek için takip edilmesi gereken birkaç farklı yol bulunmaktadır:
6.1. Mimikatz DC SYNC
- Event ID = 4662 (Saldırgan işlemi bir “nesne” üzerinden gerçekleştirir)
- Özellikler: Dizin Değişikliklerini Çoğaltma Tümü * VEYA 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2 *
- Hesap NT Authority’dir veya eşleşen ifade olmadığında * \ $ ile eşleşir.
Bir saldırgan eğer domain controller’de mimikatz kullanmaya çalışırsa genellike yukarıdaki belirtiler ortaya çıkar.
6.1. AD Aynısı Olmayan Makine Hesabı
- Event ID = 4662
- AccessMask 0x100
- Özellikler: ‘1131f6aa-9c07-11d1-f79f-00c04fc2dcd2 VEYA 31 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2’ VEYA 89e95b76-444d-4c62-991a-0facbeda640c
6.2. AD Aynısı Olmayan Makine Hesabı
- Event ID = 4742 (Bir bilgisayar hesabı değiştirilir)
- Hizmetin asıl adı * GC / * ifadesiyle eşleşir.
6.2. DCSYNC’in Standart Kullanıcıya Verilmesi
- Event ID = 5136 (Bir dizin hizmeti nesnesi değiştirilir)
- LDAPDisplayName, “ntSecurityDescriptor”a eşittir.
- Özellikler: 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2 OR 1131f6aa-9c07-11d1-f79f-00c04fc2dcd2 Veya 89e95b76-444d-4c62-991a-0facbeda640c
7. Çok Sayıda Kilitlenen Hesaplar
Eğer ağınızda çok sayıda hesap kilitlenmeye başlıyorsa, bu bir “kaba kuvvet saldırısı” işareti olabilir. Duruma ilişkin aktif dizin bilgileri ise şu şekildedir:
- Event ID = 4740
- Aynı Kaynak
- 3 saat içerisinde 10’dan fazla etkinlik. (Kurumunuzun potikalarına uyacak şekilde sınır noktalarını değiştirebilirsiniz.)
8. Yeni / Değiştirilmiş / Kaldırılmış Güvenilir Domain
- Event ID = 4706 Veya 4707 Veya 4716
Eğer bir domain adı yeniyse, değiştirildiyse veya kaldırıldıysa gerekli kontroller yapılmalıdır. Bazen saldırganlar da domaine yönelik işlemlerde bulunabildiği için bu değişiklikleri güvenilir kişilerin yaptığı doğrulanmalıdır.
9. Domain veya Kerberos Politikası Değişimi
Sadece domaindeki değişiklikler değil, aynı zamanda domain veya kerberos politikalarındaki değişiklikler de kontrol altına alınmalıdır.
- Event ID = 4713 veya 4739
10. DPAPI Anahtar Yönetimi
DPAPI ( Data Protection Application Programming Interface) Anahtarı, kullanıcı ayrıntılarını şifrelemek için kullanılır. Saldırganlar, sistemde daha fazla erişim etmek için Domain Controller da DPAPI’ya saldırmaya çalışabilirler. Aşağıda bulunan olay durumların da acilen araştırılmalıdır.
10.1. Yedek Anahtarın Çıkartılması
- Event ID = 4662 ( Bir nesne üzerinde işlem gerçekleştirilir)
- Nesne Türü = SecretObjec
- Erişim Maskesi 0x2
- Nesne Adı BCKUPKEY
S10.2. Yedek Anahtarın Yedeklenmesi
Event ID = 4692 (Veri koruma ana anahtarının yedeği alınır veya alınmaya çalışılır)
Yukarıdaki olayların her biri, bir saldırgan sisteminizde saldırdığı takdirde ortaya çıkabilen durumlardır. Burada anlatılan Active Directory ortamındaki şüpheli olaylar üzerinde durulmalı ve gerekli önlemler alınmalıdır.