DCSync Attack
DCSync saldırısı, tehdit aktörlerinin etki alanı denetleyicisi gibi davranan süreçler çalıştırdığı ve AD bilgilerini çoğaltmak için Directory Replication Service (DRS) uzak protokolünü kullandığı bir yöntemdir. Saldırı, gerçek etki alanı denetleyicilerinden daha sonra kırabilecekleri parola karmalarını çalmalarını sağlar.
Saldırıyı gerçekleştirmek için saldırganın hedef etki alanı için uygun “Dizin Değişikliklerini Çoğaltma” ayrıcalıklarına sahip bir kullanıcıyı tehlikeye atmış olması gerekir. Saldırganlar genellikle Dizin Değişikliklerinin Tümünü Çoğaltma ayrıcalığına sahip hesapları ararlar, çünkü bu ayrıcalık herhangi bir etki alanı hesabının parolalarının çoğaltılmasına izin verir.Bu ayrıcalıklar varsayılan olarak yalnızca yöneticilere ve etki alanı denetleyicisi gruplarına verilir.
Kuruluşlar, bir saldırganın DCSync saldırıları gerçekleştirme olasılığını azaltmak için birkaç adım atabilir.
Birinci adım, Active Directory için temel güvenlik ve hijyen uygulamalarını hayata geçirmektir. Saldırı, tehdit aktörünün bir etki alanı yöneticisi hesabını veya DCsync izinleri verilmiş başka bir hesabı zaten tehlikeye atmış olmasını gerektirir. Bu nedenle, hangi hesaplara veya gruplara güçlü DCSync izinleri verildiğinin farkında olmanız için etki alanı yöneticinizin izinlerini izlemek çok önemlidir. Yıllar önce yanlışlıkla bu izinleri almış olan bazı kullanıcıların izinlerini iptal etmeniz gerektiğini fark edebilirsiniz.
Active Directory’nizi korumak her zaman çok katmanlı bir görev olmuştur ve olmaya devam edecektir; bu görev AD içinde doğru ayarları doğrulamanın ötesine geçer. Yeni başlayanlar için, saldırganların ortamın bu kadar derinlerine inmesini engellemek bir numaralı öncelik olmalıdır: Bu da kurumun uç noktalarına yama uygulamak ve kurumlar için en önemli saldırı vektörlerinden biri olmaya devam eden kimlik avına karşı savunma yapmak anlamına geliyor.
Kurumlar için ikinci odak noktası, saldırganlar ağı ihlal ettiğinde yanal hareketi önlemek olmalıdır. Kuruluşlar erişimi en az ayrıcalık ilkesine göre kontrol etmelidir. Hiçbir etki alanı hesabının AD’nin yönetiminde yer almayan sistemlerde oturum açmayacağı bir katmanlama modeli kullanmak, saldırganların ayrıcalıklarını yükseltmelerini açıkça zorlaştıracaktır. Kullanıcıların görevleri için ihtiyaç duymadıkları ayrıcalıklara sahip olmadıklarından emin olmak için erişim hakları düzenli olarak gözden geçirilmelidir. Ağlar ayrıca yasal uyumluluk zorunluluklarını yerine getirmek için uygun şekilde bölümlere ayrılmalıdır.
Özellikle AD ile ilgili olarak, yama yönetimi ve sürekli izleme hayati önem taşımaktadır. DCSync saldırıları, DRS trafiğinin incelenmesi yoluyla kablo üzerinde tespit edilebilir. DC ağ segmentlerinin dışına yönlendirilen veya bu segmentlerden kaynaklanmayan DSGetNCChanges istekleri şüpheli faaliyetlerin bir göstergesi olabilir.
Ayrıca, ayrıcalıklı olmayan kullanıcılara yanlışlıkla DCsSync izinleri verildiğinde ve böylece AD altyapınız için yeni bir güvenlik açığına neden olduğunda sürprizlerden kaçınmak için etki alanı başınızdaki izinleri sürekli olarak izlemek isteyeceksiniz.
Skeleton Key Attack
Skeleton Key saldırıları Microsoft Active Directory sistemlerindeki zayıflıklardan yararlanarak saldırganlara kimlik doğrulama için Active Directory’ye dayanan hemen hemen her ağ hizmetine erişim sağlar. Kötü amaçlı yazılım herhangi bir parola bilmeden herhangi bir ağ kimliğine bürünebilir. Skeleton Key’in bulaştığı sistemlerin yetkili kullanıcıları için herhangi bir soruna neden olmadığı bildiriliyor, bu nedenle saldırılar bulaştıktan sonra bir süre fark edilmeyebilir.
Önlemler;
Etki alanı düzeyinde yönetici (DLA) hesaplarını (Etki Alanı Yöneticisi, Yöneticiler, vb.) koruyarak saldırganların bu kimlik bilgilerine erişme riskini azaltın.
DLA hesaplarının Etki Alanı Denetleyicilerinden farklı bir güvenlik seviyesindeki sistemlerde oturum açmasına izin vermeyin.
DC’lerle aynı seviyede korunmayan üye sunucularda hizmetlerin Etki Alanı Yöneticisi olarak çalışmasına izin vermeyin.
MS14-068 yamalanana kadar (kb3011780) Etki Alanı Denetleyicilerinin ağa sınırlı bağlantıya sahip olduğundan emin olun. Buradaki zorluk, yamanın DCPromo tamamlandıktan sonra uygulanması gerektiğidir.
LSASS yamasını engelleyen güvenlik yazılımı sorunu hafifletebilir.
Uygulama beyaz listesi (örn. AppLocker) onaylanmamış uygulamaların Etki Alanı Denetleyicilerinde çalışmasını engelleyebilir.
Etki Alanı Denetleyicilerinde İşlem Günlüğünü Etkinleştirmek, Etki Alanı Denetleyicilerinde hangi uygulamaların (exes) yürütüldüğüne ilişkin ek veriler sağlar.
Windows Server 2012 R2’de LSASS’ı korumalı bir işlem olarak etkinleştirin.
Tek bir bilgisayarda LSA korumasını etkinleştirmek için;
Kayıt Defteri Düzenleyicisini (RegEdit.exe) açın ve şu adreste bulunan kayıt defteri anahtarına gidin: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
Kayıt defteri anahtarının değerini şu şekilde ayarlayın: “RunAsPPL”=dword:00000001.
Bilgisayarı yeniden başlatın.
Grup İlkesi kullanarak LSA korumasını etkinleştirmek için;
Grup İlkesi Yönetim Konsolu’nu (GPMC) açın.
Etki alanı düzeyinde bağlı veya bilgisayar hesaplarınızı içeren kuruluş birimine bağlı yeni bir GPO oluşturun. Ya da zaten dağıtılmış olan bir GPO’yu seçebilirsiniz.
GPO’yu sağ tıklatın ve ardından Grup İlkesi Yönetimi Düzenleyicisi’ni açmak için Düzenle’yi tıklatın.
Bilgisayar Yapılandırması’nı genişletin, Tercihler’i genişletin ve ardından Windows Ayarları’nı genişletin.
Kayıt Defteri’ni sağ tıklatın, Yeni’nin üzerine gelin ve Kayıt Defteri Öğesi’ni tıklatın. Yeni Kayıt Defteri Özellikleri iletişim kutusu görünür.
Kovan listesinde HKEY_LOCAL_MACHINE öğesini tıklatın.
Anahtar Yolu listesinde, SYSTEM\CurrentControlSet\Control\Lsa öğesine göz atın.
Değer adı kutusuna RunAsPPL yazın.
Değer türü kutusunda REG_DWORD öğesini tıklatın.
Değer verisi kutusuna 00000001 yazın.
Tamam’ı tıklatın.
MS-17-010 ZAFİYETİ
Yazar: Övgü Kaya
MS17-010, Microsoft tarafından Mart 2017’de yayınlanan bir güvenlik açığıdır. Bu güvenlik açığı, Windows işletim sistemlerinde SMB (Server Message Block) protokolünün işlendiği bölümün bir eksikliğinden kaynaklanır ve etkilenen sistemlerde kötü amaçlı kişi tarafından kullanılarak, sistemlerin yetkisiz erişimine ve kontrolüne olanak sağlar.
SMB, ağdaki cihazların ve bilgisayarların dosya ve yazıcı paylaşımı yapmalarını sağlayan bir ağ protokolüdür. MS17-010 zafiyeti, SMB protokolünde bulunan bir dizi güvenlik açığından kaynaklanmaktadır ve bu açıkları kötü niyetli kişiler, WannaCry fidye yazılımı gibi zararlı saldırılar yapmak için kullanabilirler.
MS17-010 açığını istismar etmek için, bir kötü amaçlı kişi öncelikle etkilenen bir sisteme bir “hedef paket” gönderir. Bu paket, sistemde bir zayıflık tespit eder ve bir “çalışma kodu” yükler. Çalışma kodu, sistemde bir zafiyet yaratarak, bir kötü amaçlı kişinin yetkisiz erişimine ve kontrolüne olanak sağlar.
MS17-010 açığının istismarı, çeşitli araçlar ve yöntemlerle yapılabilir. Örneğin, Metasploit adlı bir açık kaynak kodlu güvenlik test aracı, MS17-010 açığını istismar etmek için kullanılabilecek çeşitli betikler içerir. Bu betikler, bir kötü amaçlı kişinin kullanımına sunulmuştur ve kullanıcıların, bu açığı keşfetme ve istismar etme yeteneklerini geliştirme amacıyla kullanılmalıdır. Bu betiklerin yanlış kullanımı, yasal olmayan veya yasa dışı faaliyetlerde bulunulmasına neden olabilir.
Bu tür güvenlik açıklarına karşı korunmak için kullanıcıların işletim sistemlerini güncellemesi ve yamaları düzenli olarak yüklemesi önemlidir. Ayrıca, güvenlik yazılımı kullanmak ve ağ trafiğini izlemek de ek önlemler arasında yer alır.
Nmap ile hedef makine üzerinde bir script yardımı ile zafiyet taraması gerçekleştireceğiz. Nmap sorgumuzun şu şekilde olması gerekir;
nmap –script vuln
QNAP Photo Station DeadBolt Fidye Yazılımı (QSA-22-24) CVE-2022-27593
Yazar: Övgü Kaya
QNAP, ağ depolama ürünleri ve ağ sunucuları üreten bir şirkettir. Photo Station, kullanıcılara QNAP NAS (Network Attached Storage) cihazlarında fotoğraf ve video koleksiyonlarını yönetmelerini ve paylaşmalarını sağlayan bir uygulamadır.
“DeadBolt Fidye Yazılımı (QSA-22-24)” olarak adlandırılan bir fidye yazılımıdır. Fidye yazılımlarının QNAP Photo Station veya QNAP NAS cihazları üzerinde yaygın olarak görülen bir tür siber saldırıdır.
Uzak QNAP NAS üzerinde çalışan Photo Station sürümü bir fidye yazılım güvenlik açığından etkileniyor. Photo Station çalıştıran QNAP NAS’ın da bundan etkilendiği belirlenmiştir. Bu, kötüye kullanılırsa, bir saldırganın sistem dosyalarını değiştirmesine izin verebilir.
Aşağıdaki linke tıklayarak bu zafiyetten nasıl korunabileceğinizle ilgili qnap açıklamasına ulaşarak yamaları uygulayabilir veya okumaya devam edebilirsiniz.
Dağıtıcı firmanın yama önerisi
https://www.qnap.com/en/security-advisory/qsa-22-24
Çözüm Önerisi:
Yönlendiricideki bağlantı noktası iletme işlevini devre dışı bırakın.
Güvenli uzaktan erişimi etkinleştirmek ve internete maruz kalmayı önlemek için NAS üzerinde myQNAPcloud’u kurun.
NAS’taki tüm uygulamaları en son sürümlerine güncelleyin.
NAS’taki tüm kullanıcı hesapları için güçlü parolalar uygulayın.
Verilerinizi korumak için anlık görüntüler alın ve düzenli olarak yedekleyin.
myQNAPcloud’u açın.
UPnP bağlantı noktası iletmeyi devre dışı bırakın.
3Otomatik Yönlendirici Yapılandırması’na gidin .
UPnP Port yönlendirmeyi etkinleştir seçimini kaldırın
DDNS’yi etkinleştirin.
My DDNS’yi etkinleştirmek için seçim düğmesine tıklayın .
Yayınlanmış Hizmetler’e gidin
Yayınla altındaki tüm öğelerin seçimini kaldırın. Uygula’yı tıklayın .
myQNAPcloud Link’i NAS’ınıza kurmak için Kur’a tıklayın
myQNAPcloud Link’i etkinleştirmek için seçim düğmesine tıklayın. Hangi kullanıcıların SmartURL aracılığıyla NAS’ınıza uzaktan erişebileceğini kısıtlayın.
Cihaz erişim denetimleri’nin yanında Özel veya Özelleştirilmiş’i seçin.
Not: Özel’i seçmek, yalnızca myQNAPcloud’da oturum açmış QNAP Kimliğinin SmartURL aracılığıyla NAS’a erişmesine izin verir. Özelleştirilmiş’i seçmek, diğer QNAP ID hesaplarını SmartURL yoluyla cihaza erişmeye davet etmenizi sağlar.
Özelleştirilmiş’i seçtiyseniz , Ekle’ye tıklayın ve kullanıcıyı davet etmek için bir QNAP Kimliği belirtin.
Genel Bakış’a giderek SmartURL’yi edinin
NAS üretici yazılımını ve tüm uygulamaları en son sürüme güncelleyin.
Aşağıda verilen güvenlik güncellemeleri verilen güvenlik açığını giderir:
QTS 5.0.1: Photo Station 6.1.2 ve sonrası
QTS 5.0.0/4.5.x: Photo Station 6.0.22 ve sonrası
QTS 4.3.6: Photo Station 5.7.18 ve sonrası
QTS 4.3.3: Photo Station 5.4.15 ve sonrası
QTS 4.2.6: Photo Station 5.2.14 ve sonrası
Tüm Uygulamaları Güncelleme
QTS’de yönetici olarak oturum açın.
Uygulama Merkezi’ni açın.
Pencerenin sağ üst köşesinde Güncellemeleri Yükle’yi bulun . Tümü’nü tıklayın.
Pencerenin sağ üst köşesinde Güncellemeleri Yükle’yi bulun . Tümü’nü tıklayın.
QTS, tüm uygulamaların en son sürümlerini yükler.
Photo Station’ı Güncelleme
1QTS’de yönetici olarak oturum açın.
QTS’de yönetici olarak oturum açın.
App Center’ı açın ve ardından öğesine tıklayın.
“Photo Station” girin.
Güncelle’yi tıklayın .
Bir onay mesajı görünür. Tamam’ı tıklayın.
Not: Sürümünüz zaten güncelse güncelle düğmesi kullanılamaz
Uygulama güncellendi.
NAS’taki tüm kullanıcı hesapları için güçlü parolalar uygulayın.
Verilerinizi korumak için anlık görüntüler alın ve düzenli olarak yedekleyin.
Bir diğer yöntem olarak QNAP, kullanıcıların Photo Station uygulamasını QNAP NAS cihazları için daha güvenli bir fotoğraf depolama aracı olan QuMagie ile değiştirmeleri önerilir.
https://www.qnap.com/en/security-advisory/qsa-22-24
https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-attack-uses-7zip-to-encrypt-qnap-devices/
Windows Yetki Yükseltme Saldırısı – SeImpersonatePrivilege
Yazar: Onur Savaş
Ayrıcalık yükseltme, BT sistemlerine sınırlı erişimi olan bir kullanıcının erişim izinlerinin kapsamını ve ölçeğini artırabileceği bir süreçtir.
Ayrıcalık yükseltme aynı zamanda saldırganların hassas ve değerli verileri keşfetmek ve dışarı sızdırmak için kullandıkları en yaygın tekniklerden biridir. Bir bilgisayar korsanının bakış açısına göre ayrıcalık yükseltme, genellikle standart bir kullanıcı veya uygulama hesabı olan ilk erişimden yönetici, kök ve hatta tam sistem erişimine kadar ayrıcalıkları artırma sanatıdır. NT Yetkilisi\Sistem erişimi ile saldırganlar bir sisteme tam erişime sahip olurlar. Etki Alanı Yöneticisi erişimi ile tüm ağa sahip olurlar. Saldırganlar bir Windows makinesinde düşük seviyeli bir kullanıcı olarak bulunduğunda, kullanıcı hesabınızın hangi ayrıcalıklara sahip olduğunu kontrol ederler. SeImpersonatePrivilege’a sahipse bir saldırgan, SYSTEM düzeyinde erişim elde etmek için kullanabileceği çok basit bir saldırı vektörü vardır.
Zerologon (CVE-2020-1472)
Yazar: Onur Savaş
ZeroLogon güvenlik açığı, bir saldırganın kök Domain Controller de dahil olmak üzere bir etki alanı denetleyicisinin (DC) kontrolünü ele geçirmesine olanak tanır. Bu, denetleyicideki bir hizmet hesabının parolasını değiştirerek veya kaldırarak yapılır. Bilgisayar korsanı daha sonra basitçe bir hizmet reddine neden olabilir veya tüm ağı ele geçirip sahip olabilir.
Etkilenen Windows Server Sürümleri:
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)
Microsoft’un Ağustos 2020 Güvenlik Yaması, Windows’un etkilenen tüm sürümleri için bu güvenlik açığını gidermektedir. Birçok kuruluşta Etki Alanı Denetleyicileri, bir Etki Alanı Denetleyicisinin güncellenmesinin ortamdaki birçok hizmet ve uygulama üzerindeki etkisi nedeniyle yamaların gerisinde kalma eğilimindedir. Bu güncellemenin gerisinde kalmamaya özen gösterin.
Unconstrained Delegation
Yazar: Onur Savaş
Microsoft, kullanıcıların Kerberos aracılığıyla bir sistemde kimlik doğrulaması yaptığı ve bilgilerin başka bir sistemde güncellenmesi gerektiği senaryoları desteklemek için kısıtlamasız delegasyon uygulamıştır. Bu, Windows 2000’den beri Windows ekosistemlerinde uygulanmaktadır. Kısıtlamasız yetkilendirme için yapılandırılan sistemler, kullanıcının son kaynağa erişmesini sağlamak amacıyla LSASS belleğinde saklanan TGT’ye (Bilet Verme Bileti) sahip olacaktır.
Daha spesifik olarak, etki alanı denetleyicisi kullanıcının TGT’sinin bir kopyasını hizmet biletine yerleştirir. Kullanıcının hizmet bileti (TGS) hizmet erişimi için sunucuya verildiğinde sunucu TGS’yi açar ve kullanıcının TGT’sini daha sonra kullanmak üzere LSASS’a yerleştirerek sunucunun kullanıcının kimliğine bürünmesini sağlar. Bilet, etki alanı denetleyicisinin makine hesabına veya etki alanı yöneticisi gibi yüksek ayrıcalıklı bir hesaba ait olabileceğinden, biletin elde edilmesi etki alanı yükseltmesine yol açabilir.
Silver Ticket
Yazar: Onur Savaş
Gümüş bilet, genellikle bir saldırgan bir hesap parolasını çaldığında oluşturulan sahte bir kimlik doğrulama biletidir. Gümüş bilet saldırıları bu kimlik doğrulamasını bilet veren hizmet biletlerini taklit etmek için kullanır. Sahte bir hizmet bileti şifrelenir ve gümüş bilet saldırısı tarafından hedeflenen belirli hizmet için kaynaklara erişim sağlar.
Gümüş bilet saldırısının diğer bilet saldırısı türleriyle ortak noktası Kerberos açığının kötüye kullanılmasıdır. Buna Kerberoasting adı verilir ve gizli anahtar kriptografisi kullanarak hizmet taleplerini doğrulayan bir ağ güvenlik protokolü olan Kerberos’tan yararlanarak Microsoft Active Directory kullanıcı hesapları için parola karmalarını toplar.
Peki gümüş bilet saldırısı gibi kimlik bilgisi boşaltma saldırılarını nasıl önlersiniz?
Saldırganların parola bilgilerini almasını engelleyebilir ya da sahte bir biletin sağlayabileceği erişimi sınırlayabilirsiniz. Kerberoasting’in başarılı olmasını önlemek için, geliştiricilerin bellekte tutulan verileri şifrelemek için yazılım yazmalarını sağlayabilirsiniz. Ayrıca saklanan parolalar gibi hassas bilgileri sık sık temizleyen yöntemler de oluşturabilirsiniz.
Yönetici erişimini kısıtlamak ve etki alanı yönetici hesaplarının sayısını sınırlamak için bir kullanıcı en az ayrıcalık modeli uygularsanız, gümüş bilet saldırılarının artmasını önleyebilirsiniz. Hizmet hesaplarını denetleyerek ve güçlendirerek, parolaların bulunmasının daha zor olduğundan ve bir ağ genelinde paylaşılmadığından emin olabilirsiniz. Son olarak, biletlerin meşru anahtar dağıtıcısı tarafından verildiğinden emin olmak için Kerberos protokolünü doğruladığınızdan emin olun.
Kerberos protokolü kriptografi, gizli anahtarlar ve üçüncü taraf yetkilendirmesi kullanan en güvenli doğrulama protokollerinden biri olmaya devam etmektedir. Kerberos gümüş biletini önlemek ve buna yanıt vermek, saldırganlara karşı güvende kalmak için bir gerekliliktir.
Gümüş bilet saldırısının zararını azaltmanın diğer yolları aşağıdakileri içerir:
Kerberos’un ayrıcalıklı öznitelik sertifika doğrulamasını etkinleştirin. Bu, gümüş biletlerin önlenmesine ve tespit edilmesine yardımcı olabilir.
Rastgele ve güçlü benzersiz parolalar oluşturmak için bir parola hizmeti kullanın. Örneğin, en az 30 karakter ve parolaların sık sık değiştirilmesi.
Herhangi bir kullanıcının güvenlik sınırları ötesinde yönetici ayrıcalıklarına sahip olmasına izin vermeyin. Bu, bir gümüş bilet saldırısının başlangıçta hedeflenen hizmetten ayrılarak yükselmesini önler.
Golden Ticket
Altın Bilet saldırısı, bir tehdit aktörünün Microsoft Active Directory’de (AD) depolanan kullanıcı verilerine erişerek bir kuruluşun etki alanına (cihazlar, dosyalar, etki alanı denetleyicileri vb.) neredeyse sınırsız erişim elde etmeye çalıştığı kötü niyetli bir siber güvenlik saldırısıdır. AD’ye erişmek için kullanılan Kerberos kimlik doğrulama protokolündeki zayıflıklardan yararlanarak saldırganın normal kimlik doğrulamayı atlamasına olanak tanır.
Giderek artan sayıda şirket hem buluta hem de uzaktan öncelikli bir ortama geçtikçe, çalışanların kendi cihazlarını ve ağlarını kullanarak şirket sistemlerine giriş yapmasıyla birlikte saldırı yüzeyi geleneksel çevrenin ötesine geçmiştir. Bu da saldırganların bir ağa girme ve erişim sağlamak için bir Altın Bilet saldırısı kullanma riskini artırmıştır.
Altın Bilet Saldırıları Nasıl Önlenir?
Altın Bilet saldırılarını önlemek için Kerberos hesaplarına ve Kerberos biletlerine erişimi izlemeniz ve denetlemeniz son derece önemlidir.
BT yöneticileri, Grup İlkesi Yönetim Konsolu’nu (GPMC) kullanarak Kerberos kimlik doğrulamasının denetlenmesini etkinleştirebilir, bu da hem başarısız hem de başarılı oturum açma etkinliğini izlemek için olayları izlemelerine olanak tanır.
Örneğin, alışılmadık derecede yüksek sayıda başarısız oturum açma girişimi, olası bir kaba kuvvet saldırısına işaret edebilir. Ayrıca aşağıdakileri de yakından takip etmelisiniz;
Etki Alanı Denetleyicisi etkinliği.
Kaynak ve istek sayısı dahil olmak üzere TGT istekleri.
Uzun ömürlü TGT’ler.
Olağandışı etki alanı çoğaltma etkinliği.
Ayrıcalıklarda, özellikle de hata ayıklama ayrıcalığında yapılan değişiklikler.
Kötü niyetli etkinlikleri belirlemek için yerel sunucu günlüklerini manuel olarak incelemek teorik olarak mümkün olsa da, hesaplarınıza nasıl erişildiğini ve kullanıldığını daha net bir şekilde görmenizi sağlayacak ve şüpheli etkinlikler tespit edildiğinde gerçek zamanlı uyarılar oluşturacak daha gelişmiş bir Active Directory güvenlik çözümü kullanmanız önerilir.
Ayrıca güçlü bir parola politikasına sahip olduğunuzdan emin olmalı ya da daha iyisi, tüm ayrıcalıklı hesaplarda çok faktörlü kimlik doğrulama kullanmalısınız. Ayrıca, kullanıcının tipik oturum açma saatleri dışında ağ kaynaklarına erişmesini önlemek için bir hizmet bileti için Maksimum kullanım ömrünü 600 dakika olarak ayarlamanız önerilir.
Yukarıda belirtilen önleyici tedbirlere ek olarak, şunları da göz önünde bulundurmak isteyebilirsiniz;
KRBTGT şifresini düzenli olarak değiştirmek.
KRBTGT parola karmasına erişebilecek hesap sayısını sınırlamak.
Ağınızı düzenli olarak altın biletler için taramak ve bulunanları temizlemek.
Sistem saatinin senkronize edildiğinden emin olun.
Kullanıcıları ve BT personelini olası saldırılar konusunda eğitmek.
CONTI Ransomware Grubu Sızıntıları
Yazar: Övgü Kaya
Conti Fidye Yazılımı Nasıl Çalışır?
Kurbanın verilerini hem dışarı sızdırır hem de şifreleyerek çifte gasp taktiğine izin verir. Genellikle hizmet olarak fidye yazılımı (RaaS) modeli saldırılarında kullanılır. Dosyaları hızlı bir şekilde yaymak ve şifrelemek için çoklu iş parçacıklı işlem kullanır. Conti öncelikli olarak Windows platform sistemlerini hedef alsa da, Conti kötü amaçlı yazılım araç setlerinin daha yeni incelemeleri de Linux sistemlerde açıkları kullandığını ortaya çıkardı.
Kötü amaçlı yazılım, ilk erişimden sonra Conti’nin komuta ve kontrol (C2) sunucusuna bağlanır ikinci aşama Conti C2 istemcisini ve dosya şifreleme araçlarını indirir. Üçüncü aşama C2 kötü amaçlı yazılımı, yüksek değerli hedefleri tehlikeye atmak için uzaktan yürütmek ve bir ağ üzerinden yaymak için Cobalt Strike beacon, PowerSploit ve AdFind gibi uzun bir penetrasyon testi yazılım araçları listesini kullanır. Conti ayrıca Sunucu İleti Bloğu (SMB) aracılığıyla bir ağ içinde yayılabilir ve aynı ağ etki alanındaki diğer uç noktalardaki verileri şifrelemek için bir strateji olarak SMB istismarını kullanır.
Diğer fidye yazılımları gibi Conti de algıladığı mevcut güvenlik ürünlerini devre dışı bırakmaya çalışır ve kötü amaçlı yazılım analizi için kullanılan bir sanal alan ortamı olup olmadığını belirlemek için ortamı tarayarak kötü amaçlı yüklerinin içeriğini korumaya çalışır. Saldırgan yüksek değerli hedefleri belirleyip tehlikeye attığında, Conti değerli kurumsal verileri saldırganın kontrolündeki bir sunucuya sızdırır ve ardından dosyaları hızlı bir şekilde şifrelemek için çok iş parçacıklı şifreleme kullanır.
Conti saldırıları, genellikle kısa bir süre içinde birden fazla kuruluşun güvenliğinin ihlal edildiği yıldırım saldırılarında kullanılır. ARMattack (“armada”nın kısaltması) olarak adlandırılan yeni bir yıldırım örneği, Conti’nin yaklaşık bir ay içinde 40’tan fazla şirketi hacklediğini gördü. Yıldırım saldırıları, siber güvenlik topluluğu savunma önlemleri geliştirmek ve paylaşmak için yeterli zamana sahip olmadan önce, yeni ve gelişmiş kötü amaçlı yazılım tekniklerinin faydasını en üst düzeye çıkarır.
CONTI Ransomware kullanıcının sistemini tarar ve şifreleme işlemini tetikler. Bu dosya kilitleme Truva atı, hedeflenen tüm dosyaları kilitlemek için güvenli bir şifreleme algoritması kullanır. Sistemde bulunan tüm belgelerin, resimlerin, ses dosyalarının, videoların, veritabanlarının ve elektronik tabloların şifrelenmesi muhtemeldir. Yeni kilitlenen dosyalar ek bir ‘.CONTI’ uzantısı alır.
Saldırı açısından, Conti tipik olarak kişisel belgeleri, resimleri ve videoları (docx, xlsx, pdf ve mp4 dosyaları) ve yedekleme dosyalarını hedefler. Şifreleme işlemi sırasında, dosyalar bir AES-256 şifreleme anahtarıyla, ardından bir RSA-4096 genel şifreleme anahtarıyla şifrelenir ve bir conti veya CONTI uzantısıyla eklenir. Kötü amaçlı yazılım ayrıca her klasörde fidye mesajını ve saldırganlarla nasıl iletişime geçileceğine ve ödemenin nasıl gönderileceğine ilişkin talimatları içeren bir metin dosyası oluşturur.
Ardından, CONTI Ransomware kullanıcının masaüstüne bir fidye notu bırakır. Fidye notunun adı ‘CONTI_README.txt’. Fidye yazılımı tehditlerinin yazarları, fidye notuna bir ad verirken kullanıcının saldırganların mesajını bulma şansını arttırdığı için tüm büyük harfleri kullanırlar. Fidye mesajı çok kısa saldırganlar fidye ücretinin ne olduğunu söylemezler ancak, e-posta yoluyla iletişim kurulmasını talep ederler ve bu amaçla iki e-posta adresi sağlarlar – ‘mantiticvi1976@protonmail.com’ ve ‘fahydremu1981@protonmail.com.
CONTI Ransomware’den sorumlu siber dolandırıcılarla temas kurmanız önerilmez. Fidye ücretini ödeseniz bile, saldırganlar anlaşmanın sonunu onurlandıracakları ve verilerinizi kurtarmak için ihtiyacınız olan şifre çözme aracını sağlayabileceklerine dair hiçbir garanti vermeyeceklerdir.
CONTI RANSOMWARE
