DCSync Attack

DCSync saldırısı, tehdit aktörlerinin etki alanı denetleyicisi gibi davranan süreçler çalıştırdığı ve AD bilgilerini çoğaltmak için Directory Replication Service (DRS) uzak protokolünü kullandığı bir yöntemdir. Saldırı, gerçek etki alanı denetleyicilerinden daha sonra kırabilecekleri parola karmalarını çalmalarını sağlar.

Saldırıyı gerçekleştirmek için saldırganın hedef etki alanı için uygun “Dizin Değişikliklerini Çoğaltma” ayrıcalıklarına sahip bir kullanıcıyı tehlikeye atmış olması gerekir. Saldırganlar genellikle Dizin Değişikliklerinin Tümünü Çoğaltma ayrıcalığına sahip hesapları ararlar, çünkü bu ayrıcalık herhangi bir etki alanı hesabının parolalarının çoğaltılmasına izin verir.

Bu ayrıcalıklar varsayılan olarak yalnızca yöneticilere ve etki alanı denetleyicisi gruplarına verilir.

Kuruluşlar, bir saldırganın DCSync saldırıları gerçekleştirme olasılığını azaltmak için birkaç adım atabilir.

Birinci adım, Active Directory için temel güvenlik ve hijyen uygulamalarını hayata geçirmektir. Saldırı, tehdit aktörünün bir etki alanı yöneticisi hesabını veya DCsync izinleri verilmiş başka bir hesabı zaten tehlikeye atmış olmasını gerektirir. Bu nedenle, hangi hesaplara veya gruplara güçlü DCSync izinleri verildiğinin farkında olmanız için etki alanı yöneticinizin izinlerini izlemek çok önemlidir. Yıllar önce yanlışlıkla bu izinleri almış olan bazı kullanıcıların izinlerini iptal etmeniz gerektiğini fark edebilirsiniz.

Active Directory’nizi korumak her zaman çok katmanlı bir görev olmuştur ve olmaya devam edecektir; bu görev AD içinde doğru ayarları doğrulamanın ötesine geçer. Yeni başlayanlar için, saldırganların ortamın bu kadar derinlerine inmesini engellemek bir numaralı öncelik olmalıdır: Bu da kurumun uç noktalarına yama uygulamak ve kurumlar için en önemli saldırı vektörlerinden biri olmaya devam eden kimlik avına karşı savunma yapmak anlamına geliyor.

Kurumlar için ikinci odak noktası, saldırganlar ağı ihlal ettiğinde yanal hareketi önlemek olmalıdır. Kuruluşlar erişimi en az ayrıcalık ilkesine göre kontrol etmelidir. Hiçbir etki alanı hesabının AD’nin yönetiminde yer almayan sistemlerde oturum açmayacağı bir katmanlama modeli kullanmak, saldırganların ayrıcalıklarını yükseltmelerini açıkça zorlaştıracaktır. Kullanıcıların görevleri için ihtiyaç duymadıkları ayrıcalıklara sahip olmadıklarından emin olmak için erişim hakları düzenli olarak gözden geçirilmelidir. Ağlar ayrıca yasal uyumluluk zorunluluklarını yerine getirmek için uygun şekilde bölümlere ayrılmalıdır.

Özellikle AD ile ilgili olarak, yama yönetimi ve sürekli izleme hayati önem taşımaktadır. DCSync saldırıları, DRS trafiğinin incelenmesi yoluyla kablo üzerinde tespit edilebilir. DC ağ segmentlerinin dışına yönlendirilen veya bu segmentlerden kaynaklanmayan DSGetNCChanges istekleri şüpheli faaliyetlerin bir göstergesi olabilir.

Ayrıca, ayrıcalıklı olmayan kullanıcılara yanlışlıkla DCsSync izinleri verildiğinde ve böylece AD altyapınız için yeni bir güvenlik açığına neden olduğunda sürprizlerden kaçınmak için etki alanı başınızdaki izinleri sürekli olarak izlemek isteyeceksiniz.

İlgili Yazılar

DES-619_BlogHeader_PassTheTicket-1167x500

Pass The Ticket

Yazar: Onur Savaş Pass-the-ticket saldırısı, Windows Active Directory ortamında bilet adı verilen kimlik doğrulama bilgilerinin çalınmasını ve yeniden kullanılmasını içeren bir...
adli-bilisimin-onemi

Adli Bilişimin Önemi

Küçük yerel bir işletme veya dünya devi bir şirket fark etmez, kurumsal yapının omuriliği bilgi işlem altyapısıdır. Mahiyetine bakmaksızın, bilgi...
dijital-delil-tespiti-nasil-istemeliyim

Dijital Delil Tespiti Nasıl İstemeliyim?

Dijital Delil Tespiti Nasıl İstemeliyim? Türkiye’de veya dünyanın neresinde olursa olsun, ADALET önemli bir yapı taşıdır. İnsanların yaşadıkları toplumlarda hava...