DCSYNCMonitor: Active Directory'de DCSYNC Saldırılarını Tespit Etme ve Önleme
DCSYNCMonitor Nedir?
DCSYNCMonitor, Active Directory (AD) ortamında Domain Controller'lar (DC) arasındaki replikasyon işlemlerini izlemek ve potansiyel DCSYNC saldırılarını tespit etmek için kullanılan bir güvenlik aracıdır. DCSYNC saldırıları, özellikle saldırganların Domain Controller gibi davranarak kullanıcı bilgilerini çalması veya hash değerlerini elde etmesi gibi kritik güvenlik tehditlerine yol açabilir. DCSYNCMonitor, bu tür saldırıları tespit etmek ve önlemek için etkili bir çözüm sunar.
DCSYNC Saldırısı Nedir?
DCSYNC saldırısı, bir saldırganın Domain Controller gibi davranarak AD ortamındaki kullanıcı hesaplarının bilgilerini (örneğin, parola hash'leri) senkronize etmeye çalıştığı bir saldırı türüdür. Bu saldırı özellikle şu durumlarda kritiktir:
Kullanıcı Bilgilerinin Çalınması:
Saldırganlar, kullanıcı hesaplarının parola hash'lerini elde edebilir.
Domain Admin Hesaplarının Ele Geçirilmesi:
Saldırganlar, Domain Admin hesaplarının bilgilerini senkronize ederek tüm AD ortamını ele geçirebilir.
Replikasyon İstismarı: Saldırganlar, DC'ler arasındaki replikasyon işlemlerini istismar edebilir.
Saldırganlar bir Windows uç noktasını tehlikeye attıktan sonra, karma veya düz metin parolası biçiminde depolanan kimlik bilgilerini bulabilirler. Güvenliği ihlal edilmiş bir Windows uç noktasından kimlik bilgilerini dökmek için çeşitli teknikler mevcuttur. Örneğin:
LSASS Belleği'nden,
SAM veritabanından,
Önbelleğe Alınmış Etki Alanı Kimlik Bilgileri'nden,
Çoğaltma Dizini izinlerini kötüye kullanarak kimlik bilgilerini elde etme.
Elde edilen bu kimlik bilgileri, yanal hareket gerçekleştirmek ve daha yüksek düzeyde erişim elde etmek için kullanılabilir.
DCSync Saldırısı Nasıl Çalışır?
"Dizin Değişikliklerini Çoğaltma" izinlerine sahip Active Directory (AD) hesapları, saldırganların DCSync saldırısını kullanarak kimlik bilgilerini almasına olanak tanır. Açıkça verilen izinlere sahip bu hesaplar, kuruluşun tüm AD etki alanı için ciddi bir risk oluşturabilir.
Saldırganlar, AD etki alanındaki herhangi bir kaynağa sınırsız erişim elde etmek için Altın Bilet (Golden Ticket) ve Pass the Ticket (PTT) gibi başka saldırılar başlatabilir.
DCSync Saldırı Adımları:
1. "Dizin Değişikliklerini Çoğaltma" iznine sahip bir kullanıcı hesabının güvenliğini ihlal edin.
2. Belirtilen etki alanı adında bir DC bulun.
3. DC'den Microsoft Dizin Çoğaltma Hizmeti Uzak (MSDRSR) protokolünü kullanarak parola karmaları gibi hassas bilgileri çoğaltmasını isteyin.
4. KRBTGT ve Yöneticiler gibi hesapların NTLM karmalarını edinin.
5. Bir Altın Bilet oluşturun ve yanal hareket için Pass the Ticket (PTT) saldırılarını çalıştırın.
Mimikatz ile DCSync Örneği:
```powershell
lsadump::dcsync /user:dc\krbtgt
lsadump::dcsync /user:dc01\Administrator
```
Bu komutlar, geçerli NTLM karmalarının yanı sıra parola geçmişini de gösterir. Saldırganlar, toplanan karmaları kullanarak bir Altın Bilet oluşturup tüm AD etki alanına sınırsız erişim sağlayabilir.
DCSync Saldırılarını Tespit Etme ve Önleme
Tespit Stratejileri:
AD için Kimlik Değerlendirme Araçları kullanarak "Dizin Değişikliklerini Çoğalt" izinleriyle ayarlanmış olağandışı hesapları algılayın.
Singularity Identity gibi çözümlerle sahte AD nesneleri oluşturarak saldırganları tuzaklara yönlendirin.
Azaltma Stratejileri:
"Dizin Değişikliklerini Çoğaltma" izinlerini yönetin.
Çoğaltma izni olan şüpheli hesapları kaldırın veya erişimi reddedin.
Administrators ve Domain Controller gruplarının üyelerini düzenli olarak kontrol edin.
DCSYNCMonitor Kurulumu
1. GitHub'dan İndirme
```powershell
git clone https://github.com/shellster/DCSYNCMonitor
```
2. PowerShell ile Çalıştırma
```powershell
ImportModule .\DCSYNCMonitor.ps1
```
DCSYNCMonitor Kullanımı
1. Temel İzleme Başlatma
```powershell
StartDCSYNCMonitor
```
2. Detaylı Log ile İzleme
```powershell
StartDCSYNCMonitor LogPath "C:\Logs\dcsync.log" Verbose
```
3. Email Alert Yapılandırması
```powershell
StartDCSYNCMonitor EmailAlert SmtpServer "smtp.domain.com" FromAddress "alert@domain.com" ToAddress "admin@domain.com"
```
Önemli İzleme Parametreleri
DCSYNCMonitor şu parametreleri izler:
SyncType: DCSYNC işleminin türü.
SourceComputer: İsteği yapan bilgisayar.
TargetComputer: Hedef Domain Controller.
User: İşlemi yapan kullanıcı.
Time: İşlem zamanı.
Güvenlik Önerileri
1. Sadece DC'lerin DCSYNC yapmasına izin verin.
2. Şüpheli DCSYNC isteklerini hemen inceleyin.
3. Domain Admin hesaplarına özel dikkat gösterin.
4. Alert'leri 7/24 izleyin.
5. Periyodik raporlama yapın.
Log Analizi Örnekleri
1. Son 24 Saatteki DCSYNC Olaylarını Getirme
```powershell
GetDCSYNCEvents LastHours 24
```
2. Belirli Bir Kullanıcının DCSYNC Aktivitesini Kontrol Etme
```powershell
GetDCSYNCEvents Username "suspicious.user"
```
Event ID'ler
DCSYNCMonitor şu Event ID'leri izler:
4662: Directory Service Access.
4624: Account Logon.
4768: Kerberos Authentication.
4769: Kerberos Service Ticket.
Alert Örneği
```powershell
$criticalAccounts = @("Administrator", "DomainAdmin")
StartDCSYNCMonitor CriticalAccounts $criticalAccounts AlertThreshold 1
```
İyi Uygulamalar
1. Regular DC'lerinizi whitelist'e alın.
2. Şüpheli IP'leri hemen inceleyin.
3. Mesai saatleri dışındaki DCSYNC'lere ekstra dikkat edin.
4. Periyodik güvenlik gözden geçirmesi yapın.
5. DCSYNC yetkisi olan hesapları sıkı kontrol edin.
DCSYNCMonitor Kullanırken Dikkat Edilmesi Gerekenler
1. Sistem kaynaklarını etkin kullanın.
2. Log rotasyonu yapın.
3. False positive'leri azaltın.
4. Backup DC'leri whitelist'e alın.
DCSYNCMonitor, Active Directory ortamınızda DCSYNC saldırılarını tespit etmek ve önlemek için güçlü bir araçtır. Bu aracı kullanarak AD güvenliğinizi artırabilir ve saldırganların kritik bilgilere erişmesini engelleyebilirsiniz.
Çoğaltma, DC'ler arasındaki bilgilerin güncel kalması için kritik bir işlevdir, ancak bu izinlerin kötüye kullanılmasını önlemek için sürekli izleme ve düzeltici eylemler gereklidir.
Kuruluşlar, AD koruma çözümlerini dağıtarak ve yetkisiz hesapların güvenlik açıklarını düzelterek bu riski en aza indirebilir.
#ActiveDirectory #DCSync #CyberSecurity #SIEM #PenetrationTesting