DCSYNCMonitor, Active Directory (AD) ortamında Domain Controller’lar (DC) arasındaki replikasyon işlemlerini izlemek ve potansiyel DCSYNC saldırılarını tespit etmek için kullanılan bir güvenlik aracıdır. DCSYNC saldırıları, özellikle saldırganların Domain Controller gibi davranarak kullanıcı bilgilerini çalması veya hash değerlerini elde etmesi gibi kritik güvenlik tehditlerine yol açabilir. DCSYNCMonitor, bu tür saldırıları tespit etmek ve önlemek için etkili bir çözüm sunar.
DCSYNC Saldırısı Nedir?
DCSYNC saldırısı, bir saldırganın Domain Controller gibi davranarak AD ortamındaki kullanıcı hesaplarının bilgilerini (örneğin, parola hash’leri) senkronize etmeye çalıştığı bir saldırı türüdür. Bu saldırı özellikle şu durumlarda kritiktir:
– Kullanıcı Bilgilerinin Çalınması: Saldırganlar, kullanıcı hesaplarının parola hash’lerini elde edebilir.
– Domain Admin Hesaplarının Ele Geçirilmesi: Saldırganlar, Domain Admin hesaplarının bilgilerini senkronize ederek tüm AD ortamını ele geçirebilir.
– Replikasyon İstismarı: Saldırganlar, DC’ler arasındaki replikasyon işlemlerini istismar edebilir.
Saldırganlar bir Windows uç noktasını tehlikeye attıktan sonra, karma veya düz metin parolası biçiminde depolanan kimlik bilgilerini bulabilirler. Güvenliği ihlal edilmiş bir Windows uç noktasından kimlik bilgilerini dökmek için çeşitli kullanışlı teknikler mevcuttur. Örneğin, bir saldırgan LSASS Belleği’nden, SAM veritabanından, Önbelleğe Alınmış Etki Alanı Kimlik Bilgileri’nden veya Çoğaltma Dizini izinlerini kötüye kullanarak kimlik bilgilerini elde edebilir. Elde edilen bu kimlik bilgilerini yanal hareket gerçekleştirmek ve daha yüksek düzeyde erişim elde etmek için kullanabilirler.
“Dizin Değişikliklerini Çoğaltma” izinlerine sahip Active Directory (AD) hesapları, saldırganların DCSync saldırısını kullanarak kimlik bilgilerini almasına olanak tanır. Açıkça verilen izinlere sahip bu hesaplar, kuruluşun tüm AD etki alanı için ciddi bir risk oluşturabilir. Saldırganların, AD etki alanındaki herhangi bir kaynağa sınırsız erişim elde etmek için Altın Bilet ve Bileti Geç (PTT) gibi başka saldırılar başlatmasına izin verir.
Active Directory’deki çoğaltma, her etki alanı denetleyicisinin veri değişikliklerini aynı veri merkezi içinde veya siteler arasında eşitlemesini sağlar. Bir etki alanı içindeki hesaplar, AD’deki nesneleri bulmak için “Dizin Değişikliklerini Çoğalt” iznine ihtiyaç duyar. Çoğaltma izni, bir etki alanı içindeki değişiklikleri sorgulamaya da olanak tanır. Saldırgan, “Dizin Değişikliklerini Çoğalt” iznine sahip standart, ayrıcalıklı olmayan kullanıcı hesaplarının güvenliğini aşabilir ve kimlik bilgilerini çalmak için kötü amaçlı çoğaltma gerçekleştirebilir. Aşağıdaki hakların her ikisine de etki alanı düzeyinde temsilci atanmış olan etki alanı güvenlik sorumluları, bir DCSync saldırısı kullanarak parola karması verilerini başarıyla alabilir.
Dizin Değişikliklerini Çoğaltma
Dizin Değişikliklerinin Tümünü Çoğaltma
Ayrıca, etki alanı düzeyinde aşağıdaki haklardan birine sahip herhangi bir güvenlik sorumlusu da DCSync saldırısını kullanarak parola karması verilerini başarıyla alabilir.
DCSync Saldırısı Nedir ve Nasıl Çalışır?
DCSync saldırısı, saldırganların AD veritabanından hassas bilgiler elde etmesini sağlayan iyi bilinen bir kimlik bilgisi dökümü tekniğidir. DCSync saldırısı, saldırganların uzak bir Etki Alanı Denetleyicisinden (DC) çoğaltma işlemini simüle etmesine ve başka bir DC’den kimlik bilgileri istemesine olanak tanır. Aşağıdaki üst düzey adımlar dizisi, bir DCSync saldırısının nasıl çalıştığını ve saldırganların bir kuruluşun AD altyapısının tam kontrolünü ele geçirmesini nasıl sağladığını açıklar.
- “Dizin Değişikliklerini Çoğaltma” iznine sahip standart veya ayrıcalıklı olmayan bir kullanıcı hesabının güvenliğini ihlal edin.
- Belirtilen etki alanı adında bir DC bulun.
- DC’den Microsoft Dizin Çoğaltma Hizmeti Uzak (MS-DRSR) protokolünü kullanarak parola karmaları gibi hassas bilgileri çoğaltmasını isteyin.
- KRBTGT ve Yöneticiler gibi potansiyel olarak yararlı hesapların NTLM karmalarını edinin.
- Bir Altın Bilet oluşturun ve yanal olarak hareket etmek için Pass the Ticket (PTT) saldırılarını çalıştırın.
DCSync işlevselliği, kimlik bilgisi dökümü için Açık Kaynak bir uygulama olan Mimikatz’daki “lsadump” modülünün bir parçasıdır. Saldırganlar, potansiyel olarak yararlı hesapların geçerli ve geçmiş karmaları da dahil olmak üzere NTLM karmalarını AD’den çekmek için Mimikatz DCSync işlevini ve uygun etki alanı çoğaltma haklarını kullanır. Saldırganlar, KRBTGT ve Yöneticiler için karmaları çıkarmak için aşağıdaki Mimikatz komutlarını kullanabilir.
<code>lsadump::d csync /user:dc\krbtgt</code>
<code>lsadump::d csync /user:dc01\Administrator</code>
Yukarıdaki kimlik bilgileri bölümü, geçerli NTLM karmalarının yanı sıra parola geçmişini de gösterir. Saldırganlar daha sonra toplanan karmaları kullanarak bir Altın Bilet oluşturur ve potansiyel olarak tüm AD etki alanına sınırsız erişim elde etmek için bir Pass the Ticket saldırısı gerçekleştirir.
DCSync Saldırılarını Tespit Etme ve Azaltma Stratejileri
AD için Ranger® Kimlik Değerlendiricisi, benzeri görülmemiş bir görünürlük sağlar ve “Dizin Değişikliklerini Çoğalt” izinleriyle ayarlanmış olağandışı hesapları algılar. Kuruluşlar, bir DCSync saldırısı gerçekleştirmek için Active Directory’yi numaralandırmaya çalışan saldırganları tespit etmek için SingularityTM Identity’yi de dağıtabilir. Çözüm, sahte AD nesnelerini saldırgan sorgularına döndürerek onları üretim sistemlerinden yanlış bir şekilde yönlendirir ve etkileşim için tuzaklara yönlendirir. Bir risk azaltma stratejisi olarak, güvenlik yöneticileri “Dizin Değişikliklerini Çoğaltma” için erişim denetim listelerini (ACL) ve DC çoğaltmasıyla ilişkili diğer izinleri yönetebilir.
Güvenlik yöneticileri, çoğaltma izinleriyle ayarlanmış olağandışı hesapları kaldırabilir veya belirtilen kullanıcı hesaplarının izinlerini reddedebilir.
Güvenlik yöneticileri, aşağıda gösterildiği gibi, varsayılan olarak Dizin Değişikliklerini Çoğaltma izinlerine sahip Administrators ve Domain Controller gruplarının üyelerini de arayabilir ve saldırganların bunları yükseltme riskini azaltmak için en az ayrıcalıkları uygulayabilir.
DCSync
DCSYNCMonitor Kurulumu
1. GitHub’dan İndirme
DCSYNCMonitor’u GitHub üzerinden indirebilirsiniz:
powershell
git clone https://github.com/shellster/DCSYNCMonitor
2. PowerShell ile Çalıştırma
Modülü import ederek kullanmaya başlayın:
powershell
Import-Module .\DCSYNCMonitor.ps1
DCSYNCMonitor Kullanımı
1. Temel İzleme Başlatma
Basit bir izleme başlatmak için:
powershell
Start-DCSYNCMonitor
2. Detaylı Log ile İzleme
Detaylı loglama ile izleme yapmak için:
powershell
Start-DCSYNCMonitor -LogPath “C:\Logs\dcsync.log” -Verbose
3. Email Alert Yapılandırması
Email alert’leri yapılandırmak için:
powershell
Start-DCSYNCMonitor -EmailAlert -SmtpServer “smtp.domain.com” -FromAddress “alert@domain.com” -ToAddress “admin@domain.com”
Önemli İzleme Parametreleri
DCSYNCMonitor, aşağıdaki parametreleri izleyerek DCSYNC saldırılarını tespit eder:
– SyncType: DCSYNC işleminin türü.
– SourceComputer: İsteği yapan bilgisayar.
– TargetComputer: Hedef Domain Controller.
– User: İşlemi yapan kullanıcı.
– Time: İşlem zamanı.
Güvenlik Önerileri
1. Sadece DC’lerin DCSYNC Yapmasına İzin Verin:
– DCSYNC yetkisi sadece Domain Controller’lara verilmelidir.
2. Şüpheli DCSYNC İsteklerini Hemen İnceleyin:
– Anormal DCSYNC isteklerini hızlıca araştırın.
3. Domain Admin Hesaplarına Özel Dikkat Gösterin:
– Domain Admin hesaplarının DCSYNC isteklerini yakından izleyin.
4. Alert’leri 7/24 İzleyin:
– DCSYNC aktivitelerini sürekli olarak izleyin ve anormal durumlarda alarm verin.
5. Periyodik Raporlama Yapın:
– Düzenli olarak DCSYNC aktivitelerini raporlayın ve analiz edin.
Log Analizi Örneği
1. Son 24 Saatteki DCSYNC Olaylarını Getirme
powershell
Get-DCSYNCEvents -LastHours 24
2. Belirli Bir Kullanıcının DCSYNC Aktivitesini Kontrol Etme
powershell
Get-DCSYNCEvents -Username “suspicious.user”
Event ID’ler
DCSYNCMonitor, aşağıdaki Event ID’leri izleyerek DCSYNC saldırılarını tespit eder:
– 4662: Directory Service Access.
– 4624: Account Logon.
– 4768: Kerberos Authentication.
– 4769: Kerberos Service Ticket.
Alert Örneği
1. Kritik Hesaplar için Özel Alert
powershell
$criticalAccounts = @(“Administrator”, “DomainAdmin”)
Start-DCSYNCMonitor -CriticalAccounts $criticalAccounts -AlertThreshold 1
İyi Uygulamalar
1. Regular DC’lerinizi Whitelist’e Alın:
– Güvenilir DC’leri whitelist’e ekleyerek yanlış alarmları azaltın.
2. Şüpheli IP’leri Hemen İnceleyin:
– Anormal IP adreslerinden gelen DCSYNC isteklerini araştırın.
3. Mesai Saatleri Dışındaki DCSYNC’lere Ekstra Dikkat Edin:
– Normal çalışma saatleri dışındaki DCSYNC isteklerini yakından izleyin.
4. Periyodik Güvenlik Gözden Geçirmesi Yapın:
– DCSYNC aktivitelerini düzenli olarak gözden geçirin.
5. DCSYNC Yetkisi Olan Hesapları Sıkı Kontrol Edin:
– DCSYNC yetkisi olan hesapların aktivitelerini yakından izleyin.
DCSYNCMonitor Kullanırken Dikkat Edilmesi Gerekenler
1. Sistem Kaynaklarını Etkin Kullanın:
– DCSYNCMonitor, sistem kaynaklarını tüketebilir. Bu nedenle, kaynak kullanımını optimize edin.
2. Log Rotasyonu Yapın:
– Log dosyalarının büyümesini önlemek için log rotasyonu uygulayın.
3. False Positive’leri Azaltın:
– Yanlış alarmları azaltmak için whitelist’leri ve alert threshold’larını doğru ayarlayın.
4. Backup DC’leri Whitelist’e Alın:
– Backup DC’lerin DCSYNC isteklerini whitelist’e ekleyerek yanlış alarmları önleyin.
Çoğaltma, DC’ler arasındaki bilgi veya verilerin güncel ve tutarlı kalmasını sağlamak için gerekli bir kritik işlevdir. Kuruluşlar, saldırganların “Dizin Değişikliklerini Çoğalt” izinlerine sahip kullanıcı veya hizmet hesaplarından yararlanmasını önlemek için AD koruma çözümlerini dağıtmayı düşünmelidir. Bu izinleri sürekli izleyerek ve yetkisiz AD hesaplarında güvenlik oluştuğunda düzeltici eylemler gerçekleştirerek bu hedefe ulaşabilirler.
DCSYNCMonitor, Active Directory ortamınızda DCSYNC saldırılarını tespit etmek ve önlemek için güçlü bir araçtır. Bu aracı kullanarak, AD güvenliğinizi artırabilir ve saldırganların kritik bilgilere erişmesini engelleyebilirsiniz.
