NTDS.dit, Active Directory’nin kalbi niteliğindeki veritabanıdır ve siber saldırganların en değerli hedeflerinden biridir. Bu makalede, NTDS.dit dökümü faaliyetlerinin tespit edilmesinde Windows Olay Günlüklerinin nasıl kullanılabileceğini inceleyeceğiz.
Kritik Olay Kimlikleri ve Anlamları
Windows’un ESENT (Extensible Storage Engine) sağlayıcısı tarafından kaydedilen belirli Olay Kimlikleri, NTDS.dit veritabanına yönelik şüpheli aktivitelerin göstergesi olabilir:
Olay Kimliği 327: Veritabanı Ayırma
– Veritabanının sistemden ayrılması durumunu gösterir
– Normal bakım işlemleri dışında gerçekleştiğinde şüpheli aktivite göstergesidir
– Özellikle mesai saatleri dışında veya planlanmamış zamanlarda oluşması durumunda dikkatle incelenmelidir
Olay Kimliği 326: Veritabanı Ekleme
– Veritabanının sisteme yeniden eklenmesini gösterir
– 327 olayı ile birlikte kısa süre içinde görülmesi şüpheli bir durumdur
– Hızlı takma-çıkarma işlemleri, veritabanı dökümü girişiminin göstergesi olabilir
Olay Kimliği 325: Yeni Veritabanı Oluşturma
– Normal şartlarda nadiren görülmesi gereken bir olaydır
– Özellikle diğer şüpheli olaylarla birlikte görüldüğünde, veri sızdırma girişiminin güçlü bir göstergesidir
– Oluşturulma zamanı ve konumu dikkatle incelenmelidir
Olay Kimliği 216: Veritabanı Konum Değişikliği
– Veritabanının farklı bir konuma taşındığını gösterir
– Shadow copy veya benzer tekniklerle veri çalma girişimlerinin işareti olabilir
– Normal sistem yedekleme zamanları dışında görülmesi durumunda araştırılmalıdır.
aşağıdaki uygulama ile bu analizi yapabilirisiniz.
- uygulanın kaynak dosyalarına github sayfamdan ulaşabilirsiniz
- uygulanın kaynak dosyalarına github sayfamdan ulaşabilirsiniz
https://drive.google.com/file/d/1eUkF1AlcGlodmYgWTlASR7RL0JD09fir/view?usp=drive_link
Tespit ve Analiz Süreci
1. Zaman Çizelgesi Analizi
— Olayların kronolojik sıralaması çıkarılmalıdır
— Normal sistem aktiviteleri ile karşılaştırılmalıdır
— Mesai saatleri dışındaki aktiviteler özellikle incelenmelidir
2. İlişkili Dosya Analizi
— Şüpheli zamanlarda oluşturulan ZIP veya kompres edilmiş dosyalar tespit edilmelidir
— Dosya boyutları NTDS.dit veritabanı ile karşılaştırılmalıdır
— Dosya oluşturma ve değiştirme zamanları olay günlükleri ile eşleştirilmelidir
3. Kullanıcı Aktivite Analizi
— İşlemleri gerçekleştiren kullanıcı hesapları incelenmelidir
— Yetkisiz erişim veya yetki yükseltme belirtileri araştırılmalıdır
— Uzaktan erişim kayıtları kontrol edilmelidir
Önleyici Tedbirler
1. Düzenli İzleme
— ESENT olayları için özel alarm kuralları oluşturulmalıdır
— Kritik sistem dosyalarının integrity kontrolü yapılmalıdır
— Şüpheli aktiviteler için otomatik bildirim mekanizmaları kurulmalıdır
2. Erişim Kontrolü
— NTDS.dit dosyasına erişim sıkı şekilde kısıtlanmalıdır
— Yedekleme işlemleri yalnızca yetkili hesaplarla yapılmalıdır
— Tüm erişim girişimleri kayıt altına alınmalıdır
3. Denetim Politikaları
— Veritabanı işlemleri için detaylı denetim politikaları oluşturulmalıdır
— Başarılı ve başarısız erişim girişimleri kaydedilmelidir
— Düzenli güvenlik değerlendirmeleri yapılmalıdır
Bu analizler ve önlemler, NTDS.dit veritabanına yönelik saldırıların erken tespit edilmesini ve önlenmesini sağlayarak, kuruluşun Active Directory altyapısının güvenliğini artıracaktır.
