CyberFlow Logo CyberFlow BLOG
Active Directory Pentest

BloodHound ile Active Directory Saldırı Yolu Analizi: Adım Adım Kılavuz

✍️ Ahmet BİRKAN 📂 Active Directory Pentest

BloodHound ile Active Directory sızma testleri için etkili yöntemleri keşfet ve siber güvenlik alanındaki bilgilere ulaş.

BloodHound ile Active Directory Saldırı Yolu Analizi: Adım Adım Kılavuz

Bu makalede, BloodHound kullanarak Active Directory ortamında veri toplama ve saldırı yollarını analiz etme sürecini ayrıntılı bir şekilde inceleyeceğiz. Adım adım kılavuz ile birlikte uygulama yaparak öğrenme fırsatı yakalayın.

Giriş ve Konumlandırma

Giriş

Siber güvenlik alanında sürekli olarak gelişen tehditler, organizasyonların bilgi sistemlerini daha güçlü bir şekilde korumalarını ve mevcut güvenlik açıklarını hızlıca tespit etmelerini zorunlu hale getirir. Bu bağlamda, Active Directory (AD) dünyanın en yaygın kullanılan kimlik ve erişim yönetimi çözümü olduğu için, kötü niyetli saldırganlar için cazip bir hedef haline gelmiştir. Bu nedenle, AD ortamlarındaki saldırı yolu analizleri, sızma test (pentest) süreçlerinin vazgeçilmez bir parçası haline gelmiştir.

BloodHound, AD ortamındaki potansiyel saldırı yollarını belirlemek için kullanılan güçlü bir araçtır. Bu araç, kullanıcı, grup ve oturum bilgilerini toplayarak, ağ üzerindeki önemli erişim yollarını ve zafiyetleri görselleştirir. Böylece, güvenlik uzmanları, organizasyonun "attack surface" alanını daha iyi anlayabilir ve nasıl bir saldırı gerçekleştirilebileceğini tespit edebilirler.

Neden Önemli?

BloodHound'un kullanımı, siber güvenlik stratejilerinin geliştirilmesi açısından kritik öneme sahiptir. Daha önceki saldırıların ve zafiyetlerin analiz edilmesi, organizasyonların proaktif savunma stratejileri geliştirmelerine olanak tanır. Dolayısıyla, sızma testleri sırasında BloodHound kullanımı, sadece mevcut güvenlik açıklarını tespit etmekle kalmaz; aynı zamanda güvenlik mimarisini ve erişim kontrol politikalarını da gözden geçirme fırsatı sunar.

Saldırganlar, Active Directory'ye yönelik saldırılarda genellikle “Pass-the-Hash” gibi teknikler kullanarak kimlik bilgilerini ele geçirmeye çalışır. BloodHound, bu tür teknikleri tespit ederek güvenlik profesyonellerinin bu durumlara karşı hazırlıklı olmalarını sağlar. Ayrıca, BloodHound ile elde edilen veriler, organizasyonların erişim izinlerini ve grup yapısını değerlendirmelerine yardımcı olur.

Siber Güvenlik ve Pentest

Siber güvenlik dünyasında, sızma testleri; sistemlerin güvenlik yapılarını, politikalarını ve uygulama düzeyindeki zafiyetleri anlamak için gerçekleştirilir. Kullanıcıların ve grupların erişimlerini incelemek, bu testlerin ana unsurlarından biridir. Active Directory’de bulunan kullanıcı hesapları, gruplar ve bunların sahip oldukları yetkiler, potansiyel bir saldırının zayıf noktalarını oluşturur.

BloodHound, adım adım bir süreç içerisinde bu bilgileri toplar ve analiz ederken kullanıcılara aşağıdaki başlıca işlevleri sunar:

  • Veri Toplama: Domain ortamından kullanıcı, grup ve oturum bilgilerini toplama.
  • Erişim İzinlerini Analiz Etme: Erişim kontrol listeleri (ACL) gibi unsurları değerlendirerek hangi kullanıcıların hangi kaynaklara erişebileceğini belirleme.
  • Güvenlik Açıklarını Belirleme: Yetki aşımı yaşamamak için kullanıcı grupları arasında doğru bir ayrım yapma fırsatı sunma.

Teknik İçeriğe Hazırlık

Bu kılavuzda, BloodHound aracını kullanarak Active Directory üzerinde nasıl saldırı yolu analizi yapacağınızı adım adım öğreneceksiniz. İlk adımda, geçerli bir domain kullanıcısına ihtiyaç duyacak ve ardından farklı toplama metotlarını inceleyeceksiniz. BloodHound’un sunduğu veri toplama yöntemleri ve bunların optimum kullanım alanları hakkında bilgi sahibi olacaksınız.

Ayrıca, NTLM hash kullanarak veri toplama, belirli bir Domain Controller’ı hedefleme ve çıkarım sonuçlarını yönetme konularına da derinlemesine değineceğiz. Bu sayede, hem AD zafiyetlerinizi belirleyebilecek hem de güvenlik önlemlerinizi geliştirebileceksiniz.

Sonuç

BloodHound ile gerçekleştirilecek olan saldırı yolu analizi, organizasyonların güvenlik stratejilerini oluşturmak adına güçlü bir yöntemdir. Yalnızca mevcut güvenlik açıklarını tespit etmekle kalmaz, aynı zamanda organizasyon genelindeki güvenlik kültürünü güçlendirmeye de yardımcı olur. Bu kılavuz, BloodHound ile bir saldırı yolu analizi yapabilmeniz için gereken bilgileri sağlamanın yanı sıra, adım adım uygulama süreçlerini de sizlere sunacaktır.

Teknik Analiz ve Uygulama

Adım 1: Temel Veri Toplama

BloodHound analizi için ilk adım, Active Directory ortamından kullanıcı, grup ve oturum bilgilerini toplamaktır. Bu işlem için uygun yetkilere sahip bir domain kullanıcısına ihtiyaç duyulmaktadır. Aşağıda, 'pentest.local' domaininde 'ayse' kullanıcısı ve 'Sifre123' parolası ile veri toplamak için gereken komut bulunmaktadır:

bloodhound-python -d pentest.local -u ayse -p Sifre123 -c All

Bu komutun içerdiği parametreler:

  • -d: Domain adı
  • -u: Kullanıcı adı
  • -p: Kullanıcı parolası
  • -c: Toplanacak verilerin türü (bu örnekte tüm veriler toplanmaktadır)

Adım 2: Toplama Metotlarını (Collection Methods) Tanıma

BloodHound, ağ trafiğini optimize etmek ve gürültüyü azaltmak amacıyla farklı toplama yöntemleri sunar. Doğru metodu seçmek, sızma testlerinde kritik bir öneme sahiptir. Aşağıda bazı toplama yöntemlerine örnekler verilmiştir:

  • DCOnly: Bu yöntem, yalnızca Domain Controller üzerinden veri toplar ve istemci makineleri etkilemez. Genellikle daha az gürültü oluşturur ve daha güvenilir verilere ulaşmak için tercih edilir.

  • LoggedOn: Bu yöntem, bilgisayarlarda o an oturum açmış olan kullanıcıları belirlemek için uzaktan kayıt defteri ve hizmet sorguları yapar.

Adım 3: Pass-the-Hash ile Veri Toplama

Eğer açık parolayı bilmiyorsanız ancak NTLM hash bilgisine sahipseniz, BloodHound yine de veri toplamanıza olanak tanır. Hash kullanarak veri toplamak için örnek bir komut aşağıdaki gibidir:

bloodhound-python -d lab.local -u admin --hashes 000000:aad3b435b51404eeaad3b435b51404ee

Bu komutun içerisinde:

  • --hashes: Kullanıcıya ait NTLM hash değerlerini belirtir. Hash değerleri iki bölümden oluşur ve : ile ayrılır: ilk kısım LM hash, ikincisi ise NTLM hash'tir.

Adım 4: Dosya Sıkıştırma ve Çıktı Yönetimi

Toplanan veriler genellikle çok sayıda JSON dosyası oluşturur. BloodHound GUI'ye kolayca yüklemek için bu dosyaların otomatik olarak paketlenmesi önerilir. Aşağıda çıktıları ZIP formatında kaydetmek için kullanılan parametreyi gösteren bir örnek komut bulunmaktadır:

bloodhound-python -d pentest.local -u ayse -p Sifre123 -c All -zip

Parametre açıklamaları:

  • -zip: Toplanan verileri otomatik olarak ZIP formatında sıkıştırarak kaydeder.

Adım 5: Belirli Bir Domain Controller'ı Hedefleme

Eğer DNS çözünürlüğü sorunları yaşıyorsanız veya belirli bir sunucudan veri çekmek istiyorsanız, Domain Controller IP'sini manuel olarak belirtmeniz gerekebilir. İlgili komut aşağıdaki gibi olabilir:

bloodhound-python -d corp.local -u user -p pass -dc 10.10.10.5

Burada -dc parametresi ile belirli bir Domain Controller IP'si tanımlanmıştır.

Adım 6: BloodHound Bulgularına Karşı Savunma

BloodHound, çeşitli kısa yollar ve erişim yolları gösterir. Bu yolları kapatmak, Active Directory güvenliğinin temel unsurlarındandır. Aşağıdaki stratejiler, sızma testlerinde ortaya çıkan bulgulara karşı savunma yöntemleri olarak önerilmektedir:

  • Privileged Sessions: Domain Admin'lerin sıradan makinelerde oturum açmalarını engelleyerek minimum yetki ilkesini uygulamak.

  • Over-privileged Users: Kullanıcılara sadece işleri için gerekli olan minimum yetkileri vermek; bu, yetki istismarını en aza indirecektir.

  • Domain Trusts: Farklı ormanlar arasındaki güven ilişkilerini kısıtlamak ve 'Selective Authentication' kullanmak savunma stratejileri arasındadır.

BloodHound ile gerçekleştirilen saldırı yolu analizleri, organizasyonların güvenlik açıklarını anlamalarına yardımcı olur ve etkili savunma stratejilerinin geliştirilmesine olanak tanır. Bu tür analizler, siber güvenlik alanında proaktif bir yaklaşım benimsemek için kritik öneme sahiptir.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi

Active Directory (AD) ortamında yukarıda belirtilen adımlar ile toplanan veriler, oldukça kritik ipuçları sunar. Örneğin, kullanıcıların yetkileri, oturum bilgilerinin yanı sıra grup üyelikleri gibi unsurlar, siber güvenlik açısından önemli riskler barındırır. Eğer bir kullanıcının yetkileri gereğinden fazla artırılmışsa (over-privileged), bu durum siber saldırılara kapı aralayabilir. BloodHound aracı, bu tür durumları belirlemek için etkili bir yöntem sunmaktadır. Örn: 

bloodhound-python -d domain.local -u user -p password -c All

Bu komut, tarama sonucunda elde edilen veriler üzerinde ayrıntılı analiz yapılmasına olanak tanır. Toplanan veriler, kullanıcı, grup ve erişim düzeyleri hakkında detaylı bilgiler sunarak, kritik zafiyetlerin belirlenmesini sağlar.

Yanlış Yapılandırmalar

Elde edilen bulguların analizi sırasında, yanlış yapılandırma veya zayıf noktaların tespiti hayati önem taşır. Özellikle Active Directory'de zayıf şifre politikaları, kullanıcıların yetki aşımına uğraması ve ACL'lerin (Erişim Kontrol Listeleri) yanlış yapılandırılması durumları sıkça karşılaşılan risklerdir. Örneğin, aşağıdaki gibi bir durumla karşı karşıya kalındığında:

bloodhound-python -d lab.local -u admin --hashes 000000:aad3b435b51404eeaad3b435b51404ee

Bu komut, admin kullanıcısının NTLM hash değerini kullanarak veri toplar; ancak bu tür bir yapılandırmanın kullanılması güvenliği tehdit eden ciddi bir zafiyettir.

Sızan Veri ve Topoloji

Toplanılan verilere dayanarak, sistemdeki kullanıcıların erişim yetkileri ve oturum bilgileri hakkında ki veriler, siber tehditlere karşı atılacak adımlar konusunda önemli bilgiler sunar. Bununla birlikte, belirli bir Domain Controller üzerinde hangi kullanıcıların aktif olduğunu belirlemek, erişim yollarını daha iyi anlamak için oldukça faydalıdır.

Sızan veriler arasında kullanıcıların hangi makinelere erişim sağladığı, hangi hizmetlerin aktif olduğu ve bu hizmetlerin hangi yetkilere sahip olduğu gibi bilgiler yer almaktadır. Bu veriler, dışarıdan bir saldırganın hangi yolları kullanarak ağa sızabileceğini anlamak için kritik öneme sahiptir.

Profesyonel Önlemler

Saldırıların önlenmesi ve olası zafiyetlerin kapatılması için aşağıda belirtilen savunma stratejilerinin uygulanması önerilmektedir:

  1. Erişim Kontrol Listeleri (ACL) Yönetimi: Kullanıcılar üzerindeki ACL'leri doğru biçimde yapılandırarak, yalnızca gerekli yetkilerin tanımlanmasını sağlamak, gereksiz yetkilendirme risklerini azaltacaktır.

  2. Parola Politikaları: Güçlü parola politikaları oluşturarak, kullanıcıların parolalarının karmaşık ve zor tahmin edilir hale gelmesini sağlamak gerekmektedir.

  3. Sıradan Makine Kullanımını Engelleme: Domain Admin kullanıcılarının sıradan makinelerde oturum açmalarını engelleyerek, kimliklerin ele geçirilmesi riskini en aza indirmek adına Tiered Administration modelini uygulamak önemlidir.

  4. Özel Güvenlik Duvarları ve IDS/IPS Kullanımı: Ağ trafiğini izleyerek, olağandışı etkinlikleri tespit edebilmek için güvenlik duvarları ve saldırı tespit/intrüzyon önleme sistemleri kullanmak.

  5. Eğitim ve Farkındalık: Tüm çalışanlar için düzenli güvenlik farkındalığı eğitimleri vererek, insan faktöründen kaynaklanan riskleri minimize etmek.

Sonuç

BloodHound, Active Directory içindeki saldırı yollarının analizini yaparken, ortaya çıkan güvenlik boşlukları ve zayıflıklar üzerinde derinlemesine yorumlama yapmamızı sağlar. Elde edilen verilerin anlamlandırılması, güvenlik önlemlerinin planlanması ve uygulanması açısından hayati öneme sahiptir. Olası tehditleri ve yanlış yapılandırmaları tespit ederek, etkili bir savunma mekanizması geliştirmek için yukarıda belirtilen stratejilere dikkat edilmesi gerekmektedir. Bu şekilde, ağ güvenliği standartlarını yükselterek, olası saldırılara karşı daha güçlü bir savunma hattı oluşturabiliriz.