CyberFlow Logo CyberFlow BLOG
Information Gathering

BloodHound-Python ile Active Directory Keşfi: Adım Adım Rehber

✍️ Ahmet BİRKAN 📂 Information Gathering

BloodHound-Python ile Active Directory üzerinde keşif yapın. Adım adım eğitim ile siber güvenlik alanındaki bilginizi artırın!

BloodHound-Python ile Active Directory Keşfi: Adım Adım Rehber

Active Directory keşfi için BloodHound-Python kullanarak, etkili bir siber güvenlik stratejisi geliştirin. Eğitim içeriğimizle adım adım rehberlik ediyoruz!

Giriş ve Konumlandırma

Siber güvenlik, modern organizasyonların karşılaştığı etik, hukuki ve teknik zorlukların yönetiminde kritik bir rol oynamaktadır. Özellikle kurumsal yapılar içinde kullanılan Active Directory (AD) sistemlerinin güvenliği, bilgi sistemlerine yönelik potansiyel tehditlerin önlenmesi açısından büyük önem taşır. Bu bağlamda, BloodHound-Python aracı, AD yapılarındaki kullanıcı, grup ve sistem ilişkilerini analiz etmek için etkili bir yöntem sunar. Bu yazıda yapılan keşiflerin, siber güvenlik ve pentesting süreçlerinde neden bu kadar önemli olduğunu inceleyeceğiz.

BloodHound-Python Nedir?

BloodHound, Active Directory ortamlarındaki karmaşık izin yapılarının görselleştirilmesine olanak tanır. Ancak bu aracı kullanabilmek için öncelikle Python tabanlı bir versiyonu olan BloodHound-Python'u kullanmak gerekebilir. Bu araç, AD ortamlarında gerekli bilgiler toplayarak, hangi hesapların yüksek ayrıcalıklara sahip olduğunu analiz etmeye yardımcı olur. Kullanıcıların ve grupların sistem üzerindeki erişim haklarının değerlendirildiği bir platform sunar. Sadece yetki kiralamalarına odaklanmakla kalmaz, aynı zamanda bir saldırganın potansiyel olarak nasıl lateral hareket edeceklerini tespit etmeye de yardımcı olur.

Neden Önemli?

Active Directory, bir şirketin BT altyapısının merkezi bir parçasıdır. Kullanıcı hesapları, grup üyelikleri, bilgisayarlar ve bunların ilişkileri, bir organizasyonun günlük operasyonlarının ve siber güvenliğinin temelini oluşturur. Ancak, AD ortamlarının karmaşıklığı, bu yapıların güvenliğini sağlamayı zorlaştırır. Yetersiz yapılandırma veya kötü niyetli iç kullanıcılar, bu yapının güvenliğini tehlikeye atabilir. BloodHound-Python gibi araçlar, bu tehditlerin yönetilmesi ve önlenmesini kolaylaştırarak, organizasyonların siber güvenlik durumunu iyileştirmek adına önemli bir adım atmasına yardımcı olur.

Siber Güvenlik ve Pentest Bağlamı

Pentest (penetrasyon testi) uygulamaları, bir organizasyonun savunmalarını test etmenin yanı sıra, sistem güvenliğindeki zayıflıkları tespit etmek için yürütülür. BloodHound-Python, bir siber güvenlik testinin bir parçası olarak değerlendirildiğinde, sistemdeki erişim yetkilerini anlamak ve bu bilgileri kullanarak olası saldırı senaryolarını simüle etmek açısından hayati bir rol oynar. Örneğin, bir penetrasyon test uzmanı, AD ağındaki çeşitli gruplar ve kullanıcılar arasındaki ilişkileri inceleyerek, yetki yükseltme yollarını tespit edebilir. Bu süreç, bir organizasyonun zararlı bir siber saldırıda maruz kalacağı potansiyel tehditleri anlamasını sağlar.

Konuya Hazırlık

BloodHound-Python kullanımı, belirli adımlar ve stratejiler gerektirir. Öncelikle, hedef ağın kapsamını belirlemek ve hangi kullanıcılarla çalışılacağının netleştirilmesi gerekir. Bu şartları sağlarken, kullanılacak koleksiyon yöntemleri ve kimlik doğrulama stratejileri de belirlenir. Doğru bir hedef analizi yapabilmek için, domain controller (DC) ve global katalog (GC) gibi kritik bileşenlerin belirlenmesi de önemlidir.

Temel Komut Örnekleri

BloodHound-Python ile çalışmaya başlamak için aşağıda verilen komut örnekleri bir referans noktası sunar:

bloodhound-python -d corp.example.com -u audituser@corp -p 'GecerliParola1' -c Group,LocalAdmin -dc dc01.corp.example.com -op scope1

Yukarıdaki komut, belirli bir domain içerisinde grup ve yerel yönetici ilişkilerini toplamak için kullanılır. Bu tür örneklerle, kullanıcılar BloodHound-Python’ın yapısını ve veri toplama süreçlerini daha iyi anlayabilir.

Sonuç olarak, BloodHound-Python, hem siber güvenlik uzmanları hem de pentest ekipleri için kritik bir araçtır. AD ortamlarındaki ilişki ve yapıların derinlemesine analiz edilmesi, bir organizasyonun güvenlik duruşunu iyileştirmek adına önemli bir adımdır. Bu yazıda ilerleyen bölümlerde, BloodHound-Python ile Active Directory keşfi sürecinin detayları incelenecek ve kullanıcıların nasıl daha etkili bir güvenlik analizi gerçekleştirebileceği ele alınacaktır.

Teknik Analiz ve Uygulama

Operasyon Kapsamı, Yetkilendirme ve Hedef Tanımı

Siber güvenlik operasyonlarına başlamadan önce, kapsamın belirlenmesi ve yetkilendirmelerin netleştirilmesi kritik bir aşamadır. Burada belirleyeceğiniz faktörler, hangi domain'lerin test edileceği, hangi domain controller'ların ve alt domain'lerin hedefleneceği, kullanılacak kimlik bilgileri ve testin zaman penceresidir.

Örneğin, bir kiralık etki alanına (domain) yönelik gerçekleştireceğiniz test için kullanılacak kimliği ve hangi collection method'ları kullanacağınızı belirlemeniz gerekecektir. Aşağıda temel bilgi verilmiştir:

bloodhound-python -d corp.example.com -u audituser@corp -p 'GecerliParola1' -c Group,LocalAdmin -dc dc01.corp.example.com -op scope1

Bu komut, belirtilen collection methodlarıyla çalışarak çıktıyı "scope1" olarak ayarlayacaktır. İlk adımınız, yasal onayınızı belgelemek olmalı; ardından hedef domain ve DC'leri listeleyerek kullanılacak hesap(lar)ı belirlemeniz gerekiyor.

Toplama Yöntemlerini Seçmek: Hangi CollectionMethod Ne Sağlar?

BloodHound-Python, toplanacak verilerin türüne göre farklı collection method'lar sunmaktadır. Bu methodlardan önemli olanları şu şekildedir:

  • Group: Grup üyelik bilgilerini toplar.
  • LocalAdmin: Bilgisayar üzerindeki yerel admin ilişkilerini keşfeder.
  • Session: Aktif oturumları gösterir.
  • Trusts: Domainler arası trust bilgilerini sağlar.
  • ACL: Nesne ACL'lerini incelemek için kullanılır.

Örneğin, bir azim veya lateral hareket testi için LocalAdmin ve Session methodlarını tercih edebilirsiniz. Bunun için aşağıdaki komut kullanılabilir:

bloodhound-python -d corp.example.com -u audituser@corp -p 'Parola' -c ACL,LocalAdmin -op acl_scan

Bu komut, ACL ve yerel admin bilgilerini hedef alarak uygun verileri toplayacaktır.

Kimlik Doğrulama Stratejisini Kur: Kerberos, NTLM, Hash ve ccache Kullanımı

Kimlik seçimi, kabuk gizliliğini ve izlenebilirliği büyük ölçüde etkileyebilir. BloodHound-Python varsayılan olarak Kerberos kullanır; eğer Kerberos mümkün değilse NTLM'e geri döner. Mevcut Kerberos biletini kullanmak için ccache ile çalışmak en mantıklısıdır.

Örneğin, aşağıdaki komutla mevcut Kerberos biletini kullanarak doğrulama yapabilirsiniz:

bloodhound-python -d corp.example.com -u audituser@corp -p 'GecerliParola1' -c Group -k

Ek olarak, --hashes parametresi ile hash tabanlı autentikasyonu sağlamanızı, -no-pass ile interaktif giriş istemini devre dışı bırakmanızı sağlar. Bu durumda en iyi tercih genellikle Kerberos’dur.

Hedef Hassaslaştırma: Domain Controller, Global Catalog ve DNS Ayarlarını Belirleme

Doğru Domain Controller (DC) ve Global Catalog (GC) hedeflemesi, yanlış sonuçları ve gecikmeleri azaltması açısından önemli bir rol oynamaktadır. Örneğin, belirli bir DC veya GC kullanmak için aşağıdaki gibi parametreler kullanabilirsiniz:

bloodhound-python -d corp.example.com -u audituser@corp -p 'Parola' --dc dc01.corp.example.com --gc gc01.corp.example.com

Buna ek olarak, DNS sorgularını optimize etmek amacıyla --nameserver, --dns-tcp ve --dns-timeout parametrelerini kullanabilirsiniz. LDAPS’yi zorlamak için --use-ldaps ve kanal bağlamasını etkinleştirmek için --ldap-channel-binding kullanabilirsiniz.

Büyük Ortamlarda Performans ve Filtreleme: Workers, Exclude-DCs, Computerfile ve Cache

Büyük ağ ortamlarında performansı artırmak için -w parametresi ile paralel worker sayısını artırabilirsiniz. Bu sayede bilgisayar taramaları hızlanır. Ancak, kaynak kullanımına da dikkat etmeniz gerekmektedir. Ayrıca, belirli DC'leri hariç tutmak için --exclude-dcs kullanarak gereksiz gürültüyü azaltabilirsiniz.

Örnek bir komut aşağıdaki gibidir:

bloodhound-python -d corp.example.com -u audituser -p 'p' -c Default -w 25 --exclude-dcs --computerfile targets.txt -op run1 --zip

Bu komut, targets.txt dosyasında tanımlı bilgisayarları hedef alarak hızlı bir tarama gerçekleştirir ve çıktıyı zip formatında almak için --zip parametresini kullanır.

Çıktı Formatını Anlama: BloodHound JSON Yapısı ve Önemli Nesneler

BloodHound, toplanan verileri JSON formatında iletmektedir. JSON çıktısı şunları içerir:

  • Düğümler: kullanıcılar, bilgisayarlar, gruplar.
  • İlişkiler: memberOf, AdminTo, HasSession, Trusts, ACL.

JSON çıktısını kullanarak, BloodHound görselleştiricisi ile saldırı yollarını kolayca takip edebilirsiniz.

Örneğin, çıktının isimlendirilmesi:

-bloodhound-python -d corp.example.com -u audituser -p 'p' -op myrun

Bu komut, myrun_users.json ve myrun_computers.json dosyalarını oluşturur.

Bulgu Yorumlama: Kritik Yolları ve Savunma Önceliklerini Tespit Etme

Ürettiğiniz JSON’u BloodHound'a yükleyerek kritik öğeleri aramalısınız. Bu öğeler arasında yerel yönetici ilişkileri (LocalAdmin), aktif oturumlar (HasSession), trust zincirleri (Trusts) ve ACL kaynaklı yetki devretmeleri (ACL) bulunmaktadır. Bu öğelere yönelik öncelikli bir değerlendirme yapmalısınız.

Öncelikleriniz arasında, yüksek yetki sahipliği olan hesapların ACL'leri, domain admin yetkileri sağlayan kısa yollar ve çoklu sistemde yerel admin olan hizmet hesapları yer almalıdır.

Raporlama, Arşivleme ve İzleme İçin Çıktının Kullanımı

Son olarak, ürettiğiniz JSON'ları kurumsal süreçlere entegre etmelisiniz. --outputprefix ile dosya isimlerini standardize edin, --zip ile paketleyin ve versiyonlama gerektiren bilgileri ekleyin. Böylece arşivlenen çıktılar, düzeltme sonrası yeniden test ve regresyon analizleri için kullanılabilir.

Rapor bölümünde hangi yolların risk yarattığını, kritik ACL/hesap kombinasyonlarını ve uygulamanız gereken düzeltmeleri belirtmelisiniz. Çıktının meta bilgisini (op prefix, zaman damgası) saklamak, gelecekteki izlemlerde büyük fayda sağlayacaktır.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Yorumlama

Siber güvenlik sahasında, sızma testleri sonucunda elde edilen bulguların doğru bir şekilde yorumlanması, organizasyonların güvenlik posture’larını belirlemeleri açısından kritik bir öneme sahiptir. BloodHound-Python kullanılarak yapılan Active Directory keşif işlemi sonrasında, kullanıcılar, bilgisayarlar ve gruplar gibi nesnelerin ilişkileri ile tehdit modelinin belirlenmesi ve buna göre savunma stratejilerinin geliştirilmesi gerekmektedir.

Elde Edilen Bulguların Güvenlik Anlamı

BloodHound, Active Directory ortamında kullanıcıların ve grupların yönetimsel haklarını belirleyerek, kuruluş içindeki potansiyel saldırı yollarını açığa çıkartmaktadır. Kullanıcıların hangi bilgisayarlarda aktif oturum açtığı (HasSession), grubun yönettiği bilgisayarlar üzerindeki yerel yöneticilik hakları (LocalAdmin) ve domainler arasındaki trust ilişkileri (Trusts), analiz edilmesi gereken temel unsurlardır.

Örneğin, admin yetkilerine sahip bir hesap, birçok sistemde yerel yönetici olarak atanmışsa, bu durum kayda değer bir güvenlik açığı yaratır. Aşağıdaki örnek komut, kullanıcıların yerel yöneticilik ilişkilerini bulmanızı sağlar:

bloodhound-python -d corp.example.com -u audituser@corp -p 'GecerliParola1' -c LocalAdmin -op localadmin_report

Bu komut, belirtilen kullanıcı hesaplarının hangi bilgisayarlar üzerinde yerel admin yetkisine sahip olduğunu listeyecektir. Bu bilgiler, bir saldırganın hareket kabiliyetini artırmak için kritik anlam taşır.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Active Directory'nin yanlış yapılandırılması veya zafiyetler bulunması, saldırganlar tarafından kötüye kullanılabilecek zayıf noktaların oluşmasına zemin hazırlar. Özellikle, yetkisiz kullanıcıların yönetimsel haklara erişim elde etmesi, izlenmeyen oturumlar (HasSession) ve etkili olarak kullanılamayan trust ilişkileri, güvenlik açıklarıdır.

Elde edilen bilgiler doğrultusunda, örneğin, bir kullanıcı hesabı bir grup üzerinde yönetim (AdminTo) yetkisine sahipse, bu durum söz konusu kullanıcının diğer sistemlere erişimini ve dolayısıyla veri ihlallerini kolaylaştıracaktır. Zafiyetlerin ve yanlış yapılandırmaların etkisini azaltmak için şu önlemler alınmalıdır:

  • Kullanıcıların ve grupların izlenmesi için düzenli denetimler yapılmalıdır.
  • Gereksiz yere genişletilmiş yetkilere sahip olan hesaplar tekrar gözden geçirilmeli ve azaltılmalıdır.

Savunma Önlemleri ve Hardening Önerileri

Güvenliği artırmak için yapılması gereken en önemli adımlardan biri, Active Directory ortamının hardening’idir. Bunu yaparken dikkate almanız gereken noktalar şunlardır:

  • En Az Yetki Prensibi: Kullanıcı ve grupların yalnızca işlerini yapabilmeleri için gerekli olan asgari yetkilerle sınırlandırılması.
  • Parola Güvenliği: Parolaların güçlü ve karmaşık olması sağlanmalı, düzenli olarak değiştirilmeleri teşvik edilmelidir.
  • Monitorizasyon ve Log Yönetimi: Tüm oturum açma işlemleri, erişim denemeleri ve güvenlik logları sürekli izlenmelidir.

Yukarıdaki önlemler, genel bir savunma duruşu oluştururken, belirli yapılandırmalar ve güncellemeler de göz önünde bulundurulmalıdır. BloodHound’un sağladığı bulgular bu bağlamda düzenli olarak gözden geçirilmeli ve durumun iyileştirilmesi için raporlar hazırlanmalıdır.

Sonuç Özeti

BloodHound-Python ile gerçekleştirilen Active Directory keşif işlemi, organizasyonların güvenlik açıklarını tespit etmeleri ve bunlara karşı önlem almaları için güçlü bir araçtır. Elde edilen verilerin doğru bir şekilde yorumlanması, yanlış yapılandırmaların anlaşılması ve bu zafiyetlere uygun savunma stratejilerinin geliştirilmesi süreci, siber güvenliği artırmak adına hayati bir öneme sahiptir. Güçlü bir güvenlik duruşu oluşturmak için belirlenen önlemlerin uygulanması, potansiyel siber tehditlere karşı proaktif bir yaklaşım sergilenecektir.