CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

DCShadow Saldırı Analizi ve Tespiti: Gerçek Tehditler ve Önlemler

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

DCShadow saldırı tekniği, Active Directory korumasını ihlal etme potansiyeline sahiptir. Bu makalede, saldırının nasıl gerçekleştirildiğini ve tespit yöntemlerini ele...

DCShadow Saldırı Analizi ve Tespiti: Gerçek Tehditler ve Önlemler

DCShadow, saldırganların Active Directory'de 'iz bırakmadan' değişiklik yapmalarına olanak tanıyan tehlikeli bir yöntemdir. Bu blogda, DCShadow saldırısının analizi ve tespit yollarını öğreneceksiniz.

Giriş ve Konumlandırma

DCShadow Saldırılarının Anlaşılması

Siber güvenlik alanında, Active Directory (AD) sistemlerinin güvenliği kritik bir öneme sahiptir. DCShadow saldırısı, saldırganların iç ağ üzerinde bir Domain Controller (DC) olarak kendilerini tanıtarak AD nesnelerinde 'iz bırakmadan' değişiklik yapabilmelerine olanak tanıyan bir tekniktir. Bu tür bir saldırı, saldırganların elde ettiği ayrıcalıklı yetkilerle, güvenlik duvarlarının ötesine geçerek, gizlice veritabanlarında değişiklik yapmasına olanak sağlar.

DCShadow saldırısının temel mantığı, sahte bir Domain Controller’ın (DC) AD hiyerarşisine eklenmesi ve bu sahte sunucu üzerinden değişikliklerin gerçek AD ortamına itilmesidir. Saldırganlar, genellikle geçici olarak bir bilgisayarı Domain Controller olarak kaydederek, değişiklikleri diğer sunuculara enjekte ederler. Bu durum, siber güvenlik yöneticileri için büyük bir tehdit oluşturur, çünkü saldırılar oldukça sinsi bir şekilde gerçekleşir ve standart olay günlükleri üzerinden takip edilmesi zordur.

DCShadow vs DCSync

Bu saldırı türünün daha iyi anlaşılabilmesi açısından, DCSync ile DCShadow arasındaki temel farklara geçmek faydalı olacaktır. DCSync, bir saldırganın gerçek bir Domain Controller'dan veri (örneğin, kullanıcıların hash’lerini) talep etmesi işlemini ifade eder. Bu işlem, saldırganın AD’deki kullanıcı hesaplarını ele geçirmesine imkân tanırken, DCShadow ise sahte bir DC üzerinden AD veritabanına yeni veriler ve değişiklikler enjekte etme (itme) işlemini gerçekleştirir. Bu temel farklılık, DCShadow'un daha sinsi bir saldırı tekniği olarak öne çıkmasını sağlar.

Saldırı Mantığı ve Gereklilikler

DCShadow saldırısı gerçekleştirmek için bazı teknik gereklilikler mevcuttur. Öncelikle, saldırganın sahte Domain Controller bilgisayar nesnesine atanması gereken birkaç kritik servis kayıt türü vardır; bu kayıt türü Service Principal Name (SPN) olarak adlandırılır. SPN'nin doğru bir şekilde yapılandırılması, saldırganın sahte DC'si üzerinden AD ile iletişim kurabilmesine olanak tanır. Ayrıca, Domain Admin veya Enterprise Admin gibi yüksek seviyeli yetkilere sahip hesaplara erişim sağlanması da bu saldırının başarıyla gerçekleştirilmesi açısından gereklidir.

Ayrıca, DCShadow saldırısında tespiti zorlaştıran bir diğer unsur, sahte DC’nin AD hiyerarşisine eklenmesi sırasında ortaya çıkan olayların göz ardı edilmesidir. Örneğin, sahte bir DC’nin eklenmesi veya silinmesi durumunda oluşan olay kimliği (Event ID) 4929’dur. Ancak, bu işlem sırasında normal şartlar altında AD'de oluşan diğer standart günlüklerin iz bırakmaması, saldırganların bu tür değişiklikleri kolaylıkla yapabilmesine olanak tanır.

Tespit Zorlukları

DCShadow'un en tehlikeli yönlerinden biri, nesne bazlı denetim günlüklerinin (Event 4662) tetiklenmeden çalışabilmesidir. Bu, güvenlik ekiplerinin saldırıları tespit etmesini son derece zor hale getirir. Saldırganlar, bu tür değişiklikleri gizlice uygulayarak, günler, haftalar veya aylar boyunca sistemde kalabilirler. Bu yüzden, sistem yöneticilerinin ve siber güvenlik uzmanlarının bu tür saldırıları önlemeye yönelik proaktif ve etkili yöntemler geliştirmeleri gerekmektedir.

Sonuç

DCShadow saldırıları, modern siber tehditlerin karmaşıklığını ve boyutunu gözler önüne sererken, Active Directory güvenliğinin sistematik bir şekilde gözden geçirilmesi gerektiğini de ortaya koymaktadır. Saldırının gerçekleştirilmesi ve tespit edilmesindeki zorluklar, bu tür siber tehditlerin ciddiyetini artırmakta ve siber güvenlik uygulamalarının geliştirilmesine yönelik güçlü bir motivasyon sağlamaktadır. Bu bağlamda, gelecek bölümlerde DCShadow analizi ve savunma stratejileri hakkında daha fazla teknik bilgi sunulacaktır. 

DCShadow; Saldırganların AD’yi etkisiz hale getirmek için kullandığı, sessiz ve etkili bir saldırı yöntemidir.

Teknik Analiz ve Uygulama

DCShadow Nedir?

DCShadow, bir saldırganın ele geçirdiği ayrıcalıklı haklarla, Active Directory (AD) hiyerarşisine sahte bir Domain Controller (DC) ekleyerek AD nesnelerinde iz bırakmadan değişiklik yapmasını sağlayan bir tekniktir. Bu tür bir saldırı, sistem yöneticilerinin bilinçli veya bilinçsiz hatalarıyla daha da kolay hale gelir ve mevcut güvenlik önlemlerini aşmak için kullanılabilir.

DCSync vs DCShadow

DCSync, bir saldırganın gerçek bir DC'den veri (hash) talep ederek bilgiyi kendine çekmesine olanak tanırken; DCShadow, sahte bir DC üzerinden AD veritabanına yeni veri veya değişiklik enjekte etme işlemini gerçekleştirir. Bu iki teknik, AD sistemlerine yönelik ciddi tehditler oluşturur ancak işleyiş mantıkları oldukça farklıdır.

Saldırı Mantığı

DCShadow saldırısının temel işleyiş sırasına bakacak olursak, öncelikle bir saldırgana sahte bir DC oluşturmak için çoğunlukla Domain Admin veya Enterprise Admin ayrıcalıklarına ihtiyaç duyulur. Saldırgan, sahte DC bilgisini AD'ye kaydederek, gerekli SPN (Service Principal Name) kayıtlarını ekler. Bu adımlar, saldırganın sahte DC üzerinden AD nesnelerine değişiklik yapmasına izin verir. 

# Örnek SPN kaydı eklemek için kullanılan komut
Setspn -A http/sahteDC.domain.local sahteDC

Bu komut, sahte DC'nin yetkilerini güçlendirmek amacıyla kullanılır.

SPN ve DRSGetNCChanges

Sahte DC'nin oluşturulması için kritik olan SPN, Active Directory'de hizmetlerin tanımlanmasında kullanılır. Saldırgan, sahte DC'yi etkili bir şekilde sistemi manipüle edebilmesi için DRSGetNCChanges fonksiyonunu kullanarak değişiklikleri enjekte eder. Bu fonksiyon, AD nesnelerine veri gönderme ve alma işlemlerinde kritik öneme sahiptir.

# DRSGetNCChanges fonksiyonunun çağrılması
$drs = [ADSI]"LDAP://$($sahteDC)"
$drs.DRSGetNCChanges()

Bu kod parçası, sahte DC'den aktif veri çekme veya iletme işlemini başlatmak için kullanılabilir.

Gerekli Ayrıcalıklar

DCShadow saldırısının gerçekleştirilmesi için gerekli yüksek seviyeli yetkiler arasında Domain Admin ve Enterprise Admin izinleri bulunmaktadır. Domain Admin, nesne oluşturma ve SPN kaydı yapabilmek için gereken minimum yetkilere sahipken, Enterprise Admin, Configuration Partition üzerinde değişiklik yaparak DC kaydı oluşturmak için gerekli olan gelişmiş yetkilere sahiptir.

Tespit Zorluğu

DCShadow saldırısının tespit edilmesi oldukça zordur çünkü saldırı sırasında standard AD olay günlükleri (Event 4662) tetiklenmez. Bu durum, saldırganın "görünmez" kalmasını sağlar ve uzun süre boyunca sistem yöneticilerinin dikkatini çekmez. Bununla birlikte, saldırı ile ilgili önemli olay kimlikleri arasında 4928 ve 4929 bulunmaktadır.

Kritik Olay Kimliği: 4928/4929

Bir AD replikasyon kaynağının eklendiğinde veya silindiğinde oluşan olay kimliği 4929, göz önünde bulundurulması gereken bir başka kritik bileşendir. Bu olay, sistemdeki değişikliklerin denetlenmesi için bir işaret görevi görür.

Mimikatz lsadump::dcshadow

Mimikatz aracı, DCShadow saldırısı gerçekleştirirken yaygın olarak kullanılan bir araçtır. Bir araç olarak Mimikatz, dosya sistemine erişim sağlamanın yanı sıra Active Directory nesneleri üzerinde değişiklikler yapma yeteneğine de sahiptir. 

# Mimikatz kullanarak DCShadow saldırısı başlatma
mimikatz # lsadump::dcshadow

Bu komut, bir saldırganın AD'deki kritik verileri elde etmesine olanak tanır.

Savunma Stratejisi

DCShadow'a karşı korunma mantığı, ayrıcalıklı erişim yönetimi ve Domain Admin hesaplarının izolasyonu üzerine kuruludur. Kullanıcıların yetkilerini azaltmak, düzenli olarak yetki denetimleri yapmak ve sistemdeki anormal aktiviteleri izlemek bu tür gelişmiş saldırılara karşı etkili savunma stratejileridir.

Configuration Partition

DCShadow saldırısında sahte sunucunun kendisini domain hiyerarşisine eklediği AD bölümüne "Configuration Partition" denir. Bu bölümdeki değişiklikler, Active Directory'nin genel replikasyonunu etkileyebilir ve saldırının sürecinde kritik bir rol oynar.

Sonuç olarak, DCShadow saldırıları, modern siber güvenlik ortamında ciddi bir tehdit oluşturmaktadır. Bu saldırı türünü anlamak ve tespit stratejileri geliştirmek, etkili bir siber güvenlik yönetimi için hayati önem taşımaktadır.

Risk, Yorumlama ve Savunma

Risk Analizi ve Yorumlama

DCShadow saldırısının temel riski, bir saldırganın ele geçirdiği ayrıcalıklı haklarla mevcuttaki Active Directory (AD) ortamına sahte bir Domain Controller (DC) eklemeleridir. Bu işlem, saldırganların AD nesnelerinde "iz bırakmadan" değişiklik yapmalarına olanak tanır. Saldırının başında, saldırganın yöneteceği sahte DC’nin gerekli yetkileri edinmesi gerekmektedir. Bu bağlamda, Domain Admin veya Enterprise Admin gibi yüksek yetkili hesaplara erişim sağlanması kritik bir risk unsurudur.

DCShadow ile yapılan saldırılar sonucunda, olası etkileri arasında veri sızıntısı, sistemin işleyişinin durması veya ağ üzerinde daha derinlemesine izinsiz erişim sağlanması bulunmaktadır. Bu sebeplerden dolayı, bu tür saldırıların gerçek risklerini anlamak, mevcut güvenlik politikalarının gözden geçirilmesi ve olası savunma stratejilerinin geliştirilmesi için elzemdir.

Yanlış Yapılandırmalar ve Zafiyetler

Sistemdeki yapılandırma hataları veya zafiyetler, DCShadow saldırılarına zemin hazırlamaktadır. Örneğin, belirli bir Active Directory nesnesine zararlı bir Service Principal Name (SPN) kaydı eklenmesi, o nesnenin sahte bir DC olarak kullanılmasına imkan tanır. Yanlış yapılandırmalar, hassas verileri korumak için gerekli olan erişim kontrollerinin sağlanamamasına yol açabilir ve bu da saldırganların sisteme daha kolay sızmasına neden olur.

Bir saldırganın sahte DC’yi başarıyla entegre etmesi durumunda, sistem üzerinde gerçekleştirebileceği etkiler oldukça geniştir. Örneğin, kullanıcılara ait kimlik bilgileri üzerinde değişiklik yapabilir veya kullanıcıların yetkilerini artırabilir. Böyle bir durumda aşağıda örnek bir işlem sürecini gösterebiliriz:

1. Saldırgan, AD ortamında bir sahte DC kaydı oluşturur.
2. Bu DC’nin replikasyonunu sağlamak için gerekli SPN kayıtlarını ekler.
3. `Mimikatz` gibi araçlar kullanılarak AD nesnelerinde iz bırakmadan değişiklikler yapılır.

Bu süreçler, saldırganın sistem üzerinde büyük değişiklikler yapmasına ve takip edilmeksizin sisteme sızmasına olanak tanır.

Sızan Verilerin Tespiti

DCShadow saldırısının tespit edilmesi oldukça zordur, zira standart olay günlükleri saldırının izini bırakmamaktadır. Ancak bazı kritik olay kimlikleri (Event IDs) üzerinden, sistemin bu tür bir saldırıya maruz kalıp kalmadığını analiz edebiliriz. Özellikle olay kimlikleri 4928 ve 4929, AD replikasyon kaynaklarının eklendiğine veya silindiğine dair bilgi sağlar. Bu bilgilerin analiz edilmesi, şüpheli etkinliklerin tespit edilmesinde önemli bir rol oynamaktadır.

Bir örnek vermek gerekirse, aşağıdaki şekilde olay günlüğü analiz edilebilir:

Get-WinEvent -FilterHashtable @{
    LogName='Directory Service';
    ID=4929
} | Format-Table TimeCreated, Message -AutoSize

Bu komut, Directory Service günlüklerinden 4929 kimlik numarasına ait bilgileri çekerek hangi değişikliklerin gerçekleştiğini gösterir.

Savunma Stratejileri ve Hardening

DCShadow saldırılarına karşı güçlü bir savunma stratejisi geliştirmek gereklidir. Bu stratejiler arasında;

  1. Ayrıcalıklı Erişim Yönetimi: Yüksek ayrıcalıklara sahip kullanıcı hesaplarının sürekli denetlenmesi ve yönetilmesi gereklidir.

  2. Domain Admin Hesaplarının İzolasyonu: Domain admin hesaplarının sadece belirli operasyonel ihtiyaçlar için kullanılması sağlanmalıdır. Bu hesapların kullanımı sınırlandırılmalıdır.

  3. Olay Günlüklerinin İzlenmesi: Yapılandırmalar ve politikalar gözden geçirilerek sistemin olay günlükleri etkin bir şekilde denetlenmelidir. Özellikle şüpheli olay kimliklerinin tetiklenmesi durumunda hızlı müdahale mekanizmaları oluşturulmalıdır.

  4. Gelişmiş Yetkilendirme Olanağı: Yazılım ve sistem politikalarının güncellenmesi ile birlikte, Active Directory nesnelerinin güvenliği arttırılmalıdır. Herhangi bir yetkilendirme değişikliği olduğunda, detaylı incelemeler yapılmalıdır.

Sonuç

DCShadow saldırıları, Active Directory ortamlarının kritik zafiyetlerini hedef alarak ciddi tehditler oluşturabilir. Risklerin doğru şekilde değerlendirilmesi ve yorumlanması, saldırganların erişim sağladığı noktalara karşı etkili bir şekilde savunma yapabilmek için gereklidir. Yukarıda belirtilen savunma stratejileri uygulanmadan önce, sistemdeki yapılandırmaların ve zafiyetlerin belirlenmesi önem arz etmektedir. Bu sayede, siber güvenlik seviyeleri önemli ölçüde artırılabilir ve olası zararlara karşı koruma sağlanabilir.