CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Siber Güvenlikte Trust İlişkilerinin Kötüye Kullanımını Anlamak

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Siber güvenlikte trust ilişkileri ve kötüye kullanımı hakkında detaylı bilgi edinin. Riskleri, savunma mekanizmalarını öğrenin.

Siber Güvenlikte Trust İlişkilerinin Kötüye Kullanımını Anlamak

Trust ilişkileri, iki Active Directory domaini arasında kullanıcıların kaynaklara erişim sağlamasını mümkün kılar. Ancak, bu ilişkilerin kötüye kullanılması büyük riskler barındırmaktadır. Yazımızda güvenin türleri ve korunma yöntemleri hakkında bilgi edinin.

Giriş ve Konumlandırma

Siber güvenlik alanında "trust" yani güven ilişkileri, karmaşık bir yapının temel taşlarını oluşturur. Bu ilişkiler, bir Active Directory (AD) ortamında bir domainin, diğer bir domainin kaynaklarını ücretsiz ve güvenli bir şekilde erişebilmesine olanak tanır. Güven ilişkileri, organizasyonlar arasında veri paylaşımını ve kaynak yönetimini kolaylaştırırken aynı zamanda siber tehditlerin hedefi haline de gelebilir.

Trust (Güven) Nedir?

Active Directory içerisinde iki farklı domain arasında oluşturulan bir güven ilişkisi, o domainlerden birinde bulunan kullanıcıların diğer domainin kaynaklarına erişimi için gerekli olan mantıksal bir bağdır. Bu bağ sayesinde, farklı organizasyonların sunucuları, uygulamaları ve hizmetleri arasında sorunsuz bir veri akışı sağlanır. Güven ilişkileri doğru bir şekilde yönetilmediği takdirde, siber saldırganlar bu ilişkilerden faydalanarak ağlarda yetki yükseltmelerine ve kötüye kullanımlara neden olabilirler.

Güven Yönleri ve Kötüye Kullanım Mantığı

Güven ilişkileri genellikle üç ana yönde şekillenir: inbound (içeriye), outbound (dışarıya) ve bidirectional (çift yönlü). Inbound trust, dış bir domainin sizin kaynaklarınıza erişimi için güven sağlarken, outbound trust sizin kullanıcılarınızın dışarıdaki bir domainin kaynaklarına erişimi için gereklidir. Bidirectional trust ise her iki domainin de birbirine güvendiği ve kaynakları paylaştığı durumu ifade eder.

Saldırganlar, bu güven ilişkilerini hedef alarak, örneğin, bir kullanıcının Kerberos biletini ele geçirip, o bilet üzerine farklı bir domainin yönetici SID'sini ekleyerek diğer ağlara sızmaya çalışabilirler. Bu tür saldırılar, sistem yöneticilerinin gözden kaçırdığı çeşitli güvenlik açıkları sayesinde gerçekleşebilir. Özellikle geçişken güven yapıları, zafiyetleri diğer domainlere taşımak için verimli bir zemin oluşturur.

Siber Güvenlikte Pentest ve Savunma

Siber güvenlik açısından kullanıcı yetkilerinin iyi yönetilmesi, pentest süreçlerinde önemli bir adım olarak kabul edilir. Penetrasyon testleri (pentest), sistemler üzerinde gerçekleştirilen simüle saldırılardır ve güven zafiyetlerini tespit etmek üzere kullanılır. Bu testler sırasında, trust ilişkilerinin kötüye kullanımı üzerine senaryolar oluşturmak, siber savunma mekanizmalarının ne ölçüde etkili olduğunu değerlendirmenin temel yollarından biridir. Örneğin, bir domainin güven ilişkilerinin test edilmesi, bir saldırganın bu ilişkileri nasıl suistimal edebileceği konusunda derinlemesine bir anlayış sunar.

Ayrıca savunma mekanizmalarının etkili bir şekilde uygulanması, bu tür kötüye kullanımlara karşı en önemli koruma yöntemlerinden biridir. AD ortamındaki güven ilişkilerinizi sürekli izleyerek ve düzenli olarak audit (denetim) gerçekleştirerek, şüpheli durumların tespit edilmesi kolaylaştırılabilir. Bunun için özellikle Event ID 4706 ve 4707 gibi izlemesi gereken önemli olayları belirlemek kritik önem taşır.

İzleme ve Tespit

Siber güvenlikte trust ilişkilerinin etkin yönetilmesi ve izlenmesi, güvenlik açıklarını hızlı bir şekilde tespit edebilmek için gereklidir. Bir organizasyonun güvenlik duruşunu değerlendirmek için, güven ilişkilerinin düzenli olarak gözden geçirilmesi ve audit yapılması önem arz eder. Ayrıca, güven ilişkilerine yönelik şüpheli işlemleri izlemek için Mimikatz gibi araçlar kullanılarak dışarıdan gelen SID'lerin kontrol edilmesi faydalı olacaktır. 

# Saldırganların verileri nasıl hedeflediğine dair örnek bir komut
mimikatz # privilege::debug
mimikatz # sekurlsa::minidump
mimikatz # kerberos::list

Bu tür araçlar, güvenlik olayları ve anomali tespiti için hayati bilgiler sağlayabilir. Sonuç olarak, güven ilişkilerini etkin bir şekilde yönetmek, siber güvenlik stratejilerinin temel bir parçasıdır.

Siber güvenlik ortamlarında trust ilişkilerinin kötüye kullanımı dikkatle ele alınmalı ve sürekli bir eğitim programı ile güncel kalınmalıdır. Bu sayede, organizasyonlar daha güvenli bir yapı inşa edebilir ve olası tehditlerle daha etkili bir şekilde başa çıkabilirler.

Teknik Analiz ve Uygulama

AD Trust (Güven) Nedir?

Active Directory (AD) Trust, iki farklı Active Directory domaini arasında kurulan mantıksal bir ilişkidir. Bu ilişki, bir domaindeki kullanıcıların diğer domaindeki kaynaklara erişimini sağlar. Trust ilişkileri, güvenli bir ortam sağlamak ve kullanıcıların yetkilerini verimli bir şekilde yönetmek amacıyla kullanılmaktadır. Trust ilişkilerinin nasıl oluşturulduğu, hangi türlerin bulunduğu ve bu ilişkilerin nasıl yönetildiği siber güvenlik uzmanları için kritik öneme sahiptir.

Güven Yönleri

Güven ilişkileri çeşitli yönlere sahiptir:

  • Inbound Trust: Dışarıdaki bir domainin, sizin kaynaklarınıza erişmesine izin verdiğiniz durumdur.
  • Outbound Trust: Sizin kullanıcılarınızın, dışarıdaki bir domainin kaynaklarına erişmesine izin verdiğiniz durumdur.
  • Bidirectional Trust: Her iki domainin de birbirine güvendiği ve kaynaklarının karşılıklı olarak paylaşıldığı durumdur.

Bu yönleri doğru bir şekilde anlamak, güvenlik tahminleri yapmak ve saldırı yüzeyini değerlendirmek açısından hayati önem taşır.

Kötüye Kullanım Mantığı

Saldırganlar, güven ilişkilerini hedef alarak siber saldırıların etkinliğini artırabilirler. Özellikle, ele geçirilen bir kullanıcı hesabı sayesinde diğer domainlerde yatay hareket (horizontally move) gerçekleştirmek için kullanılır. Diğer domainlerdeki kaynaklara erişim sağlamak, bu tür saldırıların temelini oluşturur. Bu tür bir saldırı, bir domainin güvenlik zafiyetlerinin tüm hiyerarşiyi tehlikeye atmasına neden olabilir.

Inter-domain Trust Key

İki domain arasındaki güveni doğrulamak için kullanılan ortak şifreye "Trust Key" denir. Trust Key, güven ilişkisinin güvenliğini sağlamak ve Kerberos biletlerinin imzalanmasında kritik bir rol oynar. Trust Key'in gizliliği, güvenlik politikalarının temel unsurlarından biridir. Aşağıda, trust yapısının gerçekleştirilmesi için kullanılan örnek bir komut verilmiştir:

New-ADTrust -Name "TrustName" -SourceForest "sourceforest.com" -TargetForest "targetforest.com"

Bu komut yeni bir trust oluşturmak için kullanılır. Kullanılacak parametreler arasında trust adı ve kaynak ile hedef orman bilgileri bulunmaktadır.

Güven Türleri

Active Directory’de farklı güven türleri bulunmaktadır:

  • Parent-Child Trust: Aynı forest içindeki üst ve alt domainler arasında otomatik olarak kurulan güven.
  • Forest Trust: İki farklı forest'ın en üst katmanları arasında kurulan ve tüm alt domainleri kapsayan güven.
  • External Trust: Farklı forestlardaki iki spesifik domain arasında kurulan, geçişken olmayan güven.

Bu güven türlerini anlamak, hangi güvenlik önlemlerinin alınması gerektiğini belirlemek açısından önemlidir.

Transitive (Geçişken) Risk

Transitive Trust, bir domaininin diğer bir domainle güven ilişkisi olduğunda, bu ilişkiyi zincirleme olarak genişletme imkanı sunar. Olası bir saldırı, bu zincirleme ilişki sayesinde yalnızca bir domainin değil, tüm forest yapısının tehlikeye girmesine neden olabilir. Bu durum, geçişken güvenin doğal bir riskidir. Saldırganlar, daha düşük güvenlik seviyesine sahip bir domaini ele geçirdiklerinde, bu güven ilişkisini kullanarak daha yüksek güvenlikteki domainlere geçiş yapabilirler.

SID History Suistimali

Saldırganlar, ele geçirdikleri kullanıcının Kerberos biletine, başka bir domainin yönetici Security Identifier (SID) bilgisi ekleyerek yetki yükseltme (privilege escalation) saldırıları gerçekleştirebilir. Bu tür bir saldırının gerçekleştirilmesi, "SID History" kavramı ile ilişkilendirilir. SID History, geçmişteki yönetici erişimlerinin devam etmesine olanak tanır. Ancak bu durum, siber güvenlik açısından büyük bir açığı temsil eder.

Savunma Mekanizmaları

Güven ilişkilerini korumak için çeşitli güvenlik önlemleri alınmalıdır. Aşağıdaki savunma mekanizmaları, trust ilişkisi üzerinde olası kötüye kullanımları önleyebilir:

  • SID Filtering: Dışarıdan gelen Kerberos biletlerindeki yabancı SID’lerin ayıklanmasını sağlar.
  • Selective Authentication: Güvenilen domain içinde, kullanıcıların yalnızca belirlenen sunuculara erişim hakkı kazanmasını sağlar.
  • Quarantine: Dış domainden gelen tüm kullanıcı biletlerinin kısıtlı yetkilerle işlem görmesini sağlar.

Bu mekanizmaların etkin bir şekilde uygulanması, güvenlik açıklarını minimize eder.

İzleme ve Tespit

Güven ilişkilerine yönelik şüpheli işlemleri izlemek için kullanılabilecek yöntemler arasında log yönetimi ve sürekli izleme bulunmaktadır. Event ID 4706 ve 4707, güven ilişkisinin oluşturulması veya değiştirilmesi işlemleri için önemli izleme noktalarıdır.

Aşağıdaki PowerShell komutu, Active Directory güvenlik olaylarını yakalamak için kullanılabilir:

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4706, 4707}

Bu komut, belirli bir event ID'ye ait günlük kayıtlarını çekerek güvenlik yönetimi için değerli bilgiler sağlar.

ExtraSids

Mimikatz gibi araçlarla oluşturulan ‘Golden Ticket’ biletlerine, trust sınırlarını aşmak için eklenen yetkili SID alanına "ExtraSids" denir. Bu alanın sorunsuz bir şekilde yönetilmesi, güvenlik zaaflarının tespit edilmesi ve önlenmesi açısından kritik öneme sahiptir.

Siber güvenlik yöneticilerinin, bu tür kavramları anlaması ve uygulaması, sistemlerin güvenliğini sağlamada önemli bir rol oynamaktadır. Güven ilişkilerinin yönetimi, zafiyetlerin tespit edilmesi ve izlenmesi, modern siber tehditlerle mücadelede etkili stratejilerdir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında trust (güven) ilişkileri, iki veya daha fazla domain arasında kullanıcıların kimlik doğrulamasını ve kaynak paylaşımını sağlamak için kritik öneme sahiptir. Ancak, bu ilişkilerin kötüye kullanımı, yani trust exploitation, ciddi güvenlik riskleri doğurabilir. Bu bölümde, trust ilişkilerinin güvenlik anlamını yorumlayarak, yanlış yapılandırmalar veya zafiyetlerin olası etkilerini değerlendireceğiz. Ayrıca, sızan veriler, topoloji ve servis tespiti gibi sonuçları inceleyeceğiz ve profesyonel savunma önlemleri ile hardening önerileri sunacağız.

Trust İlişkilerinin Güvenlik Anlamı

Güven ilişkileri, Active Directory ortamlarında oldukça karmaşık bir yapı oluşturur. İki farklı domain arasında trust ilişkisi kurulduğunda, kullanıcılar bir domain üzerinden diğerine kaynağa erişim sağlayabilir. Bu durum, içerdiği imkânlar nedeniyle önemli bir kolaylık sunarken, aynı zamanda riskleri de beraberinde getirir. Örneğin, inbound trust ve outbound trust kavramları, hedef domainin dışarıdan gelen erişim taleplerini nasıl yönettiğini belirler. Aşağıda bu ilişkilere dair bazı temel noktaları inceleyeceğiz:

- Inbound Trust: Dışarıdaki bir domainin sizin kaynaklarınıza erişim sağlaması.
- Outbound Trust: Sizin kullanıcılarınızın dışarıdaki bir domainin kaynaklarına erişim sağlaması.
- Bidirectional Trust: Her iki domainin birbirine güvenmesi ve kaynaklarını paylaşması.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Yanlış yapılandırmalar, trust ilişkilerinin güvenliğini ciddi şekilde etkileyebilir. Örneğin, trust oluşturma veya değiştirme işlemleri sırasında Event ID 4706 ve 4707'nin izlenmemesi, güvenlik açığı yaratabilir. Bu ID’ler, trust ilişkilerindeki değişiklikleri takip ederek potansiyel kötüye kullanımları tespit etmeye yardımcı olur. Eğer bir domainin güvenlik açığı varsa, bu durum geçişken trust ilişkileri sayesinde tüm forest yapısını tehlikeye atabilir.

Sızan verilerin analiz edilmesi, güvenlik zaafiyetlerinin tespit edilmesinde kritik bir rol oynar. Özellikle, sızan veriler arasında Kerberos biletleri bulunuyorsa, saldırganlar bu biletleri kullanarak yetki yükseltme (privilege escalation) gerçekleştirebilir. Bu tür bir durum, SID History suistimali olarak bilinir ve saldırganlar, ele geçirdikleri kullanıcının bileti üzerine yüksek yetkili SID’leri ekleyerek diğer domainlere erişim kazanabilirler.

Profesyonel Önlemler ve Hardening Önerileri

Güven ilişkilerini korumak için bir dizi profesyonel önlem alınması gerekmektedir. Bu önlemler, yalnızca mevcut güvenlik zafiyetlerini önlemekle kalmaz, aynı zamanda saldırılara karşı da koruma sağlar. Aşağıda bazı öneriler sunulmuştur:

  1. SID Filtering: Dışarıdan gelen Kerberos biletlerinde yabancı SID’lerin ayıklanması, yetki yükseltme saldırılarını önleyebilir.

  2. Selective Authentication: Güvenilen domain'deki kullanıcıların yalnızca belirli sunuculara erişimini kısıtlayan bu yöntem, saldırı yüzeyini azaltır.

  3. Quarantine: Dış domainden gelen tüm kullanıcı biletlerinin kısıtlı yetkilerle işlem görmesini sağlayan mod, güvenlik açısından önemli bir önlem oluşturur.

  4. Düzenli İzleme: Trust ilişkilerini izlemek için günlükleme sistemleri ve izleme araçları kullanılmalıdır. Bu sayede şüpheli aktiviteler erken deşifre edilebilir.

  5. Sürekli Eğitim: Kullanıcıların ve sistem yöneticilerinin güvenlik farkındalığını artırmak için düzenli eğitim programları düzenlenmelidir.

Sonuç

Siber güvenlikte trust ilişkilerinin yönetimi son derece önemli bir konudur. Yanlış yapılandırmalar ve açıklar, ciddi riskler doğurabilir ve siber saldırganların hedefi haline gelebilir. Doğru yorumlama ve savunma mekanizmaları ile bu riskler minimize edilebilir. Özellikle, sistemlerin düzenli izlenmesi ve gerekli önlemlerin alınması, güvenlik stratejinizin temel taşlarını oluşturmalıdır. Unutmayın ki, güvenli bir yapı inşa etmek, sadece teknolojik araçlarla değil, aynı zamanda insan faktörü ile de desteklenmelidir.