Post Exploitation: Golden Ticket ile Etki Alanına Sürekli ve Yetkili Erişimin Sağlanması

Post Exploitation: Golden Ticket ile Etki Alanına Sürekli ve Yetkili Erişimin Sağlanması

Kurum içine yapılan saldırılarda veya sızma testlerinde bir Domain Admin yetkisini elde eden bir saldırgan etki alanındaki (neredeyse) her bilgisayarı ele geçirmiş olur denebilir. Eğer güven (trust) ilişki varsa diğer etki alanları da tehlike altına girebilir. Bunun yanında yönetim kolaylığı olması açısından saldırıya uğrayan etki alanına dahil olan kritik sistemler de tehlikeye girebilir. Bu sebeplerle etki alanı yönetici hesaplarının korunması kurumlar için oldukça önemlidir.

Yazının devamı için bakınız:
http://www.siberportal.org/red-team/microsoft-domain-environment-penetration-tests/golden-ticket-generation-by-using-meterpreter-kiwi-extenion-and-mimikatz-tool/

http://www.siberportal.org/blue-team/securing-microsoft-domain-environment/mitigating-the-vulnerability-about-kerberos-golden-ticket/

5) Kıssada Hisse: Önlemler

Etki alanını kurum için oldukça önemlidir. Bir saldırı olması durumunda etki alanındeki kritik nesnelerin (Domain Controller makineleri, Domain Admins veya Enterprese Admins grubu üyeleri,... gibi) güven altında olması oldukça önemlidir. Etki alanını korumaya yönelik atılacak adımlar için bakınız. Ayrıca, gerçekleşen bir saldırı sonucunda kaybedilecek bazı bilgilerin (krbtgt hesabının NTLM parola özeti gibi) kurum etki alanını sürekli olarak tehlike altında bulunduracağı göz önünde bulundurulmalıdır.

Bu yazıda bahsedilen saldırıdan korunmak için gerçekleştirilebilecek işlemler için bakınız.Özetlemek gerekirse,

• Etki alanı saldırılara karşı korunmalıdır. Saldırgan etki alanında yönetici hakkına sahip olamamalıdır. Bu amaçla gerekli sıklaştırma adımları gerçekleştirilmelidir.
• Saldırı gerçekleşmişse, KRBTGT hasabının parolası iki kere sıfırlanmalıdır (resetlenmelidir). Ancak bu durumda manuel olarak başlatılması gereken bazı servislerin başlayamamasına, akıllı kart ile kimlik doğrulayan kullanıcıların yeni bilet talep ederek DC üzerinde yük oluşturmasına,... sebep olabilir. Hatta, bazı durumlarda kullancıların kimlik doğrulayamamasına, bilgisayarların etki alanından düşmesine de sebep olabilir.
• Çok etkili olmasa da 4769 olay kaydı izlenebilir.

Golden Ticket kullanarak etki alanında uzun süreli yetki sahibi olunması şeklinde özetlenebilecek bu saldırı, 2014 Ocak ayında yayınlanmış olmasına rağmen daha önce kullanılmadığı anlamına gelmemektedir. Bu sebeple, özellikle 2014 yılından itibaren, etki alanına yapılan saldırıların incelenmesi ve DC'ye yetkisiz / uygunsuz erişimlerinin elde edilip edilmediğinin tespit edilmesi, bunun sonucunda da gerekli değişikliklerin yapılması kurum etki alanını korumak için önem arz etmektedir. Özellikle kritik kurumlar için, bu kontrollerin geçmişe yönelik gerçekleştirilmesi ve gerekli müdahalelerde bulunulması gerekmektedir.

Kaynak:
http://blog.gentilkiwi.com/securite/mimikatz/golden-ticket-kerberos
http://rycon.hu/papers/goldenticket.html
https://www.christophertruncer.com/golden-ticket-generation/

Grup İlkeleri (Preferences) ile Yerel Kullanıcı Parolalarının Ayarlanması ve Bu Özelliğin Kötüye Kullanılması

Grup İlkeleri (Preferences) ile Yerel Kullanıcı Parolalarının Ayarlanması ve Bu Özelliğin Kötüye Kullanılması

Grup ilkeleri Policy ve Preferences olmak üzere iki şekilde kullanılır. Eğer kullanıcı isteğine bırakılmadan bir ilkenin grup ilkeleri ile ayarlanması isteniyorsa Policy kullanılır. Eğer kullanıcı tarafından değişiklik yapılmasına izin verilecek ayarlar yapılacak ise Preferences tercih edilir.

Preferences ile yerel kullanıcı ve grupların bir takım özellikleri ayarlanabilir. Bu özelliklerden birisi de yerel kullanıcıların parolasıdır. Böylelikle, yerel kullanıcıların parolası merkezi bir şekilde yönetilebilir. Ancak bu ayarın yapılması durumunda bu parolalar (parolaların açık hali), etki alanındaki herhangi bir bilgisayardan elde edilebilir.

Bu yazıda Windows Server 2008 R2 olan bir bilgisayar DC olarak kullanılmaktadır. Bu bilgisayarın adı (hostname) "SRV1", oluşturulan etki alanının adı ise "sizma.local" olarak belirlenmiştir.Senaryo için, etki alanında W7 adlı bir bilgisayar ve "Akif Pinar" adlı standart bir etki alanı kullanıcısı kullanılacaktır.

W7 bilgisayar "Orijinal Makineler" adlı bir OU içerisindedir:

"Akif Pinar", "Bilgi Islem" adlı bir OU içerisindedir:

"Akif Pinar" standart bir etki alanı kullanıcısıdır:

Not: W7 bilgisayarında "Akif Pinar" adlı kullanıcı ile oturum açılmasaydı, aşağıda belirtilen modül çalıştırılıp, Preferences içerisindeki parola bilgileri elde edilebilirdi.

Senaryonun en son aşamasında "GPO_AdministratorPassword", "Policy2" ve "Policy3" adlı grup ilkeleri aşağıdaki gibi konumlandırılacaktır.

Ancak ilk durumda "Policy2" ve "Policy3" oluşturulmamış ve herhangi bir OU altına bağlanmamıştır (link edilmemiştir).

İlk durumda, W7 bilgisayarın bulunduğu OU altına sadece "GPO_AdministratorPassword" ilkesi uygulanmaktadır. Bu ilke ile yerel "Administrator" hesabının parolası ayarlanmıştır:

Not: W7 üzerinde oturum açan "Akif Pinar" hesabının bulunduğu OU'ya özel bir politika uygulanmamıştır.

"Akif Pinar" kullanıcısı ile W7 üzerinde oturum açıldığında 5 adet grup ilkesi görülmektedir (\\SRV1\sysvol\sizma.local\Policies dizini altında):

Not: 4. ekran görüntüsünde bulunan Group Policy Management arayüzünde, "Group Policy Objects" altında ilk durumda 5 adet grup ilkesi bulunmaktaydı.

SYSVOL dizini altındaki "Groups.xml" dosyası 2 grup ilkesinde bulunmaktadır. Bunlardan birisi "GPO_AdministratorPassword", diğeri ise "GPO_TubitakDisable" ilkesidir:

Not: Groups.xml haricinde aranabilecek diğer 2 dosya Printers.xml ve Drives.xml dosyalarıdır.

Bu XML dosyalarının içeriği aşağıdaki gibidir:

Yukarıdaki ekran görüntüsünde de görüldüğü gibi, "GPO_TubitakDisable" ilkesi ile "tubitak" adlı yerel kullanıcının hesabı devre dışı bırakılmıştır. Bunun yanında "GPO_AdministratorPassword" ilkesi ile yerel "Administrator" kullanıcısının parolası ayarlanmıştır. Ancak parola açık halde değil, şifreli (değişikliğe uğramış şekilde) olarak "cpassword" değerinin karşısında saklanmaktadır. Kullanılan AES şifresi Microsoft tarafından bağlantıdaki linkte internete sunulmuştur. İnternet üzerindeki betikler kullanılarak cpassword değerinden parolanın açık hali elde edilebilir. Bunun yanında MSF post exploit modülü ile bu işlemler kolay bir şekilde gerçekleştirilebilir.

Bu amaçla öncelikle W7 makinesine Meterpreter oturumu açılır:

Daha sonra da açılan Meterpreter oturumunda post/windows/gather/credentials/gpp modülü (Windows Gather Group Policy Preference Saved Passwords) çalıştırılmak üzere ayarlanır.

Gerekli ayarlamalardan sonra bu modül çalıştırılır:

Yukarıdaki ekran görüntüsünde de görüldüğü gibi, "GPO_AdministratorPassword" ve "GPO_TubitakDisable" grup ilkeleri içerisinde "Groups.xml" dosyaları tespit edilmiştir. Ancak, sadece "GPO_AdministratorPassword" içerisinde parola bilgisi (cpassword) tespit edilmiştir. Tespit edilen bu değer deşifre edilmiş ve yerel "Administrator" kullanıcısının parolası "Test#12345." olarak tespit edilmiştir.

Daha sonra "Policy2" adı verilen grup ilkesi herhengi bir OU için oluşturulmuş ve bu ilke W7 bilgisayarına alınmıştır (gpupdate /force). Bu grup ilkesi; W7 bilgisayarından, "Akif Pinar" oturumunda görülmektedir:

MSF modülünün yeniden çalıştırılmasıyla, W7 bilgisayara ve oturum açan "Akif Pinar" adlı kullanıcıya yeni oluşturulan grup ilkesi uygulanmamasına rağmen, yeni oluşturulan "Policy2" adlı grup ilkesindeki parola bilgisi ("Deneme123456.") elde edilmiştir.

Sonraki aşamada ise, "Policy3" adlı bir grup ilkesi oluşturulmuş hiç bir OU'ya uygulanmamıştır. Bu ilke de W7 bilgisayarına alınmıştır (gpupdate /force). Bu greup ilkesi; W7 bilgisayarından, "Akif Pinar" oturumunda görülmektedir:

MSF modülünün yeniden çalıştırılmasıyla, W7 bilgisayara ve oturum açan "Akif Pinar" adlı kullanıcıya yeni oluşturulan grup ilkesi uygulanmamasına rağmen, yeni oluşturulan "Policy3" adlı grup ilkesindeki parola bilgisi ("Misafir123") elde edilmiştir.

Sonuç:

• Preferences kullanılarak yerel kullanıcıların parolaları ayarlanmamalıdır.
• Gereksiz grup ilkeleri oluşturulmamalıdır.
• Grup ilkeleri üzerindeki erişim ayarları (ACL) uygun şekilde yapılandırılmalıdır.
• MS14-025 zafiyeti kapatılmalıdır. Bu amaçla, KB2962486 güvenlik yaması geçilmelidir.

Etki Alanı Saldırılarından Korunma Yolları: Diğer Güvenlik Önlemleri

Etki Alanı Saldırılarından Korunma Yolları: Diğer Güvenlik Önlemleri

Etki alanı sızma testlerinden ve etki alanında gerçekleştirilebilecek saldırılardan korunmak için birçok önlem bulunmaktadır. Bu önlemlerden bazıları şu şekildedir:

a) Kaba kuvvet saldırılarından korunmak için parola ilkesi uygun şekilde ayarlanmalıdır. Bu amaçla karmaşık, uzun, sık sık güncellenen, birbirini tekrar etmeyen parolaların kullanılması sağlanmalıdır. Kritik kullanıcılar için özel parola politikaları belirlenmelidir. Bu amaçla gölge (shadow) gruplar oluşturularak bu gruplara Fine-Grained Parola Politikaları uygulanabilir. 

b) Kullanıcıların bilgisayarlarında yönetici olarak oturum açmaması sağlanmalıdır. Yönetici hakkı ile gerçekleştirilmesi gereken işlemler özel bir grup (yardım masası gibi) tarafından gerçekleştirilmeli ve gerekli işlemler gerçekleştirildikten sonra bilgisayar yeniden başlatılmalıdır. 

c) En az yetki prensibi doğrultusunda, yerel bilgisayarlardaki ve etki alanındaki kullanıcılara sadece görevleri doğrultusunda haklar verilmelidir. Kısa süreli olarak gerekli olan haklar ise, takip edilmeli ve denetlenmelidir; işlem bittikten sonra bu haklar geri alınmalıdır. Özellikle antivirüs, DLP gibi ajanlarla çalışan sistemler etki alanındaki kritik kullanıcıların hakları ile çalıştırılmamalı, özel olarak oluşturulmuş ve yetkilendirme yapılmış servis hesapları ile çalıştırılmalıdır. Kritik hesap yetkileri ile çalıştırılması durumunda, ilgili makinede yönetici yetkisi olan bir kullanıcı saldırı araçları ile o hesabın jetonu (token) alarak veya prosesine sıçrayarak etki alanında yönetici durumuna geçebilir ve kendisine Domain Admins veya Enterprise Admins gruplarına üye olan bir kullanıcı oluşturabilir (alarm oluşturulmamışsa bu durumdan haberdar olunmaz). En az yetki prensibinin bir tarafı da yetkinin uygulandığı alan olarak düşünülebilir. Özellikle kritik işlemler için, işlemi yapan kullanıcının yetkisinin sınırlı olması yetmez, yetkinin kullanıldığı sistemin (bilgisayarın) da sınırlı yetkilendirmeye sahip bir bilgisayar olması tavsiye edilmektedir. Şöyle ki, yardım masası gibi belli yetkileri olan kullanıcıların, RDP veya bazı sistemler kullanarak kurum personelinin bilgisayarına eriştiği makinenin (kurumsal görevi için kullandığı makinenin), günlük işlemler için kullandığı makine haricinde olması, mümkinse de bir sanal makine veya uzak makine olması güvenliği bir kat daha arttıracaktır. 

d) Linkedin, Hotmail, Facebook gibi sitelerdeki üyelerin parolaları veya parolaların özetlerinin saldırganlar tarafından ele geçirildiği sık sık gündeme gelmektedir. Bu sebeple etki alanındaki (özellikle kritik sistemlere erişen) personelin oturum açmak için ve kurum içindeki sistemlere bağlantı için kullandıkları parolalarını, kurum dışındaki sistemlerde (bloglar, sosyal paylaşım siteleri, haber siteleri vs) kullanmamaları önerilmelidir. Ayrıca parolalarının da bu sitelerdeki parolalarıyla benzer olmaması - tahmin edilebilir olmaması - da tavsiye edilmektedir. 

e) Kurumdaki personelin kurum ile ilgili parolalarını açık olarak saklamamaları, parola saklama programları veya en azından MS Ofis programları içerisinde şifreli olarak saklamaları tavsiye edilmektedir. Sızma testi adımlarında bahsi geçen "Araştırma" adımında bazı anahtar kelimelere göre (parola, şifre, password, root, admin vs) bilgisayarlar taranarak parola dosyaları arandığı göz önüne alındığında, parolaların saklandığı dosyaların adının kolay tahmin edilebilir olmaması ek güvenlik sağlayacaktır. Parola güvenliği ile ilgili bir yazı Bilgi Güvenliği Kapısı'nda yayınlanmıştır. 

f) Bilgisayarlardaki güvenlik duvarları, UAC gibi güvenlik sistemleri etkin olmalıdır. Hak yükseltme işlemleri sırasında işletim sistemi tarafından yönetici onay modunun etkinleştirilmesi tavsiye edilmektedir. Konu ile ilgili bir yazı Bilgi Güvenliği Kapısı'nda yayınlanmıştır. 

g) Bilgisayarlar veya paylaşımlar üzerinde kritik bilgiler bulunmamalıdır. Bu kritik bilgilerden bazıları aşağıdaki gibidir:

• Şifresiz olarak saklanan kritik bilgiler (özellikle kritik kullanıcılara ait parola ve kritik sunuculara ait IP veya oturum bilgileri)

• Zamanlanmış görevler veya özel operasyonlar için kullanılan betikler içerisinde kullanıcı hesabı ve sistem bilgileri

• Kritik sistemlere bağlantı için kullanılan ve oturum bilgileri içerisinde kayıtlı olan RDP, SSH veya FTP bağlantı dosyaları

h) Etki alanı denetleyicisi (DC) gibi kritik sunuculara uzaktan erişimler (RDP,SSH, FTP,... vs.) engellenmelidir. Kritik sunuculara fiziksel güvenlik önlemlerinin alındığı ortamlardan erişilebilmelidir. Bu önlemin mümkün olmadığı durumlarda sadece belli adreslerden uzak bağlantı yapılmasına izin verilmelidir. Bunun yanı sıra güvenliğin yeteri kadar sağlanamadığı ortamlara etki alanı denetleyicisi kurulması gerekiyorsa RODC sunucularının kullanılması tavsiye edilmektedir. RODC ile iligli ayrıntılı bir yazı Bilgi Güvenliği Kapısı'nda yayınlanmıştır. 

i) Gerçekleştirilecek her güvenlik önlemi iyi planlanmalı, test edilmeli, daha sonra uygulanmalıdır. Gerçekleştirilen önlemler öncesinde ve sonrasında denetlenmelidir. 

j) Farklı etki alanlarına sahip kurumlarda, sızılan bir etki alanından diğer etki alanlarına erişilememesi için, her etki alanı diğer etki alanları ile olabildiğince soyutlanmalıdır. Bu amaça boş kök etki alanı (empty root domain) kullanılabilir. Ayrıca, kök etki alanında bulunan kritik gruplardaki (Enterprise Admins) kullanıcılar, alt etki alanlarında oturum açmamalıdır. Bunun yanında etki alanları arasında kurulan güven ilişkilerinde (trust relationship); ilişkinin geçişliliği, yönü ve türü konularına dikkat edilmeli, seçmeli kimlimlik doğrulama (selective authentication) kullanılmalıdır. Böylece saldırı yüzeyi daraltılmaktadır. 

k) DMZ içerisindeki sunucular tekil (stand-alone) olarak çalışmalı veya kuruma ait etki alanı dışında ayrı bir etki alanı ile yönetilmelidir. Ayrı olarak oluşturulacak yeni etki alanının, kurum etki alanıyla ilişkisi bulunmamalıdır. İki farklı etki alanının yöneten sistem yöneticileri farklı olmalı veya farklı/benzer olmayan hesap bilgileri kullanmalıdırlar. 

l) Sızma testleri ve etki alanı saldırıları sırasında etki alanındaki hesapların ve kurumda bulunan bilgisayarlardaki yerel hesapların parolaları açık olarak ve özet halinde elde edilebilmektedir. Bu sebeple bir saldırı durumunda veya etki alanı sızma testinden sonra, bilgisayarlardaki yerel kullanıcıların (local users) ve etki alanındaki kullanıcıların (domain users) parolaları değiştirilmelidir. Etki alanındaki kullanıcıların parolalarını değiştimeleri için grup ilkeleri ile değişikliğin gerçekleştirilmesi beklenebilir, ancak kritik sistemlere (veritabanı, aktif cihaz gibi) erişimi olan veya kurum için kritik varlıklara (müşteri bilgileri gibi) erişimi olan personelin parolalarını derhal değiştirmeleri tavsiye edilmektedir. Benzer şekilde kritik makinelerdeki yerel kullanıcıların parolaları değiştirilmeli,  yerel yönetici parolaları birbirinden farklı olarak ayarlanmalıdır.

Not: Etki alanı sızma testlerinden önce (ve saldırının her an olabileceği düşüncesi ile belli periyotlarla) kritik sistemlere ait yedeklerin alınması ve güvenilir şekilde korunması tavsiye edilmektedir. Bir problem durumunda gerçekleştirilecek işlemler için de acil eylem planlarının hazır olması tavsiye edilmektedir. 

m) Kimlik doğrulamasını etki alanı denetleyicilerine sorgulatan ara sistemlerden (örneğin, Exchange Server 2010 için CAS rolüne sahip sunuculardan) personelin parolaları, bazı proseslerden açık olarak alınabilmektedir. Bu durum kurumda bir takım iyileştirmeler için de kullanılabilir. Örneğin;

• İç eğitimlerde kullanılabilir. Personele, özel hayatında kullandığı parolalara benzer parolalar kullanmaması gerektiği belirtilebilir. Özellikle kritik sistemlere ve verilere erişimi olan personelin parolalarını farklı oluşturmaları sağlanmalıdır.

• Denetimlerde kullanılabilir. Bu sunuculardaki proseslerinin dump'ının alınması da dahil olmak üzere, belirli nesnelere erişimlere erişimleri kayıtları alınmalı ve bu kayıtlar güçler ayrılığı prensibine uygun olacak şekilde (Güvenlik Birimi gibi sistemin yöneticileri haricinde bir grup tarafından) denetlenmelidir.

• Sıkılaştırmalarda kullanılabilir. Elde edilen parolalar kullanılarak, personelin kullandığı parolaların güçlü olup olmadığı incelenebilir. Kolay parola kullanan, kaba kuvvet saldırıları ile parolası tespit edilebilecek personel uyarılmalıdır.

n) Microsoft, sistemin sürekliliğinin sağlanması için önbelleğe alınmış kimlik bilgileri (cached credentials) kullanmaktadır. Bu bilgiler sayesinde etki alanı denetleyicisine erişim sağlanamadan etki alanı hesabı ile oturum açılabilmekte ve bazı sistemlere erişim sağlanabilmektedir. Ancak bu durum saldırganlar tarafından kötüye kullanılabilmektedir. Bilgisayarı ele geçiren ve kaba kuvvet saldırısı gerçekleştiren saldırgan - hesap kilitleme, loglanma, parola kırma gibi dertleri olmadan - kullanıcıya ait kimlik bilgilerini ele geçirebilir. Bu sebeple özellikle kritik kullanıcıların son oturumlarına ait bilgilerinin bilgisayar üzerinde saklanmaması tavsiye edilmektedir. 

o) Sızma testleri sırasında, sızma testlerini gerçekleştiren kullanıcılara ve bu kullanıcıların bilgisayarlarına verilen tüm yetkilerin geri alınması unutulmamalıdır. Ayrıca sızma testlerini gerçekleştiren personelin, test sırasında oluşturduğu tüm kullanıcılar ve gerçekleştirdikleri tüm değişiklikler geri alınmalıdır. 

p) Gerçekleştirilecek teknik önlemler haricinde iki temel noktaya daha dikkat çekilmesinde fayda bulunmaktadır.

• Kurumda çalışan personel belki de kurum için en zayıf halka niteliğindedir. Nasıl ki bir zincir en zayıf halkası kadar güçlü ise, bir kurumun güvenliği de en zayıf bileşeni kadar güvenilir sayılır. Bu sebeple kurum personeline gerekli güvenlik eğitimlerinin verildiğine ve bilinçlenmenin sağlandığına emin olunmalıdır. Yeni işe başlayan veya teknik işlerde çalışmayan personel de dahil olmak üzere uygun seviyede bilinçlendirme eğitimleri düzenlenmeli, bu eğitimler ölçülmeli, iyileştirilmeli ve sürekliliği sağlanmalıdır. Özellikle sosyal mühendislik saldırılarına karşı bilinçlendirme sağlanmalıdır.

• Belki de en önemli önlem: Üst Yönetim Desteği. Etki alanı saldırılarına karşı teknik operasyonların uygulanması ve sürekliliğin sağlanması oldukça önemli konulardır. Ancak gerçekleştirilen bu önlemler kurum personelinin tepkisine yol açabilecektir. Örneğin; personelin parolasını en az 8 karakter olarak oluşturmak zorunda olması, bilgisayarlarında yerel yönetici haklarına sahip olan personelden bu hakların alınması,... gibi durumlarda karşılaşılabilecek tepkilere karşı üst yönetim maddi ve manevi destekten kaçınmamalıdır. Böylece sadece kurum bilgisi ve imajı korunmayacak, ayrıca ülkeyi zor durumda bırakacak durumlara karşı da tedbir alınmış olunacaktır.

Etki Alanı Saldırılarından Korunma Yolları: Kritik Hesapların Kullanımı

Etki Alanı Saldırılarından Korunma Yolları: Kritik Hesapların Kullanımı

Etki alanı sızma testlerinde gerçekleştirilen adımlardan birisi de araştırma adımıdır. Bu adımla ilgili ayrıntılı bilgi için bakınız:

http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-yuksek-yetkili-kullanc-haklarnn.html 

http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-domainde-yetkili-kullancnn.html

Araştırma adımında, oturum açılan bilgisayarlarda kritik kullanıcılara ait bilgilerin elde edilememesi sağlanmalıdır. Bu amaçla, etki alanındaki kritik hesaplar uygun şekilde kullanılmalıdır.
Kritik hesaba sahip kullanıcıların iki ayrı hesabı bulunmalıdır: Etki alanında yönetimsel operasyonlar için kullanılan yetkili kullanıcı hesabı ve bu kritik hesaba sahip yöneticinin günlük işlemlerini gerçekleştirdiği yetkisiz kullanıcı hesabı. Kritik hesapların kullanımı için, en az aşağıdaki önlemlerin uygulanması gerekmektedir.

a) Yetkili hesap ile DC hariç hiçbir bilgisayarda oturum açılmamalıdır. Açılmış oturum varsa, bu oturumlar kapatılmalıdır. Gerekiyorsa etki alanındaki kritik kullanıcıların istemci makinelerde ve DMZ ağındaki bazı sunucular olmak üzere bu hesapların oturum açması gerekmeyen sunucularda oturum açamayacakları şekilde grup ilkeleri düzenlenmelidir. Etki alanında kritik olan gruplar yerine, yardım masası veya destek grupları gibi grupların bu sistemlerde oturum açıp, bakım yapabilmesine izin verilmelidir. İzin verilen bu kullanıcıların da yetkilerinin iyi sınırlandırılmış olması, sadece gerekli izinlerin verildiğinden emin olunması gerekir. Günümüzde sızma testlerinde açık bırakılmış oturumdaki parola bilgilerini RAM’den elde edebilen ve parolaları açık olarak sunan uygulamalar (WCE, Mimikatz gibi) kullanılmaktadır. Bu uygulamalar hakkında ayrıntılı bilgi için Bellekten Parolaların Elde Edilmesi - 1 ve Bellekten Parolaların Elde Edilmesi - 2 yazıları incelenebilir. Bu uygulamalardan korunmak için çeşitli yöntemler vardır. En önemli önlem ise kritik hesaplarla oturum açıldıktan sonra bilgisayarın yeniden başlatılmasıdır. Diğer güvenlik önlemleri için bakınız: Bellekten Parolaların Elde Edilmesi - 3 

b) Sızma testlerinde, ele geçirilen bilgisayarlar üzerinde kritik kullanıcı hesabı ile başlatılmış prosesler tespit edilerek, o proseslere atlandığı “araştırma” adımında görülmüştü. Bu sebeple etki alanında kritik olan hesaplar ile DC haricinde hiçbir bilgisayarda proses başlatılmamalıdır. Başlatılmış proses varsa, bu prosesler sonlandırılmalıdır. Proseslerin sonlandırılmasının yanında, bilgisayarın yeniden başlatılması tavsiye edilmektedir. 

c) Yetkili hesaplar ile etki alanı denetleyicisi (DC) üzerinde açılan oturumda sadece etki alanı yönetimi ile ilgili işlemler gerçekleştirilmelidir. Özel işlemler için yetkisiz olan hesap ve kritik olmayan bir bilgisayar kullanılmalıdır. 

d) Yetkili hesaplarla gerçekleştirilen kritik işlemler sırasında anlık olarak bilgilendirme sağlanabilmesi için alarmlar oluşturulmalıdır. Alarm oluşturulabilecek bazı durumlar aşağıdaki gibidir:

• Etki alanındaki kritik gruplara kullanıcı ekleme veya kritik gruplardan kullanıcı çıkarma işlemleri

• Etki alanındaki kritik gruplar veya kullanıcılar üzerinde gerçekleştirilen yetki değiştirme işlemleri

• Grup politikaları üzerinde gerçekleştirilen güncelleme, yetki devri, yetki değiştirme işlemleri

• Kritik grupların kapsam (scope) veya tipi (type) üzerindeki değişiklik işlemleri  

e) Yetkili ve yetkisiz kullanıcı hesaplarının adlarının (account name) birbiri ile benzer olmaması gerekmektedir. Böylece etki alanında yönetici konumda olan kişinin bilgisayarının tespiti kısmen de olsa zorlaşır, etki alanı yöneticisine ait bilgisayardan elde edilebilecek kritik bir takım bilgilerin elde edilmesi daha fazla zaman alır. 

f) Bir kullanıcı herhangi bir bilgisayarda ilk kez oturum açtığında bilgisayar üzerinde bazı bilgiler oluşturulmaktadır. Örneğin kayıt defteri (Registry Editor) değerlerinde bazı güncelleştirmeler gerçekleştirilmekte, Windows 7 işletim sisteminde C:\Users altında otomatik olarak bazı dosyalar oluşturulmaktadır. Sızma testleri ve etki alanı saldırılarındaki adımlardan biri olan "Araştırma" adımında otomatik olarak oluşturulan bu bilgiler aranmaktadır. Bu sebeple, kritik kullanıcıların (Domain Admins grubu kullanılmıyorsa Yardım Masası gibi grupların üyeleri kritik grup olarak görülebilir) kendi bilgisayarları haricinde oturum açtığı oturumlar kapatıldığında bu bilgilerin otomatik olarak silinmesi için grup ilkeleri ile betikler kullanılabilir. 

Etki Alanı Saldırılarından Korunma Yolları: Fiziksel Yapılandırma

Etki Alanı Saldırılarından Korunma Yolları: Fiziksel Yapılandırma

Etki alanına karşı yapılan saldırılar ve sızma testleri sırasında, fiziksel olarak erişim sağlanan bir bilgisayardan - SAM ve SYSTEM dosyalarına erişim sağlanarak - yerel kullanıcıların (özellikle yerel yöneticinin) kimlik bilgileri (kullanıcı adı ve parolası / parolasının özeti) alınmaktadır. Yerel yöneticilerin kimlik bilgilerinin saldırgan tarafından ele geçirilmesi çevrimiçi veya çevrimdışı yollarla gerçekleştirilebilir.  Bu tip saldırılar aşağıdaki gibi gerçekleştirilmektedir:

• Bilgisayar kapatılarak farklı bir işletim sistemi ile açılarak SAM ve SYSTEM dosyaları elde edilebilir. Ayrıntılı bilgi için bakınız: http://ertugrulbasaranoglu.blogspot.com/2012/12/ipucu-makineye-fiziksel-olarak-eriserek.html
• Yönetici haklarına sahip bir kullanıcı Cain&Abel aracını kullanarak, yerel kullanıcıların hesap bilgilerini elde edebilir. Ayrıntılı bilgi için bakınız: http://ertugrulbasaranoglu.blogspot.com/2013/08/ipucu-yerel-hesap-bilgilerinin.html
• Yönetici haklarına sahip bir kullanıcı - Cain&Abel gibi harici bir uygulama kullanmadan - “reg” aracını kullanarak, SAM ve SYSTEM dosyalarını elde edebilir. Ayrıntılı bilgi için bakınız: http://ertugrulbasaranoglu.blogspot.com/2013/07/ipucu-kayt-defterinden-sam-ve-system.html
• Etki alanı denetleyicisi (DC) üzerindeki yerel kullanıcıların hesap bilgilerini  elde etmek içinse NTDS.dit ve SYSTEM dosyaları elde edilebilir. Daha sonra da bu bilgilerle etki alanındaki tüm kullanıcıların parola özetleri elde edilebilir. Ayrıntılı bilgi için bakınız: http://ertugrulbasaranoglu.blogspot.com/2013/07/ipucu-etki-alanndaki-butun-kullanclarn.html

Samdump, Ophcrack, Cain & Abel gibi araçlar kullanılarak bu dosyalardan yerel kullanıcı hesap bilgileri elde edilebilir.
Bilgisayarların fiziksel yapılandırılması için, en az aşağıdaki ayarların uygulanması gerekmektedir.

• Kritik sistemlere fiziksel erişimler kısıtlanmalıdır. Bu amaçla fiziksel güvenliğe önem verilmelidir.
• Kayıt defterinden SAM ve SYSTEM dosyalarının elde edilememesi için veya Cain&Abel gibi uygulamalarla çevrim içi yollarla yerel kullanıcı hesap bilgilerinin alınamaması için mevcut kullanıcıların yönetici hakları ile oturum açmaması gerekmektedir. Yerel yönetici hakkına sahip kullanıcılardan bu hakların alınması veya süreli olarak verilmesi tavsiye edilmektedir.
• Bilgisayarın BIOS ayarı yapılandırılmasında parola koruması eklenmelidir. Bu parolalar oldukça karmaşık ve her bilgisayar için farklı olması tavsiye edilmektedir. Bilgisayarın pili çıkarıldığında BIOS şifresinin sıfırlanmaması için özel ve yeni donanımlar tercih edilmelidir.

• Bilgisayarın BIOS ayarı kontrol edilmeli ve öncelikle hard diskten başlatıldığından emin olunmalıdır.
• USB veya CD-ROM / DVD-ROM gibi aygıtların kurum politikasına uygun olarak kullanılması ve gerek duyulmuyorsa, bu aygıtların devre dışı bırakılması veya donanımsal olarak bulundurulmaması tavsiye edilmektedir.
• BIOS ayarı uygun şekilde yapılandırılmış olsa bile harici donanımlar kullanılarak harddisk içerisindeki bilgiler okunabilmektedir. Böylece BIOS ayarı yapılmış olsa bile, bilgisayardaki verilere (SAM ve SYSTEM dosyalarına) erişilebilmektedir. Bilgisayarlar çevrim dışı olarak açıldığında içerisindeki verilere erişilememesi için, Bitlocker / Truecrypt gibi çözümler kullanılarak (tam) disk şifreleme gerçekleştirilmelidir. Böylece,  kullanılan uygulamanın bir zafiyeti bulunmadığı takdirde, disk içerisindeki veriler elde edilemeyecektir. Disk şifreleme işleminde her bilgisayar için farklı bir parolanın / özel anahtarın kullanılması saldırı yüzeyini daraltacaktır.
• Yerel kullanıcıların bilgilerine erişilebilse bile, parolanın açık halinin elde edilmesinin zorlaştırılması için hem LM özetlerinin kaydedilmemesi hem de parola oldukça karmaşık olarak belirlenmesi gerekmektedir. LM özetinin zayıflıkları konusu ile ilgili bir yazı Bilgi Güvenliği Kapısı'nda yayınlanmıştır: https://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/lanman-sifre-ozetinin-zayifliklari.html. Ancak Windows işletim sistemindeki kimlik doğrulama mekanizmalarındaki zayıflıktan dolayı parolaların açık hali elde edilmeden de, parola özetleri kullanılarak diğer bilgisayarlara yayılma gerçekleşebilir (Pass The Hash). Bu sebeple, BIOS yapılandırılması ve özellikle disk şifreleme gerçekleştirilerek, SAM ve SYSTEM dosyasına erişilememesi sağlanmalıdır.

İpucu: Hedef Makineden Sistem ve Domain Hakkında Bilgi Edinme

Hedef Makineden Sistem ve Domain Hakkında Bilgi Edinme

Amaç

• Etki alanı ve son kullanıcıları bilgisayarları sızma testlerindeki hedef; domain admin kullanıcısının şifresini/biletini elde etmek ve/veya domain controller makinesine yetkili kullanıcı ile erişebilmektir. Bu hedefe ulaşmak için domain hakkında bilgi sahibi olunacaktır.
• "Domain Admins" kullanıcı grubunda bulunan domain yöneticilerine ait hesap adları bulunacaktır.
• "Domain Controllers" makine grubunda bulunan makineler tespit edilecektir.
• Paylaşımları belirlenecektir. Bu bilgi ileriki adımlarda, hedef makinelere aktarım yapıp, o makinelerde program çalıştırmak için kullanılacaktır.

Yöntem
Sızılan bir makineden olabildiğince fazla bilgi edinilmeye çalışılır. Bu bilgiler makineye özel olabildiği gibi, makine domainde ise domain hakkında da olabilir. Bu bilgilerden bazıları aşağıdaki gibidir:

• Makinede oturum açan kullanıcının aktiflik süresi:

idletime

Makinede oturum açan kullanıcının aktiflik süresinin bulunması

• Hedef makinede çalışan prosesler:

ps

Çalışan proseslerin listelenmesi - 1

• İkinci seçenek:

tasklist

Çalışan proseslerin listelenmesi - 2

• Hedef makinedeki yerel kullanıcılar:

net user

Yerel kullanıcılarının listelenmesi

• Hedef makinedeki yerel yöneticiler:

net localgroup administrators

Yerel yönetici grubu üyelerinin listelenmesi

• Hedef makinedeki paylaşımlar:

net share

Makinedeki paylaşımların listelenmesi

• Hedef makinenin bağlı olduğu domaindeki kullanıcılar:

net user /domain

Domain kullanıcılarının listelenmesi

• Hedef makinenin bağlı olduğu domaindeki gruplar:

net groups /domain

Domain gruplarının listelenmesi

• Domain Admins grubunun üyeleri:

net group “Domain Admins” /domain

Domain yöneticilerinin listelenmesi

• Hedef makinenin bağlı olduğu domainde bulunan makineler:

net group “Domain Computers” /domain

Domaindeki makinelerinin listelenmesi

• Domain Controller makineleri::

net group “Domain Controllers” /domain

Domaindeki Controller makinelerinin listelenmesi

• Hedef makinenin bağlı olduğu ağdaki paylaştırılmış kaynaklar:

net view

Ağdaki paylaştırılmış kaynakların listelenmesi

"net" komutu ile yukarıda belirtilen bilgilerin haricinde daha bir çok bilgi edinilebilir. Bu komut yerine DC üzerinde hesap, grup sorgulaması yapan ve arayüze sahip "Active Directory Explorer" uygulaması da kullanılabilir. Bu araç aşağıdaki adresten indirilebilir:

http://technet.microsoft.com/en-us/sysinternals/bb963907.aspx

Not: Domainden elde edilebilecek bilgilerle ilgili aşağıdaki sayfa incelenebilir:

http://ertugrulbasaranoglu.blogspot.com.tr/2012/10/domainden-elde-edilebilecek-baz-onemli.html

Önlem

• Domain makinelerinde "net" komutunun kullanılması engellenmelidir.
• Domain yöneticileri gibi yetkili kullanıcıların bulundukları grupların adları, dikkat çekmeyecek şekilde değiştirilmelidir.
• Açılan paylaşımlardaki izinler sadece erişmesi gerekenlerin ulaşabilmesine olanak verecek şekilde ayarlanmalıdır. Yönetimsel paylaşımlar eğer kullanımları gerekmiyor ise domain politikaları ile kaldırılmalıdır.