Etki Alanı Saldırılarına Karşı Temel Korunma Yöntemleri

Etki Alanı Saldırılarına Karşı Temel Korunma Yöntemleri

Günümüzde kurumlara yönelik gerçekleştirilen siber saldırılar artış göstermektedir. Bu durum, gerçekleşebilecek muhtemel saldırılara karşı, kurumların sızma testlerine verdiği önemi arttırmıştır. Bu amaçla kurum personeli tarafından ve dış kaynaklı firmalar tarafından sızma testleri gerçekleştirilmektedir. Özel sektörde veya kamu sektöründe gerçekleştirilen bu testler sonucunda sızma testi raporları hazırlanmakta ve bu raporlara göre sistemler sıkılaştırılmaktadır.

Önceki yazıda kurum ağındaki etki alanına gerçekleştirilebilecek saldırıların temel metodolojisinden bahsedilmişti. Ayrıca başka bir yazıda da konu ile ilgili örnek bir senaryo üzerinden videolu bir anlatım gerçekleştirilmişti.

Bu yazıda ise etki alanı sızma testlerine ve etki alanı saldırılarına karşı alınması gereken temel operasyonlardan bahsedilecektir. Bu operasyonlar, sızma testleri sonucunda raporlarda belirtilmektedir. Gerçekleştirilebilecek en temel operasyonlar aşağıdaki gibidir:

1) Etki Alanı Saldırılarından Korunma Yolları: Fiziksel Yapılandırma
http://ertugrulbasaranoglu.blogspot.com.tr/2013/08/etki-alan-saldrlarndan-korunma-yollar.html 

2) Etki Alanı Saldırılarından Korunma Yolları: Ağ Yapılandırması
http://ertugrulbasaranoglu.blogspot.com.tr/2013/08/etki-alan-saldrlarndan-korunma-yollar_16.html 

3) Etki Alanı Saldırılarından Korunma Yolları: Yama Yapılandırması
http://ertugrulbasaranoglu.blogspot.com.tr/2013/08/etki-alan-saldrlarndan-korunma-yollar_18.html 

4) Etki Alanı Saldırılarından Korunma Yolları: İmaj Yapılandırması
http://ertugrulbasaranoglu.blogspot.com.tr/2014/03/etki-alan-saldrlarndan-korunma-yollar.html 

5) Etki Alanı Saldırılarından Korunma Yolları: Kritik Hesapların Kullanımı
http://ertugrulbasaranoglu.blogspot.com.tr/2014/03/etki-alan-saldrlarndan-korunma-yollar_8.html 

6) Etki Alanı Saldırılarından Korunma Yolları: Diğer Güvenlik Önlemleri
http://ertugrulbasaranoglu.blogspot.com.tr/2014/03/etki-alan-saldrlarndan-korunma-yollar_2487.html

Kaynak:
https://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/etki-alani-saldirilarina-karsi-temel-korunma-yontemleri-1.html
https://www.bilgiguvenligi.gov.tr/siniflandirilmamis/etki-alani-saldirilarina-karsi-temel-korunma-yontemleri-2.html

Etki Alanı Sızma Testi İçin Eğitim Amaçlı Örnek Senaryo

Etki Alanı Sızma Testi İçin Örnek Senaryo

Önceki yazıda etki alanı sızma testinin nasıl gerçekleştirildiğine dair örnek bir metodoloji sunulmuştu. Bu yazıda EĞİTİM AMAÇLI örnek bir senaryo gerçekleştirilecektir.

Ortam Bilgisi

Hazırlanan senaryoda 6 bilgisayar kullanılmaktadır:

1) XP: Standalone bir bilgisayardır. C diskinde kritik bilgi (SAM/SYSTEM dosyaları) bulunacaktır.
2) W7: Etki alanına dahil olan istemci bilgisayardır.
3) W7-Test: Etki alanına dahil edilecek olan istemci bilgisayardır. Etki alanında "Domain Admins" grubuna üye olan kullanıcının standart hesabı ile oturum açılacaktır. Üzerinde antivirüs yüklüdür. Üzerinde yüklü olan Winscp içerisinde bir de UN/PW kayıtlı bulunmaktadır. Ayrıca DC bilgisayarına RDP ile bağlantı kurulmuştur.
4) DC: Etki alanı denetleyicisidir.
5) S_Kali: Saldırı amacıyla kullanılacak KALI bilgisayardır.
6) S_W7: Saldırı amacıyla kullanılacak W7 bilgisayardır. 

Senaryo Videosu

Senaryo ile ilgili video aşağıdaki gibidir:

Videoyu indirmek için tıklayınız.

Senaryo Adımları

Senaryo 7 adımdan oluşmaktadır:

1) XP bilgisayara sızılacak ve kritik bir bilgi (C:\SAM ve C:\SYSTEM) edinilecektir.
2) 1. adımda elde edilen kritik bilgi ile etki alanına dahil olan W7 bilgisayarına erişim sağlanacaktır. Bu bilgisayardan yerel kullanıcıların parola özetleri elde edilecektir.
3) 2. adımda elde edilen yerel kullanıcıların parola özetleri ile W7-Test bilgisayarına (AV'e yakalanmadan) sızılacaktır.
4) W7-Test bilgisayarındaki mevcut kullanıcı oturumuna erişim sağlanacak. Bu bilgisayarda DC makineye yapılan RDP'ye fark edilecek. Oturum açan (Sizma\Cemil Ustun) ve Domain Admins grubundaki bir kullanıcının ("Sizma\Cemil.ustun2") parolası elde edilecek.
5) W7-Test bilgisayarına "Sizma\Cemil Ustun" adlı kullanıcı haklarıyla RDP yapılacaktır. W7-Test bilgisayarındaki AV devre dışı bırakılacaktır.
6) W7-Test bilgisayarına MSF psexec ile bağlanılacak ve Winscp ile kayıtlı bağlantı bilgileri elde edilecektir.
7) Etki alanındaki kullanıcıların parola özetleri elde edilecektir.

Senaryo Adımlarına Yönelik Resimler:

0) Ağ Keşfi ve Zafiyet Taramasi 

1) Zafiyetin Sömürülmesi: MS08-067

1-2 Geçişi) SMB Oturum Sorgulaması

2) W7 Bilgisayarına PTH ile Erişim

3) WCE ile PTH & RDP Etkinleştirme

4) Parola Çalma & Domain Admin Olma

5) AV Kapatma

6) WinSCP’de Kayıtlı Parolalarını Elde Etme

7) Domain Hesaplarının Parola Özetleri

Etki Alanı ve Son Kullanıcıları Sızma Testi Metodolojisi

Etki Alanı ve Son Kullanıcıları Sızma Testi Metodolojisi

Microsoft domainin kullanıldığı sistemlerde yerel yönetici hesaplarına çok fazla ihtiyaç olmamakla birlikte, gerek sistem destek elemanları tarafından olsun, gerekse yerel yönetici haklarına ihtiyaç duyan yazılım geliştiriciler veya benzeri kullanıcılar tarafından olsun, bu hesaplar hâlâ kullanılabilmektir. Yerel yönetici hesapları ile çalışan bir kullanıcının hakları ile bir makineye sızıldığı takdirde, bu makinede normal kullanıcılar tarafından mümkün olmayan birçok saldırı gerçekleştirilebilmektedir. Örneğin; makinedeki şifre özetlerinin alınabilir veya o makinede oturumu halen aktif olan hesapların hakları kullanılabilir. Bu sebeple bir bilgisayarda yerel yönetici haklarının ele geçirilmesi sızma testi için oldukça önemlidir.

Kurumlarda yönetim kolaylığı için veya varsayılan ayar olarak kaldığı için birçok yerel yönetici hesabının ismi ve şifresi diğer birçok kullanıcı bilgisayarında da aynı olabilmektedir. Sonuç olarak bir makineden ele geçirilen yerel yönetici şifre özetleri, aynı şifreyi kullanan diğer bütün makineleri ele geçirmek amacıyla kullanılabilmektedir. Bu sebeple aynı parola özetlerinin kullanılması sızma testi için oldukça önemlidir.

Etki alanı ve son kullanıcıları bilgisayarları sızma testlerindeki hedef - aynı şifreyi kullanan diğer bütün bilgisayarları ele geçirmekten ziyade - domain admin kullanıcısının şifresini/biletini elde etmek ve/veya domain controller makinesine yetkili kullanıcı ile erişebilmektir. Domain yöneticisi hesapları, domaine dâhil makinelerde yüksek yetkilere sahip olmalarından dolayı kritik hesaplardır. Herhangi bir şekilde ele geçirilen bir domain yöneticisi hesabının sahip olduğu hakları kullanılarak domaine dâhil bütün sunuculara ve kullanıcı makinelerine erişilebilir. Bu erişim sonucunda bütün domain kullanıcılarının parolaları veya parola özetleri alınabileceği gibi,  ele geçirilen makinelerde; kritik bilgi içeren dosyaların incelenmesi, iletişim hattının kaydedilmesi, “key logger” çalıştırma gibi saldırılar da mümkündür. Bu saldırıların sonucunda daha kritik olan gizli bilgilere erişilebilmesi an meselesidir.

Etki alanı ve son kullanıcıları sızma testinin metodolojisi temel olarak aşağıdaki gibidir:

Etki alanı ve son kullanıcıları bilgisayarları sızma testi için akış şeması

Akış şemasının özetle şu şekildedir:

0-1-2-3) Bir makinedeki açıklıktan faydalanarak, o makinenin yerel yöneticiye ait hesap bilgileri ele geçirilir. Bu hesap bilgileri kullanıcı adı ve o kullanıcıya ait şifre ve/veya şifrenin özetidir.
4-7-8) Bu makineden domain hakkında bilgi edinilir. Bu makinedeki yerel kullanıcının hesap bilgileri ile domaindeki diğer makinelere sızılır.
5-6) Sızılan makinelerde domain yöneticisi veya domain üzerinde yetkili kullanıcıya ait şifre, şifre özeti veya bilet aranır.

Bu adımların nasıl gerçekleştirildiği hakkında ayrıntılı bilgi aşağıdaki sayfalar izlenerek edinilebilir:

0 - Makineye Fiziksel Olarak Erişerek CD/USB'den Boot Edilmesi

http://ertugrulbasaranoglu.blogspot.com.tr/2012/12/ipucu-makineye-fiziksel-olarak-eriserek.html

1 - Zafiyet Taramasının Gerçekleştirilmesi

http://ertugrulbasaranoglu.blogspot.com.tr/2012/12/ipucu-zafiyet-taramasnn.html 

2 - Zafiyetin Kullanılarak Bir Bilgisayara Sızılması

http://ertugrulbasaranoglu.blogspot.com.tr/2013/08/ipucu-zafiyetin-kullanlarak-bir.html 

3 - Yerel Yöneticilere Ait Şifre Özetlerinin Ele Geçirilmesi

http://ertugrulbasaranoglu.blogspot.com.tr/2013/09/ipucu-yerel-yoneticilere-ait-sifre.html 

4 - Hedef Makineden Sistem ve Domain Hakkında Bilgi Edinme

http://ertugrulbasaranoglu.blogspot.com.tr/2012/12/ipucu-ms08-067-zafiyetinin-kullanlmas.html

7 - smb_login Modülü ile Yayılabilecek Makinelerin Belirlenmesi

http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-smblogin-modulu-ile-yaylabilecek.html

8 - psexec Modülü ile Yeni Makinelerde Oturumun Açması

http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-psexec-modulu-ile-yeni.html

5 - Yüksek Yetkili Kullanıcı Haklarının İncelenmesi

http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-yuksek-yetkili-kullanc-haklarnn.html

6 - Domainde Yetkili Kullanıcının Haklarına ve Şifresine Sahip Olma

http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-domainde-yetkili-kullancnn.html

Her bir sayfada gerçekleştirilen adımın amacı, yöntemi ve bu saldırı adımından korunulması için gerçekleştirilmesi gerekilen önlemler belirtilmiştir.Etki alanı ve son kullanıcılarına karşı gerçekleştirilen saldırılardan ve sızma testinden korunmak için alınması gerekilen önlemler için bakınız.

Etki alanı sızma testi ile ilgili örnek bir senaryo için tıklayınız.

Logon Authentication Bypass Senaryoları

Logon Authentication Bypass Senaryoları

Yapışkan Tuşlar ile Komut Satırına Geçme
Kaynak site:
http://ertugrulbasaranoglu.blogspot.com/2012/10/ipucu-kapal-oturumda-yapskan-tuslar-ile.html

Bypass Windows Logons with the Utilman.exe Trick
Kaynak site:
http://www.technibble.com/bypass-windows-logons-utilman/
http://www.youtube.com/watch?feature=endscreen&v=di3BIqq40bE&NR=1
http://siberblog.org/index.php/active-directory-administrator-password-reset/
http://siberblog.org/index.php/how-to-remove-ease-of-access-accessibility-button-from-windows-7-login-screenst/

Winlockpwn: More then a Partytrick
Kaynak site:
http://www.spylogic.net/2008/05/winlockpwn-more-then-a-partytrick/
http://www.youtube.com/watch?v=jbOioD8LU5Y

Inception
Kaynak site:
http://www.breaknenter.org/projects/inception/