Active Directory Hücumları
Müəllif : Tərlan Həsənli
Last updated
Müəllif : Tərlan Həsənli
Last updated
Active Directory (AD) Windows domen şəbəkələri üçün Microsoft tərəfindən hazırlanmış servisdir . Əvvəllər sadəcə merkezlesmis domen idaresi ücün istifde olunurdu. Active Directory-dən istifadə etməyən şirkət və ya quruma nadir hallarda rast gəlinir. Active directory bir quruluşda birçox kompüter və yə cihaz oldugu zaman idare etməni asanlaşdırır. Şəbəkədəki bütün istifadəçilərin nizamlanması tənzimlənməsiş, şifrələrin dəyiştirilməsi ve s. Kimi bir çox üstünlükləri var. Lakin bu hər nə qədər rahatçiliq təmin etsədə hackerlər tərəfindən sui istifadə oluna bilər.
Hər bir sahede oldugu kimi şəbəkə təhlükəsizliyidə çox önəmlidi. Active Directory-də Domain Admin və ya bərabər səlahiyyətə malik birisi bütün domen üzərində nəzarətə malikdir. Bu o deməkdir ki ,admin istifadecisi ele kecirilse bütün şəbəkə təhlükə altindadir. Hacker domende olan bütün istifadəci məlumatlarını ogurlaya , cihazlara virus yoluxdura bilər.
Lateral Movement hackerlerin şəbəkədəki yüksək səlahiyyətli hesablara giriş əldə etmək üçün aşağı səlahiyetli hesablardan istifadə etməsidir. Şəbəkədəki hesablarda, qruplarda və komputerlerde saxlanılan sifreleri paylaşan icazəsiz hesabları və komputerleri müəyyən etmək və sonradan onlara giriş əldə etmək üçün hackerler tərəfindən istifadə edilən usuldur. hacker müxtəlif əməliyyat(linux ve s.) sistemlərində mövcud olan alətlər və ya öz alətləri ilə bu üsullardan istifadə edərək uzaq sistemlərə giriş və icazə əldə edə bilər. Yeni lateral movement sebekedeki cihazlara erisim saglamaqdir. Lateral movement hücumunu həyata keçirmək üçün çoxlu alətlərdən istifadə edilə bilər. Windows maşınlarına daxil olan hesabların məlumatlari LSA prosessinde saxlanir. İlk girişdən kompüter bağlanana qədər davam edir. Bu müddət ərzinde kompüterə daxil olan hesabların məlumatlari saxlanılır. Bu melumatlara NTLM heşləri daxildir. NLTM autentication ve authorizon ucun istifade olunan protokoldur. daha aydin desek microsoft tehlukesizlik protokollari paketidir. Komputerde istifadesi melumatlari SAM databazasinda saxlanilir. Lakin active directorydeki butun istifadeci melumatlari NTDS.dit databazasinda saxlanilir. Bu databasalar hackere lateral movement hucumu ucun lazim olan bazalardir.
Parollar serverlərdə və ya Domain Controller-də heç bir şifrələmə üsulu (salt) olmadan saxlandığı üçün parol heşini ələ keçirən hacker orijinal parol olmadan identifikasiya edə bilər. Pass-the-Hashi belə izah etmək olar.
Sistemə daxil ola bilən hər bir istifadəçinin lsass.exe-yə(LSA prosesinin çalıştığı servis) daxil olmaq icazəsi yoxdur. Buna görə də sistemdəki hashləri əldə edə bilmir. Sistemdə yüksək səlahiyyətlərə malik olan hacker ya sistemə daxil olmaqla, ya da uzaqdan əmr icra etməklə parol heşlərini əldə edə bilər.
Əgər hacker istəsə, bu hashleri crackmapexec tool-u ile brute force edərək plain text halına gətirə bilər.
İstifadəçi məlumatları ilə aşağıda görsəndiyi kimi evil-winrm tool-u istifadə edərək uzaqdan komanda icra etmek mümkündür.
Server üzərində administrator hesabı ilə daxil olan bir ssenaridə hacker müvafiq maşından parol heşlərini əldə edərək və Active Directory strukturunda əldə etdiyi istifadəçi adları və heşlərdən istifadə edərək hücum metodunu növbəti səviyyəyə daşıya bilər. Domen daxilində əldə edilən hashlərdən istifadə edərək, hacker lateral movement edə bilər. Əgər əldə etdiyi parol heşlərindən biri Domain Admins səlahiyyətinə malikdirsə, hacker bütün struktur üzərində nəzarəti ələ keçirə bilər. Əldə edilən parol heşləri ilə brute force hücumu həyata keçirərək hansı istifadəçi və ya istifadəçilərə aid olduğu öyrənilə bilər. aşağıda hacker əldə etdiyi NTLM heşi ilə etdiyi brute force hücumunu göstərir.serverdə admin user olan hacker serverdə ki parol heşlərini aşağıdakı yollarla əldə edə bilər
:SAM databazası ilə
(lsass.exe)
Active Directory üzərində NTDS.dit databazasi ilə
Burada hacker admin istifadəçisini ələ keçirdikdən sonra ntds.dit databazasini istifadə edərək bütün istifadəçi heshlerinə bruteforce edir.
Bu atak növündə hacker lateral movement-i Kerberos ilə edir. Kerberos şebeke identifikasiya protokoludur. Məsələn John userinin Kerberos bileti hackerdə varsa şifrəyə ehtiyac olmadan domainden hesh ilə Kerberos bileti tələb edə bilər və bu protokol ilə istifadəçi hesabına daxil ola bilər.
Bunun üçün rubeus tooldan istifade etmək olar.
Bileti tələb etdikdən sonra yenə rubeus ilə bilet import olunur ve domain controller-a erişim saglanir.