Məqalələr
  • Yeni başlayanlar üçün Kibertəhlükəsizlik üzrə Mükəmməl Bələdçi
  • Security in Cloud Computing | Bulud Hesablamada Təhlükəsizlik
  • XDR(Cross-layered Detection and Response) nədir?
  • Şəbəkəyə Giriş-#1 Bu Günlərdə Şəbəkə
  • eWPT İmtahanına Hazırlıq
  • eJPT İmtahanına Hazırlıq
  • Application Control nədir?
  • Linuxda Hadoop-un Quraşdırılması
  • eWPT Cheat Sheet
  • IDOR Açığı
  • HTTP - Status Codes
  • HTTP - URL Encoding
  • HTTP - Mesaj Nümunələri
  • HTTP - Ümumi Baxış
  • Kibertəhlükəsizlik üçün öyrənmək üçün 5 ən yaxşı proqramlaşdırma dili
  • Dark Web haqqında hər şey
  • DDoS hücumu
  • Botnet nədir?
  • Google Play-də 2 milyon yüklənməsi olan Android malware tətbiqləri aşkarlanıb
  • Kibertəhlükəsizlik üçün ən yaxşı YouTube kanalları
  • Server Side Template Injection(SSTI) nədir?
  • Command Injection
  • Kibertəhlükəsizliyi öyrənmək üçün ən yaxşı 10 səbəb
  • 2FA üçün Bug Bounty Checklist Siyahısı
  • Zero-day(0day) nədir?
  • Session və Cookie arasında fərq nədir?
  • Application Security Testing nədir ?
  • Phishing nədir?
  • Şəbəkədə statefull və stateless anlayışı
  • SQL injection nədir?
  • Active Directory: Terminologiyaya bələdçilik, Təsnifatlar & Əsaslar!
  • Active Directory Hücumları
  • Şəbəkə təhlükəsizliyində istifadə olunan cihazlar və praktiki tətbiqi
  • Şəbəkə Təhlükəsizliyi Və Şəbəkə Təhlükəsizliyində İstifadə Olunan Cihazlar
  • ƏN MƏŞHUR HACKER QRUPLARI VƏ HÜCUMLARI HAQQINDA
  • ƏN MƏŞHUR HACKER QRUPLARI VƏ HÜCUMLARI
  • Bug Bounty-ə başlamaq istəyənlər üçün detallı yol xəritəsi
  • Broken Access Control qarşısını necə almaq olar?
  • Command Injection Zəifliyi Nədir? Və bunun qarşısını necə almaq olar?
  • SQL Injection Attack Nümunəsi Və Qarşısının Alınması
  • Wireless attacks notes
Powered by GitBook
On this page
  • Active Directory Nədir?
  • Active directory təhlükəsizliyi
  • Active directory hücüm növləri
  • Lateral Movement
  • Pass-the-Hash
  • Overpass-the-Hash

Was this helpful?

Active Directory Hücumları

Müəllif : Tərlan Həsənli

PreviousActive Directory: Terminologiyaya bələdçilik, Təsnifatlar & Əsaslar!NextŞəbəkə təhlükəsizliyində istifadə olunan cihazlar və praktiki tətbiqi

Last updated 1 year ago

Was this helpful?

Active Directory Nədir?

Active Directory (AD) Windows domen şəbəkələri üçün Microsoft tərəfindən hazırlanmış servisdir . Əvvəllər sadəcə merkezlesmis domen idaresi ücün istifde olunurdu. Active Directory-dən istifadə etməyən şirkət və ya quruma nadir hallarda rast gəlinir. Active directory bir quruluşda birçox kompüter və yə cihaz oldugu zaman idare etməni asanlaşdırır. Şəbəkədəki bütün istifadəçilərin nizamlanması tənzimlənməsiş, şifrələrin dəyiştirilməsi ve s. Kimi bir çox üstünlükləri var. Lakin bu hər nə qədər rahatçiliq təmin etsədə hackerlər tərəfindən sui istifadə oluna bilər.

Active directory təhlükəsizliyi

Hər bir sahede oldugu kimi şəbəkə təhlükəsizliyidə çox önəmlidi. Active Directory-də Domain Admin və ya bərabər səlahiyyətə malik birisi bütün domen üzərində nəzarətə malikdir. Bu o deməkdir ki ,admin istifadecisi ele kecirilse bütün şəbəkə təhlükə altindadir. Hacker domende olan bütün istifadəci məlumatlarını ogurlaya , cihazlara virus yoluxdura bilər.

Active directory hücüm növləri

Lateral Movement

Lateral Movement hackerlerin şəbəkədəki yüksək səlahiyyətli hesablara giriş əldə etmək üçün aşağı səlahiyetli hesablardan istifadə etməsidir. Şəbəkədəki hesablarda, qruplarda və komputerlerde saxlanılan sifreleri paylaşan icazəsiz hesabları və komputerleri müəyyən etmək və sonradan onlara giriş əldə etmək üçün hackerler tərəfindən istifadə edilən usuldur. hacker müxtəlif əməliyyat(linux ve s.) sistemlərində mövcud olan alətlər və ya öz alətləri ilə bu üsullardan istifadə edərək uzaq sistemlərə giriş və icazə əldə edə bilər. Yeni lateral movement sebekedeki cihazlara erisim saglamaqdir. Lateral movement hücumunu həyata keçirmək üçün çoxlu alətlərdən istifadə edilə bilər. Windows maşınlarına daxil olan hesabların məlumatlari LSA prosessinde saxlanir. İlk girişdən kompüter bağlanana qədər davam edir. Bu müddət ərzinde kompüterə daxil olan hesabların məlumatlari saxlanılır. Bu melumatlara NTLM heşləri daxildir. NLTM autentication ve authorizon ucun istifade olunan protokoldur. daha aydin desek microsoft tehlukesizlik protokollari paketidir. Komputerde istifadesi melumatlari SAM databazasinda saxlanilir. Lakin active directorydeki butun istifadeci melumatlari NTDS.dit databazasinda saxlanilir. Bu databasalar hackere lateral movement hucumu ucun lazim olan bazalardir.

Pass-the-Hash

Parollar serverlərdə və ya Domain Controller-də heç bir şifrələmə üsulu (salt) olmadan saxlandığı üçün parol heşini ələ keçirən hacker orijinal parol olmadan identifikasiya edə bilər. Pass-the-Hashi belə izah etmək olar.

Sistemə daxil ola bilən hər bir istifadəçinin lsass.exe-yə(LSA prosesinin çalıştığı servis) daxil olmaq icazəsi yoxdur. Buna görə də sistemdəki hashləri əldə edə bilmir. Sistemdə yüksək səlahiyyətlərə malik olan hacker ya sistemə daxil olmaqla, ya da uzaqdan əmr icra etməklə parol heşlərini əldə edə bilər.

Əgər hacker istəsə, bu hashleri crackmapexec tool-u ile brute force edərək plain text halına gətirə bilər.

İstifadəçi məlumatları ilə aşağıda görsəndiyi kimi evil-winrm tool-u istifadə edərək uzaqdan komanda icra etmek mümkündür.

Server üzərində administrator hesabı ilə daxil olan bir ssenaridə hacker müvafiq maşından parol heşlərini əldə edərək və Active Directory strukturunda əldə etdiyi istifadəçi adları və heşlərdən istifadə edərək hücum metodunu növbəti səviyyəyə daşıya bilər. Domen daxilində əldə edilən hashlərdən istifadə edərək, hacker lateral movement edə bilər. Əgər əldə etdiyi parol heşlərindən biri Domain Admins səlahiyyətinə malikdirsə, hacker bütün struktur üzərində nəzarəti ələ keçirə bilər. Əldə edilən parol heşləri ilə brute force hücumu həyata keçirərək hansı istifadəçi və ya istifadəçilərə aid olduğu öyrənilə bilər. aşağıda hacker əldə etdiyi NTLM heşi ilə etdiyi brute force hücumunu göstərir.serverdə admin user olan hacker serverdə ki parol heşlərini aşağıdakı yollarla əldə edə bilər

:SAM databazası ilə

  • (lsass.exe)

  • Active Directory üzərində NTDS.dit databazasi ilə

Burada hacker admin istifadəçisini ələ keçirdikdən sonra ntds.dit databazasini istifadə edərək bütün istifadəçi heshlerinə bruteforce edir.

Overpass-the-Hash

Bu atak növündə hacker lateral movement-i Kerberos ilə edir. Kerberos şebeke identifikasiya protokoludur. Məsələn John userinin Kerberos bileti hackerdə varsa şifrəyə ehtiyac olmadan domainden hesh ilə Kerberos bileti tələb edə bilər və bu protokol ilə istifadəçi hesabına daxil ola bilər.

Bunun üçün rubeus tooldan istifade etmək olar.

Bileti tələb etdikdən sonra yenə rubeus ilə bilet import olunur ve domain controller-a erişim saglanir.

Active Directory