Tartışılacak hiç bir tarafı olmadan söylemek istediğim bir şey var ki oda Active Directory’nin işletmelerin BT altyapılarının önemli bir parçasını oluşturduğu. Diğer çeşitli görevlerinin yanı sıra etki alanı içindeki ağ kaynaklarına erişimi ve izinleri genel itibari ile Active Directory’den yönetiliyor.
Bu nedenle, Active Directory siem’e eklenen ilk belkide en önemli log kaynaklarından biri oluyor. Burada, active directory günlüklerinde aramanız gereken önemli birkaç event id ile ilgili bilgileri paylaşacağım. Burada yazının devamında Active Directory’den DC olarak bahsedeceğim.
Eğer active directory’nin nasıl çalıştığından emin değilseniz size güzel bir makale paylaşayım. Techtarget makalesi için tıklayın.
Failed Login Varyasyonları(Event id: 4626)
AD sunucularından alacağınız en yaygın günlük başarılı ya da başarısız logins logları olacaktır. Burada elbette en yaygını da “brute-force” olarak gerçekleştirilen erişim-kimlik doğrulama denemeleridir. Burada başarısız oturumlara bakabileceğimiz birkaç yol var.
1-Failed Login for user.
Event ID = 4625
Aynı kullanıcı adıyla X dakika içinde X başarısız oturum açma sayısı.
Burada oturum açma sayısını ve adetini belirtmiyorum, bunun sebebi öncelikle bu sizin kendi iç perhizinize bağlıdır yani risk algısı ile ilgilidir. Tabi bu arada şunu da yapmamak gerekir, şirket ad politikasında zaten kurumunuz 6 parola denemesinden sonra hesaba erişimi 5 dk kapatıyorsa, politikanızı oturum açma girişimi sayısını kritik sunucularda bunun altında bir değer olarak tanılamak makul olur.
2-Password Spraying
Bu konuda OWASP ‘dan Password Spraying Attack ile ilgili bir referans yazı paylaşayım önce.
Event ID = 4625
Same Source
2 or more usernames within X minutes
Bu durum özetle bir saldırganın aynı kaynak üzerinden kısa bir süre içinde birçok hesabın ayrıntılarını denemesi eylemidir.
Bu tür bir vaka üzerinde tespit sağlarken baştan söyleyelim, citrix gibi vdi hizemeti sağalyan sunuculara ve paylaşılan iş istasyonları gibi ortamlara istisnalar tanımlamak gerekebilir.
3-Disable Account Usage Attemped
Event ID = 4625
Sub Status Code is 0xC0000072
Devre dışı bırakılmış hesapların kullanılmaya çalışılması, bir kötü niyetli davranışı olabilir. Daha büyük olasılıkla eski çalışanların giriş yapmaya çalıştığını gösterir. Devre dışı bırakılmış hesapların giriş yapma girişimleri her koşul için araştırılması gereken bir başlıktır.
4- Expired Account Usage Attemped
Event ID = 4625
Sub Status Code is 0xC0000193
3 de olduğu gibi, saldırgan veya eski bir çalışan süresi dolmuş hesaplara erişmeye çalışabilir.
Şüpheli successful logins(4624)
Zararlı faaliyeyler göstermek için bazı şüpheli login eylemleri mevcuttur.
1- Non Allowed Accounts
İşletmelerde doğrudan oturum açmasını istemediğiniz hesaplar genelde yaygın olarak servis hesabı olarak oluşturulur.
Event ID = 4624
Logon tipi 2 yada 10 olabilir.
Kullanıcı ^SVC.* yada .*\$$ gibi bir ifade ile eşleşir.
2- Logons Directly To Domain Controller
Eğer saldırgan direk olarak domain controller’a bağlanabiliyorsa gerçekten çok fazla kapıyı açabilecek bir anahtara sahip olmuş olur. Bunu takip etmek için şu yolu izleyin.
Event ID = 4624
Logon Type : 2 or 10
Logon target: DC
Kullanıcı bir DC Admini değilse
3– Pass The Hash
Saldırganlar ağ içinde gezerlerken pass-the-hash yöntemi ile ağ üzerinde gezebilirler, Parola yerine diğer kullanıcıların NTLM veya LanMan hash lerini kullanmaları oturum açmalarına olanak tanır.
Event ID = 4624
Logon tipi: 3
Logon Process: NtLmSsp
SubjectUserSID : S-1-0-0
KeyLength : 0
Yada overpass olarak adlandırılan diğer varyant
Event ID = 4624
Logon Type is 9
Logon Process : seclogo
Kısa sürede bir account oluşturuldu ve silindi
Tespiti ve adli incelemeyi önlemek için saldırganlar bazen bir kullanıcı hesabı oluşturur, kötü niyetli eylemlerini gerçekleştiri ve o ardından hesabı siler. Bu olayları takip eetmek ve daha fazla araştırmaya dahil edebilmek için incelemek gereklidir.
Event ID 4726 (User Account Deleted)
24 saat içinde;
Event ID 4720 (User Account Created)
aynı kullanıcı adıyla hesap oluşturuldu.
Şüpheli AD senkronizasyonları
Çoğu saldırı sırasında tehdit ger.ekleştirenler, DC’lerden kullanıcı bilgilerini sıralayarak almaya çalışır. Bunu aramanın birkaç farklı yolu mevcuttur.
1-MIMIKATZ DC Sync
Bu konuda şanslıyızki, eğer biri DC senkronizasyonu için Mimikatz kullanırsa tipik bir davranışa sahip eylemi gerçekleştirmek durumundadır.
Event ID = 4662 (An operation was performed on an object)
Properties = Replicating Directory Changes All* OR 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2*
Hesap NT Authortiy yada eşleşen bu ifade olmadığında .*\$$
| Control access right symbol | Identifying GUID used in ACE |
|---|---|
| DS-Replication-Get-Changes | 1131f6aa-9c07-11d1-f79f-00c04fc2dcd2 |
| DS-Replication-Get-Changes-All | 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2 |
| DS-Replication-Get-Changes-In-Filtered-Set | 89e95b76-444d-4c62-991a-0facbeda640c |
2- Ad Replication from Non Machine Account
Event ID = 4662
AccessMask : 0x100
Properties şunu içeriyorsa: ‘1131f6aa-9c07-11d1-f79f-00c04fc2dcd2 OR ‘1131f6ad-9c07-11d1-f79f-00c04fc2dcd2’ OR ’89e95b76-444d-4c62-991a-0facbeda640c
3- Yeni bir SPN ile ad senkronizasyonu
Event ID = 4742 (A computer account was changed)
Service Principal Name matches expression GC/
4- Standart kullanıcı tarafından dcsync başlatılması
Event ID = 5136 (A directory service object was modified)
LDAPDisplayName is ntSecurityDescriptor
Properties contains is 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2 OR 1131f6aa-9c07-11d1-f79f-00c04fc2dcd2 OR 89e95b76-444d-4c62-991a-0facbeda640c
https://threathunterplaybook.com/notebooks/windows/05_defense_evasion/WIN-190101151110.html
Yüksek sayıda hesap kilitlenmesi
Yüksek sayıda hesabın kilitlenmesi bir ağa brute force bir denemenin olduğunu gösterir
Event ID = 4740
Same Source
10 Events within 3 hours (İşinize uyacak şekilde eşikleri değiştirmeniz gerekebilir)
Yeni oluşturulmuş / değiştirilmiş / yada kaldıırlmış domain.
Değiştirilmekte olan, değiştirilmiş olan ve ekleniş olan etki alanı bilgileri kontrol edilmeli ve eylem gerçekleştiğinde uyarılmalıdır.
Event ID = 4706 OR 4707 OR 4716
Bu event’ler gerçekleştiğinde mutlaka kontrol edilmesi gerekir, çünkü zararlı davranışlar sergileyecek aktörler bunun gibi benzer davranışları sergilerler.
Domain veya Kerberos politikası değişikliği
Bu eventler oluştuğunda yine uyarı üretilmelidir. Yukarıdaki benzer tehditlere işaret eder.
Event ID = 4713 or 4739
change is not – (this means no change)
DPAPI Anahtarı manipülasyonu
The DPAPI (Data Protection Application Programming Interface) anahtarı kullanıcı ayrıntılarını şifrelemek için kullanılır. Zararlı eylemde bulunacak aktörler daha fazla erişim elde etmek için DPAPI’ye saldırmaya çalışabilirler. Aşağıdakilerden herhangi biri tetiklendiyse acilen araştırılmalıdır.
1- Yedek anahtarın(backup key) açılmaya çalışılması
Event ID = 4662 (An operation was performed on an object)
Object Type = SecretObject
Access Mask is 0x2
Object Name is BCKUPKEY
Backup key’in yedeklenmesi
Event ID = 4692 (Veri koruma ana anahtarının yedeklenmesi denendi)