AD içerisinde kaynaklar, kullanıcılar, bilgisayarlar, isimler, lokasyonlar, ağ yönetimleri gibi sistem organizasyonu için gerekli tüm bilgileri saklayan bir dizindir. AD ile şirket ağ kaynaklarının dağıtımı ve kaynakların yönetimi için gerekli platformlar sağlanabilir. Dizin hizmeti sayesinde kaynaklar tek merkezden kontrol edilebilir ve ağ yönetimi merkezileştirilerek tek elden sağlanabilir. Kaynakların isimlendirilmesi, güvenli bir şekilde yönetilmesini sağlamak amacı ile kullanılan dizin hizmeti, altyapısında şirkete büyük ölçüde işlevsellik kazandırmaktadır. AD’nin en önemli özelliklerinden biri sistem yöneticilerinin yetkilendirilmiş tüm bilgisayarlarda desktop özelliklerini, ağ servislerini ve kullanıcı uygulamalarını tek merkezden yönetebilmeyi sağlamasıdır. AD’nin ağdaki kullanıcılar, gruplar, bilgisayarlar, yazıcılar ve isimlerin birer çıktısı olduğu söylenebilir.
AD ilk olarak Windows Server 2000 ile hayatımıza girmiş ve sistem çıktıları hızla yenilenerek günümüze kadar gelmiştir. Servis “Domain Controller” olarak adlandırılan sunucular üstünde tutulmaktadır. Bir Active Directory sunucusu üzerinde Schema Master, Domain Naming Master, PDC Emulator, RID Master, İnfrastructure Master olmak üzere 5 rol bulunur. Özetle ve en basit hali ile, AD olduğunda size verilen bilgisayar üzerinden sisteme giriş yapılabilir, kurum e-postanız kullanılabilir, bu vesile ile ağa katılabilirsiniz. AD saldırıları genel olarak iç testlerde tespit edilmektedir.
Saldırıların DC üzerinden yapıldığını daha önce belirtmiştik, peki şirket ağındaki DC kimdir?
Gerçek adı ile Domain Controller. Yani AD’nin erişim ve yetki rolü verdiği sisteme DC denilmektedir. Personellere bilgisayar oluşturan ve kullanıcı atayan, hangi servislere erişip hangi servislere erişemeyeceğine dair tüm yetkiler bu rol ile belirlenmektedir. Firmanın tüm ağ sistem yönetimi DC üstünden yapılmaktadır.
Sisteme Yönelik Saldırı Nasıl Gerçekleştirilmektedir?
Sistemlere yönelik ağ saldırıları ve tüm kontroller Directory tarafında gerçekleştirilmektedir. Binlerce sunucusu olan bir şirkete karşı siber saldırı yapmak isteyen bir kişi, ilk olarak şirketin Domain Controller rolünü hedef almaktadır. DC kontrolü sağlandığı zaman şirketin neredeyse tüm ağ yönetimi ele geçirilmekte ve tüm kilitli kapıları açmaktadır. Siber saldırıların başarıya ulaşması için ilk olarak DC kontrolü olan bir yetkiliye saldırmak veya yetkili üç gruptan birine saldırmaya ilişkin adımlar izlenmektedir. Sistem üzerinde tek bir domain controller var ise kullanıcının ele geçirilmesi ile sonuç alınmaktadır. Örneğin birden fazla şubesi bulunan bir şirketin İzmir şubesindeki DC rolünün tespit edilmesi, kişiyi Ankara’nın DC rolüne bağlamamaktadır. Ancak “Enterprise” Controller’a ulaşılması diğer şubelerdeki şube sistemlerine erişilebilmesi sonucunu verecektir. AD sistem işleyişinde Domain Admin kullanımı aracılığıyla ile sisteme erişim çoğunlukla mümkün kılınmaktadır.
Bu şekilde baktığımızda;
Domain Admin<Enterprise Admin<Schema Admin sıralamasının yapılması mümkün olabilmektedir.
Schema admin Enterprise Admin’den ve Domain Admin’den çok daha yetkilidir.
1-Schema adminin ele geçirilmesi aşamasından sonra Schema Admin’e bir admin daha eklenmektedir.
2-İkincil olarak Domain Admin’in yaratılması ve sistem anahtarlarının değiştirilmesi şeklinde de yol izlenebilmektedir. Uygulamada AD saldırıları kabaca ve özetle bu yollar ile gerçekleştirilmektedir.
Peki bu saldırıların tespit edilmesi ve/veya önlenmesi amacı ile sistem açıklarına ilişkin değerlendirmeleri hangi takip etmektedir?
Sızma testinin dört aşamadan oluştuğunu söyleyebiliriz. Bir sistemin zaafiyetini bulabilmemiz için öncelikle o sistemi tanımanız gerekmektedir. Örneğin incelenen IP aralığında hangi sistemlerin bulunduğunun tespit edilmesi gerekmektedir. Hangi cihazların ağlarda bulunduğunu ve açık olan portların sızma testi ve sistem araştırmalarının yapılabilmesi ancak bu yolla mümkün olacaktır. Sisteme sızılabilmesi için bir zafiyete ihtiyaç duyulmaktadır. Çalışanların local admin parolalarını zayıf şekilde oluşturmaları en çok karşılaşılan problemdir. Parolasını güçlü karakterler ile oluşturmamış local kullanıcı üzerinden bilgisayar sistemlerine sızılmaktadır. Local kullanıcıların parolalarının kırılması ve sisteme erişimin sağlanması için kali makinesindeki “brute force” ataklar kullanılmaktadır. Brute force üzerinden kalıplaşmış wordlistler taratılarak zafiyet aranmaktadır. Brute force kullanımı ile local kullanıcıya ait şifre kali makinesi vasıtası ile elde edilmektedir. Birden fazla yol gözlemlenmek ile birlikte, RDP ile direk kullanıcı bilgileri kullanılarak sistem istismar edilebilmektedir. Diğer kullanılan yöntem ise; “meterpreter” ile kali üzerinden direk server’a bağlanarak sistemin istismar edilmesidir. Domain admin hangi sunuculara bağlı ise sisteme erişmeye çalışan kişi de o sonuculara bağlanabilmektedir.
Windows’ta local sistemden bağlama ve belirlenen parola ile domain controller’da doğrulama yöntemi ile bağlama olmak üzere iki farklı oturum açma yöntemi bulunmaktadır. Bilgisayar sistemleri kullanıcı adı ve parola bilgisayarın LSA sistemine gönderilmektedir. Sistemleri doğrulayacak sistem LSA olduğundan, domain girişi yapıldığında DC’nin veri tabanında parolanın hashine ilişkin sorgulama yapılır. Bu suretle sisteme giriş yapılmış olur. Siber saldırıların gerçekleştiği ve sistemin istismar edildiği esas kısım LSA sistemidir. LSA’deki DMP verilerini açıp buradaki görüntülerin elde edilmesi ile tüm parolalara erişim sağlanabilmektedir. LSA DMP’deki görüntülerin MIMIKATZ’de açılması ile sistemden hash değerleri elde edilmektedir. Ancak MSSQL’e erişim için “ticket” sağlanması ve bu “ticket” aşamasına gelmiş bir saldırganın bu aşamada tespit edilmesi çok büyük bir önem arz etmemektedir. “Ticket” gönderme aşamasına gelmiş bir saldırgan neredeyse tüm AD sistemine erişim sağlayabilmekte ve sistemlerdeki kontrolleri ele geçirmiş sayılmaktadır.