Active Directory (AD) Güvenliği / Saldırılar & Tespit Yöntemleri

Active Directory (AD) Güvenliği: APT Tehditleri, Saldırı Teknikleri ve Log Analizi

1. Active Directory Nedir ve Neden Kritik Bir Hedef?

Active Directory (AD), Microsoft’un kurumsal ağlardaki kullanıcı hesaplarını, cihazları, uygulamaları ve güvenlik politikalarını merkezi olarak yöneten bir kimlik doğrulama ve yetkilendirme sistemidir. Kuruluşların %90’ından fazlası AD’yi kullanmaktadır ve bu durum AD’yi siber saldırganlar için birincil hedef haline getirmektedir.

Siber saldırganlar neden Active Directory’yi hedef alır?

• Kimlik Doğrulama Denetimi: AD, tüm kullanıcı hesaplarını yönettiği için, ele geçirilen bir hesap tüm ağa yayılmak için kullanılabilir.
• Yetki Yükseltme (Privilege Escalation): Domain Admin veya benzeri yetkilere sahip hesaplara erişmek, saldırganlara tam yetki sağlar.
• Yanal Hareket (Lateral Movement): AD’nin merkezi yapısı sayesinde, bir sistemin ele geçirilmesi diğer sistemlere yayılmayı kolaylaştırır.
• Kalıcılık Sağlama (Persistence): AD gruplarında, politikalarında veya kullanıcı hesaplarında yapılan değişikliklerle saldırganlar erişimlerini uzun süre sürdürebilir.

Bir saldırgan AD’ye eriştiğinde tüm organizasyonu kontrol etme potansiyeline sahip olur. Bu nedenle APT (Advanced Persistent Threat) grupları, AD’yi ele geçirmek için gelişmiş teknikler kullanmaktadır.

---

2. Event ID’ler Neden Önemlidir?

Siber güvenlik ekipleri, şüpheli aktiviteleri tespit edebilmek için Windows Event Log’larını analiz eder. Event ID’ler, belirli sistem olaylarını kaydeden benzersiz kimliklerdir ve SIEM sistemleri tarafından saldırıları tespit etmek için kullanılır.

Doğru loglama olmadan:

❌ Kimlerin hangi sistemlere eriştiği bilinemez.

❌ Yetkili hesapların nasıl kullanıldığı tespit edilemez.

❌ AD üzerindeki saldırılar anlaşılamaz.

❌ Olay müdahale süreci yavaşlar ve saldırılar geç fark edilir.

Active Directory Saldırı Yöntemleri ve Saldırganların Amaçları

Active Directory (AD), büyük ölçekli kurumsal ağlarda kimlik doğrulama ve yetkilendirme mekanizmasının temelini oluşturur. Siber saldırganlar, AD’ye erişerek ağdaki tüm hesapları, cihazları ve servisleri ele geçirmeyi hedefler. Bu saldırılar, genellikle APT (Advanced Persistent Threat) grupları tarafından gerçekleştirilir ve uzun süre fark edilmeden çalışabilir.

Aşağıda, APT gruplarının AD’ye karşı kullandığı saldırı yöntemleri, teknik detayları, saldırganların amacı ve kullanılan araçlar detaylı olarak incelenmiştir.

---

1. Brute Force & Password Spraying

🔍 Amaç: Zayıf veya tahmin edilebilir şifreleri kırarak AD hesaplarına erişim sağlamak.

Nasıl Çalışır?

• Brute Force: Bir hesabın parolasını rastgele kombinasyonlarla tahmin etmeye çalışır.
• Password Spraying: Aynı şifreyi birçok hesapta deneyerek hesap kilitlenmesini önler.

🔴 Hedef:

• Standart kullanıcı hesapları (IT çalışanları, yöneticiler, servis hesapları).
• Zayıf şifre politikası olan ortamlar.

🛠 Kullanılan Araçlar:

• Hydra, Medusa, Ncrack → SSH, RDP, SMB gibi protokollerde brute-force saldırıları.
• CrackMapExec, Ruler → Office 365 ve Exchange hesapları için password spraying.

⚠ Kullanım Senaryoları:

• RDP veya VPN erişimi olan bir sistemin ele geçirilmesi.
• Microsoft 365 ve Azure AD gibi bulut tabanlı sistemlerde şifre denemeleri.

---

2. Pass-the-Hash & Pass-the-Ticket

🔍 Amaç: AD kullanıcı hesaplarının kimlik doğrulama işlemlerinde şifre yerine hash’leri veya Kerberos biletlerini kullanarak yetkili erişim sağlamak.

Nasıl Çalışır?

• Pass-the-Hash (PtH): NTLM hash’ini ele geçirerek kullanıcı adı/parola girmeden kimlik doğrulaması yapar.
• Pass-the-Ticket (PtT): Çalınan Kerberos biletleri kullanılarak oturum açılır.

🔴 Hedef:

• Yüksek ayrıcalıklı hesaplar (Domain Admin, Enterprise Admin).
• NTLM ve Kerberos kullanan ağ ortamları.

🛠 Kullanılan Araçlar:

• Mimikatz → NTLM hash’lerini çalmak ve PtH saldırısı yapmak.
• Rubeus → Pass-the-Ticket ve Kerberos ticket işlemlerini manipüle etmek.
• Impacket (secretsdump.py, wmiexec.py) → Uzak sistemlerde hash veya bilet kullanarak erişim sağlamak.

⚠ Kullanım Senaryoları:

• Domain Admin yetkilerine sahip bir kullanıcının NTLM hash’ini çalıp onun yerine oturum açmak.
• Kerberos ticket’larını ele geçirerek uzun süreli kalıcılık sağlamak.

---

3. Kerberoasting

🔍 Amaç: Active Directory’de hizmet hesaplarının parolalarını kırarak sistemlere erişim sağlamak.

Nasıl Çalışır?

• Saldırgan, ağdaki Kerberos servis hesaplarının TGS (Ticket Granting Service) biletlerini talep eder.
• TGS biletleri, servis hesabının parola hash’iyle şifrelenmiştir.
• Hash, offline olarak kırılarak hesap parolası elde edilir.

🔴 Hedef:

• MSSQL, LDAP, SharePoint gibi servis hesapları.
• Uzun süredir değişmemiş, zayıf parolalı hesaplar.

🛠 Kullanılan Araçlar:

• Rubeus → Kerberos ticket’larını çekmek.
• Impacket → Servis hesaplarının biletlerini çıkarmak.
• John the Ripper, Hashcat → Çekilen hash’leri kırarak şifreyi ele geçirmek.

⚠ Kullanım Senaryoları:

• MSSQL sunucusunu çalıştıran bir servis hesabının şifresini kırıp, sistem yöneticisi hakları almak.
• SharePoint veya IIS sunucularındaki hizmet hesaplarını ele geçirerek lateral movement yapmak.

---

4. DCSync & NTDS.dit Dump

🔍 Amaç: Active Directory’nin tamamını ele geçirmek ve tüm kullanıcı hesaplarını, hash’leri çalmak.

Nasıl Çalışır?

• DCSync: AD’nin Domain Controller (DC) replikasyon yetkilerini taklit ederek kullanıcı hash’lerini çeker.
• NTDS.dit Dump: NTDS.dit dosyası içindeki tüm kimlik bilgileri çalınır.

🔴 Hedef:

• Domain Controller (DC) sunucuları.
• Replication rights yetkisi olan hesaplar.

🛠 Kullanılan Araçlar:

• Mimikatz (DCSync modu) → DC’den tüm hesap bilgilerini çeker.
• Impacket → NTDS.dit dosyasını dump edip hash’leri çıkarır.

⚠ Kullanım Senaryoları:

• Bir APT saldırganının tüm şirket kullanıcılarını ve şifrelerini ele geçirmesi.
• Lateral movement yaparak bir sistemden diğerine yayılmak.

---

5. Yetki Yükseltme (Privilege Escalation)

🔍 Amaç: Standart bir kullanıcı hesabını Domain Admin veya Enterprise Admin seviyesine yükseltmek.

Nasıl Çalışır?

• Yetkili gruplara kendini eklemek: Domain Admins, Enterprise Admins gibi gruplara ekleme yaparak yetkileri artırma.
• Hatalı GPO yapılandırmalarını kullanmak: Yetkili bir politika değiştirerek admin hakları almak.

🔴 Hedef:

• IT yöneticileri ve sistem yöneticileri hesapları.
• Domain Admin yetkileri olmayan ancak hassas izinlere sahip servis hesapları.

🛠 Kullanılan Araçlar:

• BloodHound → Active Directory yapısındaki zayıflıkları analiz eder.
• PowerView (PowerSploit) → Kullanıcı yetkilerini ve grupları değiştirmek için kullanılır.

⚠ Kullanım Senaryoları:

• Bir kullanıcının kendisini Domain Admin grubuna ekleyerek kalıcı erişim sağlaması.
• Bir grup politikasını değiştirerek otomatize saldırı başlatılması.

---

6. GPO Manipülasyonu

🔍 Amaç: Group Policy Object (GPO) değişiklikleri yaparak sistem üzerinde kalıcılık sağlamak ve güvenlik önlemlerini devre dışı bırakmak.

Nasıl Çalışır?

• Yeni GPO oluşturmak: Kötü amaçlı bir GPO politikası ekleyerek tüm makineleri etkilemek.
• Mevcut GPO’yu değiştirmek: Varsayılan güvenlik ayarlarını kaldırmak.

🔴 Hedef:

• Kritik sistemleri yöneten politikalar (örneğin: RDP erişim politikaları).
• AD ortamını yöneten IT hesapları.

🛠 Kullanılan Araçlar:

• PowerSploit (Invoke-GPOZaurr) → AD politikalarını değiştirir.
• SharpGPOAbuse → Yetkisiz grup politikası manipülasyonu yapar.

⚠ Kullanım Senaryoları:

• GPO kullanarak Tüm makinelerde RDP erişimini açmak.
• Mevcut GPO’yu değiştirerek antivirüs politikalarını kapatmak.

---

1. Audit Policy Nedir ve Neden Önemlidir?

Windows Audit Policy, işletim sisteminde gerçekleşen önemli olayların kayıt altına alınmasını sağlar. Gelişmiş denetim ilkeleri (Advanced Audit Policy Configuration) ile kullanıcı giriş çıkışları, yetki değişiklikleri, hassas dosya erişimleri, Active Directory değişiklikleri gibi birçok kritik olayın loglanması mümkündür.

✅ SIEM sistemleri için önemli olan noktalar:

• Tehdit aktörlerinin aktivitelerini erken tespit etmek
• Anormal davranışları analiz etmek
• Adli bilişim (forensic) çalışmaları için kanıt toplamak
• Olay müdahale süreçlerini hızlandırmak

---

2. Açılan Audit Policy’ler ve İlgili Event ID’ler

Aşağıdaki tabloda, etkinleştirilen audit policy kategorileri, açılan Event ID’leri, bu olayların neyi logladığı ve saldırganların bu olayları hangi tekniklerle kötüye kullanabileceği detaylandırılmıştır.

3. Siber Saldırganların Kullanabileceği Teknikler ve Araçlar

Aşağıda, yukarıdaki Event ID’lerle ilişkilendirilen saldırı teknikleri detaylandırılmıştır.

🔴 1. Brute Force ve Password Spraying (Event ID: 4625)

Kullanılan Araçlar:

• Hydra, Medusa, Ncrack: SSH, RDP, SMB gibi servislerde zayıf şifreleri brute-force ile dener.
• Mimikatz: LSASS üzerinden kimlik bilgilerini çalar.

Tespit İçin Log Analizi:

• 4625 Event ID’sinde aynı IP adresinden çok fazla başarısız giriş olup olmadığı kontrol edilir.

---

🟠 2. Pass-the-Hash, Pass-the-Ticket, Kerberoasting (Event ID: 4768, 4769)

Kullanılan Araçlar:

• Mimikatz: NTLM hash kullanarak kimlik doğrulama yapar.
• Rubeus: Kerberos ticket’larını çalar ve tekrar kullanır.
• Impacket: Python tabanlı saldırılar için kullanılır.

Tespit İçin Log Analizi:

• 4768 & 4769 Event ID’lerinde RC4 şifreleme türü olup olmadığına bakılır.

---

🟡 3. Privilege Escalation & Yetkili Hesap Ele Geçirme (Event ID: 4728, 4732, 4756)

Kullanılan Araçlar:

• BloodHound: AD üzerindeki zayıflıkları analiz eder.
• PowerView: Kullanıcı grubu değişikliklerini yönetir.
• Cobalt Strike: Yetkili hesapları ele geçirir.

Tespit İçin Log Analizi:

• 4728, 4732 veya 4756 loglarında yeni yetkili kullanıcı eklenmiş mi kontrol edilir.

---

🟢 4. DCSync ve NTDS.dit Çalınması (Event ID: 4662)

Kullanılan Araçlar:

• Mimikatz (DCSync modu)
• Impacket

Tespit İçin Log Analizi:

• Event ID 4662 ile “Replicating Directory Changes” yetkisi verilen hesaplar analiz edilir.

---

🔵 5. GPO Manipülasyonu & Backdoor Oluşturma (Event ID: 5136, 5137, 5141)

Kullanılan Araçlar:

• PowerSploit (Invoke-GPOZaurr)
• SharpGPOAbuse

Tespit İçin Log Analizi:

• GPO üzerinde yetkisiz değişiklikler yapıldı mı kontrol edilir.