Active Directory Attacks Investigation Lab Çözümü
AD Attacks Investigation Cyberexam Writeup
Lab: https://learn.cyberexam.io/challenges/blue-team/investigation/active-directory-attack-investigation
Active Directory saldırı incelemesi labını çözerken daha öncesinde AD hakkında fazla bir araştırma yapmamıştım. Lab içerisinde incelenmesi gereken bir pcap dosyası bulunuyor. Bu ağ trafiğini incelerken hem AD saldırıları hakkında bilgi sahibi olacağız hem de saldırıların tespiti için kullanılan Wireshark filtrlemelerini öğreneceğiz.
Görev Tanımı
Saldırganlar bir firmanın active directory sunucusuna saldırı düzenlemiş. Bazı önemli kritik bilgilerin çalınmış olabileceğinden şüpheleniliyor. Saldırıya ait ağ trafiği kaydı bulunuyor. Bunun analiz edilip olayın çözülmesi gerekiyor.
Lab Çözümü
Lab makinesine bağlandıktan sonra wireshark ad_attack.pcap komutu ile ağ trafiği dosyasını açalım. Burada ilk kontrol etmek istediğim şey Statistics > Conversation bölümünde trafik içerisindeki iletişim özeti olacaktır. Paket büyüklüğüne göre sıralama yaptığımda aslında ağ içerisindeki iletişimin çoğunluğunun hangi adresler arasında geçtiğini yorumlayabilirim.
Olası saldırgan - kurban adreslerine göre filtreleme işlemini yapıyorum bunun için sağ tıklayıp filtre olarak A ←→ B trafiğini uygulayalım.
Ağ içerisindeki kullanılan protokollerin dağılımını incelemek için Statistics > Protocols kısmına bakabiliriz. Bunun amacı, ağ trafiğini analiz etmeden önce saldırının hangi protokoller üzerinden gerçekleşmiş olabileceği hakkında ön bilgi toplamak. Burada çoğunlukla SMB2 protokolü görünüyor. Buna ek olarak, DCE/RPC protokolü var.
SMB, kısaca dosya paylaşım protokolüdür. Bu protokolde kimlik doğrulama işlemi NTLM ile yapılmaktadır. Ağ trafiği içerisinde ntlmssp filtresi ile yapılan kimlik doğrulama sürecini inceleyebiliriz.
NTLM kimlik doğrulama sürecinde saldırgan sunucuya kimlik doğrulama talebi göndermektedir (NTLMSSP_NEGOTIATE). Sunucu cevap olarak NTLMSSP_CHALLENGE gönderir ve istemci bu challenge ile doğrulama yanıtı oluşturur ve doğrulama için işlem tamamlanır (NTLMSSP_AUTH). Bu paket içerisinde domain bilgisi, kullanıcı adı oturum id değerlerini bulabiliriz.
Devamında DCE/RPC protokolünü görüyoruz. dcerpc filtresini kullanarak ilgili işlemleri görebiliriz. Araştırma yaptığımız zaman, Active Directory verilerinin kopylanması için kullanıldığını öğreniyoruz. DRS (Directory Replication Service), Domain controller(DC) arası verilerin replikasyonundan sorumludur. DRSUAPI, ise Microsoft API uygulaması. DC, etki alanı denetleyicisi olarak bilinir ve kimlik doğrulama işlemlerini gerçekleştiren sunucudur. Bu protokol ile ilgili ağ trafiği yalnızca DCler arasında gerçekleşmeli. Active Directory replikasyon işlemi DCler arası olmadığı zaman, Mimikatz, DSInternals, impackets gibi araçların kullanılmasıyla gerçekleşen bir saldırı olarak kabul edilebilmektedir[1].
Saldırgan ilk olarak DsBind işlemi ile (dsrpc.opnum==0, işlem numarası 0 olarak bilinir) AD replikasyonu için kimlik doğrulaması yapıyor. Saldırının tespiti için, DC olmayan bir adresten yapılan DsGetNCChanges isteği kontrol ediliyor. Filtreleme olarak dsrpc.opnum==3 kullanılabilir. Bu işlem, kullanıcı replikasyonu için gereklidir. Böylece saldırgan, kullanıcı kimlik bilgilerini çoğaltma isteğinde bulunarak ele geçirebilir. Genellikle yüksek yetkili kullanıcılar hedeflenmektedir[2].