2. BGA BİLGİ GÜVENLİĞİ
OSMAN CİHAT IŞIK
Security Operations Team Leader at BGA Bilgi Güvenliği
İstanbul Şehir Üniversitesi – Bilgi Güvenliği Mühendisliği(Yüksek Lisans)
Sakarya Üniversitesi – Bilgisayar Mühendisliği (Lisans)
Certified Ethical Hacker
Computer Hacking Forensic Investigator
EC Council Incıdent Handler
3. Giriş BGA | Netsec
• Ayrıcalıklı hesaplar, saldırganların ana hedeflerinden birisidir.
• Sistem ve güvenlik ekiplerinin takip etmekte en zorlandığı konulardan birisidir.
• Sızma testlerinde en çok karşılaşılan bulgulardandır.
• Local kullanıcıların yetkileri, aktivitelerinin takibinin zorluğu karşılaşılan diğer bir
problemdir.
4. Yanal Hareket (Lateral Movement) BGA | Netsec
Saldırganlar küçük bir son kullanıcı hesabıyla başlayıp, ayrıcalıklı
kimlik bilgilerini elde edinceye ve istedikleri yerlere erişene kadar
yanal olarak ilerlemekte çok başarılı oldukları kanıtlanmıştır.
8. Parola/Hash Elde Etme Yöntemleri BGA | Netsec
• Güncelleme zafiyetlerinin istismar edilmesi
• MS17-010
• Eksik/Hatalı Yapılandırma
• Tomcat
• BIOS Parolası Eksikliği ve Boot Sıralamasının Değiştirilebilir Olması
• Disk Şifrelemenin Olmaması
• Sosyal Mühendislik
• Macro içeren dökümanlar
9. Sık Kullanılan Tespit Yöntemleri BGA | Netsec
• Yetkili gruplara kullanıcı ekleme-çıkarma
• Schema Admins
• Enterprise Admins
• Domain Admins
• Local Admin vs..
• 4624 ile yetkili kullanıcı girişlerinin takibi (PTH)
• Logon Type bilgilerine göre ayrım yapılabilir !
• Yetkili hesapların bağlantı kurdukları kaynak IP adreslerinin izlenmesi
• Adminlerin kullandıkları bilgisayarlar ve jump server haricinde yapılan erişim denemeleri
10. Logon Tipleri BGA | Netsec
• Logon Type 2 – Interactive (Consol, keyboard)
• Logon Type 3 - Network
• Logon Type 4 – Batch (Schedule tasks)
• Logon Type 5 – Service (services)
• Logon Type 8 – Network Clear Text (Basic auth)
• Logon Type 9 – NewCredentials (Run as usage)
• Logon Type 10 – RemoteInteractive (RDP)
11. Ayrıcalıklı Oturum Analizi BGA | Netsec
• Güvenli(well secured) ortamlarda ayrıcalıklı hesaplar
• Normal ortamlara göre daha az ayrıcalıklı hesap vardır.
• Saldırganlar
• Yetkili hesaplara erişmek isterler
• Erişim sağladıkları her sistem için kimlik bilgileri toplama yoluyla ayrıcalıklı hesaplar elde etmeye
çalışırlar.
• Diğer sistemlere erişmek için bu bilgileri kullanırlar.
• Anormal ayrıcalıklı oturumları ve yanal hareketleri belirlemek için bu durumlara
odaklanabiliriz.
12. Kullanıcı Oturum Takibi BGA | Netsec
• 4624 Event ID değeri kullanıcının
yetkili olduğunu size söylemez.
• Ayrıcalıklı bir kullanıcının
oturum açtığını nereden anlarsınız ?
An account was successfully logged on.
Subject:
Security ID: SYSTEM
Account Name: SQLSERVER$
Account Domain: BGASECURITY
Logon ID: 0x3E7
Logon Type: 2
Impersonation Level: Impersonation
New Logon:
Security ID: SQLSERVERAdministrator
Account Name: Administrator
Account Domain: SQLSERVER
Logon ID: 0x55A638
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0xac8
Process Name: C:WindowsSystem32winlogon.exe
Network Information:
Workstation Name: SQLSERVER
Source Network Address: 127.0.0.1
Source Port: 0
14. Ayrıcalıklı Oturum Takibi BGA | Netsec
• Bazı kullanıcı hakları verilen yetkiler doğrultusunda yönetici ile eşdeğerdir.
• Bir kullanıcı, yöneticiye denk haklarından bir veya daha fazlasıyla oturum açtığında,
4672 Event ID değerine sahip log oluşur.
16. Ayrıcalıklı Oturum Analizi BGA | Netsec
• 4672, kullanıcının erişim elde ettiği sistemde oturum açması durumudur.
• Sadece DC değil sunucu ve istemcileri de izlemek gerekir.
• 4672 Event ID’si
• Bunları içerir:
• Hangi ayrıcalıklı kullanıcının login olduğunu
• Hangi makineye login olduğunu
• Bunları içermez
• Logon Types (Local,console,RDP,Service,Batch)
• Logon ID ile 4624 arasında bağlantı kurulabilir.
• Kullanıcı login olduktan sonra hangi proses çalıştırıldı ?
• Event ID 4688
• 4672’den 4688’e bağlantı yine Logon ID ile kurulabilir.
19. Son Olarak… BGA | Netsec
• Bilinmeyen bir host ya da kullanıcı adına sahip 4672 logu geldiğinde ;
• İlk olarak Logon ID ifadesini araştırarak kullanıcıyı belirleyin.
• Nasıl oturum açtılar ?
• Ne çalıştırdılar ?
• Bu kullanıcı öncesinde ve sonrasında başka hangi bilgisayarlara giriş yaptı ?