Bu makale, kullanmakta olduğunuz sistemleri (Server/Client) güncel tutmanız ve security hardening yapmanız için yayınlanmıştır. Sistemleriniz de güvenlik açığı olduğu zaman aşağıdaki işlemler yapılabilmektedir.

Bu bilgileri yasa dışı bir faaliyet amacıyla kullanmayınız.

AD sistemini yapılandırırken default’ta gelen “Adminisrator” hesabını AD’yi yönetirken ve yetki gereken işlemlerde kullanmaktaydık. Yapılarda genelde bu hesap kullanılmamalı, hatta mümkünse disable edilmelidir. Genelde yapılarda IT çalışanları kendi hesaplarını “Domain Admins” grubuna üye yaparlar ve sistemi yönetirken bu hesabı kullanırlar. Örnek olarak bizde yapımızda Bilgi Teknolojilerinde çalışan kullanıcılarımızı sistemi yönetmeleri için “Domain Admins” grubuna üye yapalım.

Şimdi ise daha önce local admin yetkisini şifre kırma işlemiyle almış olduğumuz murat.demir kullanıcıyla bilgisayara giriş yapıyoruz. Bunu yapmamış olsaydık bile çoğu kurumda kullanıcılara bir işlem yapmaları gerektiği zaman yada bir sorunu çözmeleri için local admin yetkileri verilebiliyor. Bu tür durumlarda bilgisayarda local admin olan kullanıcı bu yetkiyi kötü amaçlar için kullanabilir. Murat Demir kullanıcısını AD üzerinden kontrol ettiğimizde aşağıdaki gibi sadece varsayılan olarak Domain Users grubuna üye olduğunu görüyoruz.

Murat Demir kullanıcı bilgisayarında local admin olduğu için örnek olarak bilgisayarında bir task oluşturabilir ve bu taşkın bu bilgisayar üzerinde herhangi bir kullanıcı oturum açtığı zaman çalışmasını sağlayabilir. Örneğimizde computer management’ı açıyoruz. Buradan task oluşturmak için System Tools/Task Scheduler/Task Scheduler Library altına geliyoruz.

Bu oluşturacağımız task ile bu bilgisayara bir domain admin yetkisine sahip herhangi birisi oturum açarsa, bu taşkın çalışmasını sağlayacağız. Bu taşkın içerisine bir script yazılabilir, bir batch dosyası ekleyebilir, bu bilgisayara yüksek haklarda birisi geldiği zaman istediğiniz bir şeylerin çalışmasını sağlayabilirsiniz. Mesela bir domain admin bu bilgisayarda oturum açtığı zaman, onun haklarıyla AD’de bazı işlemler yaptırabilirsiniz.  Task Scheduler Library üzerine gelerek, Create Task diyoruz.

Bu taskı isimlendirirken, dikkat çekmemesi varsayılanda gelen tasklara benzer bir isim veriyorum. İsmini OneDrive Standalone Update Task v3 olarak belirledim. Security options kısmında bu taskın kimin yetkileri ile çalışacağını belirliyoruz. Change user and group seçeneğine tıklıyoruz.  Burada varsayılan olarak Location alanı işlem yaptığımız bilgisayar olarak gelmektedir. Ancak AD üzerindeki bütün kullanıcılar AD’yi browse etme görebilme hakkına sahiptir, yani read edebilir. Dolayısıyla Location kısmından aykut.local’i seçebiliyorum.

Seçtikten sonra Advanced butonuna tıklayarak, gelen ekranda find now dediğimiz zaman bütün AD üzerindeki kullanıcı ve grupları görebiliyoruz. Yukarıda da belirtiğimiz gibi AD üzerinde okuma yetkisi olmasından dolayı bunları görebiliyoruz ama üzerlerinde yetkimiz bulunmamaktadır.

Bu yapmış olduğumuz işlem ile, bu bilgisayarda Domain Admins yetkisine sahip bir kullanıcı geldiği zaman bu oluşturmuş olduğum taskın çalışmasını isteyeceğiz. Buradaki “Run with highest privileges” seçeneğini de işaretleyerek, bu task çalışırken user account kontrolüne takılmaması için bu seçeneği işaretliyoruz.

Sonrasında Triggers alanına geliyoruz ve new seçeneğine tıklıyoruz. Begin the task alanında bu taskın nasıl çalışacağını belirliyoruz. At log on seçeneğini seçerek, birisi bu bilgisayarda oturum açarsa bu taskın çalışsın şeklinde ayarlama yapıyoruz. Setting kısmında istenilirse bu kullanıcı bazlıda yapılabilir ama biz Any User şeklinde bırakıyoruz.  Bu tanımlama ile hangi kullanıcı bu bilgisayarda oturum açarsa açsın, hazırladığımız task kendisini çalıştırmak isteyecektir. Ancak sadece yetkili olan bir kişi oturum açtığında istemiş olduğumuz işlem gerçekleşecektir.

Sonrasında action alanına gelerek, new diyoruz. Burada kullanacağımız komut daha öncede kullandığımız net komutudur. Local admin yetkisini alırken net user, net groups gibi komutlar kullanmıştık. Burada ise system32 altında yer alan net.exe dosyasını çalıştıracağız. Şimdi ise bu exe’yi hangi parametreler ile çalıştıracağımızı belirliyoruz. Parametre alanına group “Domain Admins” murat.demir /add /domain komutunu giriyoruz.

Yazmış olduğumuz komutta Domain Admins grubuna domaindeki murat.demir kullanıcını ekle demiş oluyoruz.

İşlemimiz tamamlanmış oluyoruz. Task Scheduler Library kısmında oluşturmuş olduğum taskı görebiliyorum.

Şimdi ise yapmamız gereken, bu bilgisayara Domain Admin yetkisine sahip bir kullanıcının oturum açmasını sağlamaktır. Bunun için bir sosyal mühendislik yaparak, Bilgi Teknolojileri personeli ile irtibata geçerek, bilgisayarda bir sorun yaşadığımızı, yada program kurulumu için yetkili kullanıcı gerektiği bilgisini aktarıp, bilgisayarda oturum açmasını sağlamamız gerekmektedir.

Şimdi senaryomuzu uygulayalım, bilgisayardan logoff oluyorum, Bilgi Teknolojileri bölümünde çalışan ve Domain Admin yetkisi olan Ahmet Yılmaz isimli çalışan ya kullanılan bir uzak bağlantı il yada yanımıza gelerek bilgisayara login oluyor ve bizim belirtmiş olduğumuz sorunu çözüyor yada programı kurarak, tekrar bilgisayardan logoff oluyor.

Görüldüğü üzere bu işlemden sonra murat.demir isimli kullanıcımız AD üzerinde Domain Admins yetkisine sahip olmuş oldu. Bu işlemden sonra zaten Bilgi Teknolojileri personeli kadar yetkiye sahip olmuş olduk ve domainle ilgili yetki gerektiren tüm işlemleri yapabiliriz.

Yapıya zarar vermek isteyen yada yapıyı komple çökertmek isteyen daha daha kötü amaçlar için kullanmak isteyen kişi, bilgisayarında set logonserver komutunu kullanarak, şuanda hangi DC üzerinden hizmet aldığını öğrenebilir ve sonrasında Domain Admins yetkisine sahip olduğunu için bu DC’ye Remote Desktop yapıp, bütün yapıyı yönetebilir.

DC’nin adını öğrendikten sonra bilgisayar üzerinden Remote Destek Connection açıyoruz ve buraya komut satırından öğrenmiş olduğumuz AYKUTDC02 ismini yazıyoruz

Şimdi şifremizi girerek, sisteme bağlanmayı deniyoruz. Şuanda DC’ makinesine bağlanmış olduk. Şuanda bu kullanıcı istediği her şeyi yapabilir. Günün sonunda bu işlemin kimin yaptığı loğlardan anlaşılabilir olacak, ancak loğlara bakıldığı zaman murat.demir kullanıcısını Domain Admins grubuna ekleyen kişinin Ahmet Yılmaz isimli kullanıcının olduğu görünecektir. Kişi bu işlemden sonra oluşturmuş olduğu taskı silerek, çalışmasına devam edebilir.

Bu işlemden sonra DC’ye tekrar girerek, Murat Demir’i Domain Admins grubundan çıkartıyorum.

——————————————————————————————

1. ATA yada Azure ATP kullanınız.
2. PAW (high secure workstation) kullanınız.
3. Anti virüs + EDR + Malware Detection kullanınız.
4. Aduit Log’ların doğru konfigüre edildiğinden ve aktif olduğundan emin olunuz.

——————————————————————————————