Microsoft Advanced Threat Analytics (MS ATA) Nedir ve Nasıl ByPass Edilir?
Bu yazı 10.10.2019 tarihinde kaleme alınmıştır.
MS ATA, Microsoft tarafından duyurulan ve Active Directory ortamında güvenlik konularına dayalı analiz yapan ve bu analiz sonuçlarına göre kötü niyetli hackerların saldırılarına önlem almak için yardımcı olan bir siber güvenlik çözümüdür.
MS ATA Nasıl Çalışır?
Bir hedefi bypass etmeden önce ilk adım hedefin ne olduğunu, nasıl çalıştığını ve mantığını kavramaktır. Hedefimizi iyi tanıyabilirsek onu etkisiz hale getirebilmek için senaryolar türetebiliriz.
MS ATA, Active Directory’ye kurulduktan sonra objeler, olay günlükleri ve network trafiği gibi bilgileri toplar. Daha sonra bu toplanan bilgiler ışığında aşağıdaki görselde gösterilen adımlar uygulanır.
1. Analiz2. Öğrenme3. Tespit4. Alarm
MS ATA, Öğrenme aşamasında çalışma sisteminin normalini belirleyerek bir anormallik ile karşılaştığında alarm üretir. Bu alarm ile birlikte kapsamlı bir rapor da sunar.
MS ATA Neleri Tespit Eder?
1. Yapılandırma ile ilgili sorunlar
Dünya standartlarında belirlenen güvenlik yapılandırmalarını kullanarak sistemi tarar ve bu tanımlamalara aykırı yapılandırma sorunlarını belirler. Sonucunda rapor üretir.
2. Kullanıcı davranışları ile ilgili sorunlar
MS ATA içerisinde yer alan Machine Learning özelliği ile kullanıcıların davranışları sürekli izlenir ve bu sayede kullanıcı davranışlarının bir pattern’i çıkarılır. Bu pattern’e aykırı bir davranış sergilendiğinde alarm ve rapor üretilir.
3. Gelişmiş teknik saldırı sorunları
MS ATA anlık olarak sürekli kural tabanlı analiz yapar. Bu sayede aşağıda belirtilen saldırılara karşı tetiktedir.
• Pass the ticket• Pass the hash• Overpass the hash• Forged PAC (MS14–068)• Remote execution• Golden ticket, Skeleton key malware• Reconnaissance• Brute Force
MS ATA Nasıl ByPass Edilir?
Metot 1:
Nikhil Mittal, MS ATA’nın oluşturduğu alarmları incelediğinde bir durum fark etmiş. MS ATA Recon çalışması yaparken Domain Controller’ı kontrol ediyor. Eğer Domain Controller’dan ona karşı User Hunting çalıştırmadan bilgi toplanmaya çalışılırsa MS ATA’nın kontrol mekanizmasının atlamanın mümkün olduğunu keşfetmiş. Bunun için de aşağıdaki parametreler kullanıldığında bypass gerçekleştirilmiş olur.
Domain Controller ile iletişimi ne kadar düşük tutarsak yakalanma riskimizin o kadar düşük olduğunu söyleyebiliriz. Yukarıdaki komut sayesinde DC ile iletişime geçmeden kullanıcı listesini çekebiliriz.
Metot 2:
Kullanıcı listesini çektiğimize göre şimdi de ona Brute Force saldırısı yapabiliriz.
Yukarıdaki komut ile çekmiş olduğumuz kullanıcı listesine sadece bir parola ile, her kullanıcıya sadece bir deneme yaparak saldırıyoruz. Sonuç olarak bu saldırı da MS ATA’dan kaçmayı başarıyor.
Metot 3:
Bu metodun adı Overpass the hash. Normal şartlarda MS ATA Overpass the hash saldırılarını rahatlıkla tespit edebiliyor. Ancak yapılan farklı saldırı denemeleri sonucu bunu da aşmanın yolu bulunmuş.
Overpass the hash saldırısı sırasında Şifreleme türünde bir downgrade oluşur. Bu da MS ATA’nın bizi yakalaması için mükemmel bir fırsattır. Peki bu downgrade’in yapılmasını engelleyebilseydik yakalanmadan saldırıyı gerçekleştirebilir miydik?
AES Keylerini kullanarak bu downgrade’den kaçınmak mümkün. Remote bir bilgisayardan AES keylerini çekmek için aşağıdaki komutlar kullanılabilir.
Bunun sonucunda Overpass the hash saldırısı uygulandığında elevated privilege elde edilir ve MS ATA tarafından tespit edilmemiş olur.
Metot 4:
DA’ye sahip olunduğu sürece domain içerisinde kalıcı olmak için çeşitli yöntemler denenebilir. Bunun için de bir Golden Ticket yaratabiliriz.Golden Ticket oluşturup bunu memory’ye inject ettiğimizde tıpkı Overpass the hash saldırısında olduğu gibi MS ATA şifreleme downgrade’ni kontrol eder. Bu nedenle de yakalanırız.
Yine bir önceki metotta olduğu gibi AES ile bypass yapabiliriz. AES key’i hali hazırda sahip olduğumuz için yakalanmadan bir golden ticket oluşturabilir ve bypass gerçekleştirebiliriz.
Kaynaklar:
www.linkedin.com/pulse/microsoft-advanced-threat-analytics-g%C3%BCven-yildiz
