Giriş
Son dönemde siber güvenlik araştırmacıları, yapay zeka kullanarak geliştirilmiş bir PowerShell scriptinin, mevcut yetkililerle Active Directory (AD) ortamını araştırmak için kullanıldığını ortaya koydu. Bu tür saldırılar, siber güvenlik risklerini artırarak kuruluşların bilgi güvenliğini tehdit etmektedir.
Saldırı Nasıl Çalışıyor?
Saldırı, belirsiz bir tehdit aktörünün Remote Desktop Protocol (RDP) erişimini ele geçirerek başlamaktadır. Kullanıcı adları ve şifreleri önceden ele geçirilmiş bir Windows Server üzerinde, “C:ProgramData” dizinine araçlar yerleştirilmiştir. Yapay zeka destekli bu script, aşağıdaki aşamaları izlemektedir:
- Domain Controller (DC) tespiti ve kullanıcılar, bilgisayarlar ile alanların haritalanması.
- Verilerin toplanması için bir düzenleme dizini oluşturulması.
- AD kullanıcıları, grupları, organizasyon birimleri (OUs) ve güven ilişkileri gibi verilerin sistematik bir şekilde toplanması.
- Toplanan verilerin CSV dosyalarına dönüştürülmesi, arşivlenmesi ve uzaktan bir sunucuya aktarılması.
- Son olarak bir HTML dosyası oluşturarak veri hırsızlığına dair raporlama yapılması.
Bu süreç, “100% Working AD Information Gathering Script – FULLY FIXED” başlığı altında “yüksek agresif” ve “gürültülü” bir yapı sergilemektedir. Araç, bir beş aşamalı geri düşme mekanizması ile keşif ve analiz işlemlerini gerçekleştirmektedir.
Etkilenen Sistemler
Saldırı, herhangi bir Windows Server ortamında meydana gelebilir. Özellikle aşağıdaki versiyonlar risk altındadır:
- Windows Server 2016 ve üzeri sistemler
- Domain Controller olarak yapılandırılmış Windows Server’lar
Çözüm ve Korunma
Kuruluşların bu tür tehditleri bertaraf etmek için aşağıdaki önlemleri alması gerekmektedir:
- Bütün sistemlerinizi güncel tutun. Özellikle üretici tarafından sağlanan güvenlik yamalarını zamanında aplic edin.
- Remote Desktop Protocol (RDP) erişimini kapatın veya sıkı bir şekilde sınırlayın.
- AD ortamınızı düzenli olarak gözden geçirin ve şüpheli etkinlikleri izleyin.
- Güvenlik izleme ve olay yanıtı çözümleri kullanarak alarm sistemlerini devreye alın.
Sonuç
Siber güvenlik alanında proaktif bir yaklaşım benimsemek oldukça önemlidir. Kuruluşların, sistemlerini sürekli güncelleyerek ve mevcut güvenlik açıklarını kapatarak tehditlere karşı kendilerini korumaları gerekmektedir. RDP erişimlerini sınırlamak ve güvenlik uygulamalarını gözden geçirmek, bu tür saldırılardan korunmanın en etkili yollarından biridir.


