Aşırı izinlerle yapılandırılan Active Directory ortamlarındaki ağ paylaşımları, kuruluş için verilere maruz kalma, ayrıcalık yükseltme ve fidye yazılımı saldırıları şeklinde ciddi riskler oluşturur. İki yeni açık kaynaklı düşman simülasyon aracı PowerHuntShares ve PowerHunt, kurumsal savunucuların savunmasız ağ paylaşımlarını keşfetmesine ve saldırı yüzeyini yönetmesine yardımcı olur.
Araçlar, savunma, kimlik ve erişim yönetimi (IAM) ve güvenlik operasyonları merkezi (SOC) ekiplerinin Active Directory ortamlarında paylaşım avını ve aşırı SMB paylaşım izinlerinin düzeltilmesini kolaylaştırmasına yardımcı olacak, NetSPI’nin kıdemli direktörü Scott Sutherland şirket blogunda yazdı. Sutherland bu araçları geliştirdi.
PowerHuntPaylaşımları Active Directory etki alanına katılmış bilgisayarlarda SMB paylaşımlarına atanan aşırı ayrıcalıkları envanterler, analizler ve raporlar. PowerHuntShares aracı, Active Directory ortamlarında veri açığa çıkmasına, ayrıcalık yükselmesine ve kurumsal ortamlarda fidye yazılımı saldırılarına yol açabilecek aşırı paylaşım izinlerinin risklerini ele alır.
“PowerHuntShares, ‘aşırı ayrıcalıklar’ ile yapılandırılmış KOBİ paylaşım EKL’lerinin envanterini çıkaracak ve ‘yüksek riskli’ EKL’leri vurgulayacaktır. [access control lists],” diye yazdı Sutherland.
PowerHunt, modüler bir tehdit avlama çerçevesi, ortak MITRE ATT&CK tekniklerinden elde edilen eserlere dayalı olarak uzlaşma belirtilerini tanımlar ve hedef ortama özgü anormallikleri ve aykırı değerleri tespit eder. Araç, PowerShell uzaktan iletişimini kullanarak yapıtların toplanmasını otomatik hale getirir ve ilk analizi gerçekleştirir.
Aşırı izinlerle yapılandırılan ağ paylaşımlarından çeşitli şekillerde yararlanılabilir. Örneğin, fidye yazılımı, hassas verilere erişmek için paylaşımlarda aşırı okuma izinleri kullanabilir. Parolalar genellikle açık metin olarak depolandığından, aşırı okuma izinleri, bu parolalar açığa çıkarsa veritabanlarına ve diğer sunuculara karşı uzaktan saldırılara yol açabilir. Aşırı yazma erişimi, saldırganların bir web kabuğu yazma veya yürütülebilir dosyaları kalıcı bir arka kapı içerecek şekilde kurcalama gibi dosyaları eklemesine, kaldırmasına, değiştirmesine ve şifrelemesine olanak tanır.
Sutherland, “Bir sistem ve paylaşım envanteri oluşturmaya yardımcı olmak için Active Directory’den yararlanabiliriz,” diye yazdı. “Aşırı izinlerle yapılandırılan paylaşımlar, çeşitli şekillerde uzaktan kod yürütülmesine (RCE) yol açabilir, basit veri gruplama teknikleri ile düzeltme çabaları hızlandırılabilir ve birkaç ortak olay kimliği ve küçük bir korelasyon ile kötü amaçlı paylaşım taraması tespit edilebilir ( söylemesi yapmaktan her zaman daha kolay).”
