VALID ACCOUNTS

8 min readMay 10, 2022

Bu yazımda sizlere valid accounts konusundan, alınabilecek önlemlerden ve daha önce bu konu ile alakalı yaşanan olaylardan bahsedeceğim.

1. INITIAL ACCESS

Initial Access, bir ağ içerisinde saldırganının ortamda bir yer edinebilmesi için farklı giriş metotlarını kullanan tekniklerden oluşmaktadır. Saldırganın sistem üzerinde yer edinebilmesi için hedeflenen sistemlerde bulunan açıklıklardan yararlanması gerekir. Bu tekniklere örnek olarak pishing, valid accounts ve trusted relationship verilebilir. Çeşitli tekniklerden yararlanarak hesapların ele geçirilmesiyle ağ içindeki farklı kaynaklara erişim denetimlerini atlatmak için ve yetki kazanmak için kullanılabilir. Saldırganın ilk erişimi engellenmediğinde sistem açısından büyük sorunlara yol açabilir. Belirlenen hesaplara tanınan yetkiler, üçüncü parti uzak hizmetlerin kullanımı veya parola değişiklikleri ile hesabın kontrolü sınırlı hale gelebilir. Bu nedenle ilk erişim engellendiğinde ve sistem içerisinde gerekli önlemler alındığında güvenliği büyük ölçüde sağlamış oluruz.

Initial Access konu başlığı altında birçok alt alan vardır bunlar;

· Drive-by Compromise

· Exploit Public-Facing Application

· External Remote Services

· Phishing

· Hardware Additions

· Replication Through Removable Media

· Supply Chain Compromise

· Trusted Relationship

Bizim inceleyeceğimiz başlık Valid Accounts konusudur.

2. VALID ACCOUNTS NEDİR?

Saldırganların amaçlarından biri sistem içerisinde kalıcılık, ayrıcalık yükseltme, ilk erişim gibi teknikleri kullanarak sistemde mevcut olan hesapların kimlik bilgilerini alabilir ve bu bilgileri sistem içerisinde kötüye kullanabilir. Saldırganlar tarafından sistem içerisinde güvenliği ihlal edilmiş olan kimlik bilgileri, ağ içerisinde bulunan farklı kaynaklara yerleştirilen erişim denetimlerini atlamak için kullanabilir. Erişim denetimlerini atlatan saldırgan sistem içerisinde kendine daha iyi bir alan sağlayabilir bu da sistem açısından büyük risk oluşturmaktadır. Ayrıca saldırgan uzak sistemlere VPN, Outlook Web Access, RDP gibi sistem içerisinde harici olarak kullanılan hizmetlere kalıcı erişim sağlamak için kullanabilirler.

Valid Accounts hakkında bilinmesi gereken bazı bilgiler aşağıdaki tabloda verilmiştir.

TAKTİKLER

Ayrıcalık Yükseltme, İlk Erişim, Kalıcılık

PLATFORMLAR

Windows, MacOS, Linux, Office 365,Azure AD

GEREKLİ İZİNLER

Yönetici, Kullanıcı

Güvenliği ihlal edilen kimlik bilgileri saldırgan için belirli sistemlere veya ağın erişimi kısıtlanmış önemli alanlarına erişimi için ayrıcalık tanıyabilir. Saldırganın sistem içerisinde kendini saklaması için ve tespit edilmesini zorlaştırmak için elde ettiği meşru erişim ile bağlantılı olarak kötü amaçlı yazılımlar, araçlar kullanmayı tercih edebilir.

Saldırganın asıl amacı sistem içerisinde bulunan yüksek yetkiye sahip, izinleri üst düzey olan kullanıcı hesaplarına erişmek olacaktır. Sistem içerisinde bulunan ağdaki yerel, bulut hesapları gibi etki alanlarında verilen izinlerin, güvenliği ihlal edilen hesap için artması risk teşkil etmektedir ve sistem içerisinde sorunlara diğer hesapların yetkilerine erişimi sistem açısından sorun teşkil etmektedir.

Valid Accounts başlığı kendi içerisinde alt başlıklara ayrılmaktadır. Bunlar aşağıda verilen başlıklardan oluşmaktadır.

· Default Accounts

· Domain Accounts

· Local Accounts

· Cloud Accounts

2.1. Default Accounts

Varsayılan olarak oluşan hesaplar, Windows sistemlerinde bulunan misafir veya yönetici hesapları gibi bir işletim sisteminde yerleşik olarak gelen hesaplardır. Varsayılan hesaplar, AWS’deki root kullanıcı hesabı ve Kubernetes’teki varsayılan hizmet hesabı gibi sistem üzerinde fabrika ayarları ile gelen hesapları içerir. Varsayılan hesapları sadece istemci makinler ile sınırlayamayız bunun yanı sıra dâhili, açık kaynak veya ticari olarak kullanılan sistemlerde de makineler önceden ayarlanmış hesapları da bulundurur.

Saldırganlar için varsayılan hesapların oluştuğu zamandaki gibi kullanılan kullanıcı adı ve parolalar kolay ve tespit edilebilir oldukları için saldırganların sistem içerisinde bu durumları tespit etmesi ve atlatması daha kolaydır. Bu durum sistem açısından kritik bir risk oluşturmaktadır. Saldırgan genel olarak daha önce ifşa edilen, çalınan veya sızıntı sonucunda özel anahtarların, kimlik bilgilerini kullanarak uzak hizmetler aracılığı ile sistemlere bağlanmak için bu anahtarları bilgileri kullanabilirler.

Varsayılan hesaplar için örnek olaylar;

HyperStack, Turla grubu tarafından uzak makinelere IPC$ paylaşımlarına bağlanmak için varsayılan kimlik bilgilerini kullanarak sisteme erişim sağlamaya çalışmıştır. Kısaca RPC tabanlı bir arka kapıdır.
Stuxnet, özellikle endüstriyel kontrol sistemleri cihazlarını hedef alan, Windows rootkit ve birçok zero day açığından yararlanarak karmaşık ve kötü amaçlı bir yazılım örneğidir. Sabit olarak kodlanmış bir veri tabanı sunucusu parolası aracılığı ile WinCC makinelerine bulaşmıştır.

2.1. Domain Accounts

Domain hesapları, hizmetler veya sistemler erişim ve izinlerin yapılandırıldığı Active Directory ile yönetilen belirli yetkilerin tanımlandığı veya kısıtlandığı bir sistemdir. Bu alanda bulunan kullanıcılar çalışanlar, yöneticiler, üçüncü parti kullanıcılar gibi hizmetleri kapsayabilir.

Saldırganların asıl amacı yüksek düzeyde ayrıcalıklara sahip olan hesapları ele geçirerek veya güvenlik ihlali sağlayarak sistem içerisinde hareket alanını genişletebilir, yeni parola oluşturabilir, yeni kullanıcı ekleyebilir, yetkilerini artırabilir böylelikle sistemi tehlike altına atabilir.Bu saldırıları önlemek sürekli olarak kontrollerin sağlanması, olay günlüklerinin analizi yapılmalıdır. Sistem içerisinde düzenli olarak denetimi sağlanmalıdır

Etki alanı hesapları için örnek olaylar;

APT29 , Rusya’nın Dış İstihbarat Servisi’ne (SVR) atfedilen tehdit grubudur. Genellikle Avrupa ve NATO üyesi ülkelerdeki hükümet ağlarını, araştırma enstitülerini hedef almaktadırlar. Güvenliği ihlal edilmiş ağlarda işlemleri kolaylaştırmak ve daha hızlı hareket edebilmek yönetici hesapları da dahil olmak üzere bu hesaplar üzerinden saldırılar düzenlemektedirler.
APT3 , Çin merkezli bir tehdit grubudur. Amaçları güvenliği ihlal edilmiş hesapların kimlik bilgilerini kullanarak diğer hesaplara erişmek için yaptıkları işlemlerdir.

2.1. Local Accounts

Bir kurumun tarafından kullanıcılar tarafından kullanılmak üzere oluşturulmuş, sistem içerisinde yönetim yapılandırılmaları ile alakalı işlemlerin yapılması için yapılandırılmış Hesaplardır. Local olan hesaplar OS Credential Dumping yoluyla ayrıcalıkları yükseltmek ve kimlik bilgilerini toplamak için kötüye kullanılabilir.

Saldırganların bu gibi hesaplara ulaşması ile parolanın yeniden oluşturulması, yetki yükseltme gibi sistem üzerinde ve makinede hesapların kötüye kullanılmasına yol açabilir. Bu durumun en aza indirgenmesi için kullanıcıların yetki düzeyleri belirlenmeli ve her hesaba geniş yetkiler tanımlanmamalıdır. Saldırganların kalıcılık sağlamaması için düzenli olarak kontrollerin sağlanması anormal aktiviteler ve mesai dışında oturum açmış olan hesapların aktiviteleri kontrol edilmelidir.

Local hesaplar için örnek olaylar;

APT32 , güvenliği ihlal edilmiş olan ve meşru olarak kullanılan yönetici hesabı kimlik bilgilerini kullanmıştır.
Cobalt Strike , kötü amaçlı yazılımı çalıştırmak için ve işlemleri local bir hesap üzerinden yapmak için kimlik bilgilerini kullanabilir.

2.1. Cloud Accounts

Bulut hesapları, kullanıcılar, hizmetler, bulut hizmeti sağlayıcısı ve SaaS uygulaması gibi içinde bulunan kaynakların yönetimini, yapılandırılmasını ve yönetimini sağlayan hesaplardır. Sistem için bazen bulut hesapları, Windows Active Directory gibi geleneksel kimlik yönetim sistemiyle birleştirilebilir.

Bulut hesapları ilk erişimi elde etmek için kullanılabilir. Saldırganlar tarafından bulut hesaplarının kullanılmasının nedenleri sistem içerisinde bulunan kimlik bilgileri, çevrimiçi depolama hesaplarından ve veri tabanlarındaki hassas, kritik olan verileri toplamak için kullanırlar. Saldırganların etki alanı hesaplarına erişimi gibi bulut hesaplarına erişimi de sistem içerisinde daha kolay hareket etmesine olanak sağlar. Hesapların anormal davranışlarını, mesai saatleri dışında olan aktiviteleri ve hassas bilgilere erişimi için yaptığı işlemler incelenmelidir.

Cloud hesaplar için örnek olaylar;

APT28, güvenliği ihlal edilmiş Office 365 hizmet hesaplarını kullanarak gelen kutusundan bulunan e-postaları toplanmasına ve incelenmesini sağlamışlardır.
APT33, uç noktaların kontrolünü sağlamak için güvenliği ihlal edilmiş Office 365 hesaplarını kullanmıştır.

2.1. Valid Accounts Tekniğini Tespit Etme

· Yeni bir kullanıcının oturum açması,

· Yeni bir kullanıcının yetkili bir sisteme eklenmesi,

· Kullanıcının oturum açma türü,

· Oturum açmada tespit edilen anormallikler,

· Oturum açarken oluşan meta veriler,

· Kullanıcın birden fazla oturum açma girişimi,

· Mesai saatleri dışında ve normal olmayan saatlerde giriş yapılan hesaplar,

· Kullanıcının kimlik bilgilerini kullanarak bir ağa veya bilgi işlem kaynaklarına erişim elde etme girişimi şeklinde sıralanabilir.

2.2. Valid Accounts Tekniğini İçin Alınabilecek Önlemler

Valid Accounts tekniğinin sistem içerisinde kullanımını azaltmak ve önlemek için yapılabilecek bazı sıkılaştırma örnekleri, teknikleri mevcuttur.

· Uygulamalar geliştirilirken dikkat edilmesi gereken bir nokta ise uygulamaların hassas verileri veya kimlik bilgilerini güvenli bir şekilde saklanması gerektiğidir. Kodda bulunan hassas veriler düz metin olarak kullanılmamalıdır.

· Şifre politikaları için kullanıcılar için oluşturulan kullanıcı adı ve parola değerleri varsayılan değerlerinden en kısa zamanda değiştirilmelidir. Parolalar güçlü, kırılması zor olarak belirlenmelidir. Kullanıcıların parolaları periyodik olarak güncellenmelidir ve güvenlik altına alınmalıdır.

· Ayrıcalıklı Hesap Yönetimi için belirlenen etki alanlarını düzenli olarak kontrol edilmesi gerekir. Çünkü saldırganın içeride yaptığı kimlik bilgilerini ihlal ettiği bir hesabının yetkisini yükseltme gibi durumlar ile karşılaşılabilir. Hesaba tanımlanan geniş yetkiler sistem içerisinde saldırganın kolay hareket etmesini sağlar ve bu sistem açısından kritik bir risk teşkil edebilir. Kontroller sağlanırken dikkat edilmesi gereken ve bakılması gereken durumlardan bazıları; varsayılan hesapların etkinleştirilip etkinleştirilmediği, yeni hesapların oluşturulup oluşturulmadığı, yetkilendirilmesi sağlanmayan hesapların oluşturulup oluşturulmadığına da dikkat edilmelidir. Yönetim katmanında verilen yetkilerin kontrol edilmesi sistemde verilen yetkilerin olası bir atak veya tehlike ile karşılaşıldığında minimum düzeyde etkilenmesi şeklinde ayarlanmalıdır.

· Kullanıcıların hesaplarına erişirken çok faktörlü kimlik doğrulama yöntemlerini kullanmalarını ve oturumu açarken kısa iletilerle doğrulama mesajları gönderilmelidir. Kullanıcıların yalnızca gerçek ileti veya bildirimlere kabul etmesi gerektiği konusunda bilgilendirilmelidir.

Bu tekniği kullanan bazı gruplar;

APT18 aktörleri, harici uzak hizmetlerde oturum açmak için kimlik bilgilerini kullanmışlardır.
APT29 ,uzaktan erişim için güvenliği ihlal edilmiş olan farklı kimlik bilgilerini kullanmışlardır.
FIN5 sistemde erişimi sürdürmek için meşru olan VPN, RDP,VNC gibi kimlik bilgilerini kullanmışlardır.

Sonuç olarak düzenli denetimler sağlanmalı, normal olmaya davranışlar en kısa sürede araştırılmalı ve incelenmelidir. Sistemin güvenliği açısından alınabilecek önemler bir saldırı yaşanmadan alınmalıdır.

3. VALID ACCOUNTS ANALİZ AŞAMALARI

Valİd Accounts analizinde L1,L2,L3 gözünden nelere dikkat edilmesi gerektiği hangi aşamalara önem verilmesi gerektiği konusunda analizleri aşağıda verilmiştir.

3.1. Valid Accounts L1 Analizi

· İşlemi yapan kişinin yetkili bir kullanıcı olup olmadığı kontrol edilebilir.

· Yeni kullanıcı ekleyen veya yetkisini arttıran kullanıcı hesabı ile iletişime geçip bilgisi dâhilinde olup olmadığı konusunda teyit amaçlı bilgi isteyebilir.

· Sistem de oluşan valid accounts alarmı üzerinde hangi kullanıcının kullanıcı eklediği veya çıkardığı işleme bakılabilir.

· Eklenen kullanıcının hangi gruba ve yetkilere sahip bir şekilde eklendiğini kontrol edebilir.

· Eklenen kullanıcının adına sistem içerisinde daha önceden benzer adların olup olmadığını kontrol edebilir.

· Valid accounts alarmı üzerinde işlem yapıldığında hangi zaman diliminde yapıldığını kontrol edilebilir.

· İşlem yapıldığından eklenen kullanıcının sistem içerisinde ki hareketleri kontrol edilebilir.

Yukarıda bulunan işlemlerden şüpheli bir aktivite tespit edildiğinde l2’ye eskale edilir.

3.2. Valid Accounts L2 Analizi

· İşlemi yapan kişinin bilgisi dâhilinde olmayan bir kullanıcı oluşturulduysa hemen bilgisi olmayan kişinin yetkileri sınırlanır. Kullanıcı hesabının parolası değiştirilebilir.

· Yeni oluşturulan hesabın yetkileri tamamen kısıtlanır. Oluşturulan kullanıcının silinmesi için gerekli bilgilendirmeler yapılarak kritik olarak işlem sınırlandırılabilir.

· Oluşturulan hesabın ve güvenliği ihlal edilen kullanıcının sistem içerisinde son zamanlarda yaptığı aktiviteler tespit edilmelidir. Şüpheli durumlarda veya dışarıya aktarılan bir iletişim olup olmadığı, yeni kullanıcıların ve yetki tanımlanan hesapların aktiviteleri kontrol edilebilir.

· Hesabın sistem içerisinde önemli verilere erişmek için herhangi bir aktivite yapıp yapmadığı kontrol edilebilir.

· Harici veya üçüncü parti bir durum da kullanıcıların yetkileri tekrar kontrol edilmesi sağlanabilir.

· Yukarıda bulunan işlemlerden şüpheli bir aktivite tespit edildiğinde l3’e eskale edilir.

3.3. Valid Accounts L3 Analizi

· Kullanıcının ne gibi verilere eriştiği konusunda adli bir inceleme yapılabilir. Herhangi bir iletişim, veri aktarımı söz konusuysa konuyla ilgilenilir.

· Kullanıcının bağlantısı, bilgisayarı inceleme haline alınabilir.

· Saldırganın yaptığı işlemlerin başlangıcının nereden geldiğini, sisteme nasıl eriştiği konusunda bilgiler edinilebilir.

· Kaynaklanan açığın en kısa sürede giderilmesi için gerekli aksiyonlar alınabilir.

· Sistem içerisinde yetkili kişiler ile iletişime geçip kullanıcı hesaplarının yetkileri ince detaylarına kadar kontrol edilmesi sağlanabilir. Herhangi bir açıklık veya anormallik tespit edildiğinde gerekli aksiyonlar alınabilir.

· Kural düzenlenmesi sağlanabilir.

· Adli incelemeler ve alınabilecek aksiyonlar düşünülerek sistemin en az hasar ile zayıflıkların giderilmesi sağlanır.