Bir siber güvenlik uzmanı veya pentester olarak Active Directory (AD) ortamlarını test ederken, amacımız genellikle Domain Admin yetkilerine ulaşmaktır. Ancak bazen Domain Controller (DC) sunucusuna fiziksel veya uzaktan (RDP/WinRM) erişim sağlamadan da tüm krallığın anahtarlarını çalmak mümkündür. İşte tam bu noktada sahneye DCSync çıkar.

Bu yazımızda, AD yapılarının korkulu rüyası olan DCSync saldırısının mantığını, nasıl gerçekleştirildiğini ve bu saldırıdan nasıl korunulacağını teknik detaylarıyla inceleyeceğiz.

DCSync Nedir? Bir Zafiyet mi, Yoksa Özellik mi? DCSync, aslında Microsoft'un bir hatası veya bugı değildir. Active Directory'nin çalışması için zorunlu olan yasal bir özelliğin (Replication) kötüye kullanılmasıdır.

Active Directory ortamlarında birden fazla Domain Controller (DC) varsa, bu sunucuların veritabanlarını sürekli birbirleriyle eşitlemesi gerekir. Örneğin, bir kullanıcı parolasını değiştirdiğinde bu bilginin diğer DC'lere de gitmesi şarttır. Bu işlem DRS (Directory Replication Service) protokolü üzerinden yapılır.

DCSync saldırısında saldırgan, Domain Controller'a gidip "Merhaba, ben de senin gibi bir Domain Controller'ım. Lütfen veritabanındaki (krbtgt dahil) tüm hassas verileri senkronizasyon için bana gönder," der. Eğer saldırgan gerekli yetkilere sahipse, gerçek DC bu isteği geri çevirmez ve tüm hash'leri saldırgana altın tepside sunar.

Saldırı İçin Gereksinimler: Kimler Yapabilir? Bu saldırıyı yapmak için sunucuda kod çalıştırmaya (Code Execution) gerek yoktur. Ancak saldırganın ele geçirdiği kullanıcının şu özel yetkilere (Extended Rights) sahip olması gerekir:

DS-Replication-Get-Changes

DS-Replication-Get-Changes-All

Varsayılan olarak bu yetkiler sadece Domain Admins, Enterprise Admins ve Domain Controllers gruplarında bulunur. Ancak bazen yanlış yapılandırmalar sonucu servis hesaplarına veya standart kullanıcılara bu yetkiler yanlışlıkla verilebilir.

Saldırı Aşaması: Hazineyi Çalmak DCSync saldırısını gerçekleştirmek için en popüler iki araç Mimikatz ve Impacket kütüphanesidir.

1. Mimikatz ile DCSync Eğer Windows ortamında ve domain'e dahil bir makinedeyseniz, efsanevi araç Mimikatz'ı kullanabilirsiniz. Aşağıdaki komut, krbtgt kullanıcısının bilgilerini çeker:

Bash

mimikatz # lsadump::dcsync /domain:egotistical-bank.local /user:krbtgt

Bu komutun çıktısında krbtgt hesabının NTLM hash'ini göreceksiniz. Bu hash ile Golden Ticket oluşturabilir ve domainde kalıcı (persistence) olabilirsiniz.

2. Impacket ile Uzaktan DCSync (Linux/Kali) Eğer saldırıyı dışarıdan (örneğin Kali Linux üzerinden) yapıyorsanız, impacket-secretsdump en iyi dostunuzdur.

PowerShell

impacket-secretsdump -just-dc domain/user:password@<Target_IP>

-just-dc: Sadece NTDS.dit verisini (DCSync) çek ve SAM/LSA ile uğraşma demektir.

-just-dc-user (kullanıcı): Tüm veritabanını çekmek yerine sadece spesifik bir kullanıcının (örn. Administrator) verisini çeker. Bu, ağ trafiğini azaltır ve yakalanma riskini düşürür.

Neden Çok Tehlikeli?

İz Bırakmaz (Neredeyse): Saldırgan DC üzerine herhangi bir zararlı yazılım yüklemez. Her şey meşru protokoller üzerinden gerçekleşir.

KRBTGT Hesabı: Bu saldırı ile krbtgt hash'ini çalan saldırgan, istediği kullanıcı adına sahte Kerberos biletleri TGT üretebilir. Şifrenizi değiştirseniz bile saldırganın erişimi kesilmez.

Tüm Hashler: Saniyeler içinde binlerce kullanıcının şifre hash'i elinizde olur. Bunları kırmak (cracking) için offline olarak GPU sunucularınıza atabilirsiniz.

Mavi Takım: DCSync Nasıl Tespit Edilir?

DCSync sinsi bir saldırı olsa da tamamen görünmez değildir.

Ağ İzleme: Domain Controller olmayan bir IP adresinden, Domain Controller'a doğru gelen DRSUAPI (RPC) trafiği şüphelidir.

Event Logs (Olay Günlükleri): DC üzerinde Event ID 4662 (An operation was performed on an object) logları incelenmelidir. Özellikle Access Mask alanında 0x100 (Control Access) değeri içeren ve Properties kısmında yukarıda bahsettiğimiz replikasyon GUID'lerini (1131f6aa... ile başlayanlar) barındıran loglar, DCSync denemesini işaret eder.

Sonuç

DCSync, Active Directory'nin en güçlü özelliklerinden birinin, saldırganlar tarafından en güçlü silaha dönüştürülmüş halidir. Bir siber güvenlik uzmanı olarak bu saldırıyı anlamak, sadece "nasıl hacklerim" sorusuna değil, "nasıl korurum" sorusuna da cevap verebilmek için kritiktir.

Not: Bu yazı tamamen eğitim amaçlıdır. Anlatılan teknikleri sadece izinli olduğunuz sistemlerde (CTF, Pentest projeleri vb.) uygulayınız.