Golden Certificate, Active Directory Certificte Services (AD CS) ihlalinin üzerine inşa edilen bir kalıcılık tekniğidir.
İçindekiler
Golden Certificate Nedir?
Zararlı aktörler, bir Active Directory Certificte Services ‘ne (CA) yönetici erişimi sağladığında, bir CA sertifikası ve özel anahtar çıkarabilirler. Elde edildikten sonra, bu bilgiler domain içindeki diğer kullanıcı nesnelerini taklit etmek için geçerli sertifikalar oluşturmak amacıyla kullanılabilir. Kök veya alt sertifika yetkilisinden CA sertifikası ve özel anahtar, yedekleme amaçları için tasarlanmış yerleşik yönetim araçları veya Mimikatz, Seatbelt ve SharpDPAPI gibi açık kaynaklı araçlar kullanılarak elde edilebilir. Mimikatz, yeni bir sertifika oluşturmak için de kullanılabilir, ForgeCert da bu amaçla kullanılabilir. Bu araçlarla oluşturulan sertifikalar, çıkarılan CA sertifikasının özel anahtarları tarafından imzalanır ve domain içinde kullanılabilirler. Sertifikalar iptal edilene kadar geçerli kalır; düzenli olarak iptal edilmezlerse, zararlı aktörlerin ağda sürekli var olmasını sağlayan sürekli geçerli sertifikalar ortaya çıkabilir.
Golden Certificate Mitigation
Golden Certificat saldırısını azaltmak için hem kök hem de alt sertifika yetkililerini güvence altına almak gereklidir. Kritik rolleri nedeniyle, CA’lar diğer kritik sunucular gibi güvenlikle donatılmalıdır; örneğin, Domain Controller gibi. Bu, CA’lara erişimi olan kullanıcı nesnelerinin sayısını en aza indirme, CA’ları yalnızca AD CS için kullanma ve CA’ların ihlal belirtileri için izlenmesi anlamına gelir.
Golden Certificata’ya karşı alınması gereken güvenlik önlemleri:
- Çok Faktörlü Kimlik Doğrulama (MFA): Sistemlerin ayrıcalıklı kullanıcılarını kimlik doğrulamak için MFA kullanın. MFA, zararlı aktörlerin çalıntı kimlik bilgileri kullanarak bir CA’ya erişim kazanmasını engelleyerek bir CA sertifikası ve özel anahtarın çıkarılmasını önleyebilir.
- Uygulama Kontrolü Uygulama: CA’lar üzerinde etkili bir uygulama kontrol konfigürasyonu, Mimikatz gibi zararlı yürütülebilir dosyaların çalıştırılmasını önler.
- Donanım Güvenlik Modülü (HSM) Kullanma: CA’lar için anahtar materyalini korumak amacıyla HSM kullanın. Bir HSM kullanıldığında, CA’lar için özel anahtar yedeklenemez ve zararlı aktörler tarafından dışa aktarılamaz.
- AD CS CA’larına Erişimi Sınırlama: Yalnızca erişim gerektiren ayrıcalıklı kullanıcılara AD CS CA’larına erişim izni verin. Bu, Domain Admins güvenlik grubundan daha az kullanıcı olabilir ve zararlı aktörlerin bir CA’ya erişim kazanma şansını azaltır.
- AD CS CA Sunucularına Ayrıcalıklı Erişim Yollarını Sınırlama: Yalnızca gerekli port ve hizmetlerin kullanıldığı atlamalı sunucular ve güvenli yönetici iş istasyonları aracılığıyla AD CS CA sunucularına ayrıcalıklı erişim yollarını sınırlayın. AD CS sunucuları, Microsoft’un ‘Enterprise Access Model’ içinde ‘Tier 0’ varlık olarak sınıflandırılır.
- AD CS CA Sunucularını Yalnızca AD CS İçin Kullanma: Herhangi bir güvenlikle ilgili olmayan hizmet veya uygulama yüklemeyin. Bu, AD CS CA sunucularının saldırı yüzeyini azaltır çünkü daha az hizmet, port ve uygulama, bir AD CS CA sunucusunun ihlal edilmesi için kullanılabilir.
Golden Certificate Tespit Etme
Golden Certificate’nın tespiti zordur çünkü bir CA sertifikası ve özel anahtarının ilk yedeği ve dışa aktarılmasını tespit etmeyi gerektirir. AD CS CA’lar, bazı olayların denetim günlüğünü etkinleştirecek şekilde yapılandırılabilir; ancak, CA sertifika yedeklerinin görünürlüğü hala zordur.
AD CS CA Olay Denetimi Nasıl Yapılandırılır?
AD CS CA olay denetimi varsayılan olarak etkin değildir. AD CS CA’lar için denetim günlüğünü yapılandırmak için:
- CA’lar için Group Policy altında Sertifika Hizmetleri için ‘Audit object access’ seçeneğini etkinleştirin. Bu, Security Policy altındaki ‘Advanced Audit Policy Configuration’ içinde bulunabilir.
- CA özellikleri içindeki Denetleme sekmesinde ‘‘Backup and restore the CA database’ seçeneğini denetlenecek olaylar olarak etkinleştirin.
Olay 4876, CA veritabanının tam bir yedeğinin istendiği zaman tetiklenir. Bu, yedekleme sihirbazında ‘Certificate database and certificate database log’ seçeneği seçildiğinde gerçekleşir. Eğer yalnızca ‘Public Key ve CA sertifikası’ seçeneği seçilirse, bu olay üretilmez. Bu nedenle, tüm yedekleme girişimlerini tespit etmek için bu olaya güvenilemez.
Windows CAPI2 günlükleri, sertifika dışa aktarma olaylarını yakalayabilir. Bu günlük, CA’lar üzerinde Event Viewer içinde etkinleştirilmelidir. Etkinleştirildiğinde, bir CA sertifikası ve özel anahtarının herhangi bir yedeği, Acquire Certificate Private Key’ olarak etiketlenmiş olay 70’i üretir.
Golden Certificate Tespit Eden Event ID’ler
Olay Kimliği | Kaynak | Açıklama |
---|---|---|
70 | CAPI2 logs on the root and subordinate CAs – Kök ve alt CA’lar üzerindeki CAPI2 günlükleri | Bu olay, bir sertifika dışa aktarıldığında üretilir. Bu olay, ‘konuAdı’ alanının bir CA sertifikası ile eşleşip eşleşmediğini kontrol etmek için filtrelenmelidir. |
1102 | Root and subordinate CAs – Kök ve alt CA’lar | Bu olay, ‘Güvenlik’ denetim günlüğü temizlendiğinde üretilir. Tespit edilmemek için zararlı aktörler, faaliyetlerinin kanıtlarını ortadan kaldırmak için bu denetim günlüğünü temizleyebilir. Bu olayı analiz etmek, bir AD CS CA’nın ihlal edilip edilmediğini belirlemeye yardımcı olabilir. |
4103 | Root and subordinate CAs – Kök ve alt CA’lar | Bu olay, PowerShell yürütüldüğünde ve boru hattı yürütme detaylarını günlüğe kaydettiğinde üretilir. Certutil ve Mimikatz gibi yaygın araçlar PowerShell kullanır. Bu olayın analizi, bu araçlarla ilişkili PowerShell yürütmesi için bir Altın Sertifika’ya işaret edebilir. |
4104 | Root and subordinate CAs – Kök ve alt CA’lar | Bu olay, PowerShell komutlarını ve scriptlerini yakalamak için kod yürütüldüğünde üretilir. Certutil ve Mimikatz gibi yaygın araçlar PowerShell kullanır. Bu olayın analizi, bu araçlarla ilişkili PowerShell yürütmesi için bir Altın Sertifika’ya işaret edebilir. |
4876 | Root and subordinate CAs – Kök ve alt CA’lar | Bu olay, CA veritabanının yedeği başlatıldığında tetiklenir. Bu, özel anahtarın dışa aktarılması için herhangi bir günlüğe dönmez, ancak bir CA’da meydana gelebilecek diğer potansiyel şüpheli faaliyetlerin bir göstergesi olabilir. |
Bu olayların tespiti ve analizi, bir Golden Certificate varlığını belirlemenin yanı sıra, potansiyel bir AD CS CA ihlalinin erken uyarı işaretleri olarak işlev görebilir.