Microsoft Defender for Identity (Network mapping reconnaissance (DNS)) Atak ve Sonuçları

                Şöyle bir senaryomuz var; local ağımızda bulunan bir DNS sunucusu üzerinde DNS Zone Transfer zafiyeti bulunmaktadır. Bununla alakalı içeride bulunan DNS sunucumuzu zorladığımızda Microsoft Defender for Identity ürünümüz bakalım ne gibi bir uyarıda bulunacak. Senaryo işlerken tıpkı bir hacker gibi davranarak içeride bulunan DNS Zone Transfer zafiyetini tespit etmeye çalışacağım. Tabi buradaki amaç zafiyet bulunduktan sonra bu zafiyeti sömürmek değil sadece bilgi toplama kısmıdır. Yapı hakkında detaylı bilgi elde etmemizi sağlayacak.

Öncelikle elimde sadece bir domain adresi (orcasec.cf) bulunmaktadır ve bununla alakalı hiç bir fikrim bulunmamaktadır.

Yukarıda ki görselde görüldüğü gibi bu domain adresine Ping atarak ilgili siteye ait IP adresini öğrenmeye çalışıyorum.

IP adresini öğrendikten sonra Nmap araç ile agresif bir port taramasına giriyorum. Bunun neticesinden 53 UDP portunun açık olduğunu buna bağlı olarak içeride bir DNS sunucusunu olduğunu hatta bir Active Directory makinası üzerinde bu zafiyetin olduğunu öğreniyorum.  

Şimdi ise dig aracım ile içeride bir DNS Zone Transfer zafiyeti olduğunu öğreniyorum. Sunucu üzerinde neredeyse tüm DNS kayıtlarına ulaştım. Yapı hakkında bilgileri toplamaya başladım. Tabi bu bilgiler benim daha önceden belirttiğim gibi yapı hakkında bir fikir sahibi olmamı sağlayacaktır.

Şimdi ise Microsoft Defender for Identity tarafına döndüğümde medium olarak Network mapping reconnaissance (DNS) uyarısı veriyor.

Ayrıntılarına baktığımda ise AXFR isteklerinin gönderildiğini görüyorum. Buda yapımız içerisinde bir DNS Zone Transfer zafiyetinin olduğunu anlıyoruz.

Test etmek için NMAP aracını kullanacağım. DNS Zone Transfer sorgusunu NMAP aracı ile orcasec.cf domain ismi için çektiğimde, DNS kayıtlarına erişiyorum.

Microsoft Defender for Identity tarafını kontrol ettiğimde her iki domain için de (cybercloud.mpy Active Directory üzerinde bulunan etki alanı ismidir) sorguların geldiğini görüyorum. Yukarıdaki görselde sorguların hangi IP adresleri üzerinden geldiğini görebiliyorum. Tabi bu IP adresleri gerçek bir IP adres olmadığı ihtimaller arasında. 😊

Ayrıca kullandığım mail adresine bilgilendirme düşmüş durumdadır.

Çözüm;

Eğer DNS sunucunuz üzerinde bir DNS Zone Transfer işlemine izin vermeniz gerekiyorsa bunu sadece IP adresini bildiğiniz DNS sunucularına izin vermeniz daha mantıklı olacaktır. Dışardan herhangi bir sorgu gönderildiğinde DNS kayıtlarınıza ulaşılmayacaktır.

Başka yazılarda görüşmek üzere…  

Mehmet Parlakyiğit
Kıdemli Satış Mühendisi / Arena Bilgisayar

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kategoriler