M365 Apps & Services MVP

Microsoft 365Microsoft Defender for Identity

Microsoft Defender for Identity (Network mapping reconnaissance (DNS)) Atak ve Sonuçları

Mehmet PARLAKYİĞİT

    Şöyle bir senaryomuz var. Local ağımızda bulunan bir DNS sunucusu üzerinde DNS Zone Transfer zafiyeti bulunmaktadır. Bununla alakalı içeride bulunan DNS sunucumuzu zorladığımızda Microsoft Defender for Identity ürünümüz bakalım ne gibi bir uyarıda bulunacak seneryo işlerken tıpkı bir hacker gibi davranarak içeride bulunan DNS Zone Transfer zafiyetini tespit etmeye çalışacağım. Tabii burada ki amaç zafiyet bulunduktan sonra bu zafiyeti sömürmek değil sadece bilgi toplama kısmıdır. Yapı hakkında detaylı bilgi elde etmemizi sağlayacak.

Öncelikle elimde sadece bir domain adresi (orcasec.cf) bulunmaktadır ve bununla alakalı hir bir fikrim bulunmamaktadır.

Yukarıda ki görselde görüldüğü gibi bu domain adresine Ping atarak ilgili siteye ait ip adresini öğrenmeye çalışıyorum.

Ip adresini öğrendikten sonra Nmap araç ile agresif bir port taramasına giriyorum. Bunun neticesinden 53 UDP portunun açık olduğunu buna bağlı olarak içeride bir DNS sunucusunu olduğunu hatta bir Active Directory makinası üzerinde bu zafiyetin olduğunu öğreniyorum.

Şimdi ise dig aracım ile içeride bir DNS Zone Transfer zafiyeti olduğunu öğreniyorum. Sunucu üzerinde neredeyse tüm dns kayıtlarına ulaştım. Yapı hakkında bilgileri toplamaya başladım. Tabii bu bilgiler benim daha önceden belirttiğim gibi yapı hakkında bir fikir sahibi olmamı sağlayacaktır.

Şimdi ise Microsoft Defender for Identity tarafına döndüğümde medium olarak Network mapping reconnaissance (DNS) uyarısı veriyor.

Ayrıntılarına baktığımda ise AXFR isteklerinin gönderildiğini görüyorum. Buda yapımız içerisinde bir DNS Zone Transfer zafiyetinin olduğunu anlıyoruz.

Test etmek için NMAP aracını kullanacağım. DNS Zone Transfer sorgusunu NMAP aracı ile orcasec.cf domain ismi için çektiğimde, DNS kayıtlarına erişiyorum.

Microsoft Defender for Identity tarafını kontrol ettiğimde her iki domain içinde (cybercloud.mpy Active Directory üzerinde bulunan etki alanı ismidir.) sorguların geldiğini görüyorum. Yukarıda ki görselde sorguların hangi ip adresleri üzerinden geldiğini görebiliyorum. Tabii bu ip adresleri gerçek bir ip adres olmadığı ihtimaller arasında.

Ayrıca kullandığım mail adresine bilgilendirme düşmüş durumdadır.

Çözüm;

Eğer DNS sunucunuz üzerinde bir DNS Zone Transfer işlemine izin vermeniz gerekiyorsa bunu sadece ip adresini bildiğiniz DNS sunucularına izin vermeniz daha mantıklı olacaktır. Dışardan herhangi bir sorgu gönderildiğinde dns kayıtlarınıza ulaşılmayacaktır.

Mehmet PARLAKYİĞİT

Office Apps & Services MVP | Arena Bilgisayar A.Ş'de Microsoft Satış Mühendisi olarak çalışmakta.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.