Hibrit Saldırı Bülteni: Salt Typhoon - Telco Siber Saldırılarında Sessiz Fırtına >

Vectra AI Japonya、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger simgesi üst satır
Hamburger simgesi orta çizgi
Hamburger simgesi alt satırı
Saldırı Tekniği

LDAP Sorgusu

LDAP, kurumsal bir ortamdaki kullanıcıları, cihazları ve hizmetleri yönetmek için yaygın olarak kullanılan bir protokoldür. Kimlik ve erişim yönetiminin önemli bir parçasıdır, ancak saldırganların keşif yapması, ayrıcalıkları artırması ve veri sızdırması için de bir yol olabilir.

Tanım
Nasıl çalışır
Saldırganlar bunu neden kullanır?
Algılama
Sıkça Sorulan Sorular
Tanım

LDAP sorgusu nedir?

Basit Dizin Erişim Protokolü (LDAP) sorgusu, bir dizin hizmetinden bilgi talep eden bir komuttur. Uygulamaların Active Directory gibi hizmetlerdeki verilere hızlı bir şekilde erişmesine ve bu verileri korumasına olanak tanır ve kuruluşlar tarafından kullanıcı hesaplarını, cihazları ve erişim kontrolünü yönetmek için yaygın olarak kullanılır. Aynı zamanda saldırganlar tarafından kullanıcı kimlik bilgilerini ve diğer hassas verileri almak için kullanılan bir tekniktir.

Nasıl çalışır

LDAP enjeksiyon saldırıları nasıl çalışır?

Bir LDAP saldırısı, bir saldırgan LDAP sorgusuna kötü amaçlı kod enjekte ettiğinde gerçekleşir. SQL enjeksiyonları gibi, uygun girdi doğrulamasının olmamasından yararlanır ve saldırganın mantığını değiştirmek için özel karakterler ekleyerek sorguyu manipüle etmesine olanak tanır. Sonuç olarak, saldırgan şunları yapabilir:

  • Kimlik doğrulamayı atlatma: Saldırganlar, gerçek kullanıcı adlarını ve parolaları bilmeden oturum açmak için sorguları manipüle edebilir.
  • Ayrıcalıkları yükseltmek: Saldırganlar, yüksek ayrıcalıklara sahip hizmet hesaplarını ve kullanıcıları belirlemek ve ayrıcalıkları artırmak için güvenlik açıklarından veya yanlış yapılandırmalardan yararlanmak için LDAP sorgularını kullanır.
  • Veri sızdırma: Saldırganlar, dizinden kullanıcı adlarını, parolaları ve diğer gizli verileri çıkarmak için aşırı veya olağandışı LDAP sorguları kullanır.
  • Dizini numaralandırın: Saldırganlar genellikle kullanıcı ve grup üyeliklerini numaralandırmak ve AD ortamının haritasını çıkarmak için LDAP sorgularını kullanır.
  • Kimlik bilgilerini toplamak: Kötü amaçlı LDAP sorguları, parola ilkeleri, parola süresinin dolması ve hesap kilitleme ilkeleri hakkında bilgi toplamak için kullanılabilir ve saldırganların parola saldırılarına hazırlanmasını sağlar.

LDAP sorguları sırasında toplanan bilgiler genellikle saldırganların daha karmaşık taktikler planlamasına ve başlatmasına yardımcı olur. Aşırı durumlarda, bir saldırgan dizin hizmetleri üzerinde tam kontrol elde etmeye çalışır ve bu da ağ kaynaklarına ve sistemlerine yaygın erişimle sonuçlanır.

LDAP sorgu enjeksiyon işlemi
Saldırganlar bunu neden kullanır?

Saldırganlar neden LDAP dizinlerini hedef alır?

Saldırganlar LDAP dizinlerini hedef alır çünkü bunlar genellikle kullanıcı hesapları ve ağ yapısı hakkında hassas bilgiler içerir. LDAP sorguları bir saldırının ilk aşamalarında kullanıcılar, gruplar, bilgisayarlar ve bir dizin hizmeti içindeki diğer nesneler hakkında bilgi toplamanın bir yolu olarak kullanılır.

Platform Tespitleri

LDAP sorgu tehditleri nasıl önlenir ve tespit edilir

Güvenlik ekiplerinin kötü niyetli LDAP arama sorgularını durdurmak için atabileceği en önemli adım tehdit tespiti ve müdahalesidir. Bununla birlikte, çeşitli önleme tedbirleri LDAP tabanlı tehditlerin tehdidini azaltmaya yardımcı olabilir. Bunlar şunları içerir:

  • Rol tabanlı erişim denetimleri (RBAC): Hangi hesapların LDAP sorguları gerçekleştirebileceğini kısıtlayın ve hassas özniteliklere erişimi sınırlayın. Grup üyelikleri ve parola öznitelikleri gibi kritik bilgilere yalnızca ayrıcalıklı hesapların erişimi olmalıdır.
  • Ağ segmentasyonu: Saldırganların yanlara doğru hareket etmesini ve LDAP sunucunuzu sorgulamasını daha zor hale getirmek için hassas dizin hizmetlerini genel ağ trafiğinden ayırın.
  • ‍Şifreleme: İletim sırasında müdahaleyi veya kurcalamayı önlemek için LDAP trafiğinin SSL üzerinden LDAP (LDAPS) kullanılarak şifrelendiğinden emin olun.
  • Güçlü kimlik doğrulama ve izleme: Ayrıcalıklı hesaplar için çok faktörlü kimlik doğrulama (MFA) uygulayın ve etkinliği yakından izleyin. Bu, saldırganların LDAP sorguları gerçekleştirmek için çalıntı kimlik bilgilerini kullanmasını zorlaştırır.
  • Sık denetimler: Yanlış yapılandırma veya kötüye kullanım belirtisi olmadığından emin olmak için LDAP izinlerini ve sorgu modellerini düzenli olarak denetleyin.

Bir saldırgan ağa erişim sağladığında, tehditleri tam kapsamlı bir ihlalle sonuçlanmadan önce tespit etmek ve bunlara yanıt vermek için dakikalarınız vardır. Önemli olan LDAP trafiğini gerçek zamanlı olarak analiz ederek güvenlik analistlerinin Active Directory tehditlerini hızla tespit edip ele almalarını sağlamaktır. 

Bunu yapmanın bir yolu LDAP trafiğini izlemek ve günlüğe kaydetmektir. Olağandışı modeller için LDAP günlüklerini düzenli olarak toplayın ve analiz edin. Bazı kuruluşlar, önceden tanımlanmış kurallara dayalı olarak şüpheli sorguları işaretlemek için SIEM'lere güvenir.

Bununla birlikte, daha etkili bir yöntem, şüpheli LDAP sorgularını tespit etmek için yapay zeka odaklı davranışsal analitikten yararlanmaktır. Vectra AI Platformu bunu, daha sonra potansiyel kötü niyetli faaliyeti gösteren sapmaları işaretlemek için kullanabileceği normal LDAP etkinliğinin bir temelini oluşturarak yapar.

Öğe bulunamadı.
Tüm tespitleri keşfedin

Gelişmiş tespitlerle ağınızı koruyun

Şüpheli LDAP Sorgusu tespiti, Vectra AI Platformunda bulunan ve ilgili MITRE ATT&CK tekniklerinin %90'ını kapsayan düzinelerce gelişmiş yapay zeka güdümlü tespitten biridir. Birlikte, güvenlik ekiplerini hem bilinen hem de bilinmeyen saldırıları ilerlemelerinin erken aşamalarında önlemek için donatırlar.

Platformu Keşfedin
Daha fazla bilgi edinin

Sıkça Sorulan Sorular