Rapid7'nin son vaka analizinde paylaştığı SharePoint saldırısı, modern APT gruplarının kullandığı teknikleri ve saldırı zincirini detaylı şekilde ortaya koyuyor. Bu vakayı özellikle incelemeye değer kılan, saldırganların kullandığı sofistike yöntemler ve iki haftalık tespit edilemeyen aktiviteleri. Gelin hep birlikte bu aktivitelerin detaylarına bakalım.
Saldırı zinciri, SharePoint sunucusunda CVE-2024-38094 zafiyetinin istismarıyla başlıyor. Saldırganlar, 18.195.61[.]200 IP adresinden gelen GET ve POST istekleriyle zafiyeti tetikleyerek ghostfile93.aspx adlı bir web shell yüklemişler. Bu web shell üzerinden yerel yönetici hesabına erişim sağlanması, saldırının ilk aşamasını oluşturuyor.
Lateral hareket fazında saldırganların kullandığı araç seti oldukça kapsamlı: Impacket kullanımı engellenince, yaratıcı bir yaklaşımla Horoung Antivirüs yazılımını devreye sokarak mevcut güvenlik çözümlerini devre dışı bırakmışlar. C:\\ProgramData\\VMware\\ klasörüne yerleştirdikleri msvrp.exe (Fast Reverse Proxy) aracıyla NAT arkasındaki sisteme dış erişim tüneli oluşturmuşlar.
Etki alanı (Active Directory) keşfi ve yetki yükseltme aşamasında ADExplorer64.exe, NTDSUtil.exe ve nxc.exe araçlarını kullanmışlar. Everything.exe ile NTFS dosya sistemini indeksleyerek hassas dosyaları taramışlar. Özellikle dikkat çeken nokta, 66.exe (yeniden adlandırılmış Mimikatz) ve Certify.exe kullanarak ADFS sertifikası oluşturmaları ve kerbrute_windows_amd64.exe ile Kerberos ticketlarını kaba kuvvet(bruteforce) saldırılarına tabi tutmaları.
Savunma mekanizmalarını etkisiz hale getirme konusunda sistematik bir yaklaşım sergilemişler: Windows Defender Threat Detection'ı devre dışı bırakmış, hrsword install.bat betiği ile Huorong AntiVirus'ü yükleyerek sysdiag servisi üzerinden sistem güvenliğini bypass etmişler. Logların silinmesi ve sistem loglarının devre dışı bırakılması da saldırının iz temizleme aşamasının bir parçası.
Bu vaka, modern siber saldırıların ne kadar çok katmanlı ve karmaşık olabileceğini gösteriyor. Başarılı bir savunma için yalnızca zafiyet yönetimi değil, aynı zamanda güçlü bir olay tespiti ve müdahale mekanizması, derinlemesine log analizi ve anormal davranış tespiti kritik önem taşıyor. Özellikle dışa açık sistemlerde zafiyet taramaları, güvenlik duvarı politikalarının sıkılaştırılması ve yetki yönetiminin sürekli gözden geçirilmesi şart.
Investigating a SharePoint Compromise: IR Tales from the Field | Rapid7 Blog
Our investigation uncovered an attacker who accessed a server without authorization and moved laterally across the network, compromising the entire domain.