Forum

Exchange zero-day a...
 
Bildirimler
Hepsini Temizle

Exchange zero-day atağı ve kullanıcıyı tespit etmek

2 Yazılar
2 Üyeler
0 Reactions
875 Görüntüleme
(@tevfikceydeliler)
Gönderiler: 65
Estimable Member
Konu başlatıcı
 

Merhaba,

Dün SIEM üzerinde bir zero-day atağı tespit ettik. Saldırı 401 aldığı için başarılı değil.  Aşağıdaki log  bu tespitin kaydı.

Ancak, hangi kullanıcı adı, şifre vs kullanılarak yapıldığını bulamadım henüz.

2022-10-04 15:30:22 W3SVC2 EXCHXXXX 10.X.Y.Z GET /owa/ &Email=autodiscover/autodiscover.json%[email protected]&ClientId=B60E3BCD91094265AB2562A329CE5FC5&ClientRequestId=&ActID=cd08a103-aaac-4c2f-b1e0-dd31832a56b4&Forest=yasar&CorrelationID=<empty> 444 - 10.A.B.C HTTP/1.1 Mozilla/5.0+(Windows+NT+10.0;+rv:68.0)+Gecko/20100101+Firefox/68.0 - - exchxxxx.company.grp:444 401 0 0 2003 858 17

Buradaki ClientId kısmından faydalanarak kullanıcı adına vs erişebilmek için nasıl bir yol izlemeliyim. Ya da başka bir yöntem önerebilir msiniz?

Teşekkürler.

 
Gönderildi : 05/10/2022 11:37
Konu Etiketleri

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33320
Illustrious Member Yönetici
 

Maalesef, ClientId kısmından kullanıcı adına veya şifreye erişmeniz mümkün değil. Bu ClientId, EWS (Exchange Web Services) istemcisi tarafından otomatik olarak oluşturulan bir benzersiz kimlik numarasıdır ve bu istekle bağlantılı olan bir istek kimliği olarak kullanılır.

401 hatası, isteği yapan kullanıcının doğru kimlik doğrulama bilgileri olmadığı anlamına gelir. Bu durumda, kullanıcının kimliğini belirlemek için farklı yöntemler deneyebilirsiniz:

  1. EWS istemcisine kimlik doğrulaması için kullanılan hesap bilgilerini kontrol edin.

  2. EWS istemcisi tarafından kullanılan IP adreslerini kontrol edin ve bu IP adreslerini izleyin.

  3. Exchange sunucusu üzerindeki logları inceleyin ve bu isteği yapan kullanıcının kimliğini belirlemeye çalışın.

  4. 401 hatalarının kaydı tutuluyorsa, bu hataların izlenmesi ve analiz edilmesi yararlı olabilir.

Unutmayın ki zero-day saldırılarının tespiti genellikle zor ve zaman alıcı bir süreçtir. Olaylar ve loglar üzerinde ayrıntılı bir inceleme yapmak ve birden fazla kaynaktan bilgi toplamak gerekebilir. Bu nedenle, diğer logları ve kaynakları da incelemeyi deneyebilirsiniz.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 24/03/2023 09:12

Paylaş: