Hibrit Saldırı Bülteni: Salt Typhoon - Telco Siber Saldırılarında Sessiz Fırtına >

Vectra AI Japonya、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger simgesi üst satır
Hamburger simgesi orta çizgi
Hamburger simgesi alt satırı
Saldırı Tekniği

Kerberoasting

Kerberos protokolü, tekrar kullanılan ve güvenli olmayan parolalar riskinizi azaltır, ancak sizi Kerberoasting saldırılarına maruz bırakabilir. İşte bu yaygın saldırı tekniği hakkında bilmeniz gerekenler.

Tanım
Nasıl çalışır
Saldırganlar bunu neden kullanır?
Algılama
Sıkça Sorulan Sorular
Tanım

Kerberoasting nedir?

Kerberoasting kullanıcı kimliklerini doğrulamak için simetrik anahtar kriptografisi ve bir anahtar dağıtım merkezi (KDC) kullanan bir kimlik doğrulama protokolü olan Kerberos'u hedef alan bir saldırı tekniğidir.

Kerberoasting Saldırılar, kimliği doğrulanmış bir etki alanı kullanıcısı benzersiz bir tanımlayıcı olarak hizmet veren bir hizmet asıl adı (SPN) için bir hizmet bileti talep ettiğinde başlar.

Saldırgan, bağlı hizmet hesabı parolasının karmasıyla şifrelenmiş olan hizmet biletini çıkarır. Daha sonra düz metin parolasını kırmaya çalışırlar.

Nasıl çalışır

Kerberoasting nasıl çalışır?

Kerberoasting Saldırılar, Kerberos bilet verme hizmetinden (TGS) erişim belirteçleri talep etmek için kullanılan KDC tarafından verilen bilet verme bileti (TGT) kimlik doğrulama belirtecinden yararlanarak çalışır. Basitçe söylemek gerekirse: Kerberos protokolü, insanlardan sürekli olarak parolaları yeniden girmelerini veya saklamalarını istemenize gerek kalmadan etki alanı kullanıcı hesaplarının kimliğini doğrulamanızı sağlar - ve saldırganlar bunu istismar etmek için özel araçlara sahiptir. Bunu şu şekilde yaparlar:

  1. Hizmet hesaplarını numaralandırma: Ağda zaten bir yer edinmiş olan saldırgan, hizmet hesaplarını numaralandırır. Bunlar genellikle Active Directory'de kayıtlı SPN'lere sahip hesaplardır.
  2. Bilet talep etme: Saldırgan, belirlenen hizmet hesapları için bir hizmet bileti (TGS) talep eder.
  3. Bilet Verme: Etki alanı denetleyicisi, hizmet hesabının parola karması ile şifrelenmiş bir Bilet Verme Hizmeti (TGS) bileti düzenler.
  4. Şifrelenmiş biletleri ayıklama: Kerberos protokolü, hizmet hesabının NTLM karması ile şifrelenmiş verileri içeren şifrelenmiş bir bilet döndürür.
  5. Çevrimdışı Kırma: Saldırgan, şifre karmasını kırmak ve düz metin şifrelerini ortaya çıkarmak için John the Ripper veya Hashcat gibi araçlar kullanır.

Kerberoasting süreci
Saldırganlar bunu neden kullanır?

Saldırganlar neden Kerberoasting

Saldırganlar şunları kullanır Kerberoasting Microsoft Active Directory ortamındaki hizmet hesaplarının karma parolalarını elde etmek için bir teknik olarak. Saldırganlar Kerberos kimlik doğrulamasının çalışma şeklinden faydalanarak bu parola karmalarını çıkarabilir ve çevrimdışı olarak kırmayı deneyebilir. Bu karmaların başarılı bir şekilde kırılması, saldırganlara yükseltilmiş ayrıcalıklar vererek ağ içinde yanlara doğru hareket etmelerini, hassas verilere erişmelerini veya sistemi taviz adresinden daha ileri götürmelerini sağlayabilir.

Saldırganların Kerberoasting adresini kullanmasının nedenleri şunlardır:

Ayrıcalık Yükseltme

  • Yüksek Ayrıcalıklı Hesaplara Erişim: Hizmet hesapları genellikle yükseltilmiş izinlere sahiptir. Kimlik bilgilerini ele geçirmek, saldırganların daha yüksek ayrıcalıklar gerektiren eylemleri gerçekleştirmesine olanak tanır.
  • Yanal Hareket: Hizmet hesaplarına erişim sayesinde saldırganlar ağ içindeki farklı sistemler arasında hareket ederek erişim alanlarını genişletebilirler.

Gizli İstismar

  • Düşük Tespit Riski: Kerberoasting kimliği doğrulanmış herhangi bir etki alanı kullanıcısı tarafından acil güvenlik uyarılarını tetiklemeden çalıştırılabilir çünkü hizmet biletleri talep etmek standart bir davranıştır.
  • Çevrimdışı Şifre Kırma: Şifre kırma işlemi çevrimdışı gerçekleştiğinden, ağ izleme araçları tarafından tespit edilmesini önler.

Zayıf Güvenlik Uygulamalarından Yararlanma

  • Zayıf veya Değiştirilmemiş Parolalar: Hizmet hesabı parolaları genellikle zayıftır veya düzenli olarak değiştirilmez, bu da onları kırılmaya açık hale getirir.
  • Yanlış yapılandırmalar: Yanlış yapılandırılmış hesaplar ve izinler Kerberoasting saldırılarının gerçekleştirilmesini kolaylaştırabilir.

Özel Ayrıcalıklara Gerek Yok

  • Normal Kullanıcılar Tarafından Erişilebilir: Etki alanı erişimi olan herhangi bir kullanıcı hizmet bileti talep edebilir, bu da onu geniş çapta erişilebilir bir saldırı vektörü haline getirir.
  • Ağ Kısıtlamalarını Aşma: Saldırganların Kerberoasting gerçekleştirmek için etki alanı denetleyicisine veya hassas sunuculara doğrudan erişmesi gerekmez.
Platform Tespitleri

Kerberoasting saldırıları nasıl tespit edilir?

Kuruluşunuzu Kerberoasting saldırılarına karşı korumak için erken tespit çok önemlidir. Olağandışı Kerberos trafik modellerini ve bilet taleplerini izlemenin yanı sıra, gerçek taleplerdeki anormallikleri belirlemek için davranış tabanlı tespitleri kullanın. 

Vectra AI iki tür Kerberoasting tespiti sağlar: 

  • SPN Sweep tespiti, Active Directory ortamınızdaki Hizmet Asıl Adlarını (SPN'ler) numaralandırma girişimlerini belirlemeye odaklanır. Bu, saldırganların hedefleyebilecekleri hizmet hesapları hakkında ne zaman bilgi toplayabileceklerini gösterir.
  • Şifre Düşürme tespiti, RC4 şifreleme gibi daha zayıf şifreleme türlerini kullanarak Kerberos biletleri talep etme girişimlerini arar. Bu, saldırganların kırılması daha kolay biletler oluşturmak için sistemi ne zaman manipüle ettiklerini gösterir.

‍HesapTarama tespiti, geçerli kullanıcı hesapları için Kerberos kimlik doğrulama hizmetini sorgulama girişimlerini tanımlar - Kerberoasting için yaygın bir öncüdür.

Algılama
Kerberoasting: SPN Süpürme
Daha fazla bilgi edinin
Algılama
Kerberoasting: Zayıf Şifre Talebi
Daha fazla bilgi edinin
Algılama
Kerberoasting: Hedefli Zayıf Şifre Yanıtı
Daha fazla bilgi edinin
Algılama
Kerberos Brute-Sweep
Daha fazla bilgi edinin
Tüm tespitleri keşfedin

Gelişmiş tespitlerle ağınızı koruyun

Kerberoasting ilgili MITRE ATT&CK tekniklerinin %90'ını kapsayan Vectra AI Platformunda bulunan düzinelerce gelişmiş yapay zeka odaklı tespitten biridir.

Platformu Keşfedin
Daha fazla bilgi edinin

Sıkça Sorulan Sorular