Kerberoasting
Önemli bilgiler
- Son yıllarda kerberoasting, ağ penetrasyon testlerinin %20'sinden fazlasında kullanılan bir teknik olarak tespit edilmiştir, bu da saldırganlar arasındaki popülerliğini göstermektedir. (Kaynak: Sans Enstitüsü)
- Kerberoasted bir parolayı kırmak için ortalama süre, güçlü GPU dizilerinin kullanımıyla önemli ölçüde azalır ve güçlü parola politikalarına olan ihtiyacı vurgular. (Kaynak: Hashcat)
Kerberos nasıl çalışır?
Kerberos kimlik doğrulama süreci, bir ağa erişim talep eden kullanıcıların veya hizmetlerin kimliğini doğrulamak için bir dizi adımı içerir. İletişimin bütünlüğünü sağlamak için bilet istekleri, doğrulama ve güvenli anahtar alışverişini içerir.
Kerberos, Anahtar Dağıtım Merkezi (KDC) olarak bilinen güvenilir bir üçüncü taraf varlık kullanarak anahtarları dağıtır. KDC, oturum anahtarlarını istemci ve sunucu arasında güvenli bir şekilde paylaşarak yetkisiz varlıkların erişim kazanmasını önler.
Altın Bilet saldırıları
Kerberos Altın Bileti, Kerberos kimlik doğrulama sistemindeki güvenlik açıklarından yararlanılarak oluşturulabilen güçlü ve potansiyel olarak kötü niyetli bir eserdir. Siber güvenlik bağlamında Altın Bilet, bir saldırgana bir ağa uzun vadeli ve sınırsız erişim sağlayan sahte bir Bilet Verme Bileti (TGT) anlamına gelir.
Saldırgan, Sahte Bilet Verme Bileti (TGT / Altın bilet) veya ele geçirilmiş bir hesap kullanarak ağdaki bir hizmete (SPN) erişim talep edebilir. Bu hizmet, örneğin bir SQL hizmet hesabı gibi yüksek ayrıcalıklı bir hizmet hesabıyla ilişkilendirilir. Anahtar Dağıtım Merkezi (KDC), Hizmet Hesapları parolasının genel anahtarı ile şifrelenmiş bir hizmet bileti düzenleyecektir. Saldırgan daha sonra bu hizmet biletini Hashcat veya John The Ripper'a aktarılabilecek bir hash'e dönüştürebilir ve ardından şifreyi çevrimdışı olarak kırmaya devam edebilir. Bu saldırı, hizmet hesapları için kötü parola hijyenine, parolaların hizmet hesapları arasında yeniden kullanılmasına, hizmet hesapları için parolaların süresinin dolmamasına ve hatta Active Directory'deki eski SPN girişlerinin kaldırılmamasına dayanır.
Kerberoasting için Avcılık
Ağınızda Kerberoasting 'in potansiyel kanıtlarını aramak için iyi bir başlangıç noktası Vectra Recall'ın Kerberoasting Dashboard'udur. Bu gösterge tablosu, çevrimdışı olarak kırılabilecek zayıf şifrelere (RC4) sahip bilet yanıtlarını izler. Tipik olarak, zayıf şifrelerin kullanımı ortamınızda minimum düzeyde olmalıdır, buradaki herhangi bir örnekte olduğu gibi, ortamınızda bu panoyu daha az etkili hale getiren çok sayıda Kerberos RC4 isteği olabilir.
Bu gösterge tablosuna baktığınızda, zayıf RC4 şifresinin tüm kullanıcılarını gösteren bir üst grafik göreceksiniz, kuruluşunuzda hiç kimse bu zayıf şifreyi kullanmadığı için bu grafiğin boş olması gerekir, ancak bu şekilde de görünebilir. Bu Kerberos işlemlerinin hepsinin meşru iş durumlarından kaynaklandığını söylemek güvenlidir, bu nedenle göstergede her IP'nin yanındaki "-" simgesine tıklayarak bu örnekleri grafikten gizlemeye çalışmalısınız.
En sık meydana gelen sunucuları gizledikten sonra, araştırılması gereken net bir aykırı değer içeren aşağıdaki gibi bir grafik görmelisiniz.
Bu sunucu IP'sine tıklayın ve yalnızca buna odaklanmak için "+" simgesine tıklayın ve bu gösterge tablosunun altında, bu sunucuya istekte bulunan istemcileri hızlı bir şekilde görebileceksiniz ve tek bir istemci bu sunucuya karşı çok sayıda istekte bulunduysa, verilen zaman diliminde başka şüpheli etkinlik olup olmadığını belirlemek için LDAP ve RPC gibi diğer meta veri kaynaklarına dönmelisiniz.
Kerberoasting ile ilgili tespitlerimiz hakkında daha fazla bilgi:
Ağınızı kerberoasting'e karşı korumak, güçlü parola politikaları, dikkatli izleme ve sürekli eğitimin bir kombinasyonunu gerektirir. Vectra AI , kerberoasting ve diğer kimlik bilgisi hırsızlığı tekniklerini gösteren şüpheli etkinliklerin tespit edilmesine yardımcı olabilecek gelişmiş güvenlik çözümleri sunar. Savunmanızı güçlendirmek ve kimlik doğrulama protokollerinizin ve hizmet hesaplarınızın bütünlüğünü sağlamak için bizimle iletişime geçin.
Daha fazla siber güvenlik temelleri
Sıkça Sorulan Sorular
Kerberos kimlik doğrulama protokolü nedir?
Kerberos kimlik doğrulama protokolü, güvenli olmayan bir ağ üzerinden iletişim kuran düğümlerin kimliklerini güvenli bir şekilde birbirlerine kanıtlamalarına izin vermek için gizli anahtar kriptografisi kullanan bir ağ kimlik doğrulama sistemidir. Windows Active Directory ortamlarında yaygın olarak kullanılır.
Kerberoasting saldırısı nasıl çalışır?
Kerberoasting saldırısı, bir saldırganın önce normal bir kullanıcı olarak ağa erişim kazanmasını içerir. Daha sonra Active Directory'de Hizmet Asıl Adları (SPN'ler) ile kayıtlı olan hizmet hesaplarını listeler. Saldırgan bu hesaplar için hesabın parolası kullanılarak şifrelenmiş TGS biletleri talep eder. Bu biletler daha sonra hesabın düz metin parolasını keşfetmek için çevrimdışı olarak kırılabilir.
Başarılı bir kerberoasting saldırısının sonuçları nelerdir?
Başarılı bir kerberoasting saldırısı, tehlikeye atılan hizmet hesabının sahip olduğu erişim düzeyine bağlı olarak ağın hassas alanlarına yetkisiz erişime, veri ihlallerine, ağ içinde yanal hareketlere ve ayrıcalıkların artırılmasına yol açabilir.
Kuruluşlar kerberoasting faaliyetini nasıl tespit edebilir?
Kuruluşlar, özellikle yönetici olmayan kullanıcılar tarafından yapılanlar olmak üzere, hizmet hesapları için olağandışı hacimde TGS taleplerini izleyerek veya ağ trafiğinde toplu bilet taleplerini gösteren anormal modelleri belirleyerek kerberoasting etkinliğini tespit edebilir.
Hangi stratejiler kerberoasting saldırılarını önlemeye yardımcı olabilir?
Önleyici stratejiler şunları içerir: Hizmet hesapları için güçlü, karmaşık parolalar uygulamak ve bunları düzenli olarak değiştirmek. Kayıtlı Hizmet Asıl Adları (SPN'ler) olan hizmet hesaplarının sayısını sınırlamak. Kaba kuvvet girişimlerini engellemek için Hesap Kilitleme Politikaları kullanmak. Kerberoasting'e işaret eden şüpheli faaliyetleri izlemek ve uyarmak için Gelişmiş Tehdit Analitiği (ATA) veya benzer araçlar kullanmak.
Çok faktörlü kimlik doğrulama (MFA) kerberoasting riskini azaltabilir mi?
MFA kullanıcı hesabı güvenliğini artırmak için etkili bir önlem olsa da, kerberoasting saldırıları özellikle kimlik doğrulama için MFA kullanmayan hizmet hesaplarını hedef alır ve diğer koruyucu önlemleri bu tür saldırılara karşı savunmak için daha uygun hale getirir.
Hizmet hesapları için düzenli parola denetimi ve karmaşıklığı ne kadar önemlidir?
Düzenli parola denetimi ve hizmet hesapları için parola karmaşıklığının zorunlu kılınması, kerberoasting'e karşı kritik savunmalardır. TGS bileti bir saldırgan tarafından ele geçirilse bile güçlü ve karmaşık parolaların kırılması çok daha zordur.
Kurumlar şüpheli veya doğrulanmış bir kerberoasting saldırısına nasıl yanıt vermelidir?
Kuruluşlar, ele geçirilen tüm hizmet hesaplarının parolalarını derhal sıfırlamalı, saldırgan tarafından elde edilen erişimin kapsamını belirlemek için kapsamlı bir güvenlik denetimi yapmalı ve gelecekteki olayları önlemek için güvenlik politikalarını ve uygulamalarını gözden geçirmeli ve güçlendirmelidir.
Kerberoasting'in önlenmesinde güvenlik farkındalığı eğitiminin rolü nedir?
Güvenlik farkındalığı eğitimi, yöneticileri ve BT personelini kerberoasting saldırılarının doğası, hizmet hesapları için güvenli parola uygulamalarının önemi ve kimlik doğrulama ve yetkilendirme süreçlerinin dikkatli bir şekilde izlenmesi ihtiyacı hakkında bilgilendirerek çok önemli bir rol oynar.
Gelecekteki hangi gelişmeler kerberoasting saldırılarının yaygınlığını veya tespitini etkileyebilir?
Gelecekteki gelişmeler, Kerberos biletlerinin istismar edilmesini zorlaştıran şifreleme ve kimlik doğrulama mekanizmalarındaki ilerlemelerin yanı sıra anormal kimlik doğrulama taleplerini daha etkili bir şekilde tespit etmek ve bunlara yanıt vermek için yapay zeka ve makine öğrenimi teknolojilerindeki iyileştirmeleri içerebilir.