Önemli bilgiler

  • Son yıllarda kerberoasting, ağ penetrasyon testlerinin %20'sinden fazlasında kullanılan bir teknik olarak tespit edilmiştir, bu da saldırganlar arasındaki popülerliğini göstermektedir. (Kaynak: Sans Enstitüsü)
  • Kerberoasted bir parolayı kırmak için ortalama süre, güçlü GPU dizilerinin kullanımıyla önemli ölçüde azalır ve güçlü parola politikalarına olan ihtiyacı vurgular. (Kaynak: Hashcat)

Kerberos nasıl çalışır?

Kerberos kimlik doğrulama süreci, bir ağa erişim talep eden kullanıcıların veya hizmetlerin kimliğini doğrulamak için bir dizi adımı içerir. İletişimin bütünlüğünü sağlamak için bilet istekleri, doğrulama ve güvenli anahtar alışverişini içerir.

Kerberos, Anahtar Dağıtım Merkezi (KDC) olarak bilinen güvenilir bir üçüncü taraf varlık kullanarak anahtarları dağıtır. KDC, oturum anahtarlarını istemci ve sunucu arasında güvenli bir şekilde paylaşarak yetkisiz varlıkların erişim kazanmasını önler.

Altın Bilet saldırıları

Kerberos Altın Bileti, Kerberos kimlik doğrulama sistemindeki güvenlik açıklarından yararlanılarak oluşturulabilen güçlü ve potansiyel olarak kötü niyetli bir eserdir. Siber güvenlik bağlamında Altın Bilet, bir saldırgana bir ağa uzun vadeli ve sınırsız erişim sağlayan sahte bir Bilet Verme Bileti (TGT) anlamına gelir.

Saldırgan, Sahte Bilet Verme Bileti (TGT / Altın bilet) veya ele geçirilmiş bir hesap kullanarak ağdaki bir hizmete (SPN) erişim talep edebilir. Bu hizmet, örneğin bir SQL hizmet hesabı gibi yüksek ayrıcalıklı bir hizmet hesabıyla ilişkilendirilir. Anahtar Dağıtım Merkezi (KDC), Hizmet Hesapları parolasının genel anahtarı ile şifrelenmiş bir hizmet bileti düzenleyecektir. Saldırgan daha sonra bu hizmet biletini Hashcat veya John The Ripper'a aktarılabilecek bir hash'e dönüştürebilir ve ardından şifreyi çevrimdışı olarak kırmaya devam edebilir. Bu saldırı, hizmet hesapları için kötü parola hijyenine, parolaların hizmet hesapları arasında yeniden kullanılmasına, hizmet hesapları için parolaların süresinin dolmamasına ve hatta Active Directory'deki eski SPN girişlerinin kaldırılmamasına dayanır.

Kerberoasting için Avcılık

Ağınızda Kerberoasting 'in potansiyel kanıtlarını aramak için iyi bir başlangıç noktası Vectra Recall'ın Kerberoasting Dashboard'udur. Bu gösterge tablosu, çevrimdışı olarak kırılabilecek zayıf şifrelere (RC4) sahip bilet yanıtlarını izler. Tipik olarak, zayıf şifrelerin kullanımı ortamınızda minimum düzeyde olmalıdır, buradaki herhangi bir örnekte olduğu gibi, ortamınızda bu panoyu daha az etkili hale getiren çok sayıda Kerberos RC4 isteği olabilir.

Bu gösterge tablosuna baktığınızda, zayıf RC4 şifresinin tüm kullanıcılarını gösteren bir üst grafik göreceksiniz, kuruluşunuzda hiç kimse bu zayıf şifreyi kullanmadığı için bu grafiğin boş olması gerekir, ancak bu şekilde de görünebilir. Bu Kerberos işlemlerinin hepsinin meşru iş durumlarından kaynaklandığını söylemek güvenlidir, bu nedenle göstergede her IP'nin yanındaki "-" simgesine tıklayarak bu örnekleri grafikten gizlemeye çalışmalısınız.

Kerberoasting gösterge paneli

En sık meydana gelen sunucuları gizledikten sonra, araştırılması gereken net bir aykırı değer içeren aşağıdaki gibi bir grafik görmelisiniz.

kerberoasting tespi̇ti̇

Bu sunucu IP'sine tıklayın ve yalnızca buna odaklanmak için "+" simgesine tıklayın ve bu gösterge tablosunun altında, bu sunucuya istekte bulunan istemcileri hızlı bir şekilde görebileceksiniz ve tek bir istemci bu sunucuya karşı çok sayıda istekte bulunduysa, verilen zaman diliminde başka şüpheli etkinlik olup olmadığını belirlemek için LDAP ve RPC gibi diğer meta veri kaynaklarına dönmelisiniz.

Kerberoasting ile ilgili tespitlerimiz hakkında daha fazla bilgi:

> Kerberos Hesap Taraması

> Kerberos Brute-Sweep

Kerberoasting: Vectra AI platformunda SPN Sweep Dashboard
Kerberoasting: SPN Süpürme Gösterge Tablosu
Kerberoasting: Zayıf Şifre Talebi
Kerberoasting: Zayıf Şifre Talebi

Ağınızı kerberoasting'e karşı korumak, güçlü parola politikaları, dikkatli izleme ve sürekli eğitimin bir kombinasyonunu gerektirir. Vectra AI , kerberoasting ve diğer kimlik bilgisi hırsızlığı tekniklerini gösteren şüpheli etkinliklerin tespit edilmesine yardımcı olabilecek gelişmiş güvenlik çözümleri sunar. Savunmanızı güçlendirmek ve kimlik doğrulama protokollerinizin ve hizmet hesaplarınızın bütünlüğünü sağlamak için bizimle iletişime geçin.

Daha fazla siber güvenlik temelleri

Sıkça Sorulan Sorular

Kerberos kimlik doğrulama protokolü nedir?

Kerberoasting saldırısı nasıl çalışır?

Başarılı bir kerberoasting saldırısının sonuçları nelerdir?

Kuruluşlar kerberoasting faaliyetini nasıl tespit edebilir?

Hangi stratejiler kerberoasting saldırılarını önlemeye yardımcı olabilir?

Çok faktörlü kimlik doğrulama (MFA) kerberoasting riskini azaltabilir mi?

Hizmet hesapları için düzenli parola denetimi ve karmaşıklığı ne kadar önemlidir?

Kurumlar şüpheli veya doğrulanmış bir kerberoasting saldırısına nasıl yanıt vermelidir?

Kerberoasting'in önlenmesinde güvenlik farkındalığı eğitiminin rolü nedir?

Gelecekteki hangi gelişmeler kerberoasting saldırılarının yaygınlığını veya tespitini etkileyebilir?