Kerberoasting Nedir?
Kerberoasting, günümüzde sıklıkla karşılaşılan bir siber saldırı türüdür. Microsoft Active Directory (AD) üzerinde, hizmet hesaplarını hedef alır ve saldırganların düşük tespit riski ile bu hesapları ele geçirmesine olanak tanır. Saldırılar, meşru hesaplar üzerinden gerçekleştirildiği için oldukça etkili olabilir. Ancak güçlü şifre güvenliği sağlanarak bu tehditlerin önüne geçilebilir.
Kerberoasting, adını AD’de kullanılan ve bir kullanıcının ya da bir bilgisayarın kaynaklara erişim talebini doğrulayan Kerberos kimlik doğrulama protokolünden alır. Bu saldırı, bir standart Windows kullanıcı hesabına sahip bir saldırganın, bir Service Principle Name (SPN) ile ilişkilendirilmiş bir hesabın şifresini çözmeye çalıştığı bir ayrıcalık yükseltme saldırısıdır. Başarılı olursa, hedeflenen hesapla bağlantılı mimarinin herhangi bir parçasını tehdit edebilir.
Saldırı Süreci
Kerberoasting saldırısının nasıl işlendiğini anlamak için beş ana aşamaya bakmak gerekir:
Kullanıcı Hesabı Kullanımı: Saldırgan, AD’deki mevcut bir Windows kullanıcı hesabını kullanarak saldırıya başlar. Bu hesaba erişim, genellikle kimlik avı ya da zararlı yazılımlar gibi geleneksel yöntemlerle elde edilir.
SPN Tespiti: Saldırgan, GhostPack’in Rubeus gibi araçlar kullanarak, ilişkili bir SPN bulunan AD’deki hesapları belirler. Bu hizmet hesapları, genellikle yüksek düzeyde izinler ya da alan yöneticisi erişimi gibi tehlikeli yetkilere sahiptir.
Hizmet Bileti Talebi: Kontrol ettikleri hesapla, saldırgan AD’deki ticket granting service (TGS) üzerinden bir hizmet bileti talep eder. Bu bilet, hedef hesabın şifresinin hash’i ile şifrelenmiştir ve SPN içermektedir.
Hizmet Biletinin Çalınması: Saldırgan, bileti çevrimdışı alır ve böylece faaliyetlerini gizler. Bu aşamada, anormal bir ağ trafiği oluşmaz.
Şifre Kırma: Son olarak, saldırgan brute force teknikleri kullanarak SPN şifre hash’ini çözmeye çalışır. Başarılı olursa, düz metin hizmet hesabı şifrelerine erişir ve bu hesap üzerinden her türlü bilgiye ulaşma yetkisi elde eder.
Verizon’un Veri İhlal İnceleme Raporu, çalıntı kimlik bilgilerinin %44.7 oranında ihlallere neden olduğunu ortaya koymaktadır.
Saldırgan Avantajları
Kerberoasting, çeşitli aşamalar içeren karmaşık bir süreç olmasına rağmen, saldırganlar için önemli avantajlar sunmaktadır:
Herhangi bir Hesap Kullanılabilir: Saldırganlar, AD üzerinden bilet talep edebilmek için herhangi bir kullanıcı hesabını kullanabilir. Bu, saldırganı her zaman tehlikeli kılar.
Çevrimdışı Kırma: Şifre hash’ini çevrimdışı çözmeye çalışıldığından dolayı, saldırganlar çok sayıda deneme yapabilir. John the Ripper veya Hashcat gibi araçlar bu amaçla kullanılabilir.
Antivirüslere Bağımlılık Yok: Kerberoasting, zararlı yazılım kullanmadığı için geleneksel çözümler, yani antivirüs yazılımları etkisiz kalmaktadır.
Active Directory’yi Nasıl Korursunuz?
Kerberoasting’in siber suçlular için neden bu kadar cazip olduğunu görmek kolaydır. Ancak, kuruluşlar AD’lerini korumak için atabilecekleri adımlar vardır:
Güçlü SPN Şifreleri Oluşturun: Her SPN etkin hesabın uzun, rastgele ve tekrar kullanılmayan şifrelerle korunması gerekir. 25 karakterden daha uzun şifreler, Kerberoasting saldırılarının başarılı olma şansını büyük ölçüde azaltır.
SPN Ayak İzini Azaltın: Mevcut SPN hesaplarını denetlemek ve tekrarlanan hesapları birleştirip devre dışı bırakmak akıllıca bir yaklaşımdır. Bireysel SPN kimlik bilgilerini koruma sayısını en aza indirmek hedeflenmelidir.
Yetki Kontrolü: Hizmet hesaplarını yalnızca ihtiyaç duydukları izinlerle sınırlayın ve yüksek yetkili grupta yer almamalarını sağlayın. Ayrıca, ayrık yönetim modelleri, ele geçirilen SPN’lerin alan genelinde ayrıcalıklara yükseltilmesini engelleyebilir.
Kerberos Trafiğini İzleyin: Erken aşamalardaki Kerberoasting keşif çabalarına dikkat edin. Güvenlik bilgileri ve olay yönetimi (SIEM) çözümleri, belirli bir SPN için TGS taleplerinde anormal artışlar gibi olağandışı desenleri algılamak için yapılandırılabilir.
Eski Hesapları Tarayın
Specops Password Auditor, Active Directory ortamınızı proaktif bir şekilde zayıf, yeniden kullanılan ve ele geçirilmiş şifreleri taramanıza olanak tanıyan bir okuma-yazma aracı değildir. Bu araç, alanınızdaki hizmet hesaplarını şifre güvenliği açısından denetlemeye yardımcı olur ve yönetici izinlerine sahip hizmet hesaplarına görünürlük sağlar.
Raporlar, genellikle Kerberoasting saldırılarının başlangıç noktası olan eski hesapların tam bir görünümünü sunar. Bu aracı burada indirebilirsiniz.
Kerberoasting Saldırılarından Korunma
Kerberoasting, çeşitli aşamalara yayılmış karmaşık bir saldırı biçimidir. Ancak ne olursa olsun, şifre güvenliği, savunmanızın merkezindedir.
Bu, iki ana düzeyde işler:
Öncelikle, saldırganlar SPN hesabına bağlı bir hizmet bileti talep edebilmek için manipüle edebilecekleri başka bir kullanıcı hesabına erişim sağlaması gerekmektedir. Bunu genellikle kimlik avı veya zararlı yazılımlar yoluyla gerçekleştirirler. Çok faktörlü kimlik doğrulama (MFA), bu tehditten korumanın anahtarıdır ve şifreler önemli bir bileşendir.
Siz de tüm SPN bağlantılı hesaplarınızın 25 karakter veya daha uzun, güçlü ve benzersiz şifrelerle korunduğundan emin olarak büyük bir adım atabilirsiniz. Bu, Active Directory’nizi korumak için kritik öneme sahiptir.
Specops Password Policy, zayıf şifreleri engellemeyi ve güçlü, benzersiz ifadelerin oluşturulmasını kolaylaştırır. Ayrıca, sürekli olarak AD’nizi 4 milyondan fazla ele geçirilmiş şifre ile karşılaştırmalı olarak tarar ve kullanıcıları eğer şifreleri ele geçirilmişse uyarır.
Bu süreçlerin sizin ortamınıza nasıl entegre edilebileceğini merak ediyor musunuz? Herhangi bir zaman için bizimle iletişime geçebilir ve bir demo talep edebilirsiniz.
