Kerberoasting, özellikle IT profesyonellerinin başında bir beladır. Bu saldırı türü, siber suçluların Active Directory (AD) ortamınızda yetkileri artırmasına ve en yüksek seviyelere ulaşmasına olanak tanır. Ancak, güçlü şifreler, şifreleme yöntemleri ve siber güvenlik politikaları uygulayarak, suçluların harekete geçmelerini engelleyebilirsiniz.
Kerberoasting Nedir?
Kerberoasting, Microsoft’un AD sistemi tarafından kimlik doğrulaması sağlamak için kullanılan ‘Kerberos’ protokolüne dayanmaktadır. Saldırı, bir siber suçlunun, standart bir Windows kullanıcı hesabını ele geçirerek, AD’deki ‘hizmet hesaplarını’ hedef almasını sağlar. Bu hesaplar genellikle yüksek düzeyde izinlere sahip olup, bazı durumlarda alan yöneticisi erişimi içerir.
Kerberoasting Saldırısı Nasıl Gerçekleşir?
Bir saldırganın, normal bir kullanıcı hesabından nasıl hizmet hesabına geçtiğine bakalım. Tehlike, Kerberos’taki bilet verme mekanizmasından kaynaklanmaktadır. Kerberos protokolü, kullanıcı kimlik doğrulama durumunu ‘hizmet bileti’ adı verilen bir mesajla iletir. Her AD hesabına sahip olan kullanıcı, AD’deki herhangi bir hizmet hesabı için bilet talep edebilir.
Hack’ler, bu hesapların tespitini ücretsiz açık kaynak araçlar kullanarak yapabilir. Örneğin, SecureAuth Corporation’ın GetUserSPNs.py veya Ghost Pack’in Rubeus gibi araçlar, bu hesaplarla ilişkilendirilmiş geçerli bir bilet talep edebilirler. Bunun ardından, bir saldırgan biletin şifresini çözmek için bilgisayarında güçlü brute force (kaba kuvvet) teknikleri kullanabilir.
Güvenlik Önlemleri
Olası bir Kerberoasting saldırısını önlemek için atılacak adımlar oldukça önemlidir. İşte bazı önemli önlemler:
Şifre Güvenliği
Hizmet hesapları için kullanılan şifrelerin, rastgele, karmaşık ve en az 25 karakter uzunluğunda olması gerekmektedir. Ayrıca bu şifreler düzenli olarak yenilenmelidir. Bu süreçte, bir şifre denetim aracı kullanmak, AD’deki şifre güvenliği açıklarını belirlemenize yardımcı olabilir.
Grup Yönetimli Hizmet Hesapları (gMSA)
Bu tür hesaplar, birden fazla hizmetin veya sunucunun aynı hesabı kullanmasına olanak tanır. gMSA’lar, 120 karakter uzunluğunda, karmaşık ve rastgele oluşturulmuş şifrelere sahiptir, bu da onları brute force saldırılarına karşı oldukça dayanıklı hale getirir.
AES Şifrelemesi Kullanın
Hizmet hesapları için kullanılan şifreleme algoritmalarının güçlü olması gerekir. Özellikle AES (Gelişmiş Şifreleme Standardı) kullanılan hesaplar, RC4 gibi zayıf algoritmalara göre daha güvenlidir. AES ile korunan hesaplar, siber suçlular için çok daha zor hedeflerdir.
Son Adımlar
Kerberoasting, önemli bir tehdit olmakla birlikte, alınacak önlemlerle etkileri azaltılabilir. İlk adım, SPN’lere sahip kullanıcı hesaplarının denetimini yapmaktır. Kullanımda olmayan hesaplar hemen kaldırılmalıdır. Ayrıca, işletmenizde güçlü şifre politikaları ve siber güvenlik hijyenini teşvik etmek, bu tür saldırıları önlemek için kritik öneme sahiptir.
Başarılı bir siber güvenlik stratejisi oluşturmak, normal kullanıcı hesaplarına yönelik saldırıları da minimize eder. Gelişmiş şifreleme ve güncel tehditlere karşı farkındalık, korunmanızı sağlar. Cybercriminal’lar kolayca erişilebilen araçları kullanarak saldırılara girişiyor, ancak teknolojik savunmalarınız da sizi korumak için yanınızdadır.
Sonuç olarak, güvenli bir Active Directory oluşturmanın ve Kerberoasting tehdidini önlemenin en etkili yolu, düzenli denetimler ve sıkı şifre politikaları uygulamaktır.
