Kerberoasting Saldırılarına Giriş
Kerberoasting, Windows Active Directory (AD) ortamlarında Kerberos ağ kimlik doğrulama protokolünden faydalanan bir saldırıdır. Bu saldırı, Kerberos kimlik doğrulama sürecinin çeşitli aşamalarından yararlanarak gerçekleşir. Sürecin aşamaları şu şekildedir:
- AS-REQ: Kullanıcı, kimlik doğrulama yapmak için Ticket Granting Ticket (TGT) talep eder.
- AS-REP: Kimlik doğrulama sunucusu, kullanıcının kimlik bilgilerini doğruladıktan sonra TGT sunar.
- TGS-REQ: Kullanıcı bir hizmete erişim istedikçe daha önce aldığı TGT ile Ticket Granting Service Ticket (TGS) talep eder. Bu işlem, etki alanı denetleyicisinde Windows Olay 4769 olarak kaydedilir.
- TGS-REP: TGS, talebi doğrular ve talep edilen hizmete ilişkin bir TGS sunar; bu, hizmet hesabının şifre hash’i kullanılarak şifrelenir.
- KRB-AP-REQ: Kullanıcı, TGS biletini uygulama sunucusuna gönderir; bu aşamada uygulama sunucusu, kullanıcının geçerliliğini kontrol eder ve istenen hizmete erişim izni verir.
Saldırganlar, Kerberos hizmet biletlerini şifreleyen hizmet hesabı parolası hash’lerinin kırılmasından faydalanarak bu süreci istismar etmeye çalışırlar. LDAP (Lightweight Directory Access Protocol) kullanarak dizinden Service Principal Name (SPN) ile ilişkili etki alanı hesaplarını sorgulayan bir saldırgan, bu hesaplar için TGS biletleri talep edebilir. Bu talep, herhangi bir yönetici yetkisi gerektirmeden gerçekleştirilebilir ve ardından bu biletlerin hash’ini çevrimdışı ortamda kırarak hizmet hesabı bilgilerine ulaşabilir.
Geleneksel Heuristik Yöntemlerin Yetersizlikleri
Çoğu kuruluş, düzensiz Kerberos davranışlarını işaretlemek amacıyla çeşitli heuristik tabanlı tespit yöntemleri kullanmaktadır. Yaygın bir yöntem, TGS isteklerinde birindeki artışın takibi ile ilgili hacim bazlı tespit yöntemidir. Eğer bir saldırgan, LDAP kullanarak bulduğu tüm SPN’ler için TGS biletleri talep ederse, bu yöntemin sonucu kayda değer bir pik olarak belirlenecektir.
Bir diğer yöntem ise şifreleme türü analizidir. Bu analiz, bir saldırganın TGS bileti şifrelemesini varsayılan AES’ten daha zayıf bir tür olan RC4 veya DES’e düşürme girişimlerini tespit edebilir. Fakat bu iki yöntem, genellikle yanlış pozitiflerden kurtulamaz ve her bir kuruluşun alan yapılandırmalarına özgü alışkanlıkları ve düzensizlikleri göz önünde bulundurmaz.
Kerberoasting Saldırıları İçin İstatistiki Bir Model
Geleneksel yöntemlerin yetersizliklerini göz önünde bulundurarak, BeyondTrust araştırma ekibi anomali tespit yeteneklerini artıracak ve yanlış pozitifleri azaltacak bir yöntem arayışına girmiştir. Bu bağlamda, istatistiksel modelleme en verimli yöntem olarak belirlenmiştir. Oluşturulan bir model, bağlamsal veri desenlerine dayalı olasılık dağılımını tahmin edebilecek bir yapı üzerine kurulmuştur. Normal kullanıcı davranışlarının tahmini, anormalliklerin belirlenmesinde anahtar rol oynamaktadır.
Ekip, önerilen istatistiksel model için dört temel kısıt belirlemiştir:
- Açıklanabilirlik: Çıktının kolayca yorumlanabilir olması.
- Belirsizlik: Örnek boyutunu ve tahminlerdeki güveni yansıtan bir yapı.
- Ölçeklenebilirlik: Model parametrelerini güncellemek için ihtiyaç duyulan veri depolama ve bulut altyapısını sınırlama kapasitesi.
- Değişkenlik: Zaman içinde eğilimler veya veri değişikliklerine uyum sağlama yeteneği.
BeyondTrust araştırma ekibi, bu kısıtlarla uyumlu bir modeli geliştirmiştir. Bu model, benzer bilet talep desenlerini ayıran kümeler oluşturarak, zaman içindeki belirli aktivite seviyelerinin sıklığını takip etmek için histogram kutuları kullanmıştır. Amaç, her küme için ‘normal’ olanın neye benzediğini öğrenmekti.
Kerberoasting İstatistiksel Modelinin Sonuçları
Ekip, modeli 50 gün boyunca, yaklaşık 1,200 saatlik değerlendirme süresi ile test etmiştir. Elde edilen bulgular şöyledir:
- İşlem süreleri her zaman 30 saniye altında kalmış, histogram güncellemeleri, kümeleme işlemleri, puan hesaplamaları ve sonuç depolama hızlı bir şekilde gerçekleştirilmiştir.
- Zamanla bağımsız olan anomali örüntülerinin tanımlanması sağlanmış, örnekleme pencere güncellemeleri ile tüm aşamalar başarıyla tamamlanmıştır.
- Aşırı değişkenliği olan hesaplarda ise anomali puanlarının dinamik olarak aşağı çekildiği görülmüştür; bu hız, standart anomali tespit yöntemlerinden çok daha fazla bir adaptasyon sunmuştur.
Sonuç olarak, BeyondTrust araştırma ekibi bu başarıyı sağlarken, güvenlik uzmanlığıyla gelişmiş istatistik tekniklerini birleştirmiştir. İstatistikçiler, değişken davranışları dikkate alan uyumlu bir model oluşturabilirken, güvenlik araştırmacıları uyarılan olaylardaki dikkate değer özellikler için gerekli bağlamı sağlayabilirler.
Güvenlik Takımlarının Karşılaştığı Zorluklar
Güvenlik ekipleri, sürekli artan karmaşıklık ve ölçekle başa çıkmak adına, daha akıllı ve daha bağlam odaklı tespit modelleri geliştirmek zorundadırlar. Proaktif kimlik güvenliği önlemleriyle desteklenen yeni tespit yetenekleri, Kerberoasting gibi saldırıların önüne geçme noktasında büyük fayda sağlayabilir.
Bu tür önlemler, kimlik tehdit tespiti ve yanıtı (ITDR) yetenekleri sağlayan çözümlerle daha da etkili hale gelebilir. Böylelikle, hizmet prensiplerinin yanlış kullanımına bağlı olarak Kerberoasting’e karşı savunmasız hesapların belirlenmesi sağlanır.
