Etki alanı yöneticisi hesabı, Microsoft Active Directory ortamındaki ayrıcalıklı hesapların kutsal kâsesidir. Bir saldırgan, etki alanındaki bir Etki Alanı Yöneticisi hesabını ele geçirebilirse, temelde her şeye erişebilir. Kerberoasting, saldırganların Active Directory içindeki ayrıcalıkları yükseltmek için kullanabileceği bir tekniktir.
Bu makalede kerberoasting’in ne olduğunu, Active Directory’yi savunmasız kılan şeyleri ve nasıl korunacağınızı açıklayamaya çalışacağız.
Kerberos nedir?
Kerberoasting’i anlamak için öncelikle Kerberos’un kendisini anlamalıyız. Kerberos, Microsoft’un Active Directory’sinde kullanılan kimlik doğrulama protokolüdür. Kaynaklara erişim isteyen bir kullanıcının veya bilgisayarın kimliğini doğrulamak için kullanılır. İstemciler, Active Directory’nin Kerberos Anahtar Dağıtım Merkezi’ni (KDC) kullanarak bilet adı verilen özel bir belirteç alırlar.
Active Directory’nin Bilet Verme Bileti (TGT), Bilet Verme Hizmeti (TGS) bileti isteme izinlerini veren mekanizmadır. TGS Bileti daha sonra alan adındaki dosya sunucuları gibi kaynaklara erişmek için kullanılır.
Kerberoasting nedir?
Kerberoasting, Microsoft Active Directory’deki Kerberos kimlik doğrulama protokolünü ve yukarıda açıklanan bilet verme mekanizmasını kullanan bir ayrıcalık yükseltme saldırısıdır. Saldırgan, ayrıcalıklı bir kullanıcının parola karmasına erişim sağlamak için standart bir Windows kullanıcı hesabını kullanabilir.
Suistimal sonrası saldırı tekniği olarak bilinen kerberoasting’in amacı, Hizmet İlkesi Adına (SPN) sahip bir Active Directory hesabı için bir parola karması elde etmektir. SPN, Kerberos hizmetini Active Directory içindeki bir kullanıcı hesabına bağlar. Saldırgan bir SPN için Kerberos bileti ister ve alınan bilet, SPN ile ilişkili hedef hesap parolasının karma değeriyle şifrelenir. Saldırgan daha sonra çevrimdışı çalışarak şifre karmasını kırmaya çalışır ve sonuçta hesabı ve ilgili erişimi ele geçirir.
Bu saldırılar, kötü amaçlı yazılımlara dayanmadıkları için tespit edilmesi zor olabilir, yani antivirüs veya diğer geleneksel çözümler tarafından tespit edilemeyeceklerdir. Onaylanan kullanıcıların davranışlarını analiz etmeyen herhangi bir siber güvenlik çözümü için Kerberoasting’in tespit edilmesi zordur.
Active Directory hizmet hesabı nedir?
Çoğu kuruluş, Windows hizmetlerini Active Directory etki alanı ortamındaki sunucularda çalıştırmak için bir hizmet hesabı kullanır . Genellikle bu hesaplar normal kullanıcılar tarafından kullanılmaz. Bunun yerine yöneticiler bir Active Directory kullanıcı hesabı oluşturacak, parolanın süresinin dolmamasını sağlayacak ve kullanıcı için parola belirleyecektir.
Aşağıda görebileceğiniz gibi Hizmetler konsolunda Windows hizmetine atanmış hizmet hesabını görebilirsiniz.
Bir hizmeti çift tıklarsanız ilişkili hizmet hesabının ayrıntılarını görürsünüz.
Hizmet hesapları genellikle bir sunucuda üst düzey izinlere ve hatta etki alanı yöneticisi erişimine sahip olduklarından tehlikeli olabilir. Genellikle kötü bir şekilde izlenirler ve daha önce bahsedilen araçlar kullanılarak hızla kırılabilen, zayıf ve kolayca ele geçirilebilen parolalarla yapılandırılmış olabilirler.
Kerberoasting nasıl çalışır?
Bir kerberoasting saldırısı gerçekleştirmek için saldırganın, Active Directory’nin bulunduğu kurumsal ağda olması ve bir etki alanı denetleyicisiyle ‘line of sight’ erişimine ve iletişimine sahip olması gerekir. İlk olarak, bir saldırgan standart bir kullanıcı hesabına erişim sağlamak için zayıf kullanıcı kimlik bilgilerinden yararlanabilir ve ardından meşru Active Directory Kerberos hizmet biletini tehlikeye atmak için kerberoasting tekniğini kullanabilir.
Bu saldırının işe yaraması için saldırganın zaten standart bir Windows kullanıcı hesabına erişimi olması gerekir. Saldırganlar, herhangi bir hesap TGS’den bilet talep edebildiği gibi, kerberoasting saldırısı için herhangi bir etki alanı hesabını kullanabilir.
Saldırganlar ortamdaki geçerli bir standart Windows hesabına nasıl erişebilir? Geçerli bir kullanıcı hesabını ortaya çıkarmak için çeşitli yöntemler kullanabilirler. Yöntemlerden birkaçı şunlardır:
- Kimlik avı saldırıları
- Kötü amaçlı yazılım
- İlk erişim aracıları
- Sosyal mühendislik
Saldırgan ağa girdikten sonra Active Directory’deki bilet verme servisinden (TGS) Kerberos servis bileti talep edebilir. Bu süreci kolaylaştıran birçok ücretsiz ve açık kaynaklı araç bulunmaktadır. Örnekler arasında GhostPack’in Rubeus’u veya SecureAuth Corporation’ın GetUserSPNs.py’si yer alır. Bu araçların birçoğu, siber güvenlik sızma testlerini amaçlayan özel amaçlı bir Debian dağıtımı olan Kali Linux’un bir parçası olarak mevcuttur.
Bu komut dosyalarının Active Directory’de çalıştırılması, etki alanındaki SPN’lerle ilişkili tüm kullanıcı hesaplarını arayacak ve etki alanı denetleyicisinden geçerli biletlerini isteyecektir. Etki alanı denetleyicisinden döndürülen bilet, bir NTLM karması ile şifrelenir.
Saldırgan daha sonra Kerberos biletinin döndürülen değerini yakalayacak ve Kerberos biletiyle ilişkili kullanıcı hesabının şifresini kırmak için gökkuşağı tablosu veya kaba kuvvet kullanarak Hashcat veya John the Ripper gibi şifre araçlarını kullanmak için çevrimdışı olarak çalışacaktır.
Antivirüs ve ağ trafiği izlemeyi atlatmak
Kerberoasting’in saldırganlar arasında favori olmasının nedenlerinden biri de saldırıyı çevrimdışı olarak gerçekleştirmelerine olanak sağlamasıdır. Bunun nedeni, antivirüs programlarının engelleyebileceği kötü amaçlı yazılım kullanmamasıdır ve hash’i kırmak için çevrimdışına aldıkları için, olağandışı ağ trafiği veya hesap oturum açma işlemlerini içermez. Böylece, Kerberos bileti karmasını elde etmeye yönelik ilk faaliyetlerden sonra saldırgan, hizmet hesabının parola karmasını kırana kadar tamamen çevrimdışı çalışabilir.
Kuruluşlar kerberoasting saldırılarına karşı nasıl korunabilir?
Saldırıyı gerçekleştirmek için meşru Kerberos işlevselliğini ve bilet verme hizmetini kullandığı için Kerberoasting’e karşı korunmak zor olabilir. Ancak kuruluşların hesap şifrelerini ve hizmet hesabı güvenliğini desteklemek için takip edebilecekleri iyi uygulamalar var. Aşağıdakilere dikkat edin:
- En az ayrıcalık ilkesini izleyin ve yönetici izinlerini idareli bir şekilde verin. Hizmet hesaplarına genellikle yönetim izinleri verilir. Ancak yönetici hakları genellikle herhangi bir zorluğun veya engelin aşılması gerekmediğinde verilir.
- Hizmet hesapları da dahil olmak üzere tüm etki alanı hesabı parolalarını düzenli olarak denetleyin. Hizmet hesapları da dahil olmak üzere Active Directory etki alanı hesap parolalarını denetlediğinizden emin olun. Etki alanında yapılandırılmış hizmet hesaplarına atanmış zayıf parolalar varsa yöneticilerin bunları görebilmesi gerekir.
- Üçüncü taraf araçları kullanın. Etkili Active Directory şifre denetimi gerçekleştirmek için üçüncü taraf araçları gerekir. Yöneticilerin sürdürmesi gereken yerleşik komut dosyalarını ve diğer araçları kullanarak Active Directory parolalarını manuel olarak denetlemek kolay değildir.
