Active Directory’nizi Kerberoasting’e karşı nasıl sertleştirirsiniz

Kerberoasting, Microsoft Active Directory’yi hedefleyen ve saldırganların düşük algılama riski olan hizmet hesaplarından ödün vermesini sağlayan yaygın bir saldırıdır. Meşru hesapları manipüle ettiğinden, oldukça etkili olabilir. Ancak, sağlam şifre güvenliği suçluları uzak tutabilir.

Birincisi, Kerberoasting nedir? Adı, Active Directory’de kullanılan, bir kullanıcının kimliğini veya kaynaklara erişim isteyen bir bilgisayarın kimliğini doğrulayan kimlik doğrulama protokolü olan ‘Kerberos’ dan gelir.

Kerberoasting, standart Windows kullanıcı hesabının kontrolündeki bir failin hizmet prensibi adına (SPN) bir hesabın şifresini kırmaya çalıştığı bir ayrıcalık artış saldırısıdır; Başarılı olursa, hedeflenen hesaba bağlı mimarinin herhangi bir bölümünü tehdit etmek için saldırılarını artırabilirler.

Çok yönlü saldırı

Bir saldırı pratikte nasıl çalışır? Biraz karmaşık, ancak beş temel aşama var:

1. Saldırgan, Active Directory’deki mevcut bir Windows kullanıcı hesabından yararlanarak başlar. Kimlik avı veya kötü amaçlı yazılım yoluyla kimlik bilgilerini çalmak gibi geleneksel, hain yöntemlerden herhangi birini kullanarak bu hesaba erişmiş olabilirler.

2. Daha sonra, GhostPack’s Rubeus gibi araçları kullanarak Active Directory’deki bir SPN ekli bir hesap tanımlarlar. Bu hizmet hesapları tehlikelidir, çünkü genellikle üst düzey izinlere veya etki alanı yöneticisi erişimi vardır.

3. Saldırgan, kontrol ettikleri hesabı kullanarak, Active Directory’deki Bilet Hibe Hizmetinden (TGS) bir hizmet bileti talep eder. Bu bilet, SPN’yi odak içerir ve hedef hesabın şifresinin karması ile şifrelenir.

4. Saldırgan bileti çevrimdışı alır ve faaliyetlerini gizler: Artık onlara verebilecek alışılmadık bir ağ trafiği yok.

5. Son olarak, fail, SPN şifresi karma işlemini kırmaya çalışmak için kaba kuvvet tekniklerini kullanır ve düz metin hizmet hesap parolalarını kurtarmalarını sağlar. Daha sonra hesabın erişebileceği her şeye erişebilirler.

Düşman avantajları

Kerberoasting, hem ilişkili bir SPN ile hesapları algılamak ve daha sonra bilette yer almak için çevrimiçi olarak mevcut olan bir dizi araçla karmaşık bir süreçtir. Ancak, saldırganlar için önemli avantajları vardır:

• Reklamdan bilet istemek için herhangi bir kullanıcı hesabını kullanabilirler. Bir hesap diğeri kadar tehlikelidir.

• Parola karma çevrimdışı kırmaya çalıştıkları için, esasen parola karma işlemi algılamadan kırmaya çalışabilirler. Ripper veya Hashcat gibi araçlar dağıtılabilir.

• Kerberoasting kötü amaçlı yazılımlara güvenmez, yani antivirüs yazılımı gibi geleneksel çözümler etkili değildir.

Active Directory’nizi nasıl korursunuz

Kerberoasting’in neden siber suçlulara hitap edeceğini görmek kolaydır. Ancak, kuruluşlar reklamlarını tehlikeden korumak için adımlar atabilirler.

• Sağlam SPN şifrelerini zorlayın: SPN özellikli her hesap, uzun, rastgele, yeniden kullanılamaz şifrelerle korunmalıdır. 25 veya daha fazla karakter ise, başarılı bir Kerberoasting saldırısı şansı büyük ölçüde azalır.

• SPN ayak izini azaltın: Mevcut SPN özellikli hesaplarınızı denetlemek, yinelenen hesapları birleştirmek veya bunları tamamen devre dışı bırakmak akıllıca olacaktır. Amaç, korumanız gereken bireysel SPN kimlik bilgilerinin sayısını en aza indirmektir. Grup Yönetilen Hizmet Hesapları (GMSA), ek güvenlik için şifre yönetimini otomatikleştirerek de yararlı olabilir.

• Kontrol ayrıcalıkları: Hizmet hesaplarını yalnızca ihtiyaç duydukları izinlerle kısıtlayın, bu da yüksek önündeki gruplara üye olmamalarını sağlayın. Katmanlı uygulama modelleri, tehlikeye atılan SPN’lerin alan çapında ayrıcalıklara yükseltilmemesini de sağlayabilir.

• Anomaliler için Kerberos Trafiğini Monitör: Erken aşama Kerberoasting keşif çabalarına dikkat edin. Örneğin, Güvenlik Bilgileri ve Etkinlik Yönetimi (SIEM) çözümleri, TGS’deki ani bir SPN talepleri gibi olağandışı kalıpları tespit edecek şekilde yapılandırılabilir.

Eski hesaplar için reklamınızı tarayın

SpecOps Parola Denetçisi, Active Directory ortamınızdaki zayıf, yeniden kullanılan ve ihlal edilmiş şifreleri proaktif olarak taramasını sağlayan salt okunur bir araçtır. Parola güvenliği için alan adındaki hizmet hesaplarının denetlenmesine yardımcı olur ve yönetici izinleri ile hizmet hesaplarına görünürlük sağlamaya yardımcı olur.

Exportable raporunuz, genellikle Kerberoasting saldırıları için bir başlangıç noktası olan kuruluşlarınızdaki eski hesapların tam bir görünümünü sunar. Ücretsiz aracınızı buradan indirin.

Kerberoasting saldırılarını önleyin

Kerberoasting, farklı aşamalarda inşa edilen karmaşık bir saldırı biçimidir. Ancak, bir şey kesin: Şifre güvenliği savunmanızın merkezinde yer alıyor.

Bu iki ana seviyede çalışır.

İlk olarak, saldırganlar bir SPN hesabına bağlı bir hizmet bileti istemeden önce, manipüle edebilecekleri başka bir kullanıcı hesabına erişmeleri gerekir. Bunu kimlik avı veya kötü amaçlı yazılım gibi iyi bilinen yollarla hedeflerler.

Çok faktörlü kimlik doğrulama (MFA), hesapları bu tehlikeye karşı korumanın anahtarıdır ve şifreler önemli bir bileşendir.

Parolalarınızın en katı güvenlik taleplerini karşılamasını sağlayarak, kuruluşunuzu ve çalışanlarını – bir Kerberoasting saldırısının ilk aşamasından koruyabilirsiniz.

İkincisi, saldırının kendisi var. Gördüğümüz gibi, Kerberoasting ve kaba kuvvet taktikleri 25 veya daha fazla karakter uzun, benzersiz şifrelere karşı mücadele ediyor. SPN’ye bağlı tüm hesaplarınızın bu tür şifrelerle korunmasını sağlayarak, Active Directory’nizi güvence altına almak için büyük bir adım atarsınız.

SpecOps şifre politikası, zayıf şifreleri engellemeyi ve güçlü, benzersiz parolaların oluşturulmasını zorlaştırır. Üstte, eğer reklamınızı sürekli olarak 4 milyardan fazla tehlikeye atılmış şifrenin büyüyen bir listesine karşı tarar ve parolalarının ihlal edildiği tespit edilirse son kullanıcıları uyarır.

Bunun ortamınızda nasıl çalışabileceğini bilmek ister misiniz? Bir demo için iletişime geçin.

Sponspored ve SpecOps Software tarafından yazılmıştır.