Sağlam şifreler, kötü niyetli aktörler saldırılarını keskinleştirse bile çevrimiçi güvenliğin temel taşı olarak kalır. Tehditi AS-REP kavurma ve savunma kuruluşlarının Active Directory’lerini korumak için konuşlandırmaları gereken tehdidi düşünün.
AS-REP (Kimlik Doğrulama Sunucusu Yanıtı) Kavurma Active Directory’de Kerberos Ön kimlik doğrulaması gerektirmeyen kullanıcı nesnelerini hedefler. Kerberos-bir kimlik doğrulama protokolü-genellikle bir operatörün bir kimlik doğrulama sunucusu isteğini (AS-Req olarak bilinir) bir etki alanı denetleyicisine (DC) iletmesini gerektirir.
Bu mesaj, kullanıcının şifresinin bir karması ile şifrelenmiş bir zaman damgası tutar. DC, zaman damgasının kendi karma sürümünü kullanarak şifresini çözmelidir: Başarı, DC’nin bir bilet verme bileti (TGT) ile bir AS-REP mesajı gönderdiğini ve daha sonra erişim istekleri yapmak için kullanılabilecek olduğunu görüyor.
Bununla birlikte, bu güvenli işlem yalnızca Kerberos ön kimlik doğrulaması çalıştığında güvenli bir şekilde işlev görür. Bazı durumlarda, örneğin Kerberos’u desteklemeyen veya protokolün erken bir sürümünü kullanan sistemlerde devre dışı bırakılabilir. Bu gibi durumlarda, DC, kullanıcı kimliği doğrulanmamış olsa bile AS-REP’i gönderebilir.
Başka bir deyişle, kötü niyetli aktörler, önceden kimlik doğrulaması gerektirmeyen herhangi bir kullanıcı nesnesine erişmeye ve kullanmaya çalışabilir.
Büyüyen bir tehdit
Bu saldırılarda Rubeus veya Impacket gibi kullanılabilecek bir dizi araç vardır. Tehdit üç aşamalı bir süreçle gerçekleşir:
- Saldırgan, Kerberos ön kimlik doğrulaması için yapılandırılmamış bir nesneye yönelik DC’ye bir AS-Req gönderir.
- DC, bu talebe TGT içeren bir AS-REP mesajı ile yanıt verir.
- Suçlular daha sonra TGT’deki şifreye erişmek için çalışıyor. Kullanıcının şifrelerine erişmek için kaba kuvvet saldırıları gibi teknikleri kullanarak çevrimdışı alabilirler.
Active Directory uzlaşmaları en yüksek seviyelerde artan bir endişe kaynağıdır. Örneğin, Avustralya, Kanada, Yeni Zelanda, İngiltere ve ABD’deki siber güvenlik ajansları, Active Directory’yi hedeflemek için düzenli olarak kullanılan 17 ortak tekniği vurguladı. AS-REP kavurma listede yüksektir. Raporda, “Active Directory uzlaşmasını içeren kötü niyetli etkinliklere yanıt vermek ve iyileşmek genellikle zaman alıcı, pahalı ve yıkıcı” diyor.
Verizon’un Veri İhlali Araştırma Raporu, çalınan kimlik bilgilerinin ihlallerin% 44.7’sinde yer aldığını buldu.
Active Directory’yi uyumlu şifre politikaları ile zahmetsizce güvence altına alıyor, 4+ milyar uzlaştırılmış şifreleri engelliyor, güvenliği artırıyor ve destek sorunlarını kesiyor!
Ücretsiz dene
AS-REP kavurma olarak nasıl tespit edilir ve azaltılır
AS-REP kavurma çok iyi konfederasyonlu olabilir. Önce kurban olabilirseniz çalışmanız gerekir – ve sonra Active Directory’nizi savunmak için adımlar atmalısınız.
Savunmasız Hesapları Belirleme: Başlamak için güvenlik açıklarınızı çözmeniz gerekir. Belirli komut dosyaları kullanılarak, gerekli Kerberos ön kimlik doğrulamasına sahip olmayan kullanıcı hesaplarını tanımlamak mümkündür.
Kerberos ön kimlik doğrulaması uygulamak: AS-REP kavurma sadece bir nesne Kerberos ön kimlik doğrulaması gerektirmediğinde çalışır; Bu nedenle, bu ön kimlik doğrulamasının yerinde olduğundan emin olursanız tehlikeyi azaltabilirsiniz. Bununla birlikte, bazı durumlarda, nesnelerin Kerberos ön kimlik doğrulamasını atlaması gerekebilir: bu nesneler güvenli gruplardan uzak tutulmalı ve sadece çıplak minimum ayrıcalıklar verilmelidir.
İzleme ve Günlük Teknikleri: Birisinin TGT’leri veya AS-REP kavurma saldırısı olasılığını gösteren başka davranışlar talep ettiğini gösterebilecek belirli olay kimliklerini izlemek için ağlarınızı incelemeyi hedeflemelisiniz.
4625 gibi, bir hesap giriş yapamadığında oluşturulan farklı olaylar olabilir; 4768, bir TGT talep edildiğinde üretilir; ve bir kullanıcı hesabı değiştirildiğinde üretilen 4738 ve 5136.
Güvenlik En İyi Uygulamaları Uygula: AS-REP kavurma ve benzeri teknikler bir şifreye erişmek için gereken süreçte sadece bir adımdır. Minimum uzunluk ve komplikasyon parolaları uygulayarak, başarılı bir AS-REP kavurma saldırısını yönetseler bile, bilgisayar korsanlarının şifreye girmeleri zor olabilir.
Şifre gücü
Kerberos ön kimlik doğrulamasını uygulayarak, Active Directory’nizi AS-REP kavurma saldırılarından korumak mümkün olmalıdır. Ama gördüğümüz gibi, bu her zaman mümkün olmayabilir. Bu, güçlü şifrelerin her zamanki gibi önemli olduğu anlamına gelir – belki daha fazlası.
Kullanıcı hesaplarının güçlü ve tavizsiz şifrelerle korunmasını sağlayarak AS-REP kavurma saldırıları tehlikesini azaltabilirsiniz. Bu sadece Active Directory’nizi AS-REP kavurmasından korumakla kalmaz, aynı zamanda genel olarak güvenliğini artırır.
Tabii ki, bunaltıcı hale geldiği noktaya kadar analiz etmek için birçok şifreniz olabilir. Ancak SpecOps şifre politikasıyla, ince taneli şifre politikalarının yönetimini basitleştirebilir ve kullanıcıların zayıf ve kolay tahmin edilen şifreler oluşturmasını engelleyebilirsiniz.
Teknoloji ayrıca, şu anda 4 milyardan fazla engellenen, ihlal edilen veya tehlikeye atılan şifreler için etkin dizininizi sürekli olarak tarar. Bu, bir saldırgan AS-REP kavurma saldırısı ile başarılı olsa bile, şifrelerinizi hacklemeye karşı desteklerken, uyumluluğu sağlamayı çok daha kolay hale getirir. Bugün ücretsiz olarak specops şifre politikasını deneyin.
Kuruluşunuzun Active Directory’sinin her zaman kötü niyetli aktörlere karşı korunması gerekecektir. Hackleme teknikleri, sistemlerinizi savunmak için kullanılan teknoloji gibi şüphesiz gelişecektir – ancak insanlar şifreler kullandığı sürece, şifre güvenliği güvenli ve güvenli çevrimiçi kimlik doğrulamanın temeli olarak kalacaktır.
Active Directory Güvenlik desteğine mi ihtiyacınız var? İletişim kurun.
Sponspored ve SpecOps Software tarafından yazılmıştır.