Güçlü ‘Altın Bilet’ Saldırılarının Popülaritesi Artıyor – Bilmeniz Gerekenler
Çözüm Mimarları Direktörü David Levine, Remediant
Altın bilet saldırıları siber güvenlik endüstrisi için yeni bir şey değil, ancak Çince konuşan APT grubu TA428 ve diğer siber casusluk çetelerinin başarılı saldırılarındaki son artış, herkese bu saldırıların ne kadar güçlü olduğunu sert bir şekilde hatırlattı. olabilir. Olaylar ayrıca bir kuruluşun siber sağlık ve hazır olma durumunun hangi yönlerine öncelik verilmesi gerektiğini de vurguladı.
Bir ihlali deneyimlemek için asla uygun bir zaman değildir, ancak bir kuruluşun sahip olduğu ihlali ve ayrıcalık yayılmalarını tespit etmek için gereken süreyi azaltmak, birinin ne kadar etkili olduğu konusunda büyük bir fark yaratabilir. Verizon’un 2022 Veri İhlali Soruşturma Raporu’nda (DBIR) kaydedildiği gibi, çalıntı kimlik bilgilerinin kullanılması, saldırganların başarılı olmasının en önemli yollarından biriydi ve suçlular arasında kilit nokta, %80’inin ayrıcalık kötüye kullanımından kaynaklandığı ve bunun da yalan olduğudur. sofistike altın bilet saldırı tekniklerinin özü.
Adı her şeyi söylüyor
Altın bilet konsepti, Microsoft tarafından kullanılan Kerberos yetkilendirme teknolojisinden kaynaklanmaktadır. Kerberos, tüm tarafların kimliğini doğrulamak için biletleri kullanan ve düğümler aracılığıyla kimliklerini doğrulayan bir Anahtar Dağıtım Merkezi (KDC) üzerinde çalışır. Kimlik doğrulama işlemi, saldırganların ağ üzerinde yanal olarak hareket eden paketleri okumasını veya değiştirmesini engelleyen geleneksel paylaşılan gizli şifreleme kullanır.
KDC bir kullanıcının kimliğini her doğruladığında, benzersiz bir oturum anahtarı ve oturumun ne kadar süreyle geçerli olduğuna ilişkin zaman damgası içeren bir bilet verme bileti (TGT) düzenler. Kimliği doğrulandıktan sonra TGT, kullanıcının meşru olduğunun kanıtı olarak hizmet eder ve ortamdaki diğer kaynaklara erişmesine izin verir. Her TGT, altın bilet olarak adlandırılan bir KRBTGT parola karması ile şifrelenir.
Saldırgan bu karmaya erişim kazanırsa, bir TGT oluşturabilir ve herhangi bir kullanıcıyı herhangi bir süre boyunca taklit ederek etki alanı genelinde sınırsız erişim sağlayabilir. Oradan, sadece dört parça bilgiye ihtiyaçları var:
- Alanın Tam Nitelikli Alan Adı (FQDN)
- Etki alanının Güvenlik Tanımlayıcısı (SID)
- Kimliğine bürünmeyi planladıkları hesabın kullanıcı adı
- KRBTGT parola karması
Ayrıca, bir kuruluşun ayrıcalıklı erişimi nasıl yönettiğine bağlı olarak, saldırganlar başarılı olabilir veya saldırının ortasında durdurulabilir. Her birini elde etmede başarılı olurlarsa, saldırganların veri ihlalleri, fidye yazılımı saldırıları ve daha fazlasını gerçekleştirmek için altın bir bileti olur.
Bu saldırıyı bu kadar güçlü ve endişe verici yapan şey, saldırganların bir kimliği kötüye kullanmaya ve Kerberos biletleriyle sistemler arasında yanlamasına hareket etmeye, hesap ele geçirilmiş olarak işaretlendikten ve kimlik bilgileri sıfırlandıktan sonra bile devam edebilmesidir.
Altın bilet saldırılarına karşı savunma stratejileri
Altın bilet saldırıları, bu eğilimlerin en korkunç örneklerinden biridir. Elinde altın bir biletle, bilgisayar korsanları herhangi bir kullanıcı olarak görünebilir veya Active Directory’deki herhangi bir rolün izinlerine sahip olabilir, bu da onlara ortamınız üzerinde özgürce hakim olmalarını sağlar.
Altın bilet saldırılarını tamamen önlemenin bir yolu olmasa da, bu giriş noktasını saldırganlardan kapatmak için alabileceğiniz önlemler var. Bu içerir:
- Ayrıcalıklı yöneticilerin sayısını azaltın. Ne kadar az varsa, o kadar az ayrıcalıklı hesap riskine maruz kalırsınız. Ayrıca, yöneticilerin bu hesaplar için ayrıcalığı daha da sınırlamak ve bu hesaplara erişim elde eden herhangi bir saldırganı içermek için “Yeterince Yeterince Yönetici” ve “Tam Zamanında” erişimi uygulayabilirsiniz.
- Uç nokta ayrıcalıklarını kontrol edin. Hiçbir normal kullanıcı, cihazlarında kalıcı yönetici haklarına sahip olmamalıdır. Aynı zamanda, yöneticilerin son kullanıcı cihazlarında oturum açmasına izin verilmemelidir. Bu şekilde, bir saldırgan bir uç noktaya erişim kazansa bile, saldırı kapsamını genişletmek için ihtiyaç duyduğu ayrıcalıklı kimlik bilgilerine sahip olmayacaktır.
- Ayakta kalma ayrıcalığını en aza indirin. En az ayrıcalık ilkesine dayanan Sıfır Daimi Ayrıcalık (ZSP), Gartner tarafından ortaya atılan ve tüm daimi ayrıcalıkları ortadan kaldırmayı ve yalnızca minimum süre için gereken minimum ayrıcalığı sağlamayı amaçlayan yeni bir yaklaşımdır. ZSP ve JITA’yı içeren Sıfır Güven Ayrıcalıklı Erişim modelinin benimsenmesi, altın bilet saldırılarının risklerini azaltabilir.
Jeopolitik gerilimler zirvedeyken, özellikle kritik altyapı ve tedarik zinciri kuruluşlarının, çalıntı kimlik bilgileri ve ayrıcalıkların kötüye kullanılması riskini içerme konusunda uyanık olmaları gerekir. Aslında, 2022 IBM Veri İhlalinin Maliyeti Raporu, incelenen kritik altyapı kuruluşlarının neredeyse %80’inin, “geçen yıl küresel olarak kritik altyapı hedeflemesine ilişkin endişeler artıyor gibi görünse bile” sıfır güven stratejilerini benimsemediğini ortaya koydu. Kritik altyapı kuruluşlarına yönelik ihlallerin %28’i, küresel tedarik zincirlerini bozmaya yönelik fidye yazılımları ve yıkıcı saldırılardı. Dahili kullanıcılara verilen kalıcı ayrıcalıktan ortaklara ve diğer üçüncü taraflara verilen erişime kadar, kendinizi yalnızca güvenliği ihlal edilmiş kimlik bilgilerine değil, saldırganlar ortamınıza eriştiğinde yanal saldırılara da açabilirsiniz.
Geleceğe bakıldığında, kuruluşların ayakta durma ayrıcalığını ortadan kaldırmak ve saldırganların çevrelerinde hareket etme yeteneklerini kesmek için uygun adımları atması gerekiyor, çünkü giderek daha cesur saldırıları engellemek için en iyi hareketimiz bu olabilir.
yazar hakkında
David Levine CISSP, teknoloji ve siber güvenlik alanında 20 yılı aşkın deneyime sahiptir ve bu alanlarda makaleler ve bloglar yayınlamıştır. David, halka açık şirketlerde, KOBİ’lerde ve yeni kurulan şirketlerde bilgi güvenliği liderliği görevlerinde bulunmuştur.
David şu anda Remediant’ta Çözüm Mimarları Direktörüdür, bu görevde Remediant’ın Satış Mühendisliği ekibine liderlik eder ve hem satış hem de mühendislik ekipleriyle yakın bir şekilde çalışır. Hem kurumlar hem de müşteriler için son derece önemli olan yanal hareketi ve ayrıcalıklı erişimi güvence altına alan ve koruyan benimseme ve uygulama çabalarından sorumludur. David birçok ağ oluşturma ve etik bilgisayar korsanlığı sertifikasına sahiptir (ne yazık ki zaman kısıtlamaları nedeniyle bazılarının süresi dolmuş).