Altın Bilet’i duyduğunuzda, belli bir gizli çikolata fabrikasına tam erişim elde etmeyi düşünebilirsiniz. Ancak Active Directory’nize (AD) yönelik bir Altın Bilet saldırısı bir ödül olmaktan uzaktır. Hikayenin ünlü bileti gibi, başarılı bir saldırı, bir saldırgana kuruluşunuzun Active Directory etki alanına potansiyel olarak sınırsız erişim sağlar.
Kerberos kimlik doğrulamasındaki zayıflıklardan yararlanan bir Altın Bilet saldırısı, Anahtar Dağıtım Merkezinin (KDC) Anahtar Dağıtım Hizmeti Hesabını (KRBTGT) hedefler. Her isteğin kimliğini doğrulamak yerine Kerberos, daha sonra bilet verme hizmeti (TGS) biletleri oluşturmak için kullanıcıya atanmış bir bilet verme bileti (TGT) oluşturur. Diğer uygulamalar bu biletleri kimliği doğrulanmış istekler olarak gördüğünden, TGS biletleri tekrarlayan kimlik bilgisi istemlerinden kaçınır.
Kullanıcı için uygun olsa da, bu, TGS biletlerini taklit eden başarılı bir saldırının, bir saldırganın herhangi bir erişim düzeyinde kimlik doğrulama biletleri vermesine olanak tanır. Bu Altın Biletler elinizdeyken, Kerberos tarafından doğrulanmış herhangi bir sistem savunmasızdır.
Altın Biletin yarattığı fark
Birçok siber saldırı, bir kullanıcının şifresini çalmaya odaklanır. Sahte oturum açma formları veya çalınan parola karmaları aracılığıyla çevrimdışı kırılmış olsun, ortak payda parolanın kendisidir.
Çalınan kimlik bilgileri, yalnızca güvenliği ihlal edilmiş hesap bulunana ve parola döndürülene kadar çalışabilir. Ek olarak, şifreleri çevrimdışı olarak kırmak, yalnızca hesaplama süresinin yasaklayıcı kullanımıyla mümkün olabilir. Çalınan kullanıcı kimlik bilgilerinin yararlı hiçbir şeye erişimi olmayabilir.
Saldırgan, sahte TGS biletleri oluşturarak belirli bir hesabı çalma veya bir parolayı kırma ihtiyacını ortadan kaldırır. Başarılı bir Altın Bilet saldırısı, her düzeyde erişim sağlar.
Active Directory duvarlarını aşmak
Altın Bilet saldırıları, diğer bazı siber saldırılardan daha karmaşıktır. Tehdit aktörünün bir etki alanı denetleyicisine erişimi olmalı ve KRBTGT parola karmasını almalıdır. Parola karması bu hizmeti tehlikeye atmak için kullanılabileceğinden, özellikle bu saldırı KRBTGT parolasının kendisine erişim gerektirmez.
İlk olarak, tehdit aktörü ağa erişim sağlamalıdır. Genellikle bu, bir yönetici kullanıcıya e-posta yoluyla hedeflenen bir kimlik avı saldırısı yoluyla yapılabilir. Önceki bir veri ihlalinden çalınan kimlik bilgileri de çevrimiçi olarak satın alınabilir.
Ardından, bir açıktan yararlanma veya doğrudan erişimi olan bir kullanıcı aracılığıyla bir Etki Alanı Denetleyicisine erişim bulmak için keşif yapılır. Son olarak, etki alanı denetleyicisi erişimi yerinde olduğunda, başarılı bir saldırı KRBTGT parola karmasının kontrolünü ele geçirir ve Altın Bilet’in kendisini verir. Bununla, saldırgana Active Directory etki alanındaki Kerberos tarafından kimliği doğrulanmış tüm hizmetler için sınırsız erişim verilir.
Bu yöntemi kullandığı bilinen tehdit aktörleri, yaygın olarak Çin’den faaliyet gösterdiğine ve hükümetleri ve petrol gibi endüstrileri hedef aldığına inanılan “Playful Taurus” gibi APT (Gelişmiş Kalıcı Tehdit) gruplarıdır. 2018 gibi erken bir tarihte, bu grubun Mimikatz kullanarak hedef alanlarda Altın Biletler ürettiği gözlemlendi ve bu durum bugüne kadar devam etti.
Krallığın anahtarlarını savunmak
Bu saldırının gerçekleştirilmesi birkaç adım gerektirdiğinden, ilk etapta ağa erişimi engellemek etkili bir savunma olabilir. Doğru eğitim ve kimlik avı saldırılarının tespiti, yöneticilerin ve savunmasız kullanıcıların girişimleri öldürme zincirinin başlarında tespit edip durdurabileceği anlamına gelir. Parola değişiklikleri sırasında zayıf parolaları engellemek ve güvenliği ihlal edilmiş parolaları Active Directory’de düzenli aralıklarla tespit etmek de değerli bir saldırı yolunu kapatır.
Her ilk saldırı durdurulamaz, bu nedenle bir ağda güvenliği ihlal edilmiş bir hesabın veya iş istasyonunun bulunması, ciddi bir zarara yol açmadan önce bir saldırıyı durdurabilir. Bir kuruluşun devam eden saldırıları ele veren olağandışı etkinlikleri tespit edebilmesi gerektiğinden, bu, güncel antivirüsten daha fazlasını gerektirir. Bir saldırının işaretleri, ağ araştırması, uygunsuz kimlik bilgisi yükseltme veya hash geçirme teknikleri olabilir.
Diğer her adımda bir saldırı tespit edilemediyse, etki alanı denetleyicisini tehlikeye karşı korumak çok önemlidir. NTDS.dit veritabanı (NTDS Dump saldırısında kullanılır) gibi kritik dosyaları kilitlemek, kimlik bilgisi yükselmesi durumunda uyarı vermek (Windows Event 4768 ve 4769’u izleme) ve her erişim girişimini doğrulamak, bir Altın Bilet’in olduğundan emin olmak için gerekli adımlardır. saldırı başarılı olmaz.
Specops ile parolalarınızı güvenceye alın
Altın Bilet saldırılarına karşı yalnızca yerleşik Windows ve Active Directory araçlarıyla savunma yapmak zordur. Specops Parola Politikası (SPP) ile, ilk saldırıdan kaçınmak çok daha kolaydır ve sağlam parola ilkeleri aracılığıyla yükseltmeyi zorlaştırır. BT ekipleri, parola tahmini ve kaba kuvvet saldırılarına karşı çok daha az savunmasız olan yaklaşık 20 karakterlik daha uzun parolaları zorunlu kılmak için SPP’yi kolayca kullanabilir. Bu ayrıcalıklı hesaplar için özellikle önemlidir.
Yakın zamanda yayınlanan Verizon DBIR 2023 raporuna göre, tüm ihlallerin yaklaşık yarısı çalınan kimlik bilgilerinden kaynaklanıyor. Güçlü parolalar bile, kimlik avı saldırısı veya başka bir veri ihlali yoluyla ele geçirilirse savunmasız hale gelebilir. SPP’nin İhlal Edilmiş Parola Koruması özelliği, şu anda saldırılarda kullanılanlar da dahil olmak üzere, güvenliği ihlal edilmiş 3 milyardan fazla benzersiz parolanın kullanımını engeller.
NIST-80063B standartlarında belirtildiği gibi, etkili bir parola politikası, uygun şekilde karmaşık parolalardan ve ihlal edilmiş parola algılama araçlarının kullanılmasından oluşur. Bir kullanıcı parola değişikliği sırasında zayıf veya önceden çalınmış bir kimlik bilgisi girerse, Specops kullanıcıyı hızlı bir şekilde bunun yerine güvenli bir parolaya yönlendirir.
Kapıları Altın Bilet saldırısına kilitlemek
Başarılı bir Altın Bilet saldırısı, herhangi bir BT departmanı için en kötü senaryolardan biridir. Tespit edilmesi zor olan bu saldırı yoluyla sağlanan neredeyse sınırsız erişimle, kurtarma maliyeti ortamın tamamen yeniden oluşturulmasını içerebilir. Sağlam bir parola politikası ve güvenliği ihlal edilmiş kimlik bilgilerini tespit etme yeteneği, Altın Bilet saldırılarını proaktif olarak durdurmak için hayati bir ilk savunma hattıdır. Specops Password Policy’yi bugün Active Directory’nizde ücretsiz olarak test edin.