On yıllık bir meydan okumaya yeni bir yaklaşım

   Temmuz 23, 2025  Posted in TheHackerNews


Güvenlik uzmanları on yılı aşkın bir süredir Kerberoasting’den bahsediyorlar, ancak bu saldırı tipik savunma yöntemlerinden kaçmaya devam ediyor. Neden? Bunun nedeni, mevcut tespitlerin, çok değişken Kerberos trafiğinde potansiyel saldırı modellerini tespit etmeye dayanmayan kırılgan sezgisel tarama ve statik kurallara dayanmasıdır. Sık sık yanlış pozitifler üretirler veya “düşük ve yavaş” saldırıları tamamen kaçırırlar.

Modern organizasyonların düzensiz Kerberos trafiğinde ince anomalileri tespit etmeleri için daha iyi ve daha doğru bir yol var mı? BeyondTrust Araştırma Ekibi, güvenlik araştırma anlayışlarını gelişmiş istatistiklerle birleştirerek bu soruyu cevaplamaya çalıştı. Bu makale, araştırmamızın arkasındaki itici güçlere ve Kerberos anomalisi tespit doğruluğunu iyileştirmek ve yanlış pozitifleri azaltmak için yeni bir istatistiksel çerçeve geliştirme ve test etme sürecimize üst düzey bir bakış sunmaktadır.

Kerberoasting saldırılarına giriş

Kerberoasting saldırıları, Windows Active Directory ortamlarındaki Kerberos Ağ Kimlik Doğrulama Protokolünden yararlanır. Kerberos kimlik doğrulama işlemi aşağıdaki gibi çalışır:

1. AS-Req: Bir kullanıcı giriş yapar ve bilet veren bir bilet (TGT) ister.

2. AS-REP: Kimlik Doğrulama Sunucusu, kullanıcının kimlik bilgilerini doğrular ve bir TGT verir.

3. TGS-Req: Kullanıcı bir hizmete erişim talep etmek istediğinde, daha önce alınan TGT’yi kullanarak bir bilet verme hizmeti bileti (TGS) talep ederler. Bu eylem Windows Olay 4769 olarak kaydedildi[1] Etki alanı denetleyicisinde.

4. TGS-REP: TGS, isteği doğrular ve istenen hizmetle ilişkili Hizmet Hesabının şifre karması kullanılarak şifrelenen bir TGS’yi giderir.

5. KRB-AP-RQ: Kullanıcının TGS biletini kullanarak bir hizmete karşı kimlik doğrulaması yapması için, uygulama sunucusuna gönderir, bu da kullanıcının meşruiyetini doğrulamak ve istenen hizmete erişime izin vermek için çeşitli önlemler alırlar.

Kerberos servis biletleri hizmet hesabının şifresinin karması ile şifrelendiğinden, saldırganlar bu işlemi kullanmayı hedefliyor. Kerberos biletlerinden yararlanmak için saldırganlar önce LDAP’tan (hafif dizin erişim protokolü) yararlanır. Bir saldırgan daha sonra, bu hesaplar için herhangi bir idari hak olmadan yapılabilecek bilet verme hizmeti (TGS) bilet isteyecektir. Bu hizmet biletlerini talep ettikten sonra, hizmet hesabının kimlik bilgilerini ortaya çıkarmak için karma çevrimdışı kırabilirler. Bir hizmet hesabına erişim, saldırganın yanal olarak hareket etmesini, ayrıcalıkları artırmasını veya verileri dışarı atmasını sağlayabilir.

Tipik sezgisel yöntemlerin eksiklikleri

Birçok kuruluş, düzensiz Kerberos davranışını işaretlemek için sezgisel tabanlı tespit yöntemlerine sahiptir. Yaygın bir yöntem, tek bir hesaptan TGS istek etkinliğinde bir artışı işaretleyebilen hacim tabanlı algılamadır. Bir saldırgan, LDAP kullanarak bulabilecekleri tüm hizmet ana adları için TGS biletleri isterse, bu algılama yöntemi muhtemelen bu artışı şüpheli bir etkinlik olarak tanımlar. Başka bir yöntem, şifreleme tipi analiz, bir saldırganın talep edilen TGS biletlerinin varsayılan AE’lerden RC4 veya DES gibi zayıf bir türden şifrelemesini düşürmeye çalışıp çalışmadığını tespit edebilir. karmaşayı çatlatın.

Bu statik kural tabanlı yöntemlerin her ikisi de bazı durumlarda çalışabilirken, kötü şöhretli sayıda yanlış pozitif üretirler. Ayrıca, kullanıcının her kuruluşun etki alanı yapılandırmalarına özgü davranışlarını ve usulsüzlüklerini etkilemezler.

Kerberoasting saldırılarını tespit etmek için istatistiksel bir model

Bu sınırlamaları göz önünde bulundurarak, BeyondRust Araştırma Ekibi hem anomali tespit yeteneklerini geliştirecek hem de yanlış pozitifleri azaltacak bir yöntem bulmaya çalıştı. İstatistiksel modellemenin, bağlamsal veri kalıplarına dayalı olasılık dağılımını tahmin edebilecek bir modelin oluşturulacağı en iyi yöntem olarak bulduk. Normal kullanıcı davranışını tahmin etme yeteneği, anormallikleri işaretlemek için anahtar olacaktır.

Ekibimiz, mevcut Kerberoasting araştırmalarına dayanarak, prospektif istatistiksel modelimiz için dört kısıtlama düzenledi.[2, 3]:

  1. Açıklanabilirlik: Çıktıyı tanınmış, normalleştirilmiş ve açıklaması ve izlemesi kolay bir ölçüye göre yorumlama yeteneği.
  2. Belirsizlik: Çıktının basit bir ikili gösterge olmasının aksine, örneklem büyüklüğünü ve tahminlere olan güveni yansıtma yeteneği.
  3. Ölçeklenebilirlik: Çalışma başına model parametrelerini güncellemek için gereken bulut bilişim ve veri depolama miktarını sınırlama yeteneği.
  4. Durgunluk: Zaman içinde eğilimlere veya diğer veri değişikliklerine uyum sağlama ve bu kaymaları anormalliklerin nasıl tanımlandığına dahil etme kapasitesi

BeyondTrust Araştırma Ekibi, yukarıdaki kısıtlamalarla uyumlu bir model oluşturmak için çalıştı, sonunda benzer bilet telafisi kalıplarını farklı kümelere ayıran ve daha sonra zaman içinde belirli aktivite seviyelerinin frekansını izlemek için histogram kutularını kullanan bir model geliştirdi. Amaç: Her küme için ‘normal’ neye benzediğini öğrenmek için. Bu tür veri modellerini bir araya getirerek yanlış pozitifleri azaltmayı amaçladık, çünkü tek başına şüpheli görünebilecek olaylar benzer veri modellerine kıyasla normal hale gelecektir.

Kerberoasting İstatistiksel Model: Sonuçlar

Ekip daha sonra modeli 50 günlük veri veya kabaca 1.200 saatlik değerlendirme periyodu boyunca test etti. Modelin sonuçları aşağıdaki gibidir:

  • Histogram güncellemeleri, kümeleme işlemleri, skor hesaplamaları, yüzdelik sıralama ve sonuç depolama dahil olmak üzere 30 saniyenin altında işlem süreleri sürekli olarak elde edildi.
  • Dar zaman pencerelerinde ilişkisiz ani artışlar, artan varyans ve önemli geçici kaymalar gibi önemli zamansal desenlere sahip altı anomali tanımladı. İkisi penetrasyon testi olarak tanımlandı, biri ekibin simüle edilmiş kerberoasting saldırısı ve üçü Kerberos servis bileti taleplerinde yanlışlıkla artışlara neden olan Active Directory altyapısındaki büyük değişikliklerle ilişkiliydi.
  • Ağır kuyruklu hesaplarda aşırı değişkenliği, dinamik sürgülü pencere güncellemeleri ve gerçek zamanlı yüzdelik sıralama yoluyla sadece iki ardışık sivri gözlemledikten sonra uygun şekilde aşağı ağırlıklı anomali skorlarını son derece iyi ele aldı. Bu uyarlanabilirlik seviyesi, standart anomali algılama yöntemlerinden oldukça daha hızlıdır

Bu araştırmayı yaptıktan sonra, BeyondRust Araştırma Ekibi, güvenlik uzmanlığını gelişmiş istatistiksel tekniklerle birleştirerek erken başarıyı bildirebildi. Saf anomali tespit metodolojilerinin doğal sınırlamaları olduğundan, bu başarı için güvenlik ve veri bilimi uzmanları arasındaki işbirliği gerekliydi. İstatistikçiler değişken davranışları dikkate alan uyarlanabilir bir model oluşturabilirken, güvenlik araştırmacıları işaretlenmiş etkinlikler içinde dikkate değer özellikleri tanımlamak için gerekli bağlamı sunabilirler.

Çözüm

Tamamen, bu araştırma, Kerberoasting gibi on yıllık saldırı kalıpları göz önüne alındığında bile, tespit ve yanıt yeteneklerini yinelemede ve gelişmede ileri yollar olduğunu kanıtlamaktadır. Bu araştırmada açıklananlar gibi yeni algılama yeteneklerinin olasılıklarını göz önünde bulundurmanın yanı sıra, ekipler, tespit risklerini ortaya çıkmadan önce azaltan proaktif kimlik güvenliği önlemlerini de değerlendirmelidir.

Kimlik tehdidi tespiti ve yanıt (ITDR) özelliklerine sahip bazı çözümler, BeyondRrust Kimlik Güvenlik bilgileri gibi, ekiplerin hizmet müdürlerinin yanlış kullanımı ve zayıf şifrelerin kullanımı nedeniyle Kerberoasting’e karşı savunmasız hesapları tanımlamalarına yardımcı olabilir.

Güvenlik ekipleri sürekli olarak gürültüyü kesmek ve büyüyen karmaşıklık ve ölçek önünde kalmak için çalıştıkları için, daha akıllı, daha akıllı, daha bağlama duyarlı algılama modelleri ile birleştiğinde kesin, proaktif önlemler önemlidir.

Yazarlar hakkında:

Christopher Calvani, Yardımcı Güvenlik Araştırmacısı, BeyondRrust

Christopher Calvani BeyondTrust’un araştırma ekibinde bir güvenlik araştırmacısıdır ve burada müşterilerin ortaya çıkan tehditlerin önünde kalmasına yardımcı olmak için güvenlik açığı araştırmalarını algılama mühendisliği ile harmanlamaktadır. Siber güvenlik alanında BS ile Rochester Teknoloji Enstitüsü’nün yeni mezunu olan Christopher, Sistem Mühendisi stajyeri olarak Fidelity Investments’ta büyük ölçekli altyapı ve Stavvy’deki gelişmiş DevSecops uygulamalarını destekledi.

Cole Sodja, Baş Veri Bilimcisi, BeyondRrust

Cole Soda Amazon ve Microsoft da dahil olmak üzere büyük teknoloji şirketlerinde 20 yılı aşkın uygulamalı istatistik deneyimi ile BeyondTrust’ta ana veri bilimcisidir. Time serisi analizinde uzmanlaşmış, karmaşık iş zorluklarına tahmin, değişim noktası tespiti ve davranışsal izleme konusunda derin uzmanlık getiriyor.

Referanslar

  1. Etkinlik Kimliği 4769: Bir Kerberos Servis Bileti Talep edildi (Microsoft Learn)
  2. Windows’ta Kerberos Kimlik Doğrulaması: TGT Exchange’i analiz etmek için pratik bir kılavuz (Semantal Scholar PDF)
  3. Windows ortamlarında yanal hareketin Kerberos tabanlı tespiti (Scitepress 2020 Konferans Kağıdı)
Bu makaleyi ilginç mi buldunuz? Bu makale, değerli ortaklarımızdan birinin katkıda bulunan bir parçasıdır. Bizi Google Haberlerinde takip edin, Twitter ve daha fazla özel içeriği okumak için LinkedIn.





Source link