Kerberos Protokolü
Kerberos Protokolü, güvenilmeyen bir ağ ortamında açık bir şekilde parola paylaşımı olmadan, şifrelenmiş ve daha güvenli olması bakımından geliştirilmiş bir kimlik doğrulama protokolüdür. Kerberos protokolü, ağ ortamındaki bilgileri şifreleme işlemi yaparken Shared Secret Key (paylaşımlı gizli anahtar) metodunu kullanır.
Key Distribution Center:
Anahtar Dağıtım Merkezi, kerberos protokolünde yönetimi sağlayan bir servistir. KDC, veriler dağıtılıp paylaşılmadan önce, güvenli bir iletişim kurabilmek için bir ağdaki iki veya daha fazla sistemin erişimine izin veren, benzersiz bir bilet tipi oluşturarak simetrik bir şifreleme oluşturmayı hedeflemektedir. Key Distribution center,iletişim kurmadan önce izin alınması gereken bir Domain control sunucusudur.
Authentication Service (AS):
Key Distribution Center (KDC) içeriğinde bulunur ve kimlik doğrulama kısmından sorumludur. AS kullanıcının Active Directory etki alanında bulunup bulunmadığını kontrol eder. Aynı zamanda parolanın da doğruluğunu kontrol ederek kimlik doğrulama işlemi gerçekleştirir.
KRBTGT:
- Key Distribution Center (KDC) çalışmasını ve yönetilmesini sağlayan kullanıcı hesabıdır. KRBTGT hesabı, otomatik olarak oluşan ve hiçbir türlü ismi değiştirilmeyen veya silinmeyen bir hesaptır.
Ticket Granting Service (TGS):
- Bu servis, kimlik doğrulamasından geçen kullanıcılar için gerekli olan biletlerin oluşturulmasını, doğrulanarak yönetilmesini sağlamaktadır.
Kerberoasting Nedir?
Kerberoasting ise servis kullanıcı hesaplarının parolalarını kırmak amacıyla kullanılan bir saldırı tekniğidir. Genellikle hedef sisteme erişim sağlama, hak ve yetki yükseltme, hedef sistemde kalıcılık sağlamak için kullanılmaktadır. Bu yöntem ile yalnızca servis parolalarının ele geçirilmesinin yanı sıra servise erişmek için alınan service ticket içindeki kullanıcı bilgilerinin de değiştirilmesi sağlanabilir.
Kerberoasting saldırıları nasıl çalışır?
Kerberoasting saldırılarında saldırganlar genellikle zayıf ve güvenli olamayan parolalardan yararlanır. Çalışma prensibi şu şekildedir;
- Saldırgan, ele geçirilmiş olduğu bir domain kullanıcı hesabının ilk olarak kimliğini doğrular ve yeni bir oturum başlatır.
- Etki alanına sahip olan kullanıcı gibi görünen saldırgan, TGS den bilet talep eder.
- Saldırgan, Kerberos anahtar dağıtım merkezinden (KDC) bilet alır. Bu aldığı bilet kullanıcı hesabın parolasını içerir.
- Saldırhan, TGS bileti ve kerberos’u bellek üzerinde yakalayarak çevrimdışına çeker.
- Saldırgan, Hashcat gibi brute force teknikleri veya brute force araçları kullanarak kullanıcı hesabının parolasını elde etme için Active directory hesaplarının sahip olduğu SPN değerlerini ve kullanıcı kimlik bilgisini çalmaya çalışır.
- Kullanıcı hesap parolasını ele geçiren saldırgan, hesabın oturumunu açmaya çalışır ve bu hesabın bulunduğu ağa, sistemden erişim izni almayı sağlar.
- Son olarak saldırgan ele geçirdiği hesabın verilerini çalabilir, hak ve ayrıcalık yükseltebilir ve daha sonra bir dahaki seferki ele geçirme girişimlerini kolay sağlayabilmek için ağ da arka kapılar(backdoor) açabilir.
Kerberoasting Saldırıları Nasıl Tespit Edilir ve Durdurulur?
Kerberos saldırı etkinliğin azaltmak ve sınırlandırmak için bazı yöntemler geliştirilmiştir. Bu yöntemlerden bahsedecek olursak;
Güçlü Parola Yönetimi:
Şifre kırma saldırılarında olduğu gibi Kerberoasting saldırı yöntemlerinde de güçlü parola oluşturmak Saldırı etkisini zayıflatacaktır. Bunun için;
– Şifre en az 25 karakterden oluşmalıdır.
– Tanınabilir bir kelime veya kelime grubundan oluşmamalıdır. Büyük-Küçük harf, rakam ve işaretlerden oluşmalıdır.
– Her 30 günde bir yeni şifre ataması yapılmalıdır.
Yukarıda bahsedilen yöntemler sayesinde Özellikle SPN’leri hizmet hesaplarını kullanıcılar tarafından daha güvenilir hale getirmektedir.
MFA Kullanımı:
Çok Faktörlü kimlik doğrulama yöntemi kullanılarak saldırganın bir ağa erişimini engellemenin bir diğer yollarından biridir.
Kerberos Olay Günlüğü Yapılandırma:
Kerberos Tespit aşamasında kullanılan en önemli yöntemlerden biridir. RC4 şifreleme yöntemini kullandıkları için Kerberos TGS hizmet biletlerinin talep edilmesi gerekmektedir. Domain Controller, başarılı bir Kerberos TGS bilet isteklerini Event Loglara kaydetmek ve buradan izlemek güvenliğimiz için gerekli bir işlemdir.
Bu işlemin uygulanabilmesi için Domain Controller’ da Hesap Oturum Açma altında bulunan “Denetim Kerberos Hizmet Bileti İşlemlerini” yapılandırması gerekmektedir. Böylece Kerberos TGS Hizmet bileti istekleri Event Loglara kaydedilmiş olur. Aşağıda belirtilen Event ID ‘ler üzerinden işlemler Gerçekleşir:
– 4769: Bir Kerberos hizmet bileti (TGS) istendi
– 4770: Bir Kerberos hizmet bileti yenilendi
Yukarıda 4769 Event ID hakkında bilgi verilmiştir.
Tespit Edebilme:
Bu tür saldırıları tespit edebilmek için SIEM veya EDR ürünleri kullanılır. Bu işlemlerin gerçekleşebilmesi için filtreleme yöntemine başvurulur. Filtreleme işlemi için yapılacak filtrelemeler şunlardır:
1- Event ID 4769: Olay günlüğü ID numarası 4769 olanları tespit edilir.
2- Service Name not equal to ‘krbtgt’: Hizmet adı ‘krbtgt’ ile aynı olmayan hizmetleri getirir.
3- Service Name does not end with ‘$’: Hizmet Adı ‘$’ ile bitmeyen hizmetleri listeler.
4- Account Name does not match ‘<MachineName>$@<Domain>’: Hesap Adı ‘<MakineAdı> $@ <Etki Alanı>’ ile eşleşmeyen hesapları getirir.
5- Failure Code is ‘0x0’: Hata Kodu ‘0x0’ kodları listeler.
6- Ticket Encryption Type is ‘0x17’: Bilet Şifreleme Türü 0x17 olanları getirir.
Bu sınırlayıcıları kullanarak, birinin SPN biletleri talep ettiğini belirlemek için SIEM veya olay toplayıcı sistemimizde belirli arama sorguları oluşturabiliriz. Bunu bir ELK Yığınında (Elasticsearch, Logstash, Kibana) gösterirken, bunu Splunk veya diğer sorgu dillerine çevirebilirsiniz.
ELK için yapılacak filtrelemeler:
1- event_id “is” 4769
2- Status “is” 0x0
3- Ticket_Encryption_Type “is” 0x17
4- Service_Name “is not” krbtgt
