CyberFlow Logo CyberFlow BLOG
Soc L1 Log Kaynaklari Veri Turleri

Active Directory Login ve Kerberos Logları: Güvenlik İçin Kritik Bilgiler

✍️ Ahmet BİRKAN 📂 Soc L1 Log Kaynaklari Veri Turleri

Active Directory log analizi ve Kerberos protokolü hakkında derinlemesine bilgileri keşfedin. Siber güvenlikte kritik event ID'ler için kılavuz.

Active Directory Login ve Kerberos Logları: Güvenlik İçin Kritik Bilgiler

Active Directory ortamlarında Kerberos protokolünün rolünü, önemli event ID'leri ve saldırı tekniklerini öğrenin. Güvenlik analizi yaparak siber tehditlere karşı önlem alın.

Giriş ve Konumlandırma

Giriş

Siber güvenlik dünyasında, kullanıcı kimlik doğrulama süreçlerinin güvenliği kritik bir öneme sahiptir. Özellikle, Windows tabanlı ortamlarda kullanılan Active Directory (AD) ve Kerberos protokolü, kullanıcıların sistemlere güvenli bir şekilde erişimini sağlamak için yaygın olarak tercih edilmektedir. Kerberos, şifrelerin ağ üzerinde açık bir şekilde dolaşmasını önleyen bir kimlik doğrulama protokolüdür. Bu protokol, "bilet" (Ticket) mantığıyla çalışarak, kullanıcıların çeşitli hizmetlere erişimlerini yönetir ve kimliklerini doğrular.

Kerberos logları, siber güvenlik alanında önemli bir veri kaynağı oluşturarak, potansiyel saldırılara karşı etkin bir savunma sağlayabilir. Bu nedenle, Kerberos loglarında meydana gelen olayların doğru bir şekilde analiz edilmesi, şüpheli aktivitelerin tespit edilmesi ve siber saldırıların önlenmesi açısından kritik bir rol oynamaktadır.

Neden Önemlidir?

Kerberos logları, hem güvenlik analistlerinin hem de siber saldırganların gözünde büyük bir anlam taşır. Çünkü bu loglar, etkinliklerin kaydedilmesi ve kimlik doğrulama süreçlerinin izlenmesi açısından vazgeçilmez bir kaynak olarak öne çıkar. Örneğin, Kerberos'un iki ana eventi olan TGT (Ticket Granting Ticket - Olay 4768) ve TGS (Ticket Granting Service - Olay 4769), kimlik doğrulama süreçlerinin temel taşlarını temsil eder. TGT, kullanıcının sisteme ilk giriş yaptığı aşamayı ve TGS ise belirli bir servise erişim sağlamak için gerekli olan bileti temsil eder.

Kerberos loglarının analizi, siber güvenlik uzmanlarının saldırıları tespit etmesi için çok önemli bir adımdır. Örneğin, bir saldırganın birden fazla 4769 logu üretmesi, Kerberoasting tekniğini kullanarak servis hesapları üzerindeki saldırıları gösterebilir. Bu tür olayların loglanması, olası tehditlerin belirlenmesinde büyük bir avantaj sağlarken, aynı zamanda savunma stratejilerinin geliştirilmesine de olanak tanır.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlantı

Pentest (penetrasyon testi) süreçlerinde, Kerberos loglarının analizi, sızma testlerinin etkinliğini artırabilir. Güvenlik uzmanları, bu loglar sayesinde bir sistemde hangi faaliyetlerin gerçekleştirildiğini, hangi hesapların hedef alındığını ve hangi güvenlik zaafiyetlerinin mevcut olabileceğini belirlemek için değerli bilgiler elde edebilirler. Özetle, Kerberos logları, bir sistemdeki zayıf noktaların ve tehditlerin belirlenmesi için önemli bir kaynak olarak karşımıza çıkar.

Özellikle, saldırganların “Golden Ticket” gibi gelişmiş tekniklere odaklandıkları günümüzde, Kerberos loglarının analizi daha da kritik hale gelmektedir. Golden Ticket, bir saldırganın 'krbtgt' hesabının hash değerini ele geçirerek yaratabileceği sahte bir bilet olup, bu bilet, ağda istenilen her yere erişim sağlamak için kullanılabilir. Böyle bir durumun önlenmesi için, Kerberos loglarını periyodik olarak analiz etmek ve anormallikleri belirlemek gereklidir.

Teknik İçeriğe Hazırlık

Bu blog yazısında, Kerberos ve Active Directory loglarının detaylarına ineceğiz. İlk olarak, Kerberos protokolünün çalışma mantığı ve log kayıtlarının nasıl oluştuğu hakkında bilgiler vereceğiz. Ardından, kritik event ID'leri, bilet türleri, şifreleme yöntemleri ve Kerberoasting saldırı analizi gibi konulara odaklanacağız. Kullanıcıların, bu konular aracılığıyla Kerberos loglarını daha iyi anlamaları ve siber güvenlik stratejilerini geliştirmeleri hedeflenmektedir.

Aşağıda belirtilen bilgiler, okuyucuların Kerberos loglarını analiz ederken dikkat etmeleri gereken temel unsurları içerecektir:

1. TGT İsteği (Giriş): Olay ID 4768
2. TGS İsteği (Servis Erişimi): Olay ID 4769
3. Pre-auth Failed: Olay ID 4771
4. AS-REP Roasting
5. Golden Ticket

Sonuç olarak, Active Directory login ve Kerberos logları, siber güvenlik alanındaki en kritik veri kaynaklarından biridir. Bu logları doğru bir şekilde analiz edebilmek, potansiyel tehlikeleri önceden tespit etmek ve siber saldırıları etkisiz hale getirmek için önemli bir adımdır. Blog yazımızın ilerleyen bölümlerinde, bu konuları daha detaylı olarak ele alacağız.

Teknik Analiz ve Uygulama

Kimlik Merkezinin Dili: Kerberos

Active Directory (AD) ortamlarında kimliklerin doğrulanması ve servislerden bilet alınması için kullanılan varsayılan protokol Kerberos, ağa bağlı sistemler arasında güvenli kimlik doğrulama sağlamak amacıyla tasarlanmıştır. Kerberos'un temel mantığı, kullanıcıların ve servislerin kimliklerini kanıtlamak için "Bilet" adlı bir yapı kullanmasıdır. Bu biletler, şifrelerin ağ üzerinde açık bir şekilde iletilmesini engelleyerek, veri güvenliğini artırır.

Kerberos sistemi, iki ana bileti birbirinden ayırır: Ticket Granting Ticket (TGT) ve Ticket Granting Service (TGS). TGT, kullanıcının sistemde oturum açtığına dair kanıt sunarken, TGS, kullanıcının belirli bir servise erişim izni olduğunu gösterir.

Kritik Event ID'ler: 4768 vs 4769

Kerberos logları analizi için kritik öneme sahip olan Event ID’ler, sistem yöneticilerinin oturum açma ve erişim olaylarını takip etmesini sağlar. Aşağıda bu ID'ler ile ilgili açıklamalar yer almaktadır:

  • Event ID 4768: Kullanıcının sisteme giriş yapmak için TGT talep ettiğini belirtir. Bu olay, kimlik doğrulamanın başlangıcıdır.
  • Event ID 4769: Kullanıcının belirli bir kaynağa (örneğin, bir paylaşılan klasöre) erişmek için TGS talep ettiğini gösterir. Bu olay, kullanıcının belirli bir servise erişim sağlamak için ek bir bilet talep ettiğini kanıtlar.

Bu olayları takip etmek, potansiyel saldırıların ve yetkisiz erişimlerin belirlenmesine yardımcı olur.

# Gerekli olayları listelemek için PowerShell komutu
Get-WinEvent -FilterHashTable @{LogName='Security'; Id=4768} | Format-List

Bilet Türleri ve Olaylar

Kerberos biletlerinin türlerini bilmek, saldırganların bu biletleri nasıl hedef alabileceklerini anlamak açısından önemlidir. Temel olarak iki tür bilet bulunmaktadır:

  1. Ticket Granting Ticket (TGT): Kullanıcının sisteme giriş yaptığına dair bir kanıt.
  2. Service Ticket (TGS): Özellikle belirli bir servise erişim için verilen bilet.

Loglardaki kayıtları analiz ederken, bilet türlerinin hangi olaylarla ilişkili olduğunu bilmek, yetkisiz erişim ve saldırıların tespitinde kritik bir rol oynar.

Zayıf Halka: Şifreleme Türleri

Kerberos loglarında biletlerin şifrelenmesinde kullanılan yöntemler önemli bir güvenlik göstergesidir. Örneğin:

  • 0x17 (RC4): Zayıf şifreleme standardıdır ve saldırılar için daha kolay hedef oluşturur.
  • 0x12 (AES-256): Daha modern ve güvenli bir şifreleme yöntemidir.

Saldırganlar genellikle zayıf şifreleme türleri olan RC4 biletleri hedef alarak, bu biletlerin şifrelerini kırmaya çalışır. Bu nedenle, şifreleme türlerini izlemek, ağa yönelik potansiyel tehditleri belirlemek açısından önem taşır.

# Log kayıtlarında görülen şifreleme türü örneği
... Type: 0x17 -> Zayıf şifreleme (RC4)
... Type: 0x12 -> Güçlü şifreleme (AES-256)

Saldırı Analizi: Kerberoasting

Kerberoasting, saldırganların bir AD ortamındaki servis hesaplarına ait TGS biletlerini talep ederek, bu biletlerin içindeki şifreli bilgiyi çevrimdışı kırma yöntemidir. Bu saldırı türünü anlayabilmek için log analizi yapmak gereklidir. Özellikle, aynı kullanıcı üzerinde çok sayıda 4769 olay kaydının görüntülenmesi tipik bir Kerberoasting belirtisidir.

# Kerberoasting için istekte bulunma örneği
Invoke-Kerberoast

En Büyük Kabus: Golden Ticket

Saldırganlar, AD ortamındaki en yetkili hesap olan krbtgt hesabının hash değerini ele geçirirlerse, istedikleri her kullanıcı adına sahte bir TGT oluşturma imkanına sahip olurlar. Bu tür sahte biletlere "Golden Ticket" denir. Golden Ticket ile saldırgan, ağda süresiz olarak yetki elde edebilir.

# Golden Ticket belirtisi olarak bilet süresi takibi
Ticket Duration: 10 yıl

Özet: AD ve Kerberos Analiz Listesi

Kerberos log analizi, birçok karmaşık ve potansiyel tehlike içeren durumu tespit etmeye yardımcı olur. TGT ve TGS talepleri arasındaki farkları anlamak, şifreleme türlerinin güvenliğini değerlendirmek ve Kerberoasting saldırılarına karşı proaktif tedbirler almak, siber güvenlik açısından kritik öneme sahiptir. Bu nedenle, AD ve Kerberos ile ilgili logları takip ederek, ağ güvenliğini artırmak için gerekli adımları atmak gereklidir.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Yorumlama

Active Directory (AD) ortamlarında Kerberos protokolü temel kimlik doğrulama mekanizması olarak kullanılmaktadır. Ancak, bu mekanizmanın yanlış yapılandırılması veya potansiyel zafiyetler, ciddi güvenlik risklerine yol açabilir. Bu nedenle, Kerberos logları üzerinden yapılan analizler, güvenlik uzmanları için önem taşır. Ayırt edici bilgileri sağlamak ve sistemdeki potansiyel zayıf noktaları belirlemek için bu logların doğru bir şekilde yorumlanması kritik bir adımdır.

Kerberos Loglarının Önemi

Kerberos logları, özellikle iki temel olay ID’siyle dikkat çeker:

  • Event ID 4768 (TGT İsteği): Kullanıcının kimliğinin doğrulandığı ve biletinin verildiği anı temsil eder.
  • Event ID 4769 (TGS İsteği): Kullanıcının belirli bir servise erişim için gerekli izni aldığı anı göstermektedir.

Bu loglar, siber saldırıları tespit etmek ve analiz etmek için değerli bilgiler sağlar. Örneğin, bu olaylardan biri (4769) çok sayıda kez tekrarlanıyorsa, bu durum potansiyel bir Kerberoasting saldırısını işaret edebilir. Aşağıdaki örnek, Kerberos loglarında görülebilecek bir anomaliyi temsil eder:

Event ID: 4769
Date: 2023-10-01 11:15:34
User: user123
Service: service_account
Source IP: 192.168.1.10

Bu log, user123 kullanıcısının çok sayıda TGS isteği yaptığını gösteriyor olabilir. Birden fazla log kaydı, bu kullanıcının hedefteki bir servise karşı kötü amaçlı bir saldırıda bulunduğunu düşündürebilir.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar veya güncel olmayan sistem bileşenleri, saldırganların ağınıza girmesine olanak tanıyabilir. Örneğin, Kerberos biletlerinin zayıf şifreleme yöntemleri kullanılarak oluşturulması, siber saldırganların bu biletleri kırmasını kolaylaştırır. Loglarda şifreleme türünü kontrol etmek önemlidir. Aşağıdaki örnekte bir log girişinde görülebilecek şifreleme türleri verilmiştir:

Encryption Type: 0x17 (RC4) - Zayıf
Encryption Type: 0x12 (AES-256) - Güçlü

Zayıf şifreleme kullanılan bir bilet (0x17 gibi) saldırganların işlemlerini kolaylaştırır, bu nedenle şifreleme seviyesinin modern ve güvenli olması gerekmektedir.

Profesyonel Önlemler ve Hardening Önerileri

Kerberos logları üzerinden elde edilen bulgular, siber güvenlik önlemlerinin güçlendirilmesine yardımcı olur. Aşağıdaki önlemler önerilmektedir:

  1. Şifreleme Ayarlarını Güncelleyin: Tüm Kerberos biletleri için güçlü şifreleme türlerinin (örneğin, AES-256) kullanıldığından emin olun.

  2. Log Analizlerini Otomatikleştirin: Kerberos loglarının düzenli olarak izlenmesi ve analiz edilmesi için otomasyon araçları kullanın.

  3. Yanlış Yapılandırmaları Giderin: AD ortamınızdaki tüm servislerin doğru yapılandırıldığından emin olun. Yanlış yapılandırmalar, ağınıza yönelik saldırılara yol açabilir.

  4. İzinsiz Erişim Tespiti: Kerberos logları, izinsiz erişim girişimlerini tespit etmek için kullanılmalıdır. Şüpheli aktiviteleri hızlı bir şekilde incelemek ve gerekli önlemleri almak önemlidir.

Sonuç Özeti

Kerberos logları üzerinden yapılan analizler, Active Directory ortamının güvenliği açısından kritik bilgiler sunar. Yanlış yapılandırmalar veya zayıf şifreleme türleri gibi zayıflıklar, siber saldırılara kapı aralayabilir. Bu nedenle, logların doğru yorumlanması ve siber güvenlik önlemlerinin sürekli olarak güncellenmesi gerekmektedir. Proaktif bir yaklaşım benimsemek, olası güvenlik tehditlerini minimize etmek için hayati öneme sahiptir. Gelişmiş siber saldırıları anlamak ve önlemek için Kerberos loglarının düzenli olarak izlenmesi ve analiz edilmesi elzemdir.