GetNPUsers.py - AS-REP roast analizi

GetNPUsers.py - AS-REP roast analizi

Giriş

Giriş

Küresel çapta artan siber saldırılar, siber güvenlik alanında sürekli bir yenilik ve adaptasyon gerektirmektedir. Özellikle Active Directory (AD) üzerinde gerçekleştirilen kimlik avı ve yetki yükseltme saldırıları, siber güvenlik uzmanları için önemli bir odak noktası haline gelmiştir. Bu bağlamda "GetNPUsers.py" gibi araçlar, siber güvenlik profesyonellerine önemli bir yardımı dokunarak AD ortamlarındaki potansiyel zafiyetleri açığa çıkarmaktadır.

AS-REP Roast Nedir?

AS-REP roast, Kerberos protokolündeki bir açığı istismar eden bir saldırı tekniğidir. Bu teknik, kullanıcıların şifreleri kırmak için kullanılan, zayıf veya varsayılan şifrelemeye sahip kullanıcı hesaplarını hedef almaktadır. Kerberos, ağ üzerinde kimlik doğrulama sağlamak için kullanılan yaygın bir protokoldür ve AS-REP roast, genellikle bu protokol üzerinden gerçekleştirilen oturum açma süreçlerini hedef alır. Kullanıcı isteklerinde, şifresiz veya zayıf şifreleme ile yönetilen hesapların belirlenmesi, bu tür bir saldırının temel yapı taşını oluşturmaktadır.

GetNPUsers.py Nedir?

GetNPUsers.py, pek çok siber güvenlik aracından biri olup, AS-REP roast saldırılarını kolaylaştırmak için geliştirilmiştir. Bu Python tabanlı araç, AD hesaplarını tarayarak ağa bağlı olan kullanıcılardan, AS-REP yanıtları almayı hedefler. Kullanıcıların şifreleme algoritmalarının zayıf veya kullanılabilir olup olmadığını belirlemek için önemli bir veri sunar. Bu sayede, siber güvenlik uzmanları potansiyel sorunları belirleyebilir ve daha geniş bir güvenlik politikası oluşturabilir.

Önem ve Kullanım Alanları

Siber güvenlik alanında, AS-REP roast saldırıları ciddi bir tehdit olarak kabul edilmektedir. Etkili bir güvenlik yönetimi için, bu tür riskleri minimize etmek ve organizasyona ait hassas bilgileri korumak hayati öneme sahiptir. GetNPUsers.py gibi araçlar, güvenlik denetimlerinde kritik bir rol oynamaktadır. Örneğin, büyük ölçekli bir kuruluşun AD yapılandırmasını tarayarak, zayıf kullanıcı şifrelerinin tespit edilmesine yardımcı olur. Böylece, saldırganların bu hesaplardan şifreleri kırmak için yararlanmasını önleyebilir.

Siber güvenlik uzmanları, bu araçları kullanarak organizasyonlarının güvenlik açıklarını daha iyi anlamakta ve gerekli önlemleri alarak proaktif davranmaktadır. AD ortamlarında AS-REP roast analizi yapmak, güvenlik yönetimi stratejilerinin geliştirilmesinde önemli bir adımdır. Ayrıca, kullanıcı eğitimi ve farkındalık programlarının da bir parçası olarak AS-REP roast tekniğinin anlaşılması, süregelen gelişmiş tehditlere karşı direncin artırılması açısından kritik öneme sahiptir.

Sonuç olarak, GetNPUsers.py ve AS-REP roast analizi, modern siber güvenlik alanında önemli bileşenlerdir. Bu tür tekniklerin ve araçların anlaşılması, potansiyel tehditlerin proaktif bir şekilde yönetilmesine olanak tanımaktadır. Siber güvenlikte bilgi edinmek ve bu bilgiyi uygulamak her zamankinden daha fazla gereklidir; dolayısıyla, AS-REP roast konusunu derinlemesine anlamak, her güvenlik profesyonelinin görevlerindendir.

Teknik Detay

GetNPUsers.py - AS-REP Roast Analizi

AS-REP Roast Nedir?

AS-REP (Authentication Service Response) roast, Active Directory (AD) ortamlarında kullanıcıların kimlik bilgilerini elde etmek için kullanılan yaygın bir zafiyet esasına dayanan bir tekniktir. AD, kullanıcılara temel kimlik doğrulama hizmetleri sağlar ve AES (Advanced Encryption Standard) ile şifrelenmiş Anahtar Dağıtım Protokolü (KDC) şifrelemesini kullanır. AS-REP, Bilet İstemek için bir besleme sürecidir. Daha önce şifrelenmiş kullanıcılara yönelik kullanıcı adı ve şifre ile KDC üzerinden taleplerde bulunarak, şifreleri elde etmek mümkün olabilir.

GetNPUsers.py Aracı

GetNPUsers.py, impacket kütüphanesiyle birlikte gelen bir Python aracıdır. Bu araç, AS-REP roast saldırılarını gerçekleştirmek için kullanılır. Kullanıcı adlarını hedef alarak, bu kullanıcıların "Send As Rep" yetkisine sahip olup olmadığını belirler. Eğer varsa, şifrelerini kırmak için kullanılabilecek şifreleme algoritmaları oluşturur.

Kullanım Mantığı

Kullanımını basit bir şekilde özetlemek gerekirse, GetNPUsers.py şu adımları takip eder:

1. Taramayı Başlatma: Belirli bir Active Directory domain'inde, hedef kullanıcıların listesi alınır.
2. Kullanıcıları Listeleme: "GetNPUsers.py" aracını kullanarak, "UserAccountControl" (UAC) bitlerinin yapılandırmasına bakılır.
3. AS-REP Sorgusu: UAC'nin TrustedForDelegation bitine sahip kullanıcılar belirlenir. Bu kullanıcılar, "AS-REP" yanıtı oluşturulabilecek kullanıcılar olarak işaretlenir.
4. Şifre Kırma Süreci: Elde edilen şifreleme hash’leri, John the Ripper veya Hashcat gibi şifre kırma araçlarıyla kırılabilir.

Aşağıdaki bash komutu ile GetNPUsers.py aracını çalıştırabileceğiniz örnek bir terminal komutu verilmiştir:

python3 GetNPUsers.py domain.local/ -dc-ip 192.168.1.10 -usersfile users.txt

Burada, domain.local hedef domain adı, 192.168.1.10 ise domain controller IP adresidir. users.txt dosyası, taranacak kullanıcı adlarını içerir.

Dikkat Edilmesi Gereken Noktalar

• İzinler: AS-REP roast işlemi, uygun yetkilere sahip bir hesap ile yapılmalıdır. Yeterli izinlere sahip olmadığı takdirde, aracı kullanmak imkansız hale gelebilir.
• Trafik İzleme: Gerçekleştirilen bu işlemler, ağda izlenebilir olduğu için dikkatli yapılmalıdır. Gerekirse, çalışmalarınızı gizlice gerçekleştirmek için VPN veya proxy kullanılabilir.
• Sonuçların Analizi: Elde edilen şifre hash'lerini kırdıktan sonra, kullanıcıların gerçek şifrelerini elde ederiz. Bu nedenle, ihtiyaç duyulan güvenlik önlemleri alınmadan yayımlanmamalıdır.

Analiz Bakış Açısı

GetNPUsers.py'nin kullanımının temel amacı, Active Directory ortamlarında zayıf parolaları belirlemektir. Kullanıcı adlarının ve şifrelerin zayıflıklarını belirlemek için oldukça etkili bir yol sunmaktadır. Bunun yanı sıra, organizasyonların güvenlik düzeylerini artırmalarını sağlamak için bu bilgilerin etkili bir şekilde analiz edilmesi gerekmektedir.

Genel olarak, AS-REP roast saldırıları, siber saldırganların kimlik bilgilerine ulaşmasını kolaylaştırırken, güçlü güvenlik önlemleri alınmadıkça, kurumlar için büyük bir tehdit oluşturmaktadır. Bu araç, sistem yöneticilerine, güvenlik açıklarını belirleme ve bu açıkları kapatma noktasında önemli bir kaynak sunmaktadır.

İleri Seviye

GetNPUsers.py ile AS-REP Roast Analizi

AS-REP roast, Active Directory (AD) üzerinde zayıf şifreler kullanarak hizmet eden kullanıcı hesaplarına karşı gerçekleştirilen bir saldırı tekniğidir. Bu saldırıda, Kerberos protokolü üzerinden AS-REP yanıtlarını yakalayarak, bu kullanıcıların şifrelerini kırmak mümkündür. GetNPUsers.py aracı, bu tür analizlerde sıklıkla kullanılmakta olan, etkili bir Python tabanlı betiktir. Bu bölümde, GetNPUsers.py ile AS-REP roast analizi yapmak için izlenecek adımlar ve uzman ipuçları üzerinde duracağız.

Sızma Testi Yaklaşımı

AS-REP roast saldırısını gerçekleştirmek için önce hedef ortamda kullanıcı hesaplarının niteliklerini değerlendirmek önemlidir. Bu noktada, GetNPUsers.py aracı devreye girmektedir. Bu aracı kullanarak, yalnızca "encryption type"'ı desteklemeyen, yani öncelikle Kerberos üzerinde "Advanced Encryption Standard" (AES) kullanmayan ve şifreleri boş olan kullanıcıları tespit edebiliriz.

GetNPUsers.py Kullanımı

Öncelikle, GetNPUsers.py aracını kullanmak için, aracı çalıştırabileceğimiz bir ortamda uygun kitaplıkların kurulu olduğundan emin olmalıyız. Python ve gerekli bağımlılıkları yüklediğimizde, aşağıdaki gibi bir komut ile kullanıcıları sorgulayabiliriz:

python GetNPUsers.py domain.com -u "Kullanici_Adlari.txt" -d "domain.com"

Bu komut, Kullanici_Adlari.txt adlı dosyadaki kullanıcı adları ile belirtilen domain'deki kullanıcıların AS-REP yanıtlarını sorgulayacaktır. Eğer kullanıcı hesaplarından biri, Kerberos tarafından şifrelenmiş olsa bile, şifresi boşsa, GetNPUsers.py aracı bu kullanıcıyı tespit edecektir.

Analiz Mantığı ve İpuçları

AS-REP roast sırasında, elde ettiğimiz yanıtları dikkatlice analiz etmeliyiz. Şifreleri kırmak için kullanılan araçlar arasında hashcat veya John the Ripper gibi popüler şifre kırma yazılımları bulunmaktadır. İşte, AS-REP roast sonrası elde ettiğimiz hash'leri kırmak için hashcat kullanımı:

hashcat -m 18200 -a 0 hashes.txt wordlist.txt

Burada hashes.txt, GetNPUsers.py ile elde ettiğimiz AS-REP hash'lerini içermektedir ve wordlist.txt ise şifre tahmin denemelerimizi yapacağımız bir kelime listesi dosyasıdır.

Realistik Örnek

Örneğin, diyelim ki GetNPUsers.py aracı ile şu sonucu elde ettik:

[*] Found User: user1  Hash: $krb5asrep$23$*user1@$domain.com$...
[*] Found User: user2  Hash: $krb5asrep$23$*user2@$domain.com$...

Bu hash'leri bir dosyaya kaydedip, yukarıda bahsettiğimiz hashcat komutunu kullanarak hash'leri çözmeye çalışabiliriz. Ayrıca, kullanıcıları incelerken - boş şifre kullanan ya da aşırı basit şifrelerle çalışan hesapları belirlemek - güvenlik açığı yaratacak kullanıcılara odaklanmanızı sağlayacaktır.

Çok sayıda kullanıcıyı hedef alacak bir sözlük saldırısı gerçekleştirmeden önce, daha önce sızmalar sırasında tespit ettiğiniz şifrelerin geçerliliğini göz önünde bulundurmak, çalışmanızı optimize etmek açısından faydalı olabilecektir.

Sonuç

GetNPUsers.py aracı, AS-REP roast analizinde vazgeçilmez bir araç konumundadır. Analiz sırasında karşılaştığınız hash'lerinin kalitesine ve kullanıcı hesaplarının şifre karmaşasına dikkat etmelisiniz. Kullanıcıların şifreleme türlerini analiz etmek, AS-REP roast saldırılarının başarılı olma oranını arttıracaktır. Bu nedenle, hem sızma testi hem de güvenlik değerlendirmesi aşamalarında GetNPUsers.py aracını etkin bir şekilde kullanmak, siber güvenlik uygulamaları için kritik bir adım oluşturmaktadır.