CyberFlow Logo CyberFlow BLOG
Smb Pentest

Golden ve Silver Ticket Siber Güvenlik Açıkları: SMB Operasyonları Hakkında Bilmeniz Gerekenler

✍️ Ahmet BİRKAN 📂 Smb Pentest

Golden ve Silver Ticket açıkları ile SMB operasyonlarını öğrenin. Siber güvenlikte kalıcılığı ve erişim kontrolünü anlamak için bu rehberi inceleyin.

Golden ve Silver Ticket Siber Güvenlik Açıkları: SMB Operasyonları Hakkında Bilmeniz Gerekenler

Golden ve Silver Ticket, siber güvenlik alanında büyük riskler taşımaktadır. Bu blogda, SMB operasyonları çerçevesinde bu açıklara derinlemesine bir bakış sunulmaktadır. Erişim kontrolü ve koruma yöntemlerini keşfedin.

Giriş ve Konumlandırma

Siber güvenlik alanında, ağlar üzerindeki tehditleri anlamak ve bu tehditlere karşı etkin savunma mekanizmaları geliştirmek büyük bir önem taşımaktadır. Bu bağlamda, Golden ve Silver Ticket siber güvenlik açıkları, özellikle Kerberos kimlik doğrulama protokolünün işleyiş biçimi açısından kritik bir yere sahiptir. Bu blog yazısında, bu bilet türlerinin ne olduğunu, nasıl kullanıldığını ve SMB (Server Message Block) operasyonları üzerindeki etkilerini ele alacağız.

Golden ve Silver Ticket Nedir?

Golden Ticket, bir ağda tam yetki sağlayan sahte bir Ticket Granting Ticket (TGT) olarak tanımlanabilir. Bu bilet, saldırgana herhangi bir kullanıcı adına, genellikle Domain Admin olarak, süresiz erişim imkanı sunar. Saldırgan, KRBTGT hesabının hash'ini kullanarak bu bileti oluşturur ve bu sayede ağ üzerinde neredeyse tüm kaynaklara erişim sağlayabilir. Güvenlik açığı nedeniyle bir siber saldırganın ağa girmesi, sistem yöneticisi gibi hareket etmesi ve ağın tam kontrolünü ele geçirmesi mümkün hale gelir.

Silver Ticket ise belirli bir servis hesabına yönelik sahte Ticket Granting Service (TGS) biletidir. Bu bilet, sadece belirli bir servise erişim sağlar (örneğin, bir MSSQL veya CIFS servisi). Silver Ticket kullanımı, saldırganın hedef sunucuyla iletişim kurmadan kimlik doğrulamasını yerel olarak yapabilmesinin bir yolunu sunar, bu da saldırıyı daha gizli hale getirir.

Neden Önemli?

Golden ve Silver Ticket'ların kötüye kullanımı, bir ağın güvenliğini ciddi şekilde tehlikeye atabilir. Saldırganlar, bu açıkları kullanarak yanal hareket eder; kısacası, bir ağda tam erişim elde ettikten sonra diğer sistemlere geçiş yapabilirler. Bu durum, kurumların hassas verilerini açığa çıkarma, veri kaybı yaşama ve iş sürekliliğini tehdit etme risklerini artırır. Kurumların siber güvenlik planlarının bu tür tehditleri göz önünde bulundurması ve etkili savunma stratejileri geliştirmesi gerekmektedir.

Siber Güvenlik ve Pentest ile Bağlantı

Pentest (penetrasyon testleri), siber saldırganların kullandığı teknikleri simüle ederek ağların güvenliğini test etmeyi amaçlar. Golden ve Silver Ticket açıkları, özellikle saldırı vektörlerinin anlaşılması açısından önemli bir yere sahiptir. Pentester'lar, bu tür biletlere odaklanarak siber güvenlik açığı testlerinin sınırlarını genişletebilir ve şirketlerin savunma hatlarını güçlendirebilir.

Ayrıca, savunma mekanizmaları oluşturulurken, bu açıkların nasıl işlediği ve nasıl önlenebileceği konularına derinlemesine hakim olmak şarttır. Saldırganların bu yöntemleri kullanmalarını engellemek için güvenlik duvarları, izleme sistemleri ve güncel yazılım kullanımı gibi önlemler geliştirilmelidir.

Okuyucuya Hazırlık

Bu yazıda, Golden ve Silver Ticket'ların çalışma prensiplerinden başlayarak, bunların SMB operasyonları üzerindeki etkilerini detaylandıracağız. Mimikatz ve Rubeus gibi araçların kullanımı ile bilet enjeksiyonu, Pass-the-Ticket (PtT) yöntemleri ve izleme ile savunma teknikleri üzerinde duracağız. Her aşamada, okuyucuların bu teknikleri anlamalarını sağlamak için gerekli bilgiler verilecek ve ilgili kod örnekleri sunulacaktır.

Örneğin, Mimikatz kullanarak bir biletin belleğe nasıl enjekte edileceğine dair bir örnek vermek gerekirse:

mimikatz # kerberos::ptt ticket.kirbi

Bu, sahte bir biletin belleğe enjekte edilmesini sağlayacak komutu göstermektedir. Bu ve benzeri teknikler, okuyucuların uygulamalarını pratik bir şekilde geliştirmelerine yardımcı olacaktır.

Sonuç olarak, Golden ve Silver Ticket açıkları üzerine derinlemesine bir anlayışa sahip olmak, siber güvenlik profesyonelleri ve kurumlar için oldukça stratejik bir öneme sahiptir. Bu yazının ilerleyen bölümlerinde, bu kavramları daha detaylı inceleyeceğiz ve pratik uygulamalarla destekleyeceğiz.

Teknik Analiz ve Uygulama

Siber güvenlik alanında, Golden ve Silver Ticket açıkları, özellikle Kerberos kimlik doğrulama protokolü üzerinden gerçekleştirilen saldırılarda kritik öneme sahiptir. Bu bölümde, bu açıkların teknik detaylarını, potansiyel uygulamalarını ve korunma yöntemlerini inceleyeceğiz.

Golden Ticket Nedir?

Golden Ticket, bir saldırganın Kerberos protokolünü kullanarak oluşturduğu sahte bir Ticket Granting Ticket (TGT)'dir. Bu bilet, saldırgana ağdaki herhangi bir kullanıcı (genellikle Domain Admin) kılığında süresiz erişim sağlar. Bu biletin oluşturulması için genellikle KRBTGT hesabının hash'i kullanılır. Aşağıda, bu sürecin nasıl gerçekleştirileceğine dair temel bir örnek yer almaktadır:

mimikatz.exe "kerberos::ptt ticket.kirbi"

Bu komut ile, oluşturulan bilet mevcut oturumun belleğine (LSASS) enjekte edilir. Böylece, saldırgan o ağda kayıtlı herhangi bir hizmete erişebilir.

Silver Ticket Kapsamı

Silver Ticket, belirli bir servis hesabının (örneğin, MSSQL veya CIFS) hash'i ile oluşturulan ve yalnızca o servise özel erişim sağlayan sahte bir Ticket Granting Service (TGS) biletidir. Bir Silver Ticket oluştururken, hedef makinede dosya paylaşımına erişmek istiyorsanız servis sınıfı (Service Class) olarak bu ismi belirtmeniz gerekir.

Örnek bir Silver Ticket oluşturma süreci, aşağıdaki şekilde gerçekleştirilebilir:

mimikatz.exe "kerberos::golden /user:<KullaniciAdı> /domain:<Domain> /sid:<SID> /krbtgt:<KRBTGTHash> /service:<Servis> /rc4:<ServisHash>"

SMB Servis İsmi: CIFS

Siber güvenlik testlerinde, SMB (Server Message Block) hizmetine bağlanmak için genellikle CIFS (Common Internet File System) kullanılır. İşlem gerçekleştirilmeden önce, bu servisin kimlik doğrulama işlemlerinde kullanılacak isim olarak belirlenmesi gerekmektedir.

Pass-the-Ticket (PtT) Mekanizması

Pass-the-Ticket (PtT), hash yerine bilet kullanarak yapılan yanal hareket tekniğidir. Bu mekanizma, belleğe enjekte edilen biletin, SMB araçları tarafından otomatik olarak kullanılmasını sağlar. Nitekim, bilet başarıyla enjekte edildikten sonra, hedef sunucu sizi yönetici olarak tanır ve tüm gizli yönetimsel paylaşımlara erişim sağlayabilirsiniz.

SMB Erişimi: C$ ve ADMIN$

Bilet başarıyla enjekte edildikten sonra, Windows işletim sistemi üzerindeki yönetici paylaşımlarına erişim sağlamak için aşağıdaki komutu kullanabilirsiniz:

dir \\<sunucu_adı>\C$

Bu komut, hedef sunucudaki C: sürücüsünün içeriğini listelemenizi sağlar. Aynı zamanda ADMIN$ paylaşımlarına erişim sağlamak için de kullanılabilir.

Rubeus ile Bilet Yönetimi

Mimikatz'a alternatif olarak modern pentestlerde kullanılan Rubeus aracı, bilet oluşturma ve enjekte etme işlemlerini çok daha sessiz yapar. Rubeus ile mevcut biletleri listelemek için aşağıdaki komutu kullanabilirsiniz:

Rubeus.exe kerberoast

Bu komut, ağ üzerindeki mevcut Kerberos biletlerinin yönetebilmenizi sağlar ve doğru işlemlerle hedef makineler üzerinde yanal hareket etmenize olanak tanır.

PAC (Privilege Attribute Certificate)

PAC, bir biletin içinde gömülü olan ve kullanıcının grup üyeliklerini belirleyen kritik veri blokudur. Özellikle domain admin gibi kritik yetkilere sahip gruplardan gelen taleplerin yönetilmesi açısından önemli bir bileşendir.

Kritik Fark: DC İletişimi

Silver Ticket kullanıldığında, hedef sunucu Domain Controller ile veri alışverişi yapmadan bileti yerel olarak doğrular. Bu, saldırının gizliliğini artırarak, saldırganın tespit edilmesini güçleştirir.

Impacket ile Linux Üzerinden Kullanım

Aynı zamanda, Linux makinenizde bulunan Kerberos biletlerini (.ccache) kullanarak Windows hedeflere SMB üzerinden komut gönderebilirsiniz. Örnek bir kullanım aşağıdaki gibidir:

export KRB5CCNAME=ticket.ccache && psexec.py -k -no-pass <hedef_ip>

Bu komut, biletleri kullanarak hedef makine üzerinde işlem yapmanızı sağlar.

Savunma ve İzleme

Sahte biletlerin tespit edilmesi zordur, ancak imkânsız değildir. Anomaliler ve şüpheli etkinlikler sürekli olarak izlenmelidir. Özellikle Event ID 4624 kaydının incelenmesi, 'Eski/Zayıf Şifreleme' kullanımlarını tespit etmek açısından kritik bir öneme sahiptir.

Nihai Hedef: Persistence

Golden Ticket testleri, saldırganın ağda "Kalıcılık" sağlaması veya bir hash ile tüm ağı ne kadar süre kontrol edebileceğini doğrulamak amacıyla sıklıkla gerçekleştirilir. Bu durum, siber güvenlik operasyonlarında uzun süreli erişim imkanı sağlamakla kalmaz, aynı zamanda organizasyonun güvenlik seviyesini de tehdit eder. Kalıcılığın önlenmesi için önleyici tedbirlerin alınması büyük önem taşımaktadır.

Bu bölümde Golden ve Silver Ticket konusunda teknik bir derinleme sağlanmış ve uygulama örnekleri ile ayrıntılı bir inceleme sunulmuştur. Uygulanan tekniklerin doğru ve etkili bir şekilde kullanılması, siber güvenlik açısından hayati öneme sahiptir.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi

Golden ve Silver Ticket açıkları, siber güvenlik ortamında ciddi riskler taşıyan sızma teknikleridir. Golden Ticket, tüm ağdaki kaynaklara erişim sağlayabilen sahte bir TGT (Ticket Granting Ticket) oluştururken, Silver Ticket ise belirli bir servise, örneğin SMB (Server Message Block), erişim sağlamak için kullanılan sahte bir TGS (Ticket Granting Service) biletidir. Bu tür biletiler, bir ağda kullanıldığında, kötü niyetli bir saldırgan tarafından yeralan yetkilere bağlı olarak geniş çapta zarar verebilir. Özellikle, hassas verilerin ele geçirilmesi, ağ araçlarının kontrol edilmesi ve veri sızıntıları gibi potansiyel tehditler söz konusudur.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar ve zafiyetler, bu tür saldırıların etkisini katlanarak artırabilir. Örneğin, bir organizasyonun Kerberos oturum açma sürecinin yanlış yapılandırılması, bir saldırganın Golden Ticket oluşturarak ağ genelinde kalıcı erişim sağlamasına olanak tanır. Ayrıca, Domain Controller (DC) üzerindeki güvenlik açığı ve güncel olmayan yazılım, saldırının kapısını aralar.

Zafiyetlerin etkisi, sistemin topolojisi ve veritabanı yapısıyla doğrudan ilişkilidir. Eğer saldırgan, örneğin bir Silver Ticket kullanarak hedef servise erişirse, bu durum etkilenen servisteki verilere direkt erişim anlamına gelir. Bu, veri hırsızlığı ya da sistem manipülasyonu gibi ciddi sonuçlar doğurabilir.

# Örnek: SMB üzerinden paylaşıma erişim testi
dir \\sunucu\C$\

Bu tür bir komut, saldırganın yönetici erişimine sahip olduğu durumlarda, paylaşımlara erişim sağlayabilir ve kritik verilere ulaşabilir.

Sızan Verilerin Anlamlandırılması

Sızan verilerin niteliği, saldırının ciddiyetini belirler. Golden Ticket kullanılması durumunda, saldırganın her türlü kaynağa erişimi olduğu için güvenlik açığı son derece kritiktir. Öte yandan, Silver Ticket kullanılması hâlinde, daha yerel bir erişim söz konusu olup, saldırganın etki alanı sınırlıdır. Ancak, bu da secimlerin ne kadar hassas olduğuna bağlıdır.

Sızan veriler genellikle, kullanıcı bilgileri, kimlik bilgileri ve sistem yapılandırmalarını içerir. Bu tür bilgiler, hedef alınan sistem üzerinde bilgi toplama amacıyla kullanılabilir. Saldırgan, gerekli bilgiyi elde ettikten sonra, hedef sistemde daha kapsamlı saldırılar gerçekleştirerek, kalıcılık sağlayabilir.

Profesyonel Önlemler

Golden ve Silver Ticket açıklarının etkilerini azaltmak için aşağıdaki önlemler alınmalıdır:

  1. Güvenlik İlkeleri ve Eğitim: Kullanıcıların, özellikle sistem yöneticilerinin, siber güvenlik farkındalığını artırmak için düzenli eğitimler verilmelidir.

  2. Kerberos Yapılandırması: Kerberos ayarları düzenli olarak gözden geçirilmeli ve sağlıklı yapılandırma sağlanmalıdır. Örneğin, KRBTGT hesabının parolası belirli aralıklarla değiştirilmelidir.

  3. Çok Faktörlü Kimlik Doğrulama: Yönetici hesapları için çok faktörlü kimlik doğrulama (MFA) uygulamak, ele geçirilen biletlerle oturum açma girişimlerini engelleyebilir.

  4. Olay İzleme: Olay günlükleri dikkatlice izlenmelidir. Örneğin, Event ID 4624 ile eski veya zayıf şifreleme kullanımı izlenebilir ve bu durumdaki anormal aktiviteler rapor edilmelidir.

  5. ** Ağ Segmentasyonu**: Güvenliğiniz için ağınızı segmentlere ayırarak zararlı aktivitelerin etki alanını sınırlamak mümkündür.

# Örnek: Rubeus ile bilet yönetimi
Rubeus.exe triage

Sonuç Özeti

Golden ve Silver Ticket açıkları, bir sistemin güvenliğini tehdit eden önemli riskler taşımaktadır. Bu açıkların etkileri, sahte biletlerin kullanımı ile artmakta ve veri sızma olaylarına yol açabilmektedir. Yanlış yapılandırmalar, zafiyetler ve yetersiz güvenlik önlemleri, saldırganlara kolaylık sağlamaktadır. Bu nedenle, sistem yöneticilerinin aktif olarak güvenlik önlemleri alması, yapılandırmaları gözden geçirmesi ve kullanıcı farkındalığı artırma çabaları, güçlü bir siber güvenlik ortamı oluşturmak için kritik öneme sahiptir.