CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Hizmet Keşfi ve Kerberoasting: Siber Güvenlikte SPN Yönetimi

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Hizmet keşfi ve Kerberoasting süreçleri hakkında detaylı bilgi edinin. SPN yönetiminin siber güvenlikteki rolüne dair önemli noktaları keşfedin.

Hizmet Keşfi ve Kerberoasting: Siber Güvenlikte SPN Yönetimi

Hizmet keşfi (SPN enumeration) ve Kerberoasting, siber güvenlikte kritik öneme sahiptir. Bu blogda, SPN'lerin ne olduğunu, yapılarını ve güvenlik stratejilerini ele alıyoruz.

Giriş ve Konumlandırma

Giriş

Siber güvenlik alanında, saldırganların hedeflerini tespit etme ve zayıflıkları istismar etme yeteneği kritik bir öneme sahiptir. Bu bağlamda, Hizmet Keşfi (Service Principal Name - SPN) ve Kerberoasting, bir ağdaki hizmetlerin ve bu hizmetleri sağlayan hesapların güvenliğini değerlendirmek için çok önemli iki tekniktir. Her iki teknik de Kerberos kimlik doğrulama protokolü temelinde şekillenir ve bu protokolün sunduğu avantajları, aynı zamanda zayıflıkları da içermektedir.

Hizmet Keşfi Nedir?

Hizmet Keşfi, ağ üzerindeki hizmetlerin ve bu hizmetlere ait kimlik bilgilerini belirlemek amacıyla yapılan bir araştırma veya keşif sürecidir. SPN, bir servisin Kriptografik Biletler (TGS) aracılığıyla kimlik doğrulama sürecinde kullanıldığı tanımlayıcıdır. Örneğin, bir web hizmetine ait SPN, şu şekilde görülebilir: HTTP/web01.corp.local:80. Bu tür tanımlayıcılar, servis hesapları ile servislerin benzersiz bir şekilde ilişkilendirilmesini sağlar.

Burada önemli olan, siber saldırganların SPN keşfi yaparak, ağdaki hassas hizmetleri ve bu hizmetlerin çalıştığı hesapları hızla belirlemeleridir. Bunun sonucunda, saldırganlar Kerberoasting saldırılarını gerçekleştirmek için hedef listeleri oluştururlar.

Kerberoasting ve SPN Arasındaki İlişki

Kerberoasting, tıpkı Hizmet Keşfi gibi, hizmetlerin ve bunlara ait hesapların zayıflıklarını hedef alır. Bu saldırı yöntemi, genellikle hizmet hesaplarının kimlik doğrulama biletlerinin ele geçirilmesi yoluyla gerçekleştirilmektedir. Hizmet hesapları, genellikle daha az güvenlik önlemiyle korunur ve bu nedenle saldırganlar, bu hesapların şifrelerini kırarak yetkisiz erişim sağlama eğilimindedir.

Kerberoasting saldırıları ile Hizmet Keşfi arasındaki bağlantıyı daha iyi anlamak için şu noktaların altı çizilmelidir:

  1. Bilgi Toplama: Saldırganlar, setspn aracı gibi komut satırı araçlarını kullanarak, kullanıcı hesaplarına bağlı SPN’lerin listelenmesini sağlarlar.
  2. Hedef Listesi Oluşturma: SPN kayıtları keşfedildiğinde, saldırganlar bu kayıtlarla ilişkili hizmet hesaplarını ele geçirerek Kerberos bileti talep ederler.
  3. Saldırı Olasılıkları: Kullanıcıların yalnızca birkaç hizmet için TGS biletleri istemesi durumunda şüpheli bir tarama faaliyeti haber vermektedir. Bu tür anormallikleri tespit etmek, siber güvenlik uzmanları için kritik bir görevdir.

Bazı önemli komutlar, SPN keşfi ve Kerberoasting işlemleri için sıklıkla kullanılmaktadır. Örneğin, Get-NetUser -SPN komutu, domaindeki SPN kaydı olan kullanıcı hesaplarını listelemekte ve bu da saldırganlar için uygun hedefleri belirlemek adına kullanılmaktadır.

SPN Strüktürü ve Bileşenleri

SPN’ler, bir servis sınıfı, bir host adı ve bir port veya servis adı gibi bileşenlerden oluşur:

  • Servis Sınıfı: Hizmetin türünü belirten bölüm (örn. MSSQLSvc, HTTP, HOST).
  • Hostname: Hizmetin üzerinde çalıştığı bilgisayarın FQDN (Fully Qualified Domain Name) veya NetBIOS adı.
  • Port / Servis Adı: Hizmetin dinlediği port numarası veya spesifik hizmet adı.

Bu bileşenlerin dikkatli bir şekilde yönetilmesi, hem ağın güvenliğini artıracak hem de saldırganların bu tür bilgileri kullanarak gerçekleştireceği saldırıların önüne geçecektir.

Sonuç

SPN yönetimi, siber güvenlik alanında kritik bir yer tutar. Hizmet Keşfi ve Kerberoasting gibi tekniklerin etkili bir şekilde uygulanması, sistem yöneticilerinin ağlarını koruma ve güvenlik açıklarını kapatma açısından önemli bir rol oynamaktadır. Bu nedenle, siber güvenlik profesyonellerinin, SPN yönetimi konusundaki bilgilerini güncel tutmaları ve bu alanda eğitim almaları gerekmektedir. Bu yazıda ve devamında ele alınacak konularda, bu meselelerin derinlemesine irdelenmesi amaçlanmaktadır.

Teknik Analiz ve Uygulama

SPN Nedir?

Service Principal Name (SPN), Kerberos kimlik doğrulama sisteminde bir hizmet örneğini benzersiz bir şekilde bir servis hesabı ile ilişkilendiren tanımlayıcıdır. SPN, bir servisin hangi kullanıcı hesabı altında çalıştığını belirlemede kritik bir role sahiptir ve bu nedenle siber güvenlik analizlerinde önemli bir bileşendir. Örneğin, bir HTTP servisi için belirlenen SPN şu şekilde olabilir: HTTP/web01.corp.local:80.

SPN Yapısı

Bir SPN yapı taşları üç ana bileşenden oluşur:

  1. Service Class: Hizmetin türünü belirtir (örneğin, MSSQLSvc, HTTP, HOST).
  2. Hostname: Hizmetin üzerinde çalıştığı bilgisayarın tam nitelikli alan adı (FQDN) veya NetBIOS adı.
  3. Port / Service Name: Hizmetin dinlediği port numarası veya spesifik hizmet adı.

Bu üç bileşen birleşerek belirli bir servisi tanımlar ve bu servisin güvenlik açığı analizlerinde hedef alınmasına olanak tanır.

Keşif Amacı

Saldırganlar, ağ üzerindeki hizmetlerin ve bu hizmetleri çalıştıran hesapların hassasiyetini belirlemek amacıyla SPN keşfi yaparlar. Bu süreç, Kerberoasting saldırılarına giden yolun ilk adımıdır. Özellikle, bir SPN kayıtlarının kullanıcı hesapları ile nasıl ilişkili olduğu araştırılabilir. SPN'lerin keşfi, potansiyel hedefleri zkzeyerek, Kerberoasting kullanarak bu hesaplar üzerinde bilet taleplerinde bulunmak için kritik bir süreçtir.

setspn Aracı

Windows işletim sistemlerinde yerleşik olarak gelen setspn aracı, SPN kayıtlarını okumak, eklemek veya silmek için kullanılan bir komut satırı aracıdır. Tüm SPN kayıtlarını listelemek için setspn -L <kullanıcı_adı> komutunu kullanabilirsiniz. Örnek bir kullanım:

setspn -L Administrator

Bu komut, "Administrator" kullanıcısına atanan tüm SPN kayıtlarını listeleyecektir.

Hesap Türleri ve SPN

SPN'ler, iki ana hesap türüyle ilişkilidir:

  1. Machine Account: Bilgisayar adına kayıtlı olan SPN'ler genellikle sistem tarafından yönetilmektedir.
  2. Service Account: Özel bir kullanıcı hesabına atanan SPN'ler, Kerberoasting saldırılarına açık olup, saldırganların hedef alması için cazip görünmektedir.

Kerberoasting Öncesi Keşif

Kerberoasting saldırılarına geçmeden önce, ağ ortamında bulunan SPN'lerin keşfi kritik bir adımdır. Bu amaçla LDAP sorguları kullanılabilir. Aşağıdaki LDAP filtresi, herhangi bir nesnenin SPN özniteliğine sahip olanları aramak için kullanılır:

(servicePrincipalName=*)

Bu filtre, ağ üzerindeki tüm SPN'leri bulmayı sağlar ve saldırganların hedef belirlemesine yardımcı olur.

PowerView ve SPN

PowerView, Active Directory ortamlarında bilgi edinmek amacıyla kullanılan bir PowerShell aracıdır. SPN keşfi için aşağıdaki komutları kullanabilirsiniz:

Get-NetUser -SPN

Bu komut, domaineki sadece SPN kaydı olan kullanıcı hesaplarını listeleyecektir. Ayrıca, belirli bir SPN değerine sahip bilgisayarları sorgulamak için:

Get-NetComputer -SPN "HTTP/web01.corp.local"

Bu komut belirtilen SPN'ye sahip bilgisayarları geriye döndürecektir.

İzleme Stratejisi (Event 4769)

SPN keşfi genellikle çeşitli anormal faaliyet göstergeleri ile izlenebilir. Örneğin, tek bir kullanıcının kısa sürede çok sayıda servis için TGS bileti istemesi, şüpheli bir tarama faaliyeti olarak algılanabilir. Bu tür durumlar için Windows Event Log'da 4769 kodlu olay, SPN'ler üzerinde gerçekleştirilen işlemleri izlemek için kullanılır.

Honey-SPN

Saldırganları tespit etmek amacıyla, gerçekte kullanılmayan ancak cazip görünen sahte SPN kayıtları oluşturma tekniğine "Honey-SPN" denir. Bu teknik, saldırganların ağ üzerinde gerçekleştirilmiş keşif faaliyetlerini gözlemlemek için etkili bir yöntemdir. Bu sayede, ağın güvenliği artırılabilir ve gerçek tehlikeler belirlenebilir.

Özetle, SPN yönetimi ve keşfi, ağın güvenliğini sağlamak ve potansiyel saldırılara karşı önlem almak için kritik öneme sahiptir. Her bir aşamalara dikkat etmek ve ağ üzerinde yapılan işlemleri sürekli olarak izlemek, başarılı bir siber güvenlik stratejisi için gereklidir.

Risk, Yorumlama ve Savunma

Siber güvenlikte, SPN (Service Principal Name) keşfi ve yönetimi kritik öneme sahiptir. SPN'ler, bir hizmetin Kerberos kimlik doğrulamasında belirli bir hizmet hesabıyla ilişkisini tanımlar. Doğru yapılandırılması, hizmetlerin güvenliğini sağlarken, yanlış yapılandırmalar veya zafiyetler, potansiyel saldırganlar için fırsatlar oluşturabilir. Bu bölümde, SPN keşfi ile ilişkili riskleri değerlendirecek, bu bulguların güvenlik konusundaki anlamlarını yorumlayacak ve uygun savunma mekanizmalarını önereceğiz.

SPN Elde Edilen Bulguların Yorumlanması

SPN'lerin keşfi, saldırganların ağda hassas hizmetleri ve bunları çalıştıran hesapları tespit etmelerine olanak tanır. Örneğin, aşağıdaki komut ile ağdaki SPN kayıtlarını listeleyerek potansiyel hedefleri belirlemek mümkündür:

setspn -L [kullanıcı_adı]

Bu türden bir keşif, Kerberoasting saldırılarının önünü açar. Söz konusu kullanıcı hesabına atanmış hizmetlere dair bilgilerin toplanması, saldırganların bu hizmetlerin TGS (Ticket Granting Service) biletlerini elde etmek için hedef listesi oluşturmalarına yol açar.

Elde edilen bu bilgiler, özellikle kötü yapılandırılmış veya güvenlik önlemleri yetersiz hizmet hesapları için büyük risk taşır. Örneğin, standart kullanıcı hesaplarına atanan SPN'ler, şifreleri kırılabilir hale getirir. Bunun yanında, yönetilen hizmet hesapları, şifre yönetimini otomatikleştirerek bu riski önemli ölçüde azaltabilir.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, SPN keşfi ve Kerberoasting için kritik sebeplerdir. Eğer bir SPN, gereksiz yere bir standart kullanıcı adına atanmışsa, bu durum, saldırganların ağda daha fazla bilgi edinmesine yol açar. Saldırganlar, bu tür yanlış yapılandırmaları tespit etmek için çok sayıda kullanıcı hesabı üzerinde SPN sorgulaması yapabilir.

Örneğin, aşağıdaki komut ile belirli bir SPN'ye sahip bilgisayarları sorgulamak mümkündür:

Get-NetComputer -SPN [servicePrincipalName]

Bu şekilde yapılan sorgulamalar, kötü amaçlı aktiviteleri hızlandırabilmektedir. Dolayısıyla, SPN yapılandırmalarının düzenli olarak gözden geçirilmesi önem arz eder.

Sızan Veri ve Topoloji

Elde edilen verilerin analiz edilmesi, saldırganların hangi hizmetlere ve hesaplara yöneldiğini anlamak açısından kritik bir rol oynar. Örneğin, bir saldırganın belirli bir MSSQL SPN'sine odaklandığını varsayalım. Bu tür bir durum, o hizmete ait veritabanlarının risk altında olduğunun bir göstergesidir. Dolayısıyla, hizmetin üzerine düşen yük ve güvenlik önlemleri artırılmalıdır.

Profesyonel Önlemler

SPN yönetimi, aşağıdaki gibi bazı profesyonel önlemlerle güvence altına alınabilir:

  1. Hesapların Gereksiz SPN'ler Üzerinden Kullanımını Sınırlandırmak: Gereksiz yere yetkilendirilmiş hizmet hesaplarının sıklıkla gözden geçirilerek, yalnızca gerekli hizmetlerle ilişkilendirilmesi sağlanmalıdır.

  2. Kerberos Hardening: Kerberos kimlik doğrulamasına yönelik yapılandırmaların sıkılaştırılması, saldırganların sistemin zafiyetlerinden faydalanma olasılığını azaltır. Bu, özellikle TGS biletlerinin korunmasını da içermelidir.

  3. İzleme ve Günlükleme: Olası tehditleri tespit etmek için etkin günlükleme ve izleme mekanizmalarının kurulması hayati öneme sahiptir. Windows Event 4769 gibi kayıtlar, şüpheli aktivitelerin tanımlanmasına yardımcı olabilir.

  4. Honey-SPN Kullanımı: Gerçekten kullanılmayan, ancak cazip görünen sahte SPN kayıtları oluşturmak, saldırganların açıkladıktan sonra izlenebilir hale gelmelerine olanak tanır. Bu teknik, siber izleme planlarının önemli bir parçası olarak kullanılabilir.

Sonuç Özeti

SPN keşfi ve yönetimi, ağ güvenliğinde kritik bir unsur olarak karşımıza çıkmaktadır. Yanlış yapılandırmalar ve zafiyetler ciddi riskler barındırmakta, bu nedenle yapılandırmaların sürekli izlenmesi ve gözden geçirilmesi gerekmektedir. Gelişmiş izleme, risklerin etkili bir şekilde yönetilmesi ve olası saldırıların önlenmesi için en önemli adımlardır. Unutulmamalıdır ki, her zaman proaktif önlemler almak, güvenlikte üst düzey koruma sağlamak için elzemdir.