CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Kerberos Kalıcılığı: Golden ve Silver Ticket Saldırıları Üzerine Derinlemesine Bir Bakış

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Golden ve Silver Ticket saldırıları, Kerberos protokolünde kalıcılık sağlamak için kullanılan tehlikeli tekniklerdir. Bu blogda detayları keşfedin.

Kerberos Kalıcılığı: Golden ve Silver Ticket Saldırıları Üzerine Derinlemesine Bir Bakış

Kerberos güvenlik protokolünde Golden ve Silver Ticket saldırıları, sistemler üzerinde kalıcı etkinlik sağlamak için kritik öneme sahip tekniklerdir. Bu yazıda, bu saldırıların nasıl gerçekleştiğini ve etkilerini inceleyeceğiz.

Giriş ve Konumlandırma

Kerberos, birçok ağ ortamında kimlik doğrulama işlemlerinin temelini oluşturan bir protokol olarak yaygın şekilde kullanılmaktadır. Ancak, güvenlik açıkları ve zayıflıklar barındırması nedeniyle siber saldırganlar için bir hedef haline gelmiştir. Bu yazıda, Kerberos'taki kalıcılık (persistence) kavramını ve bunun içerisinde yer alan Golden ve Silver Ticket saldırılarını ele alacağız. Özellikle bu saldırı türlerinin nasıl gerçekleştirildiği, sonuçları ve bunlara karşı alınabilecek önlemler üzerinde duracağız.

Kerberos ve Kalıcılık Kavramı

Kerberos sisteminde, kimlik doğrulama işlemleri genellikle Ticket Granting Ticket (TGT) adı verilen anahtar bileti üzerinden yürütülmektedir. Saldırganlar, bu sistemdeki zayıflıkları kullanarak sahte biletler oluşturabilirler. Golden Ticket saldırısı, bir saldırganın krbtgt hesabının toplam parolanın hash değerini elde ederek, tüm domain kaynaklarına sınırsız erişim sağlayan sahte TGT biletleri oluşturmasıdır. Öte yandan, Silver Ticket saldırıları sadece belirli bir servis için geçerli olan sahte biletlerdir ve genellikle daha sınırlı bir erişim sağlar.

Kalıcılık, bir saldırının hedef sistemde uzun süre etkili olabilmesi anlamına gelir. Golden Ticket oluşturma işlemi, saldırganın etki alanında istediği kadar uzun süre kalabilmesine olanak tanırken, Silver Ticket saldırısı daha sınırlı bir erişim sağlar. Ancak, her iki saldırı türü de uzaktan yönetim ve erişim sağlamak amacıyla kullanılabilir. Bu nedenle, siber güvenlik ve saldırganları tespit etme mekanizmaları açısından son derece önemlidir.

Neden Önemlidir?

Golden ve Silver Ticket saldırıları, siber güvenlik alanında kritik öneme sahiptir. Bu saldırılar, herhangi bir organizasyonun gizli verilerine, ağ kaynaklarına ve kullanıcı hesaplarına izinsiz erişilmesine yol açabilir. Sonuç olarak, verilerin çalınması, sistemlerin ele geçirilmesi ve finansal kayıplar gibi ciddi sonuçlar doğurabilir. Pentest sürecinde de bu tür saldırılar, organizasyonların savunmalarının ne kadar etkili olduğunu test etmede önemli bir rol oynamaktadır.

Siber güvenlik uzmanları, bu tür saldırılara karşı bilgi sahibi olmalı ve organizasyon yapılarında potansiyel zayıflıkları tespit etmelidir. Kullanılan yöntemlerin anlaşılması, hem saldırıların önlenmesi, hem de etkin bir savunma mekanizmasının kurulabilmesi için şarttır. Örneğin, bir Golden Ticket saldırısının tespit edilmesi gerektiğinde, olay günlükleri üzerinden belirli log kayıtlarının analiz edilmesi gerekebilir. Özel olarak, 4624 ve 4769 olay kimlikleri (event ID) üzerinden izleme yapılması önerilmektedir.

Event ID: 4624
Description: An account was successfully logged on.

Event ID: 4769
Description: A Kerberos service ticket was requested.

Teknik İçeriğe Hazırlık

Bu yazıda, Kerberos kalıcılığı, Golden ve Silver Ticket saldırıları hakkında daha derinlemesine bilgi edineceksiniz. Her saldırı türünün çalışma prensipleri, gereksinimleri ve bu saldırılara karşı alabileceğiniz önlemleri inceleyeceğiz. Bunun yanı sıra, Mimikatz gibi araçların kullanımıyla biletlerin nasıl oluşturulabileceği ve analiz yöntemleri hakkında da bilgilendireceğiz. Siber güvenlik alanında kariyerine yeni başlayan veya bu konuyla ilgilenen profesyoneller için, Kerberos'un sunduğu çeşitli zayıflıkları anlamak ve bu tür saldırılara karşı hazırlıklı olmak önemlidir.

Teknik Analiz ve Uygulama

Golden Ticket ve Silver Ticket Saldırıları

Kerberos, geniş bir alan ağı üzerinde kimlik doğrulama işlemleri için kullanılan bir protokoldür. Ancak, bu protokolün yapısı, saldırganların kalıcılık sağlamasına olanak tanıyan açıklar içermektedir. Golden Ticket ve Silver Ticket saldırıları, bu açıdan siber güvenlik alanında önemli bir tehdit oluşturmaktadır.

Golden Ticket Nedir?

Golden Ticket, bir saldırganın krbtgt hesabının NTLM hash değerini kullanarak oluşturduğu sahte Ticket Granting Ticket (TGT) türüdür. Bu bileti ele geçirerek, saldırgan domaindeki her kaynağa sınırsız erişim elde edebilir. Golden Ticket'lar, saldırganların uzun süreli bir erişim sağlamasına olanak tanıdığı için "kalıcılık" (persistence) amacıyla sıklıkla kullanılır.

Silver Ticket Nedir?

Silver Ticket, yalnızca belirli bir servisin (örneğin, MSSQL veya CIFS) hesabının hash değeri kullanılarak oluşturulan ve yalnızca o servise erişim sağlayan sahte bilet türüdür. Bu tür biletler, sistemin sunucularında doğrudan giriş sağlamak için kullanılabildiği için, belirli bir uygulama ya da servise yönelik daha hedeflenmiş saldırılar için tercih edilir.

krbtgt Hesabının Rolü

Kerberos protokolündeki krbtgt hesabı, tüm Kerberos biletlerini imzalayan ve şifreleyen ana anahtara sahiptir. Bu hesap, ağ içindeki tüm kullanıcılar ve kaynaklar arasında güvenli bir doğrulama sağlar. Saldırganlar, krbtgt hesabının NTLM hash değerini elde ederek bu biletleri oluşturabilirler.

Gereksinimler: Golden Ticket

Golden Ticket oluşturmaya yönelik gereksinimler arasında saldırganın krbtgt hesabının hash değerine sahip olması, hedef domain SID'sini ve kullanıcı kimliğini (genellikle RID 500, yani Administrator) bilmesi yer alır. Golden Ticket'lar varsayılan olarak on yıl gibi uzun süreler için oluşturulabilmektedir ve krbtgt parolası değişse bile geçerli kalabilir.

mimikatz # kerberos::golden /user:Administrator /domain:example.com /sid:S-1-5-21-1234567890-1234567890-1234567890 /krbtgt:<krbtgt_hash>

Yukarıdaki Mimikatz komutu, bir Golden Ticket oluşturmak için kullanılmaktadır.

Bilet Ömrü ve Kalıcılık

Golden Ticket'lar dikkatli bir şekilde yönetilmezse, uzun süre geçerli kalabilirler. Bu durum, saldırganların sistemde kalıcı olarak varlık göstermesine neden olabilir. Eğer bir Golden Ticket kullanılarak oturum açılırsa, aşağıdaki gibi olay günlüklerinde (Event ID 4769) şüpheli aktiviteler gözlenebilir:

Event ID 4769: A Kerberos service ticket was requested

Gereksinimler: Silver Ticket

Silver Ticket oluşturmak için, saldırganın hedef servisin NTLM hash değerine sahip olması yeterlidir. Bu, biletin yalnızca o spesifik servisine erişim sağlamak üzere tasarlandığı anlamına gelir. Ayrıca, Silver Ticket saldırıları KDC ile iletişime geçmediği için, Domain Controller üzerinde herhangi bir iz bırakmaz, bu da tespitini zorlaştırır.

Tespit Zorluğu

Silver Ticket'lar tespit edilmesi en zor saldırı yöntemlerinden biridir. Çünkü bu biletler, KDC ile etkileşimde bulundukları için günlüğe kayıt edilmezler. Bunun yanında, herhangi bir iz bırakmadan sistemde kalabiliyor olmaları, yöneticilerin bu tür tehditlere karşı daha dikkatli olmasını gerektirmektedir.

Olay Günlüğü Analizi: 4624

Golden Ticket'lar kullanıldığında, olay günlüğünde yer alan 4624 ID'li kayıtlar, potansiyel bir güvenlik ihlalinin göstergesi olabilir. Bir kullanıcının Administrator yetkisiyle oturum açması veya hesap RID'sinin 500 olarak görünmesi, bu tür bir saldırının belirtisi olabilir.

Savunma: krbtgt Parola Sıfırlama

Golden Ticket risklerini ortadan kaldırmak için krbtgt hesabının parolası iki defa sıfırlanmalıdır. Çünkü Active Directory, önceki parolayı geçerli biletlerle desteklemek için saklamaktadır. Bu nedenle, dikkate alınması gereken önemli bir savunma mekanizmasıdır.

Kullanılan Araç: Mimikatz

Mimikatz, Golden ve Silver Ticket'ların oluşturulmasında oldukça yaygın olarak kullanılan bir araçtır. Bu araç, saldırganların Kerberos biletlerini manipüle etmelerini ve ele geçirmelerini kolaylaştırmaktadır. Mimikatz üzerinde sahte bilet oluşturmak için kullanılan modül, kerberos::golden ve kerberos::silver modülleridir.

mimikatz # kerberos::silver /user:target_service_user /domain:example.com /sid:<domain_sid> /service:<service_hash>

Bu komut, belirli bir servise erişim sağlamak için bir Silver Ticket oluşturmak için kullanılmaktadır.

Kerberos kalıcılığı ve bilet saldırıları, siber güvenlik alanında dikkat edilmesi gereken kritik konulardır. Hem teori hem pratikte bu tür saldırılara karşı etkili önlemler almak, kurumsal güvenliğin sağlanması açısından hayati önem taşımaktadır.

Risk, Yorumlama ve Savunma

Kerberos kalıcılığı, siber güvenlik alanında gerçek riskler taşıyan ciddi bir konudur. Golden ve Silver Ticket saldırıları, bir ağın güvenlik postalarını aşmayı hedefleyen iki temel saldırı modelidir. Bu bölümde, bu saldırı türlerini anlamak ve onları etkili bir şekilde tespit etmek için kritik riskleri inceleyeceğiz.

Elde Edilen Bulguların Güvenlik Anlamı

Golden Ticket saldırıları, bir saldırganın krbtgt hesabının hash bilgisini kullanarak sahte bir Ticket Granting Ticket (TGT) oluşturmasını içerir. Bu tür bir saldırıda, saldırgan, domainedeki tüm kaynaklara sınırsız erişim kazanabilir. Bu durum, bir ağda meydana gelen herhangi bir veri sızıntısının arkasındaki temel nedeni destekler. Böyle bir erişim, kritik verilere ulaşmayı sağlar ve potansiyel olarak tüm ağ üzerinde yıkıcı bir etki yaratma riski taşır.

Öte yandan, Silver Ticket saldırıları, belirli bir servise sınırlı erişim sağlamak için yalnızca o servisin hesabına ait hash kullanır. Örneğin, MSSQL veya CIFS hizmetleri gibi. Yukarıdaki açıklamalar, bu iki ticket saldırısının niteliklerini ortaya koymak ve ne tür veri kaybı riskleri taşıdığını açıklamak açısından önemlidir. Aşağıda, bu saldırı türlerinin etkilerini anlamak için bazı kritik bileşenleri belirtiyoruz:

  • krbtgt NTLM Hash: Biletin imzalanmasında en kritik gizli veri. Saldırgan tarafından ele geçirilirse, Golden Ticket oluşturmak için kullanılabilir.
  • Domain SID: Biletin geçerli olduğu domaini temsil eden benzersiz kimlik.
  • User ID (RID 500): Özellikle ağa sızan bir saldırganın oturum açarken Administrator yetkileriyle giriş yapması için kullanılır.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Yanlış yapılandırmalar, Gold ve Silver Ticket saldırılarına zemin hazırlar. Özellikle, krbtgt hesabının parolasının sık sık güncellenmemesi, saldırganların sahte biletler oluşturmasına olanak tanır. Ayrıca, bazı durumlarda, parolanın sıfırlanmadığı veya güncellenmesine rağmen hâlâ biletlerde geçerli olduğu durumlar gözlemlenmiştir. Bu, saldırının gizliliğini artırır ve tespit sürecini zorlaştırır.

Özellikle Silver Ticket saldırıları, KDC ile doğrudan iletişim kurmadığı için tespitinde zorluklar yaşanır. Bu nedenle, olay günlüklerinde (event logs) herhangi bir belirti bulmak güçleşir. Örneğin, Domain Controller üzerinde 4769 logları üzerinden iz bırakmadıkları için bir saldırı fark edilmeden devam edebilir.

Sızan Veriler ve Topoloji

Gerçekleştirilen saldırı türüne göre sızan veriler değişkenlik gösterebilir. Golden Ticket saldırıları, ağ üzerindeki her türlü kaynağa erişimi mümkün kılarken, Silver Ticket saldırıları yalnızca belirli hizmetleri hedef alır. Bu nedenle, ağ topolojisi ve kullanılan servislerin yapısı, saldırının etkisini belirleyen kritik faktörlerdir.

Saldırganlar, güvenlik zafiyetlerinden yararlanarak kritik verileri değiştirebilir, silebilir veya çalabilir. Örneğin, bir veritabanından hassas kullanıcı bilgileri veya finansal veriler, bu saldırılar sonucunda saldırganların eline geçebilir.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenliği artırmak ve bu tür saldırılara karşı savunma geliştirmek için çeşitli profesyonel önlemler alınmalıdır:

  1. krbtgt Parola Yönetimi: krbtgt hesabının parolasının düzenli aralıklarla değiştirilmesi, sızma ve Golden Ticket riski azaltır. Parola değişimi sırasında, eski parolayı iki kez sıfırlamak gerektiği unutulmamalıdır.

    # Parolayı sıfırlamak için kullanılabilecek bir örnek komut
net user krbtgt yeni_parola

  2. Olay Günlüğü İzleme: 4624 ve 4769 Loglarının düzenli olarak izlenmesi, aşağıdaki gibi şüpheli aktivitelerin tespit edilmesine olanak sağlar:

    Event ID 4769: A Kerberos service ticket was requested
Event ID 4624: An account was successfully logged on

  3. Sistem Hardening: Herhangi bir servis için sadece gerekli hizmet hesapları oluşturulmalı ve bu hesapların gereksiz yetkilere sahip olmaması sağlanmalıdır. Gereksiz hesapların ve erişimlerin kaldırılması kritik bir savunma katmanı oluşturur.

  4. Ağ Segmentasyonu: Farklı servislerin ve bileşenlerin birbirinden izole edilmesi, zararlı yazılımların yayılmasını engeller ve saldırı yüzeyini azaltır.

Sonuç Özeti

Golden ve Silver Ticket saldırıları, Kerberos protokolü üzerinde kalıcılığı sağlamak için kullanılan tehlikeli tekniklerdir. Yanlış yapılandırmalar ve zafiyetler, bu tür saldırıların etkisini artırabilir. Güçlü bir savunma mekanizması için, krbtgt account parolasının düzenli olarak yönetimi, olay günlüğü izlemesi ve sistem hardening gibi yöntemlerin uygulanması kritik öneme sahiptir. Bu stratejilerin yanı sıra, potansiyel tehditleri anlamak ve erken tespit etmek için proaktif yaklaşımlar geliştirilmelidir.