CyberFlow Logo CyberFlow BLOG
Kerberos Pentest

Kerberos ile Lateral Movement Eğitimi: Güvenli Erişim Yöntemleri

✍️ Ahmet BİRKAN 📂 Kerberos Pentest

Kerberos protokolü ile lateral movement tekniklerini öğrenin. Güvenli erişim ve yetki genişletmeleri için adımları takip edin.

Kerberos ile Lateral Movement Eğitimi: Güvenli Erişim Yöntemleri

Bu blogda, Kerberos protokolü ile lateral movement sürecini öğreneceksiniz. Kerberos bilet alma, yetki genişletme ve hedef sistemlere erişim sağlama adımlarını keşfedin.

Giriş ve Konumlandırma

Giriş

Siber güvenlik alanında, sistemler arasında geçiş yapma yeteneği, saldırganlar için kritik bir avantaj sunar. Bu süreç, "Lateral Movement" olarak adlandırılır ve genellikle, bir kez bir sisteme sızıldıktan sonra, saldırganların ağı genişletme ve başka sistemlere erişim sağlama çabalarıyla ilişkilendirilmektedir. Kerberos, ağ üzerinde kimlik doğrulama süreçlerini güvenli bir şekilde yöneten bir protokoldür ve sızma testleri ile siber saldırılar bağlamında önemli bir rol oynamaktadır.

Kerberos Protokolü ve Önemi

Kerberos protokolü, kullanıcıların ve hizmetlerin kimlik doğrulamasını sağlamak için kullanılan bir yöntemdir. Bu protokol, özellikle kurumsal ağlarda yaygın olarak kullanılır ve zaman damgalı biletler ile kullanıcıların ve hizmetlerin güvenliğini sağlar. Kullanıcıların ağ kaynaklarına erişimini sağlarken, aynı zamanda hizmetlerin de güvenliğini korur. Bu özellikler, Kerberos'u yalnızca erişim kontrolü için değil, aynı zamanda saldırı senaryolarını simüle etmek için de ideal kılar.

Lateral Movement ve Sızma Testleri

Lateral Movement, bir sızma testinin kritik bir bileşeni olarak kabul edilir. Bir sızma testi gerçekleştiren güvenlik uzmanları, bir ağda bulunan sistemler arasında geçiş yaparak, saldırganların potansiyel yol haritalarını araştırırlar. Bu geçişlerin başarılı bir şekilde gerçekleştirilmesi, hem savunma stratejileri hem de saldırı simülasyonları için paha biçilmez bilgiler sağlar. Kerberos, bu aşamada, çeşitli saldırı vektörlerini test etmek ve olası açıkları belirlemek için kullanılan temel araçlardan biridir.

Teknik Altyapı ve Hazırlık

Bu eğitimde, Kerberos ile Lateral Movement süreçlerini derinlemesine inceleyeceğiz. İlk adım olarak, Kerberos bileti alımını ele alacağız. Bu, her şeyin temeli olup, "kinit" komutu kullanılarak yapılacaktır. Dolayısıyla, Kerberos bileti alımının nasıl gerçekleştirileceği, sonraki adımlar için kritik bir öneme sahiptir. İşte bu süreçte kullanılan temel komutlardan biri:

kinit KULLANICI_ADI@DOMAIN -V

Bu komut, Kerberos biletini almak için ilk adımı gerçekleştirecek ve daha sonra sistemler arasında geçiş yapma yeteneğimizi artıracaktır.

Eğitimin Amacı

Amacımız, Kerberos protokolü üzerinden elde edilen bilgileri kullanarak, sistemler arasında nasıl hareket edileceğini, yetki arttırma stratejilerini ve belirli araçların nasıl kullanılacağını öğretmektir. Eğitim boyunca, bu aşamaların her birini ayrı ayrı anlamak ve uygulamak için gerekli teorik bilgileri sunacağız.

Okuyuculara, özellikle Kerberos ile Lateral Movement konusundaki kavramları kavratmak, bu alandaki anlayışınızı derinleştirmek ve siber güvenlik konusundaki bilgi birikiminizi artırmak hedefindeyiz. Bu nedenle, süreç boyunca gereksinim duyacağınız teknik terimlere, örnek durumlara ve olası saldırı senaryolarına değineceğiz. Ayrıca, Kerberos'un temel bileşenleri ve bunların nasıl etkileşimde bulunduğu da detaylandırılacak.

Sonuç olarak, bu eğitim, siber güvenlik profesyonellerinin ağda hareket etme becerilerini geliştirmelerine yardımcı olacak veya sızma testleri sırasında kullanılabilecek strateji ve teknikleri anlamalarını sağlayacaktır. Kerberos ile Lateral Movement konusuna dair merakınızı artırarak, ağ güvenliğinin çeşitli boyutlarına profesyonel bir bakış açısı kazandırmayı amaçlıyoruz.

Teknik Analiz ve Uygulama

Kerberos Bilet Alımı

Kerberos protokolü ile bağlantılı ilk adım, kullanıcının bir Kerberos bileti almasıdır. Bu işlem için kinit komutunu kullanmak kritik öneme sahiptir. kinit, belirli bir kullanıcı adı ve alan adı kullanarak Kerberos kimlik doğrulama sunucusuna (KDC) bağlanır ve oturum açma işlemini gerçekleştirir.

Örnek bir kullanım şu şekilde olabilir:

kinit KULLANICI_ADI@DOMAIN -V

Burada KULLANICI_ADI ve DOMAIN kısmını kendi bilgilerinize göre değiştirmelisiniz. -V bayrağı ise işlem sırasında daha fazla ayrıntı görüntülenmesini sağlar.

Kavram Eşleştirme

Kerberos ile Lateral Movement konusunda kullanılan bazı temel kavramları anlamak, sızma testlerinin nitelikli bir şekilde gerçekleştirilmesi için önemlidir. İşte önemli kavramlar:

  • Kerberos Bileti: Kullanıcının kimlik doğrulamasını sağlamak için kullanılan ve belirli bir süreyle sınırlı olan bir erişim iznidir.
  • Pass-the-Ticket: Geçerli bir Kerberos biletinin ele geçirilmesiyle diğer sistemlere erişim sağlama tekniğidir.
  • Service Principal Name (SPN): Bir hizmetin Kerberos ile tanımlanmasını sağlayan ve bu hizmete erişim için gerekli olan benzersiz tanımlayıcıdır.

Bu kavramların her biri, Kerberos üzerinden sistemler arası yetki genişletmenin temel bileşenlerindendir.

Bilet Yükseltme

Kerberos bileti alınmasının ardından, bilet yükseltme işlemi yapmak mümkündür. Bu işlem, kullanıcı olarak başka bir kullanıcı adına kimlik doğrulaması sağlamayı içerir. Kullanıcının bulunduğu sistemde gerekli olan yetkilere sahip olması durumunda, adet yükseltme işlemi gerçekleştirilerek daha fazla yetki elde edilebilir.

Kerberos Bileti ile Hedef Sisteme Erişim

Hedef sisteme erişim sağlamak için psexec aracı oldukça önemlidir. Bu araç, hedef sistemde uzaktan komut çalıştırarak erişime olanak tanır. Aşağıdaki komut bu işlemi gerçekleştirmek için örnek teşkil etmektedir:

psexec //TARGET_IP -u KULLANICI_ADI -p BİLETİNİZ

Burada TARGET_IP, erişim sağlanacak hedef sistemin IP adresi; KULLANICI_ADI, hedef sistemdeki kullanıcı adı; BİLETİNİZ ise daha önce alınan Kerberos biletidir. Bu komut, Kerberos biletini kullanarak hedef sistemde oturum açmanızı sağlar.

Kerberos ile Yetki Genişletme

Elde edilen Kerberos bileti kullanılarak, sistemde daha fazla hak elde etmek için yetki genişletme süreci başlatılabilir. Bu süreçte, özellikle bilinen güvenlik açıkları ve yanlış yapılandırılmış hizmetler üzerine odaklanmak, saldırının etkili bir şekilde uygulanabilmesi açısından önemlidir.

Kerberos ile Erişim Yönetimi

Kerberos biletlerinin kullanımı, yalnızca kimlik doğrulamakla kalmaz, aynı zamanda, sistemler arasında geçiş yapma yeteneği sağlar. Elde edilen biletleri kullanarak, ağ üzerindeki diğer sistemlere erişim sağlanabilir ve bu da sızma testinin başarısını büyük ölçüde artırır.

Biletin geçerliliği ve türüne bağlı olarak, farklı sistemlerde yetkilerin genişletilmesi veya yetkisiz erişim konusunda fırsatlar sunulabilir.

Lateral Movement Uygulaması

Lateral movement, bir ağ üzerindeki sistemler arasında hareket etmeyi ve yetki genişletilmesini sağlar. Kerberos ile bu tür hareketliliği artırmak, birçok saldırgan için kritik bir strateji haline gelmiştir. Kullanıcı oturumunu ele geçirerek, biletlerin başka sistemlerde kullanılması sağlanabilir. Bir pass-the-ticket saldırısı, yöntemler arasında en yaygın olanlardan biridir.

Bu bağlamda, Kerberos bileti aldığınızda, hedef sistemdeki açık bir port veya hizmet aracılığıyla geçiş yaparak hem savunma hem de saldırı yönünden önemli bir strateji geliştirmek mümkündür. Bu tür bir gelecekteki eğitimde, bu tekniklerin daha ayrıntılı bir şekilde incelenmesi sağlanacaktır.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında erişim yönetimi, özellikle Kerberos protokolü üzerinden gerçekleştirilen lateral movement işlemleri açısından kritik bir konu olarak karşımıza çıkar. Lateral movement, bir kullanıcının veya saldırganın bir sistemden diğerine geçiş yaparak ağ içinde hareket etmesini sağlayan bir dizi teknik ve stratejiyi içerir. Bu süreç, çeşitli riskleri beraberinde getirirken, kötü niyetli kullanıcıların ağ içindeki hassas verilere erişimini artırabilir. Bu bölümde, elde edilen bulguların güvenlik anlamını, potansiyel zafiyetlerin etkisini ve uygulanabilir savunma stratejilerini inceleyeceğiz.

Elde Edilen Bulguların Yorumlanması

Kerberos ile gerçekleştirilen lateral movement süreci, çeşitli aşamalardan oluşur; bu aşamalar neticesinde elde edilen bulguların yorumlanması, güvenlik açığı tespiti açısından önemlidir. Örneğin, bir kullanıcının Kerberos bileti (TGT - Ticket Granting Ticket) aldığını ve bu bileti kullanarak başka bir sisteme erişim sağladığını gözlemlediğimizde, önemle değerlendirilmesi gereken birkaç durum ortaya çıkar:

  1. Yetkisiz Erişim: Eğer bu erişim izni, kullanıcının rolüne uygun değilse, bu durum kullanıcı hesabının ele geçirilmiş olabileceğini gösterir. Bunun sonucunda aşağıdaki sıralanan riskler ortaya çıkar:
    • Kötü niyetli bir erişimin, kritik verilere ulaşmasını sağlamak.
    • Sistemin bütünlüğünü tehdit eden yetkisiz işlemlerin gerçekleştirilmesi.
kinit KULLANICI_ADI@DOMAIN -V

Bu kod parçası, kullanıcıya Kerberos bileti almak için gereken yetkili komuttur. Eğer bu işlem güvensiz bir ağda veya yanlış bir mekânda yapılıyorsa, bir risk ortaya çıkmaktadır.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Sistemin yanlış yapılandırılması veya zafiyetlerin varlığı, saldırganların sistemler arasında kolaylıkla hareket etmesine olanak tanır. Özellikle Service Principal Name (SPN) tanımlamalarının yanlış yapılması veya gereksiz yere açığa çıkarılması, saldırıya açık bir durum yaratabilir. Örnek vermek gerekirse, yanlış yapılandırılmış bir hizmet hesabı, herhangi bir kullanıcıya istenmeyen erişim sunabilir.

Örnek Vaka:

Bir örnek incelemek, durumu daha iyi anlamamıza yardımcı olabilir. Farz edelim ki bir kullanıcı, SPN tanımlı bir hizmete sahiptir ve bu kullanıcı, Kerberos bileti alarak başarılı bir şekilde sisteme erişim sağlamıştır. Ancak, bu kullanıcı için belirlenen izinler aslında çok daha geniştir. Böyle bir durumda, ağ içindeki diğer sistemlere de erişim sağlanması mümkün hale gelir; dolayısıyla, siber saldırganlar tarafından kullanılabilir.

Sizmalar, Topoloji ve Servis Tespiti

Ağ üzerinde gerçekleştirilecek denetimler, sızan verilerin ve hizmetlerin tespit edilmesi için kritik öneme sahiptir. Bir tehdit tespiti sürecinde, ağın topolojisi ve içerdiği servislerin haritalanması, kötü niyetli hareketleri belirlemekte etkili olabilir. Özellikle, Kerberos bileti ile edinilen yetkilerin kullanılması, servisler arasında geçiş sağlarken gözlemlenmesi gereken önemli bir noktadır.

Önerilen Önlemler

  • İzleme ve Loglama: Kerberos işlemlerinin izlenmesi, sistemlerdeki anormalliklerin tespit edilmesi için önemlidir. Her işlem kaydedilmeli ve düzenli aralıklarla gözden geçirilmelidir.

  • Hardening: Sistemlerin güvenliğini artırmak için belirli önlemler alınmalıdır. Örneğin, gereksiz servislerin devre dışı bırakılması, güçlü şifre politikalarının uygulanması ve SPN tanımlamalarının dikkatli bir şekilde yapılması gerekmektedir.

# Bir SPN tanımı örneği
setspn -a HTTP/web-server.domain.com DOMAIN\webuser

Sonuç Özeti

Kerberos ile lateral movement, ciddi riskler taşıyan bir süreçtir. Yanlış yapılandırmalar, sistemlerdeki zafiyetler ve izlenmeyen erişimler, ağ güvenliğini tehdit edebilir. Elde edilen bulguların analiz edilmesi, güvenliğin sağlanması için hayati öneme sahipken, düzenli denetimler ve hardening önerileriyle sistemlerin güvenliğini artırmak mümkündür. Bu alandaki her bir adım, siber saldırılara karşı daha dirençli bir altyapı oluşturmada kritik rol oynar.