Golden Ticket kullanarak etki alanında uzun süreli yetki sahibi olunması şeklinde özetlenebilecek bu saldırıya karşı önleyici ve tespit edici bir takım adımlar aşağıdaki gibi sıralanabilir.
- Golden Ticket saldırısı, etki alanı denetleyicisine (DC) erişim sağlandıktan sonra gerçekleştirilebilen bir saldırıdır. Saldırganların, etki alanı denetleyicisinde KRBTGT ( ve tüm kullanıcıların) parolalarının alınabileceği yetkiye sahip olunması kritik bir yönetim zafiyetidir. Bu amaçla gerekli sıklaştırma adımları gerçekleştirilmelidir.
- Golden Ticket saldırının gerçekleştirildiği biliniyor veya gerçekleştirilmiş olduğundan şüpheleniliyorsa, KRBTGT hasabının parolası iki kere sıfırlanmalıdır (resetlenmelidir). Ancak bu durum, manuel olarak başlatılması gereken bazı servislerin başlayamamasına, akıllı kart ile kimlik doğrulayan kullanıcıların yeni bilet talep ederek DC üzerinde yük oluşturmasına,… sebep olabilir. Hatta, bazı durumlarda kullancıların kimlik doğrulayamamasına, bilgisayarların etki alanından düşmesine de sebep olabilir.
- Tüm etki alanının baştn kurulması, çok etkin olmasa da, bu saldırıya karşı bir önlem olduğu söylenebilir.
- Golden Ticket saldırısı gerçekleştiğinde, 4769 olay kaydı düşmektedir. Bu kaydın takip edilmesi (çok etkili bir tespit yöntemi olmasa da) saldırının tespiti için kullanılabilir.
Golden Ticket kullanarak etki alanında uzun süreli yetki sahibi olunması şeklinde özetlenebilecek bu saldırı, 2014 Ocak ayında yayınlanmış olmasına rağmen daha önce kullanılmadığı anlamına gelmemektedir. Bu sebeple, özellikle 2014 yılından itibaren, etki alanına yapılan saldırıların incelenmesi ve DC’ye yetkisiz / uygunsuz erişimlerinin elde edilip edilmediğinin tespit edilmesi, bunun sonucunda da gerekli değişikliklerin yapılması kurum etki alanını korumak için önem arz etmektedir. Özellikle kritik kurumlar için, bu kontrollerin geçmişe yönelik gerçekleştirilmesi ve gerekli müdahalelerde bulunulması gerekmektedir.
1 |
<strong>Kaynak:</strong> |
http://cert.europa.eu/static/WhitePapers/CERT-EU-SWP_14_07_PassTheGolden_Ticket_v1_1.pdf
http://blog.gentilkiwi.com/securite/mimikatz/golden-ticket-kerberos
http://rycon.hu/papers/goldenticket.html