Ele Geçirilen Etki Alanı Denetleyicisi Üzerinde Golden Ticket Oluşturarak Etki Alanına Sürekli ve Yetkili Erişimin Sağlanması Saldırısına Karşı Alınabilecek Önlemler

Etki alanı sızma testleri sırasında etki alanı denetleyicisine (DC) yetkili erişim sağlandıktan sonra, gerçekleştirilen adımlardan birisi elde edilen yetkili erişimin sürekliliğini sağlayabilmektir. Golden Ticket saldırısı ile etki alanındaki KRBTGT servis hesabının parola özeti ve etki alanındaki bir takım bazı bilgiler kullanılarak etki alanındaki en yetkili hesap (Domain Admins gibi) haklarıyla sürekli erişim sağlanabilir. Bu yazıda, Golden Ticket erişim sürekliliği saldırısına karşı alınabilecek temel önlemlerden bahsedilecektir.

Golden Ticket kullanarak etki alanında uzun süreli yetki sahibi olunması şeklinde özetlenebilecek bu saldırıya karşı önleyici ve tespit edici bir takım adımlar aşağıdaki gibi sıralanabilir.

  • Golden Ticket saldırısı, etki alanı denetleyicisine (DC) erişim sağlandıktan sonra gerçekleştirilebilen bir saldırıdır. Saldırganların, etki alanı denetleyicisinde KRBTGT ( ve tüm kullanıcıların) parolalarının alınabileceği yetkiye sahip olunması kritik bir yönetim zafiyetidir. Bu amaçla gerekli sıklaştırma adımları gerçekleştirilmelidir.
  • Golden Ticket saldırının gerçekleştirildiği biliniyor veya gerçekleştirilmiş olduğundan şüpheleniliyorsa, KRBTGT hasabının parolası iki kere sıfırlanmalıdır (resetlenmelidir). Ancak bu durum, manuel olarak başlatılması gereken bazı servislerin başlayamamasına, akıllı kart ile kimlik doğrulayan kullanıcıların yeni bilet talep ederek DC üzerinde yük oluşturmasına,… sebep olabilir. Hatta, bazı durumlarda kullancıların kimlik doğrulayamamasına, bilgisayarların etki alanından düşmesine de sebep olabilir.
  • Tüm etki alanının baştn kurulması, çok etkin olmasa da, bu saldırıya karşı bir önlem olduğu söylenebilir.
  • Golden Ticket saldırısı gerçekleştiğinde, 4769 olay kaydı düşmektedir. Bu kaydın takip edilmesi (çok etkili bir tespit yöntemi olmasa da) saldırının tespiti için kullanılabilir.

Golden Ticket kullanarak etki alanında uzun süreli yetki sahibi olunması şeklinde özetlenebilecek bu saldırı, 2014 Ocak ayında yayınlanmış olmasına rağmen daha önce kullanılmadığı anlamına gelmemektedir. Bu sebeple, özellikle 2014 yılından itibaren, etki alanına yapılan saldırıların incelenmesi ve DC’ye yetkisiz / uygunsuz erişimlerinin elde edilip edilmediğinin tespit edilmesi, bunun sonucunda da gerekli değişikliklerin yapılması kurum etki alanını korumak için önem arz etmektedir. Özellikle kritik kurumlar için, bu kontrollerin geçmişe yönelik gerçekleştirilmesi ve gerekli müdahalelerde bulunulması gerekmektedir.

 

http://cert.europa.eu/static/WhitePapers/CERT-EU-SWP_14_07_PassTheGolden_Ticket_v1_1.pdf

Golden Ticket

http://rycon.hu/papers/goldenticket.html

https://www.christophertruncer.com/golden-ticket-generation/

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.