Ele Geçirilen Etki Alanı Denetleyicisi Üzerinde Golden Ticket Oluşturarak Etki Alanına Sürekli ve Yetkili Erişimin Sağlanması Saldırısına Karşı Alınabilecek Önlemler

0
1481
views
Etki alanı sızma testleri sırasında etki alanı denetleyicisine (DC) yetkili erişim sağlandıktan sonra, gerçekleştirilen adımlardan birisi elde edilen yetkili erişimin sürekliliğini sağlayabilmektir. Golden Ticket saldırısı ile etki alanındaki KRBTGT servis hesabının parola özeti ve etki alanındaki bir takım bazı bilgiler kullanılarak etki alanındaki en yetkili hesap (Domain Admins gibi) haklarıyla sürekli erişim sağlanabilir. Bu yazıda, Golden Ticket erişim sürekliliği saldırısına karşı alınabilecek temel önlemlerden bahsedilecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Golden Ticket kullanarak etki alanında uzun süreli yetki sahibi olunması şeklinde özetlenebilecek bu saldırıya karşı önleyici ve tespit edici bir takım adımlar aşağıdaki gibi sıralanabilir.

  • Golden Ticket saldırısı, etki alanı denetleyicisine (DC) erişim sağlandıktan sonra gerçekleştirilebilen bir saldırıdır. Saldırganların, etki alanı denetleyicisinde KRBTGT ( ve tüm kullanıcıların) parolalarının alınabileceği yetkiye sahip olunması kritik bir yönetim zafiyetidir. Bu amaçla gerekli sıklaştırma adımları gerçekleştirilmelidir.
  • Golden Ticket saldırının gerçekleştirildiği biliniyor veya gerçekleştirilmiş olduğundan şüpheleniliyorsa, KRBTGT hasabının parolası iki kere sıfırlanmalıdır (resetlenmelidir). Ancak bu durum, manuel olarak başlatılması gereken bazı servislerin başlayamamasına, akıllı kart ile kimlik doğrulayan kullanıcıların yeni bilet talep ederek DC üzerinde yük oluşturmasına,… sebep olabilir. Hatta, bazı durumlarda kullancıların kimlik doğrulayamamasına, bilgisayarların etki alanından düşmesine de sebep olabilir.
  • Tüm etki alanının baştn kurulması, çok etkin olmasa da, bu saldırıya karşı bir önlem olduğu söylenebilir.
  • Golden Ticket saldırısı gerçekleştiğinde, 4769 olay kaydı düşmektedir. Bu kaydın takip edilmesi (çok etkili bir tespit yöntemi olmasa da) saldırının tespiti için kullanılabilir.

Golden Ticket kullanarak etki alanında uzun süreli yetki sahibi olunması şeklinde özetlenebilecek bu saldırı, 2014 Ocak ayında yayınlanmış olmasına rağmen daha önce kullanılmadığı anlamına gelmemektedir. Bu sebeple, özellikle 2014 yılından itibaren, etki alanına yapılan saldırıların incelenmesi ve DC’ye yetkisiz / uygunsuz erişimlerinin elde edilip edilmediğinin tespit edilmesi, bunun sonucunda da gerekli değişikliklerin yapılması kurum etki alanını korumak için önem arz etmektedir. Özellikle kritik kurumlar için, bu kontrollerin geçmişe yönelik gerçekleştirilmesi ve gerekli müdahalelerde bulunulması gerekmektedir.

 

http://cert.europa.eu/static/WhitePapers/CERT-EU-SWP_14_07_PassTheGolden_Ticket_v1_1.pdf

http://blog.gentilkiwi.com/securite/mimikatz/golden-ticket-kerberos

http://rycon.hu/papers/goldenticket.html

Mimikatz, Kiwi, and Golden Ticket Generation

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.