Kerberos ve Sık Kullanılan Saldırı Vektörleri

 Kerberos Nedir?

Kerberos, Microsoft Windows içerisindeki etki alanlarının (Domain) varsayılan kimlik doğrulama servisidir. Bilet yetkilendirmesinin yanı sıra, NTLM’den daha güvenli olması amaçlanmıştır.

Bilinmesi Gereken Bazı Terimler

Yetki yükseltme saldırılarında kullanılan yöntemler maddeler halinde aşağıda listlenemiştir;

AS-REQ Ön Kimlik Doğrulama

  • Kerberos kimlik doğrulamasındaki AS-REQ adımı, bir kullanıcı KDC’den bir TGT istediğinde başlar. Kullanıcıyı doğrulamak ve kullanıcı için bir TGT oluşturmak için KDC’nin bu adımları tam olarak izlemesi gerekir. İlk adım, kullanıcının bir zaman damgası NT karmasını şifrelemesi ve bunu AS’ye göndermesidir. KDC, kullanıcıdan gelen NT karmasını kullanarak zaman damgasının şifresini çözmeye çalışır, başarılı olursa KDC, kullanıcı için bir TGT’nin yanı sıra bir oturum anahtarı da verir.

TGT İçeriği

  • TGT, kullanıcı tarafından KDC’ye sağlanır. Daha sonrasında KDC, TGT’yi doğrular ve bir servis bileti döndürür.

 

Servis Bileti İçeriği

Kerberos Biletlerine Genel Bakış

  • Bir bilet tipik olarak base64 ile kodlanır ve çeşitli saldırılar için kullanılabilir. TGT, yalnızca KDC ile hizmet bileti almak için kullanılır. Bir TGT verdiğinizde, sunucu, kullanıcı ayrıntılarını, oturum anahtarını alır ve ardından bileti NTLM karma hizmet hesabıyla şifreler. TGT’niz daha sonra şifreli zaman damgasını, oturum anahtarını ve şifreli TGT’yi verir. KDC daha sonra TGT’nin kimliğini doğrulayacak ve istenen hizmet için bir hizmet bileti geri döndürecektir. Normal bir TGT, yalnızca kendisine bağlı olan belirli bir hizmet hesabıyla çalışır, ancak bir KRBTGT, istediğiniz herhangi bir hizmet biletini almanıza izin vererek, istediğiniz etki alanındaki herhangi bir şeye erişmenize izin verir.

Kerbrute ile Bilgi Toplama

  • Kerbrute, Kerberos ön kimlik doğrulamasını kullanarak Active Directory kullanıcılarına kaba kuvvet (brute force ) saldırısı uygulamak ve bilgi toplamak için kullanılan popüler bir araçtır.

  • Kerberos ön kimlik doğrulamasına kaba kuvvet saldırısı uygulanırsa, karşı sistemlere log bırakılmaz. Kerberos üzerinden kaba kuvvet uygularken, KDC’ye yalnızca tek bir UDP çerçevesi göndererek kaba kuvvet uygulanabilir. Bu şekilde etki alanı içerisindeki kullanıcılar bulunabilir.

Rubeus

  • Rubeus, Kerberos’a saldırmak için çok güçlü bir araçtır. Rubeus, kekeo aracının bir uyarlamasıdır. Pass The Ticket, bilet talepleri ve yenilemeleri, bilet yönetimi, hasat etme (harvesting), AS-REP Roasting ve Kerberoasting saldırılarını içerir.

    • Biletleri Hasat Etme (Harvesting)

    • Harvesting, KDC’ye aktarılan biletleri toplar ve onları Pass The Ticket gibi saldırılar için depolar.
    • Kaba Kuvvet ve Parola Püskürtme

    • Rubeus, kaba kuvvet saldırısı ile parolaları, parola püskürtme ile de kullanıcı hesaplarını bulabilir. Parolalara kaba kuvvet saldırısı yaparken, belirli bir kullanıcı hesabı için pek çok parola denenir. Parola püskürtmede ise belirli tek bir parola üzerinden pek çok kullanıcı için giriş denenir.

Impacket ve Rubeus ile Kerberoasting

  • Kerberoasting, bir kullanıcının kayıtlı bir SPN’ye sahip herhangi bir hizmet için hizmet bileti talep etmesine ardından bu bileti hizmet parolasını kırmak için kullanmasına olanak tanır. Saldırının başarısı, şifrenin ne kadar güçlü veya ne kadar zayıf olduğuna bağılıdır.

    • Rubeus

    • Bulunan parola karmaları Hashcat aracı kullanılarak kırılabilir.
    • Impacket
    • Impacket aracı, Kerberoasting yapılırken uzaktan kullanılabilir.
    • Bulunan parola karmaları Hashcat aracı kullanılarak kırılabilir.

mimikatz ile Golden/Silver Ticket Saldırıları

  • mimikatz, yaygın olarak kullanılan Active Directory ağı içinde kullanıcı bilgilerini ele geçirmek için kullanılan, Altın (Golden) ve Gümüş (Silver) bilet oluşturmak için de kullanılabilen bir sömürü sonrası (post-exploit) aracıdır.

  • Gümüş bilet bazı durumlarda Altın bilet yerine tercih edilebilir. Eğer gizlilik ve fark edilmeden kalmak önemliyse, Gümüş bilet daha muhtemelen daha iyi seçenektir. İki bilet arasındaki temel fark, Gümüş bilet hedeflenen hizmet ile sınırlıyken, Altın bilet herhangi bir Kerberos hizmetine erişim sağlayabilir.

    • KRBTGT Genel Bakış
    • Bu saldırıların nasıl çalıştığını anlamak için KRBTGT ve TGT arasındaki farkın anlaşılması gerekir. KRBTGT, KDC’nin hizmet hesabıdır; bu, müşterilere tüm biletleri düzenleyen KDC’dir. Bu hesap taklit edilirse ve KRBTGT’den Altın bilet oluşturulursa, istenilen herhangi bir şey için bir hizmet bileti oluşturulabilir. TGT, KDC tarafından verilen bir hizmet hesabı biletidir ve yalnızca SQLService bileti gibi TGT’nin geldiği hizmete erişebilir.
    • Altın ve Gümüş Bilet Saldırılarına Genel Bakış
    • Altın bilet saldırısı, etki alanındaki herhangi bir kullanıcının TGT’sini ele geçirerek çalışır, bu tercihen bir etki alanı yöneticisi (domain admin) olur. Ancak Altın bilet için krbtgt biletini ve Gümüş bilet için ise herhangi bir hizmetin veya etki alanı yöneticisinin biletinin ele geçirilmesi yeterli olur. Daha sonra, verilen hizmet hesabı bilgilerini taklit eden bir TGT oluşturmak için mimikatz gibi araçlar kullanılır.
    • Krbtgt Biletini Ele Geçirme
    • lsadump::lsa /inject /name:krbtgt – Bu, bir Altın bilet oluşturmak için gereken güvenlik tanımlayıcısının yanı sıra karmaları da boşaltacaktır. Gümüş bilet oluşturmak için, bir etki alanı yöneticisi hesabının veya SQLService hesabı gibi bir hizmet hesabının karmasını boşaltmak için /name öğesinin değiştirilmesi gerekmektedir.
    • Altın/Gümüş Bilet Oluşturma
    • kerberos::golden /user:Administrator /domain:controller.local /sid: /krbtgt: /id: – Bu, bir Gümüş bilet oluşturmak için Altın bilet oluşturma komutudur. Sadece, krbtgt kısmına bir hizmet NTLM karma değeri koyulur, hizmet hesabının sid’si sid olarak değiştirilir ve kimlik numarası belirlenir.
    • Burada sadece Altın bilet oluşturma gösterilmiştir.
Copyright © 2021. All rights reserved

You cannot copy content of this page

Scroll to Top