← Tüm terimler
Kerberoasting

Kerberoasting Nedir?

Kerberoasting, servis hesabı parolalarını çevrimdışı kırmak için Kerberos servis biletlerini kötüye kullanan bir Active Directory saldırısıdır.

Son güncelleme: 15 Temmuz 2026

Kerberoasting Nasıl Çalışır

Bir Active Directory etki alanında, kimliği doğrulanmış herhangi bir kullanıcı, servis asıl adı (SPN) kayıtlı herhangi bir hesap için Kerberos servis bileti talep edebilir. Bu biletin bir bölümü, servis hesabının parolasından türetilen bir anahtarla şifrelenir. Kerberoasting saldırganı, sıradan ve düşük yetkili bir etki alanı hesabıyla ilgi çekici servis hesapları için biletler ister, şifreli materyali ağ dışına çıkarır ve aday parolaları yüksek hızda deneyerek parolayı çevrimdışı kurtarmaya çalışır.

Her şey meşru Kerberos protokol davranışı üzerinden gerçekleştiği için etki alanı denetleyicisinde herhangi bir zararlı yazılımın çalışması gerekmez ve hedef hesapta başarısız oturum açma görünmez. Servis hesabının parolası zayıf veya eskiyse, saldırgan sonunda parolayı açık metin olarak elde eder ve genellikle veritabanlarında, uygulama sunucularında veya etki alanının kendisinde geniş haklara sahip olan bu hesapla kimlik doğrulayabilir.

Neden Önemli

Kerberoasting saldırganlar arasında popülerdir çünkü sessizdir, yalnızca bir tutunma hesabı gerektirir ve birçok etki alanının en zayıf halkasını hedefler: servis hesapları. Bu hesapların parolaları çoğu zaman yıllar önce belirlenmiştir, rotasyon uygulamaları bozacağı için süre dolma politikalarından muaftır ve ihtiyaç duyduklarından çok daha fazla ayrıcalık taşırlar. Kırılan tek bir servis hesabı, saldırgana veritabanı yöneticisi hakları veya etki alanının ele geçirilmesine giden doğrudan bir yol verebilir.

Saldırının çevrimdışı doğası, bilet talebinden sonrasını tespit etmeyi zorlaştırır: parola kırma işlemi tamamen saldırganın donanımında, her türlü izlemenin dışında gerçekleşir. Gerçek dünyadaki ihlal raporları, Kerberoasting’i düzenli olarak ilk erişim sonrasında atılan ilk adımlar arasında, yanal hareket ve ayrıcalık yükseltmenin önünde sayar.

Kerberoasting’e Karşı Nasıl Savunulur

Temel savunma, servis hesabı parolalarını kırılamaz hale getirmektir: 25 karakter ve üzeri uzunlukta, rastgele ve düzenli olarak değiştirilen parolalar; daha da iyisi, dizinin gizli anahtarı otomatik döndürdüğü grup tarafından yönetilen servis hesaplarıdır. Servis asıl adı kayıtlı hesapların envanteri hangi hesapların açıkta olduğunu belirlemeye yardımcı olur; bu hesaplardaki ayrıcalıklar da servisin gerçekten ihtiyaç duyduğu asgari düzeye indirilmelidir.

İzleme ikinci bir katman ekler: tek bir kullanıcıdan gelen olağandışı sayıda servis bileti talebi veya daha zayıf şifreleme türleriyle yapılan talepler, uyarı üretmeye değer güçlü bir sinyaldir. Servis ve yönetici kimlik bilgilerini Monopam gibi bir PAM platformunda kasaya alıp otomatik rotasyon uygulamak, Kerberoasting’i kârlı kılan bayat parolaları en baştan ortadan kaldırır.

Sık sorulan sorular

Kerberoasting neden özellikle servis hesaplarını hedefler?
Servis biletleri, servis hesabının parolasından türetilen bir anahtarla şifrelenir; bu yüzden servis asıl adı kayıtlı her hesap bu yöntemle saldırıya uğrayabilir. Servis hesapları ayrıca savunmacılar için en kötü özellikleri bir arada taşır: hiç süresi dolmayan, insan eliyle seçilmiş eski parolalar ve uygulamanın ihtiyacının çok ötesinde ayrıcalıklar.
MFA, Kerberoasting’i durdurabilir mi?
Doğrudan durduramaz. Kerberoasting, servis biletlerinin şifrelenme biçimini kötüye kullanır ve servis hesapları, MFA’nın uygulanabileceği etkileşimli bir oturum açma olmadan kimlik doğrular. Etkili kontroller uzun rastgele parolalar veya yönetilen servis hesapları, hesapta en az ayrıcalık ve anormal bilet taleplerinin tespitidir.
Etki alanımın savunmasız olup olmadığını nasıl anlarım?
Servis asıl adı kayıtlı her hesabı gözden geçirin. Bunlardan herhangi biri bir rotasyon döngüsünden eski, insan eliyle belirlenmiş parolalar taşıyorsa, ayrıcalıklı grupların üyesiyse veya hâlâ zayıf Kerberos şifreleme türlerine izin veriyorsa, gerçekçi birer Kerberoasting hedefidir ve önce bunlar düzeltilmelidir.