Kerberoasting Nasıl Çalışır
Bir Active Directory etki alanında, kimliği doğrulanmış herhangi bir kullanıcı, servis asıl adı (SPN) kayıtlı herhangi bir hesap için Kerberos servis bileti talep edebilir. Bu biletin bir bölümü, servis hesabının parolasından türetilen bir anahtarla şifrelenir. Kerberoasting saldırganı, sıradan ve düşük yetkili bir etki alanı hesabıyla ilgi çekici servis hesapları için biletler ister, şifreli materyali ağ dışına çıkarır ve aday parolaları yüksek hızda deneyerek parolayı çevrimdışı kurtarmaya çalışır.
Her şey meşru Kerberos protokol davranışı üzerinden gerçekleştiği için etki alanı denetleyicisinde herhangi bir zararlı yazılımın çalışması gerekmez ve hedef hesapta başarısız oturum açma görünmez. Servis hesabının parolası zayıf veya eskiyse, saldırgan sonunda parolayı açık metin olarak elde eder ve genellikle veritabanlarında, uygulama sunucularında veya etki alanının kendisinde geniş haklara sahip olan bu hesapla kimlik doğrulayabilir.
Neden Önemli
Kerberoasting saldırganlar arasında popülerdir çünkü sessizdir, yalnızca bir tutunma hesabı gerektirir ve birçok etki alanının en zayıf halkasını hedefler: servis hesapları. Bu hesapların parolaları çoğu zaman yıllar önce belirlenmiştir, rotasyon uygulamaları bozacağı için süre dolma politikalarından muaftır ve ihtiyaç duyduklarından çok daha fazla ayrıcalık taşırlar. Kırılan tek bir servis hesabı, saldırgana veritabanı yöneticisi hakları veya etki alanının ele geçirilmesine giden doğrudan bir yol verebilir.
Saldırının çevrimdışı doğası, bilet talebinden sonrasını tespit etmeyi zorlaştırır: parola kırma işlemi tamamen saldırganın donanımında, her türlü izlemenin dışında gerçekleşir. Gerçek dünyadaki ihlal raporları, Kerberoasting’i düzenli olarak ilk erişim sonrasında atılan ilk adımlar arasında, yanal hareket ve ayrıcalık yükseltmenin önünde sayar.
Kerberoasting’e Karşı Nasıl Savunulur
Temel savunma, servis hesabı parolalarını kırılamaz hale getirmektir: 25 karakter ve üzeri uzunlukta, rastgele ve düzenli olarak değiştirilen parolalar; daha da iyisi, dizinin gizli anahtarı otomatik döndürdüğü grup tarafından yönetilen servis hesaplarıdır. Servis asıl adı kayıtlı hesapların envanteri hangi hesapların açıkta olduğunu belirlemeye yardımcı olur; bu hesaplardaki ayrıcalıklar da servisin gerçekten ihtiyaç duyduğu asgari düzeye indirilmelidir.
İzleme ikinci bir katman ekler: tek bir kullanıcıdan gelen olağandışı sayıda servis bileti talebi veya daha zayıf şifreleme türleriyle yapılan talepler, uyarı üretmeye değer güçlü bir sinyaldir. Servis ve yönetici kimlik bilgilerini Monopam gibi bir PAM platformunda kasaya alıp otomatik rotasyon uygulamak, Kerberoasting’i kârlı kılan bayat parolaları en baştan ortadan kaldırır.