Golden Ticket

Altın Bilet saldırısı, bir tehdit aktörünün Microsoft Active Directory’de (AD) depolanan kullanıcı verilerine erişerek bir kuruluşun etki alanına (cihazlar, dosyalar, etki alanı denetleyicileri vb.) neredeyse sınırsız erişim elde etmeye çalıştığı kötü niyetli bir siber güvenlik saldırısıdır. AD’ye erişmek için kullanılan Kerberos kimlik doğrulama protokolündeki zayıflıklardan yararlanarak saldırganın normal kimlik doğrulamayı atlamasına olanak tanır.

Giderek artan sayıda şirket hem buluta hem de uzaktan öncelikli bir ortama geçtikçe, çalışanların kendi cihazlarını ve ağlarını kullanarak şirket sistemlerine giriş yapmasıyla birlikte saldırı yüzeyi geleneksel çevrenin ötesine geçmiştir. Bu da saldırganların bir ağa girme ve erişim sağlamak için bir Altın Bilet saldırısı kullanma riskini artırmıştır.

Altın Bilet Saldırıları Nasıl Önlenir?

Altın Bilet saldırılarını önlemek için Kerberos hesaplarına ve Kerberos biletlerine erişimi izlemeniz ve denetlemeniz son derece önemlidir.

BT yöneticileri, Grup İlkesi Yönetim Konsolu’nu (GPMC) kullanarak Kerberos kimlik doğrulamasının denetlenmesini etkinleştirebilir, bu da hem başarısız hem de başarılı oturum açma etkinliğini izlemek için olayları izlemelerine olanak tanır.

Örneğin, alışılmadık derecede yüksek sayıda başarısız oturum açma girişimi, olası bir kaba kuvvet saldırısına işaret edebilir. Ayrıca aşağıdakileri de yakından takip etmelisiniz;

Etki Alanı Denetleyicisi etkinliği.

Kaynak ve istek sayısı dahil olmak üzere TGT istekleri.

Uzun ömürlü TGT’ler.

Olağandışı etki alanı çoğaltma etkinliği.

Ayrıcalıklarda, özellikle de hata ayıklama ayrıcalığında yapılan değişiklikler.

Kötü niyetli etkinlikleri belirlemek için yerel sunucu günlüklerini manuel olarak incelemek teorik olarak mümkün olsa da, hesaplarınıza nasıl erişildiğini ve kullanıldığını daha net bir şekilde görmenizi sağlayacak ve şüpheli etkinlikler tespit edildiğinde gerçek zamanlı uyarılar oluşturacak daha gelişmiş bir Active Directory güvenlik çözümü kullanmanız önerilir.

Ayrıca güçlü bir parola politikasına sahip olduğunuzdan emin olmalı ya da daha iyisi, tüm ayrıcalıklı hesaplarda çok faktörlü kimlik doğrulama kullanmalısınız. Ayrıca, kullanıcının tipik oturum açma saatleri dışında ağ kaynaklarına erişmesini önlemek için bir hizmet bileti için Maksimum kullanım ömrünü 600 dakika olarak ayarlamanız önerilir.

Yukarıda belirtilen önleyici tedbirlere ek olarak, şunları da göz önünde bulundurmak isteyebilirsiniz;

KRBTGT şifresini düzenli olarak değiştirmek.

KRBTGT parola karmasına erişebilecek hesap sayısını sınırlamak.

Ağınızı düzenli olarak altın biletler için taramak ve bulunanları temizlemek.

Sistem saatinin senkronize edildiğinden emin olun.

Kullanıcıları ve BT personelini olası saldırılar konusunda eğitmek.

İlgili Yazılar

DES-619_BlogHeader_PassTheTicket-1167x500

Pass The Ticket

Yazar: Onur Savaş Pass-the-ticket saldırısı, Windows Active Directory ortamında bilet adı verilen kimlik doğrulama bilgilerinin çalınmasını ve yeniden kullanılmasını içeren bir...
adli-bilisimin-onemi

Adli Bilişimin Önemi

Küçük yerel bir işletme veya dünya devi bir şirket fark etmez, kurumsal yapının omuriliği bilgi işlem altyapısıdır. Mahiyetine bakmaksızın, bilgi...
dijital-delil-tespiti-nasil-istemeliyim

Dijital Delil Tespiti Nasıl İstemeliyim?

Dijital Delil Tespiti Nasıl İstemeliyim? Türkiye’de veya dünyanın neresinde olursa olsun, ADALET önemli bir yapı taşıdır. İnsanların yaşadıkları toplumlarda hava...