Kerberos biletleri, kullanıcıların ve sunucuların kimliklerini doğrular. Ancak bilgisayar korsanları, sizinle ilgili hassas bilgileri öğrenmek için de bu sistemi kullanıyor.
Kerberos biletleri, bir ağdaki bilgisayarların ve sunucuların her adımda kimliklerini doğrulamaya gerek kalmadan veri iletmeleri için bir araç sağlayarak interneti daha güvenli hale getirir. Bununla birlikte, geçici de olsa tek seferlik bir kimlik doğrulayıcı olarak bu rol, Kerberos biletlerini şifrelemelerini kırabilecek saldırganlar için cazip hale getirir.
Kerberos Biletleri Nedir?
“Kerberos”un tanıdık geldiğini düşünüyorsanız, haklısınız. Hades'in köpeğinin ("Cerberus" olarak da bilinir) Yunanca adıdır. Ancak Kerberos kucak köpeği değildir; birkaç başı vardır ve yeraltı dünyasının kapılarını korur. Kerberos, ölülerin ayrılmasını engeller ve perişan haldeki karakterlerin sevdiklerini korkunç öbür dünyadan kurtarmasını engeller. Bu şekilde, köpeği yetkisiz erişimi önleyen bir kimlik doğrulayıcı olarak düşünebilirsiniz.
Kerberos, istemciler (kişisel bilgisayarlar) ile bilgisayar ağlarındaki sunucular arasındaki iletişimi doğrulamak için kriptografik anahtarlar kullanan bir ağ kimlik doğrulama protokolüdür. Kerberos, Massachusetts Institute of Technology (MIT) tarafından istemcilerin veri istekleri yaptıklarında sunuculara kimliklerini kanıtlamalarının bir yolu olarak oluşturuldu. Aynı şekilde, sunucular gönderilen verilerin gerçek olduğunu, amaçlanan kaynaktan geldiğini ve bozulmadığını kanıtlamak için Kerberos biletlerini kullanır.
Kerberos biletleri, temel olarak, güvenilir bir üçüncü tarafça (anahtar dağıtım merkezi - kısaca KDC olarak adlandırılır) istemcilere verilen sertifikalardır. İstemciler, sunucu bir veri isteği başlattığında bu sertifikayı benzersiz bir oturum anahtarıyla birlikte sunucuya sunar. Biletin sunulması ve kimliğinin doğrulanması, istemci ile sunucu arasında güven oluşturur, bu nedenle her isteği veya komutu tek tek doğrulamaya gerek yoktur.
Kerberos Biletleri Nasıl Çalışır?
Kerberos biletleri, hizmetlere kullanıcı erişimini doğrular. Aynı hizmete birden fazla kullanıcının eriştiği durumlarda sunucuların erişimi bölümlere ayırmasına da yardımcı olurlar. Bu şekilde istekler birbirine sızmaz ve yetkisiz kişiler, ayrıcalıklı kullanıcılarla sınırlı verilere erişemez.
Örneğin, Microsoft, Kerberos'u kullanıyor kullanıcılar Windows sunucularına veya PC işletim sistemlerine eriştiğinde kimlik doğrulama protokolü. Bu nedenle, bir önyüklemeden sonra bilgisayarınızda oturum açtığınızda, işletim sistemi parmak izinizi veya parolanızı doğrulamak için Kerberos biletlerini kullanır.
Bilgisayarınız, bileti o oturum için Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) işlem belleğinde geçici olarak depolar. Bundan sonra işletim sistemi, önbelleğe alınmış bileti şu amaçlarla kullanır: çoklu oturum açma kimlik doğrulamaları, böylece yönetici ayrıcalıkları gerektiren bir şeyi her yapmanız gerektiğinde biyometrik bilgilerinizi veya şifrenizi vermeniz gerekmez.
Daha büyük ölçekte, Kerberos biletleri, internetteki ağ iletişimlerini korumak için kullanılır. Buna HTTPS şifrelemesi ve girişte kullanıcı adı-şifre doğrulaması gibi şeyler dahildir. Kerberos olmadan, ağ iletişimleri aşağıdaki gibi saldırılara karşı savunmasız olacaktır: siteler arası istek sahteciliği (CSRF) ve ortadaki adam hack'leri.
Kerberoasting Tam Olarak Nedir?
Kerberoasting, siber suçluların sunuculardan Kerberos biletlerini çaldığı ve düz metin parola karmalarını çıkarmaya çalıştığı bir saldırı yöntemidir. Bu saldırı özünde toplum mühendisliğidir, kimlik bilgisi çalmave kaba kuvvet saldırısı, hepsi bir arada. Birinci ve ikinci adımlar, saldırganın bir istemciyi taklit etmesini ve bir sunucudan Kerberos biletleri talep etmesini içerir.
Tabii ki, bilet şifreli. Yine de, bileti almak bilgisayar korsanı için iki zorluktan birini çözer. Sunucudan Kerberos biletini aldıktan sonra, bir sonraki zorluk, gerekli herhangi bir yolla şifresini çözmektir. Kerberos biletlerine sahip bilgisayar korsanları, ne kadar değerli olduğu için bu dosyayı kırmak için aşırı çaba sarf edecektir.
Kerberoasting Saldırıları Nasıl Çalışır?
Kerberoasting, aktif dizinlerdeki iki yaygın güvenlik hatasından yararlanır: kısa, zayıf parolalar kullanma ve dosyaları zayıf şifrelemeyle koruma. Saldırı, bir bilgisayar korsanının bir KDC'den Kerberos bileti talep etmek için bir kullanıcı hesabı kullanması ile başlar.
KDC daha sonra beklendiği gibi şifreli bir bilet verir. Bilgisayar korsanı, bu bileti bir sunucuyla kimlik doğrulaması için kullanmak yerine, onu çevrimdışına alır ve kaba kuvvet teknikleriyle bileti kırmaya çalışır. Bunu yapmak için kullanılan mimikatz, Hashcat ve JohnTheRipper gibi araçlar ücretsiz ve açık kaynaklıdır. Saldırı, invoke-kerberoast ve Rubeus gibi araçlarla da otomatikleştirilebilir.
Başarılı bir kerberoasting saldırısı, biletten düz metin parolaları çıkarır. Saldırgan daha sonra güvenliği ihlal edilmiş bir kullanıcı hesabından bir sunucuya yönelik isteklerin kimliğini doğrulamak için bunu kullanabilir. Daha da kötüsü, saldırgan, verileri çalmak için yeni bulunan yetkisiz erişimden yararlanabilir. aktif dizinde yanal olarak hareket etve yönetici ayrıcalıklarına sahip sahte hesaplar oluşturun.
Kerberoasting Hakkında Endişelenmeli misiniz?
Kerberoasting, aktif dizinlere yapılan popüler bir saldırıdır ve bir etki alanı yöneticisi veya mavi takım operatörüyseniz, bu konuda endişelenmeniz gerekir. Bu saldırıyı tespit edecek varsayılan bir etki alanı yapılandırması yoktur. Çoğu çevrimdışı oluyor. Bunun kurbanı olduysanız, büyük olasılıkla olaydan sonra bileceksiniz.
Ağınızdaki herkesin rasgele alfanümerik karakterler ve simgelerden oluşan uzun parolalar kullanmasını sağlayarak maruz kalma riskinizi azaltabilirsiniz. Ayrıca, gelişmiş şifreleme kullanmalı ve etki alanı kullanıcılarından gelen olağan dışı istekler için uyarılar ayarlamalısınız. Ayrıca, en başta Kerberoating'i başlatan güvenlik ihlallerini önlemek için sosyal mühendisliğe karşı korunmanız gerekecektir.
