Birisi verilerinize sizin kadar erişim kazanırsa çok fazla zarar verebilir. Bu tür bir saldırıyı bu kadar korkutucu yapan da budur.
Siber güvenlik alanındaki gelişmeler, tehdit izleme sistemlerinin suçluların olağandışı faaliyetlerini tespit etmesini sağlar. Davetsiz misafirler, bu araçları yenmek için artık yetkili kullanıcıların meşru durumundan ve erişim ayrıcalıklarından kötü niyetli amaçlarla yararlanmaktadır.
Bir bilgisayar korsanı, altın bilet saldırısı başlatarak herhangi bir toz çıkarmadan verilerinize sınırsız erişim sağlayabilir. Bunu yaparken, pratik olarak sizinle aynı erişim haklarına sahip olurlar. Saldırganların böyle bir güce sahip olması sizce de çok riskli değil mi? İşte onları nasıl durduracağınız.
Altın Bilet Saldırısı Nedir?
Bu bağlamda altın bilet, sınırsız erişim anlamına gelir. Bileti olan bir suçlu, verileriniz, uygulamalarınız, dosyalarınız vb. dahil olmak üzere tüm hesap bileşenlerinizle etkileşime girebilir. Altın bilet saldırısı, bir saldırganın ağınızı tehlikeye atmak için elde ettiği sınırsız erişimdir. Yapabileceklerinin sınırı yok.
Altın Bilet Saldırısı Nasıl Çalışır?
Active Directory (AD), Microsoft'un etki alanı ağlarını yönetmeye yönelik bir girişimidir. Kullanıcıların meşruiyetini doğrulamak için bir kimlik doğrulama protokolü olan belirlenmiş bir Kerberos anahtar dağıtım merkezine (KDC) sahiptir. KDC, benzersiz bir bilet verme bileti (TGT) oluşturup yetkili kullanıcılara dağıtarak AD'yi güvence altına alır. Bu şifrelenmiş bilet, kullanıcıların ağ üzerinde zararlı etkinlikler gerçekleştirmesini kısıtlar ve göz atma oturumlarını belirli bir süre ile sınırlar, genellikle 10 saati geçmez.
AD'de bir etki alanı oluşturduğunuzda, otomatik olarak bir KRBTGT hesabı alırsınız. Altın bilet saldırılarının failleri, AD'nin etki alanı denetleyicisini aşağıdaki şekillerde manipüle etmek için hesap verilerinizi tehlikeye atar.
Bilgi toplamak
Golden ticker saldırganı, hesabınız hakkında, özellikle de tam etki alanı adı (FQDN), güvenlik tanımlayıcısı ve parola karması hakkında bilgi toplayarak başlar. Yapabilirlerdi Verilerinizi toplamak için kimlik avı tekniklerini kullanınveya daha iyisi, cihazınıza kötü amaçlı yazılım bulaştırın ve kendileri alın. Bilgi toplama sürecinde kaba kuvvet kullanmayı tercih edebilirler.
Sahte Biletler
Tehdit aktörü, oturum açma bilgilerinizle hesabınıza girdiğinde aktif dizin verilerinizi görebilir ancak bu noktada etkinlik gerçekleştiremez. Etki alanı denetleyiciniz için yasal olan biletler oluşturmaları gerekir. KDC, ürettiği tüm biletleri KRBTGT parola karması ile şifreler, bu nedenle sahtekarın da aynısını yapması gerekir. NTDS.DIT dosyasını çalarak, bir DCSync saldırısı gerçekleştirerek veya güvenlik açıklarından yararlanarak uç noktalar.
Uzun Süreli Erişimi Koruyun
KRBTGT şifre karmasını elde etmek, suçluya sisteminize sınırsız erişim sağladığından, onu maksimumda kullanırlar. Ayrılmak için acele etmiyorlar ama arka planda kalarak verilerinizi tehlikeye atıyorlar. Hatta şüphe uyandırmadan en yüksek erişim ayrıcalıklarına sahip kullanıcıları taklit edebilirler.
Altın Bilet Saldırısını Önlemenin 5 Yolu
Altın bilet saldırıları, davetsiz misafirin çeşitli faaliyetleri gerçekleştirme özgürlüğü nedeniyle en tehlikeli siber saldırılar arasında yer alır. Aşağıdaki siber güvenlik önlemleri ile bunların oluşumunu en aza indirebilirsiniz.
1. Yönetici Kimlik Bilgilerini Gizli Tutun
Diğer çoğu saldırı gibi, altın bilet saldırısı da suçlunun hassas hesap kimlik bilgilerini alma becerisine bağlıdır. Erişebilecek kişi sayısını sınırlayarak anahtar verileri güvenli hale getirin.
En değerli kimlik bilgileri yönetici kullanıcıların hesaplarındadır. Bir ağ yöneticisi olarak, erişim ayrıcalıklarınızı en aza indirmeniz gerekir. Yönetici ayrıcalıklarına daha fazla kişi eriştiğinde sisteminiz daha yüksek risk altındadır.
2. Kimlik Avı Girişimlerini Tespit Edin ve Direnin
Yönetici ayrıcalıklarını güvence altına almak, kimlik bilgisi hırsızlığını önlemenin yolları. Bu pencereyi engellerseniz bilgisayar korsanları, kimlik avı saldırıları gibi başka yöntemlere başvuracaktır. Kimlik avı teknik olmaktan çok psikolojiktir, bu nedenle onu tespit etmek için önceden zihinsel olarak hazırlıklı olmanız gerekir.
Farklı kimlik avı teknikleri ve senaryoları hakkında bilgi edinin. En önemlisi, siz veya hesabınız hakkında kişisel olarak tanımlanabilir bilgiler arayan yabancılardan gelen mesajlara karşı dikkatli olun. Bazı suçlular doğrudan kimlik bilgilerinizi istemez, ancak size virüslü e-postalar, bağlantılar veya ekler gönderir. Herhangi bir içeriğe kefil olamıyorsanız, açmayın.
3. Aktif Dizinleri Sıfır Güven Güvenliği ile Güvenli Hale Getirin
Bilgisayar korsanlarının altın bilet saldırıları gerçekleştirmek için ihtiyaç duyduğu önemli bilgiler aktif dizinlerinizdedir. Ne yazık ki, güvenlik açıkları uç noktalarınızda herhangi bir zamanda ortaya çıkabilir ve siz onları fark etmeden önce oyalanabilir. Ancak güvenlik açıklarının varlığı, sisteminize mutlaka zarar vermez. Davetsiz misafirler onları tanımlayıp istismar ettiğinde zararlı hale gelirler.
Kullanıcıların, verilerinizi tehlikeye atacak faaliyetlerde bulunmamalarına kefil olamazsınız. Sıfır güven güvenliği uygulayın Pozisyonu veya statüsü ne olursa olsun ağınızı ziyaret eden kişilerin güvenlik risklerini yönetmek için. Eylemleri verilerinizi tehlikeye atabileceğinden her kişiyi bir tehdit olarak görün.
4. KRBTGT Hesap Parolanızı Düzenli Olarak Değiştirin
KRBTGT hesap şifreniz, saldırganın ağınıza giriş için altın biletidir. Parolanızı güvence altına almak, onlar ve hesabınız arasında bir engel oluşturur. Diyelim ki bir suçlu, parola karmanızı aldıktan sonra sisteminize çoktan girdi. Ömürleri parolanın geçerliliğine bağlıdır. Değiştirirseniz çalışamazlar.
Altın tehdit saldırganlarının sisteminizdeki varlığından habersiz olma eğiliminiz var. Herhangi bir saldırı şüpheniz olmasa bile parolanızı düzenli olarak değiştirme alışkanlığı geliştirin. Bu tek eylem, halihazırda hesabınıza erişimi olan yetkisiz kullanıcıların erişim ayrıcalıklarını iptal eder.
Microsoft, yetkisiz erişime sahip suçluları engellemek için kullanıcılara KRBTGT hesabı parolalarını düzenli olarak değiştirmelerini özellikle tavsiye eder.
5. İnsan Tehdit İzlemeyi Benimseyin
Sisteminizdeki tehditleri aktif olarak aramak, altın bilet saldırılarını tespit etmenin ve kontrol altına almanın en etkili yollarından biridir. Bu saldırılar non-invazivdir ve arka planda çalışır, bu nedenle yüzeyde her şey normal görünebileceğinden bir ihlalin farkında olmayabilirsiniz.
Altın bilet saldırılarının başarısı, suçlunun erişim ayrıcalıklarından yararlanarak yetkili bir kullanıcı gibi davranabilmesinde yatmaktadır. Bu, otomatikleştirilmiş tehdit izleme cihazlarının, olağandışı olmadıkları için faaliyetlerini tespit edemeyebileceği anlamına gelir. Bunları tespit etmek için insan tehdidi izleme becerilerine ihtiyacınız var. Bunun nedeni, davetsiz misafir yasal olduğunu iddia ettiğinde bile, insanların şüpheli faaliyetleri tespit etmek için altıncı hisse sahip olmasıdır.
Altın Bilet Saldırılarına Karşı Hassas Kimlik Bilgilerini Güvenli Hale Getirin
Siber suçlular, altın bilet saldırısında sizin hatanız olmadan hesabınıza sınırsız erişime sahip olamaz. Öngörülemeyen güvenlik açıkları ortaya çıktığı anda, bunları hafifletmek için önlemleri önceden uygulayabilirsiniz.
Temel kimlik bilgilerinizin, özellikle de KRBTGT hesap parolanızın güvenliğini sağlamak, davetsiz misafirlere hesabınızı ele geçirmek için çok sınırlı seçenekler bırakır. Varsayılan olarak ağınız üzerinde kontrole sahipsiniz. Saldırganlar gelişmek için güvenlik ihmalinize güvenirler. Onlara fırsat vermeyin.
