İlginizi Çekebilir
  1. Ana Sayfa
  2. Güvenlik Ürünleri
  3. Pass the Ticket Saldırılardan Nasıl Korunulur? Bölüm-1

Pass the Ticket Saldırılardan Nasıl Korunulur? Bölüm-1

061719_2134_PasstheTick2.jpg

Yazımda Pass the ticket saldırısından nasıl korunacağımızdan bahsedeceğim. Makale boyunca Pass the Ticket‘ı PTT kısaltması ile kullanacağım aklınıza başka bişey gelmesin. PTT saldırısından nasıl korunacağımızdan bahsetmeden önce dan bahsetmek daha mantıklı olacaktır.

Resim-1

İlgili saldırının yapılabiliyor olmasının sebebi Kerberos‘un zaafiyetidir. Kerberos MIT tarafından TCP/IP protokolünün güvensizliğinden dolayı geliştirilen ağ kimlik denetleme protokolüdür. Peki neden ilgili protokole Kerberos ismi verilmiştir? Kerberosun temeline inersek üç ana işlevi olduğunu görürüz.

  • Anahtar dağıtım merkezi
  • Kullanıcı ve hesabı
  • İstenilen servisi sağlayan sunucu olarak türkçeye çevirebiliriz. Bu sebepten dolayı da yunan mitolojisindeki üç başlı Cerberus ismi verilmiştir.

İngilizceden çevirilerde bazen anlam kargaşası oluşmaktadır. Bu sebepten dolayı aşağıdaki linki inceleminizi tavsiye ederim.

https://docs.microsoft.com/en-us/windows/desktop/secauthn/microsoft-kerberos

Resim-2

Kısaca işlevinden ve nasıl ilgili ismi aldığını açıkladıktan sonra ilgili zaafiyetin ne olduğundan bahsedelim. Örneğin admin haklarına sahip bir kullanıcımız olduğunu düşünelim ve bu kullanıcı bir sunucuda veya son kullanıcı bilgisayarında oturum açtı. Kerberos kısıtlı süre için TGT (Ticket Granting Ticket) kullarak oturum açabilmektedir. Akılda daha kalıcı olması için kısa süreliğine bilgilerin cache lendiğini düşünebilirsiniz. Saldırganlarda bu süre zarfında ilgili sunucu veya son kullanıcı bilgisayarındaki ticket bilgisini çalarak saldırı amaçlı kullanmaktadır.

PTT saldırısını yapabilmek için TGT (Ticket Granting Ticket= veya servis ticketini ele geçirmemiz gerekmektedir. Elbetteki bu saldırıdaki amaç DC üzerindeki KRBTGT hash bilgisini çalarak ticket üretebilir hale gelmektir. Bu sayede saldırgan golden ticket dediğimiz saldırıyı gerçekletirebilecektir. Bu da malesef hikayenin kötü bitmesi anlamına gelmektedir. Peki nasıl korunacağız ?

Pass The Ticket Saldırısından Korunma

Resim-3

  • İlk olarak için yazdıklarım uygulanmalıdır.

    https://www.mshowto.org/pass-the-hash-ataklarindan-nasil-korunurum.html

  • Yapı içerisindeki kritik sistemler izlenmelidir.
  • Loglama ve denetleme mekanizmaları iyi işletilmelidir. Özellikle aşağıda yer alan event lar izlenmelidir.
    • 4768 – A Kerberos authentication ticket (TGT) was requested
    • 4769 – A Kerberos service ticket was requested
    • 4770 – A Kerberos service ticket was renewed
  • Korelasyon kuralları çok iyi şekilde yazılmalıdır ve gereksiz olan, ana odağımızdan uzaklaşmamıza sebep olacak tüm loglar çıkarılmalıdır. Aksi taktirde önemli loglar gözden kaçacaktır.
    • Sistemde oturum açan kullanıcı ve oturum id si izlenmelidir.
    • Eğer oturum açan kullanıcıya ait olmayan bir ticket bulunursa saldırganın kendi oturumunun enjekte ettiği anlamı çıkarılmalıdır.
  • Yapıyı izleyecek kişiler bu konuda uzman olmalıdır.
  • Just enaugh ve Just in time administration yapı içerisine dahil edilmelidir.
  • Yüksek haklara sahip kullanıcılar iyi takip edilmeli ve ilgili haklar ile kesinlikle son kullanıcı bilgisayarlarına bağlanılmamalıdır.
  • Yapıda kesinlike tier modeli uygulanmalıdır. Bu sayede atak yüzeyi daraltılmış olacaktır.
  • Yapıda gibi PAM çözümleri kullanılmalıdır. Eğer bütçe yok ise Microsoft’ un ücretsiz sunmuş olduğu LAPS aracı kullanılmalıdır.
  • Yapı içerisinde ,
  • Sıkılaştırma için CIS Baseline ve/veya Microsoft Security Baseline lar referans alınmalıdır.
  • Yapı içerisinde standart olarak değişiklik yönetimi uygulanmalıdır. Daha sade ifade etmek gerekirse her istenilen zamanda sistemlere bağlanılamamalıdır.

Makalenin ikinci bölümünü de en kısa sürede sizlerle buluşturmaya çalışacağım.

Bu konuyla ilgili sorularınızı http://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

TAGs: pass the hash, , Microsoft ATA, , StealthDefend,Kerberos, Cyberark,

Yorum Yap

Yazar Hakkında

Profesyonel iş hayatıma 2008 yılında başladım. 10 Yıllık dönem içerisinde teknikerlikten başlayarak bir çok farklı pozisyonda çalıştım. Dünyanın en büyük sigorta şirketleri arasında yer alan Allianz Türkiye’de Kıdemli Sistem Uzmanı olarak çalışmaktayım. Profesyonel iş yaşantımın dışında yönetim kadrosunda yer aldığım mshowto.org sitesinde gönüllü yazarlık yapmaktayım. 15+ konferansta konuşmacı olarak yer aldım. 150+ makale ve bu yazı serisi ile birlikte beşinci E-Kitabımı yazmanın mutluluğunu yaşamaktayım. İki defa TRT Kent Radyosunda söyleşi yapma deneyimini yaşadım. MCSE,MCPS,MS ve Tenable Certificate of Proficiency ünvanlarına sahibim. Aynı zamanda 2 yıl Microsoft Enterprise Mobility MVP ünvanına layık görüldüm. MVP | Enterprise Mobility ,2016,2017 MCSE | Server Infrastructure MCSA | Server 2012 MCPS | Microsoft Certified Professional Microsoft Specialist : Server Virtualization with Windows Server Hyper-V and System Center Specialist Tenable Certificate of Proficiency Cyberoam Certified Network & Security Professional Backup Academy Certified Professional

Yorum Yap