EN
EN

Pass-the-Ticket Saldırısı Nedir ?

20 Aralık 2021


Pass-the-Ticket saldırıları, güvenliği ihlal edilmiş bir ortamdaki sistemlerde kimlik doğrulaması yapmak için bir Kerberos ticketın çalınmasını ve yeniden kullanılmasını içeren bir saldırı türüdür. Pass-the-Ticket saldırılarında, saldırganlar bir bilgisayardan bir Kerberos ticketi çalar ve bunu güvenliği ihlal edilmiş bir ortamda başka bir bilgisayara erişmek için yeniden kullanır.

Bu saldırıda saldırgan genellikle kimlik avı yoluyla veya geçerli kullanıcı kimlik bilgilerini elde etmek için sosyal mühendislik kullanarak bir sisteme sızmaya çalışır. Saldırgan bir sisteme girdikten sonra, diğer Active Directory oturumlarında depolanan destek taleplerine erişmek için ayrıcalıkları yükseltmeye çalışır. Mimikatz veya Rubeus gibi programlar, TGT 'yi depolandığı Local Security Authority Subsystem Service (LSASS) işleminden çıkarmak için güvenliği ihlal edilmiş bir Windows makinesine yüklenebilir.

Bir sistemde, her biri kendi oturumuna sahip birden fazla hesap oturum açabilir. Ayrıca, diğer oturumların herhangi bir veriye erişmesini önlemek için oturumlar Active Directory içinde yalıtılır. Bir saldırgan yönetici veya sistem ayrıcalıklarına yükselebilirse, diğer oturumlara erişebilir ve diğer kullanıcılardan geçerli ticketlar alarak ağ kaynaklarına erişimlerini büyütebilir.

Saldırganın o bilgisayarda yönetici ayrıcalıkları varsa ve bu kullanıcının geçerli ticket erişimi varsa, bir ortamda yanlamasına hareket ederken bu ticketları geçirebilir ve dosya paylaşımları veya Exchange veya SharePoint gibi platformlar gibi hizmetlere erişim elde edebilir. Bu aktivite, ticket geçerli olduğu sürece sürebilir.

Pass-the-Ticket Saldırılarına Yanıt Verme

Pass-the-Ticket saldırılarını tespit etmek ve azaltmak zordur. Active Directory tarafından kullanılan temel ticketing protokolü olan Kerberos, durum bilgisi olmayan işlemlerin bir kimlik doğrulama oturumu boyunca veya sonrasında tutulmadığı bir protokoldür. Bu, Kerberos'u (ve uzantısı olan Active Directory'yi) Pass-the-Ticket saldırılarına ve ayrıca etki alanı veya hizmet hakları vermek için sahte ticketlar kullanan potansiyel olarak yıkıcı Gold Ticket ve Silver Ticket saldırılarına karşı savunmasız hale getirir. Kerberos'un durum bilgisi olmayan tasarımı ayrıca çalınan kimlik bilgilerinin yeniden kullanımını bir güvenlik ve gizlilik sorunu haline getirir. Bir Kerberos sorumlusu tarafından sunulan her ticketin meşru bir anahtar dağıtım merkezi tarafından düzenlendiğinden emin olmak için Kerberos protokolünün harici, durum bilgisi olan doğrulaması gerekir.

Pass-the-Ticket Saldırılarını Tespit Etme

Kuruluşlar, aynı Kerberos oturum ticketı iki veya daha fazla farklı bilgisayarda yeniden kullanıldığını algılayarak Pass-theTicket saldırılarını tespit edebilir. Kuruluşların şüpheli etkinlikle ilişkili uzaktan kimlik doğrulama gibi tutarsızlıkları tespit etmesi için Kerberos kimlik doğrulamasını ve kimlik bilgisi olaylarını denetlemelidir. Bu tür olaylar Pass-the-Ticket saldırısının gerçekleştiğini gösterebilir. Kuruluşlar, aynı oturum için birden çok ticketın yerel olarak algılanmasını sağlamak için uç nokta algılama ve yanıt teknolojiside kullanabilir.

Pass-the-Ticket Saldırılarını Azaltma

Pass-the-Ticket saldırısı tespit edildiğinde, verilen yanıt sağlanan saldırının erişim düzeyine bağlıdır. TGT 'nin veya serivce ticketın çalındığı güvenliği ihlal edilmiş hesap, güvenliği ihlal edilmiş sistem dışında sınırlı izne sahip veya hiç izne sahip olmayan düşük ayrıcalıklı bir hesapsa, hafifletme, kullanıcının Active Directory şifresini sıfırlamak kadar basit olabilir. Bu, çalınan TGT 'yi veya service ticketları geçersiz kılar ve saldırganın çalınan parola karmasını kullanarak yeni biletler oluşturmasını engeller.

Ancak Pass-the-Ticket saldırısı ayrıcalıklı bir hesapla ilişkilendirilirse, hasarı kontrol altına almak oldukça zordur. Bu senaryolarda, kuruluşlar bir Gold Ticket veya Silver Ticket Kerberos sahteciliği saldırısına yeni bir imzalama anahtarı oluşturmak için KRBTGT hizmetini iki kez sıfırlayarak ve güvenliği ihlal edilen anahtarın silindiğinden emin olarak saldırıya cevap verilebilir.

Kuruluşlar, bir tehdit aktörünün Pass-the-Ticket yoluyla hangi ağ kaynaklarına eriştiğini ve hangi verilerin alınmış olabileceğini anlamak için Kerberos loglarını ve Active Directory bilgilerini daha fazla analiz etmelidir.

BT Olgunluk Analizi

Kurumların BT yönetim süreçlerinin önem ve etkinliği, BT mimarisinin (yazılım, donanım, güvenlik ve altyapı) ilişkili strateji ve süreçlerle uyumu ve sürekliliği BT Olgunluğunu ortaya koyar. Her kurumun BT olgunluğu farklı seviyelerde olabilir. BT Olgunluk Analizi ile mevcut olgunluğun ölçülmesi ve değerlendirilmesi, uluslararası benzer başka kurumlarla kıyaslanması hedeflenir.

BT Olgunluk Analizi
Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog