EN
EN

Pass-the-Ticket Saldırısı Nedir ?

20 Aralık 2021


Pass-the-Ticket saldırıları, güvenliği ihlal edilmiş bir ortamdaki sistemlerde kimlik doğrulaması yapmak için bir Kerberos ticketın çalınmasını ve yeniden kullanılmasını içeren bir saldırı türüdür. Pass-the-Ticket saldırılarında, saldırganlar bir bilgisayardan bir Kerberos ticketi çalar ve bunu güvenliği ihlal edilmiş bir ortamda başka bir bilgisayara erişmek için yeniden kullanır.

Bu saldırıda saldırgan genellikle kimlik avı yoluyla veya geçerli kullanıcı kimlik bilgilerini elde etmek için sosyal mühendislik kullanarak bir sisteme sızmaya çalışır. Saldırgan bir sisteme girdikten sonra, diğer Active Directory oturumlarında depolanan destek taleplerine erişmek için ayrıcalıkları yükseltmeye çalışır. Mimikatz veya Rubeus gibi programlar, TGT 'yi depolandığı Local Security Authority Subsystem Service (LSASS) işleminden çıkarmak için güvenliği ihlal edilmiş bir Windows makinesine yüklenebilir.

Bir sistemde, her biri kendi oturumuna sahip birden fazla hesap oturum açabilir. Ayrıca, diğer oturumların herhangi bir veriye erişmesini önlemek için oturumlar Active Directory içinde yalıtılır. Bir saldırgan yönetici veya sistem ayrıcalıklarına yükselebilirse, diğer oturumlara erişebilir ve diğer kullanıcılardan geçerli ticketlar alarak ağ kaynaklarına erişimlerini büyütebilir.

Saldırganın o bilgisayarda yönetici ayrıcalıkları varsa ve bu kullanıcının geçerli ticket erişimi varsa, bir ortamda yanlamasına hareket ederken bu ticketları geçirebilir ve dosya paylaşımları veya Exchange veya SharePoint gibi platformlar gibi hizmetlere erişim elde edebilir. Bu aktivite, ticket geçerli olduğu sürece sürebilir.

Pass-the-Ticket Saldırılarına Yanıt Verme

Pass-the-Ticket saldırılarını tespit etmek ve azaltmak zordur. Active Directory tarafından kullanılan temel ticketing protokolü olan Kerberos, durum bilgisi olmayan işlemlerin bir kimlik doğrulama oturumu boyunca veya sonrasında tutulmadığı bir protokoldür. Bu, Kerberos'u (ve uzantısı olan Active Directory'yi) Pass-the-Ticket saldırılarına ve ayrıca etki alanı veya hizmet hakları vermek için sahte ticketlar kullanan potansiyel olarak yıkıcı Gold Ticket ve Silver Ticket saldırılarına karşı savunmasız hale getirir. Kerberos'un durum bilgisi olmayan tasarımı ayrıca çalınan kimlik bilgilerinin yeniden kullanımını bir güvenlik ve gizlilik sorunu haline getirir. Bir Kerberos sorumlusu tarafından sunulan her ticketin meşru bir anahtar dağıtım merkezi tarafından düzenlendiğinden emin olmak için Kerberos protokolünün harici, durum bilgisi olan doğrulaması gerekir.

Pass-the-Ticket Saldırılarını Tespit Etme

Kuruluşlar, aynı Kerberos oturum ticketı iki veya daha fazla farklı bilgisayarda yeniden kullanıldığını algılayarak Pass-theTicket saldırılarını tespit edebilir. Kuruluşların şüpheli etkinlikle ilişkili uzaktan kimlik doğrulama gibi tutarsızlıkları tespit etmesi için Kerberos kimlik doğrulamasını ve kimlik bilgisi olaylarını denetlemelidir. Bu tür olaylar Pass-the-Ticket saldırısının gerçekleştiğini gösterebilir. Kuruluşlar, aynı oturum için birden çok ticketın yerel olarak algılanmasını sağlamak için uç nokta algılama ve yanıt teknolojiside kullanabilir.

Pass-the-Ticket Saldırılarını Azaltma

Pass-the-Ticket saldırısı tespit edildiğinde, verilen yanıt sağlanan saldırının erişim düzeyine bağlıdır. TGT 'nin veya serivce ticketın çalındığı güvenliği ihlal edilmiş hesap, güvenliği ihlal edilmiş sistem dışında sınırlı izne sahip veya hiç izne sahip olmayan düşük ayrıcalıklı bir hesapsa, hafifletme, kullanıcının Active Directory şifresini sıfırlamak kadar basit olabilir. Bu, çalınan TGT 'yi veya service ticketları geçersiz kılar ve saldırganın çalınan parola karmasını kullanarak yeni biletler oluşturmasını engeller.

Ancak Pass-the-Ticket saldırısı ayrıcalıklı bir hesapla ilişkilendirilirse, hasarı kontrol altına almak oldukça zordur. Bu senaryolarda, kuruluşlar bir Gold Ticket veya Silver Ticket Kerberos sahteciliği saldırısına yeni bir imzalama anahtarı oluşturmak için KRBTGT hizmetini iki kez sıfırlayarak ve güvenliği ihlal edilen anahtarın silindiğinden emin olarak saldırıya cevap verilebilir.

Kuruluşlar, bir tehdit aktörünün Pass-the-Ticket yoluyla hangi ağ kaynaklarına eriştiğini ve hangi verilerin alınmış olabileceğini anlamak için Kerberos loglarını ve Active Directory bilgilerini daha fazla analiz etmelidir.