AS-REP ROASTİNG SALDIRISI
AS-REP Roasting saldırısının ne olduğundan, saldırının nasıl yapıldığından ve tespitinden kısaca bahsedeceğim.
AS-REP NEDİR?
AS-REP, bir “Kimlik Doğrulama Hizmeti” cevabına başvuran bir Kerberos ileti türüdür. Herhangi bir hizmete erişmek için gereken kimlik bilgilerinin değişiminin bir parçası olarak kerberos sunucusu ile istemci arasında gerçekleşir. Bir AS-REP mesajı oluşturmak istersek, önce kerberos istemcisi yani KDC ile bir TGT sağlayarak diğer hizmetlerin kimlik bilgilerini elde etmek için gereken bir oturum anahtarı almak ister.Bilet sağlandıktan ve düzenlendikten sonra hizmet bileti talep edebilir. AS-REP mesajı, TGT’yi ve belirlenen hizmete erişim sağlamak için kullanılan bir oturum anahtarını içermektedir. Oturum anahtarı, istekte bulunan kullanıcının parolasıyla şifrelenir. AS-REP saldırıları, oturum anahtarını çıkarıp, istenen hesabın parolasını açığa çıkarmak için tasarlanmıştır.
AS-REP Roasting, Kerberos ile kimlik doğrulaması sırasında gerçekleşen ve kimlik doğrulaması yapılmayan kullanıcıları hedefleyen bir saldırıdır. AS-REP Roasting, saldırganın Kerberos ön kimlik doğrulamasını geciktirme seçeneğinin aktif olduğu tüm durumlarda kullanıcı hesaplarının parolalarının karmasını almasına olanak tanımaktadır.
AS-REP Roasting saldırıları, Mimikatz, Rubeus, PowerShell gibi çeşitli sömürme araçlarını kullanarak başlatabilir.Bu araçların daha detaylı incelenmesi için komut satırları incelenebilir.
AS-REP SALDIRISI
Manuel olarak yapılan bir AS-REP Roasting saldırısı aşağıdaki adımlardan oluşur:
o Kimliği doğrulanmış bir kullanıcı olarak bir etki alanına erişim elde edilir.
o Etki alanını taramak ve Kerberos ön kimlik doğrulaması gerektirme seçeneği etkinken kullanıcı hesaplarını belirlemek için bir LDAP filtresi veya PowerView’ın Get-DomainUser özelliği gibi araçlar kullanılır.
o Hedef hesabın tanımlanması gerekir.
o Belirlenen hedef hesap adına Key Distribution Center ile bir Kerberos Ticket Granting Ticket (TGT) istenir. KDC, ön kimlik doğrulaması gerektirmeyen,hesap parolasına gerek duyulmayan bir hesap için TGT ile yanıt verecektir.
o Wireshark gibi bir izleme aracı kullanarak, kullanıcının parola karmasını AS-REP paketinden çıkartırız.Paketin enc-part bölümünde bulunabilir.
o Bulduğumuz karmadan hesap parolası çıkarmak için HashCat veya John the Ripper gibi bir araç kullanılabilir.Kırılan şifreyi kullanarak kimlik doğrulama işlemi gerçekleştirilir.
AS-REP Roasting saldırıları, kimlik doğrulama oturumlarından elde edilen karma verilerin Hashcat veya Jack the Ripper gibi araçlar kullanılarak banttan kırıldığı güçlü “çevrimdışı” saldırılardır. AS-REP saldırılarının gerçekleştirilmesi için yükseltilmiş izinler gerekmez; kimliği doğrulanmış herhangi bir kullanıcı hesabı işlemleri kolaylaştıracaktır. AS-REP saldırıları zayıf parolalarla çalışır: kısa, düşük entropili ve daha eski bir karma algoritmaya sahip parolalar sayesinde oluşur.
AS-REP ROASTING SALDIRILARININ TESPİTİ VE AZALTILMASI
AS-REP Roasting saldırılarına karşı alınması gereken önlemlerden biri veya en aza indirgenmesi için yapılması gereken işlemlerden en önemlisi hizmet hesaplarının güçlü parola politikaları ile düzenlenmiş olması gerekir. Kuruluşların, sık sık değiştirilen, uzun, karmaşık parolaları (25 veya daha fazla karakter) hesaplar için zorunlu hale getirmelidir. Parolaların uzun ve karmaşık olması bu saldırıların en aza indirgenmesini sağlar. Örneğin 30 günlük aralıklarla sık parola değiştirme işlemi saldırganların uzun hash’leri kırmak için gereken zaman penceresini daraltmaktadır.
Ticket Encryption Type olarak Windows sitesinde belirtilen Encryption Type değerlerini görüyor olsam da AS-REP Roasting yaptığım kullanıcılarda sadece 0xFFFFFFFF değerini görülür. Yapılan tüm aktivitelerde Service_Name olarak loglar içerisinde krbtgt/WINDOMAIN.local değeri geçer. Normal olan hesaplar kontrol edildiğinde ise böyle bir değer değil direkt olarak krbtgt servisi geçmektedir.
AS-REP Roasting saldırılarının tespiti için yapılan işlemlerin günlüğe kaydedilmesi ve izlenmesi gerekir. Anormal hareketlerin fark edilmesi için Bu tür etkinliklerin fark edilmesini sağlamanın bir yolu, Active Directory aracılığıyla keşif yapan gelişmiş saldırganların dikkatini çekerek işlem yapmasını sağlamaktır.Ancak, burada güvenlik ihlal edildiğinde, oluşturulan hesapların oturum açmak veya bir hizmet bileti isteği oluşturmak için işlemlerde bulunuyorsa bir uyarı tetiklenir.
