Hoşgeldin Sivil

.
Forum Yöneticisi: Administrator | Bu Bölümde Yetkili Tüm Yöneticiler? | Bu konuyu okuyanlar?

 Forum Ana Sayfa
   Networking

   
 Kurallar    Aktif Konular    PM    Kayıt Ol     Giriş Yap  
» Pass-The Ticked Saldırısı Nedir
 Konu Kalitesi %7.5
Oy Ver   
 
Gönderilme Tarihi: 31 Ocak 2022 11:12:33 - Kayıtlı IP
  Mesajı İhbar Et!     

STORİX
Oktay OLGUN

Binbaşı

31 Ocak 2022
53 Mesaj

Durum: Ya Hak.


Aktiflik
Seviye
Deneyim
Fahri Yönetici


PASS-THE-TİCKET SALDIRISI NEDİR ?

Pass-the-Ticket saldırıları, güvenliği ihlal edilmiş bir ortamdaki sistemlerde kimlik doğrulaması yapmak için bir Kerberos ticketın çalınmasını ve yeniden kullanılmasını içeren bir saldırı türüdür. Pass-the-Ticket saldırılarında, saldırganlar bir bilgisayardan bir Kerberos ticketi çalar ve bunu güvenliği ihlal edilmiş bir ortamda başka bir bilgisayara erişmek için yeniden kullanır.

Bu saldırıda saldırgan genellikle kimlik avı yoluyla veya geçerli kullanıcı kimlik bilgilerini elde etmek için sosyal mühendislik kullanarak bir sisteme sızmaya çalışır. Saldırgan bir sisteme girdikten sonra, diğer Active Directory oturumlarında depolanan destek taleplerine erişmek için ayrıcalıkları yükseltmeye çalışır. Mimikatz veya Rubeus gibi programlar, TGT ‘yi depolandığı Local Security Authority Subsystem Service (LSASS) işleminden çıkarmak için güvenliği ihlal edilmiş bir Windows makinesine yüklenebilir.


Bir sistemde, her biri kendi oturumuna sahip birden fazla hesap oturum açabilir. Ayrıca, diğer oturumların herhangi bir veriye erişmesini önlemek için oturumlar Active Directory içinde yalıtılır. Bir saldırgan yönetici veya sistem ayrıcalıklarına yükselebilirse, diğer oturumlara erişebilir ve diğer kullanıcılardan geçerli ticketlar alarak ağ kaynaklarına erişimlerini büyütebilir.

Saldırganın o bilgisayarda yönetici ayrıcalıkları varsa ve bu kullanıcının geçerli ticket erişimi varsa, bir ortamda yanlamasına hareket ederken bu ticketları geçirebilir ve dosya paylaşımları veya Exchange veya SharePoint gibi platformlar gibi hizmetlere erişim elde edebilir. Bu aktivite, ticket geçerli olduğu sürece sürebilir.

Pass-the-Ticket Saldırılarına Yanıt Verme
Pass-the-Ticket saldırılarını tespit etmek ve azaltmak zordur. Active Directory tarafından kullanılan temel ticketing protokolü olan Kerberos, durum bilgisi olmayan işlemlerin bir kimlik doğrulama oturumu boyunca veya sonrasında tutulmadığı bir protokoldür. Bu, Kerberos’u (ve uzantısı olan Active Directory’yi) Pass-the-Ticket saldırılarına ve ayrıca etki alanı veya hizmet hakları vermek için sahte ticketlar kullanan potansiyel olarak yıkıcı Gold Ticket ve Silver Ticket saldırılarına karşı savunmasız hale getirir. Kerberos’un durum bilgisi olmayan tasarımı ayrıca çalınan kimlik bilgilerinin yeniden kullanımını bir güvenlik ve gizlilik sorunu haline getirir. Bir Kerberos sorumlusu tarafından sunulan her ticketin meşru bir anahtar dağıtım merkezi tarafından düzenlendiğinden emin olmak için Kerberos protokolünün harici, durum bilgisi olan doğrulaması gerekir.

Pass-the-Ticket Saldırılarını Tespit Etme
Kuruluşlar, aynı Kerberos oturum ticketı iki veya daha fazla farklı bilgisayarda yeniden kullanıldığını algılayarak Pass-theTicket saldırılarını tespit edebilir. Kuruluşların şüpheli etkinlikle ilişkili uzaktan kimlik doğrulama gibi tutarsızlıkları tespit etmesi için Kerberos kimlik doğrulamasını ve kimlik bilgisi olaylarını denetlemelidir. Bu tür olaylar Pass-the-Ticket saldırısının gerçekleştiğini gösterebilir. Kuruluşlar, aynı oturum için birden çok ticketın yerel olarak algılanmasını sağlamak için uç nokta algılama ve yanıt teknolojiside kullanabilir.

Pass-the-Ticket Saldırılarını Azaltma
Pass-the-Ticket saldırısı tespit edildiğinde, verilen yanıt sağlanan saldırının erişim düzeyine bağlıdır. TGT ‘nin veya serivce ticketın çalındığı güvenliği ihlal edilmiş hesap, güvenliği ihlal edilmiş sistem dışında sınırlı izne sahip veya hiç izne sahip olmayan düşük ayrıcalıklı bir hesapsa, hafifletme, kullanıcının Active Directory şifresini sıfırlamak kadar basit olabilir. Bu, çalınan TGT ‘yi veya service ticketları geçersiz kılar ve saldırganın çalınan parola karmasını kullanarak yeni biletler oluşturmasını engeller.

Ancak Pass-the-Ticket saldırısı ayrıcalıklı bir hesapla ilişkilendirilirse, hasarı kontrol altına almak oldukça zordur. Bu senaryolarda, kuruluşlar bir Gold Ticket veya Silver Ticket Kerberos sahteciliği saldırısına yeni bir imzalama anahtarı oluşturmak için KRBTGT hizmetini iki kez sıfırlayarak ve güvenliği ihlal edilen anahtarın silindiğinden emin olarak saldırıya cevap verilebilir.

Kuruluşlar, bir tehdit aktörünün Pass-the-Ticket yoluyla hangi ağ kaynaklarına eriştiğini ve hangi verilerin alınmış olabileceğini anlamak için Kerberos loglarını ve Active Directory bilgilerini daha fazla analiz etmelidir.


___________________________________________
“Bilgiyi veren yargıyı belirler.”
          
     
 
 
Gönderilme Tarihi: 31 Ocak 2022 14:22:52 - Kayıtlı IP
  Mesajı İhbar Et!     

DeXPLaNeR

Co (Administrator)

CyberOttoman/Angara
18 Kasım 2021
419 Mesaj

Durum: OrtayaKarışık


Aktiflik
Seviye
Deneyim
(Co) Administrator

Görev Org./Grup :

Strateji


@STORİX; Abi konuları test olarak açıyoruz ana domaine geçene kadar.. Sonra sıfırlayacağız konuları ..


___________________________________________
* CA_ DeXPLaNeR _CW *
       
  C-WarZ , Errorle Mücadele (TIM LiDERi) , Yöneteam (TIM LiDERi) ,    
 
 
Gönderilme Tarihi: 31 Ocak 2022 14:24:31 - Kayıtlı IP
  Mesajı İhbar Et!     

STORİX
Oktay OLGUN

Binbaşı

31 Ocak 2022
53 Mesaj

Durum: Ya Hak.


Aktiflik
Seviye
Deneyim
Fahri Yönetici


bende test ettim iste :):):):) @DeXPLaNeR;



___________________________________________
“Bilgiyi veren yargıyı belirler.”
          
     
 
 
Gönderilme Tarihi: 31 Ocak 2022 14:27:15 - Kayıtlı IP
  Mesajı İhbar Et!     

DeXPLaNeR

Co (Administrator)

CyberOttoman/Angara
18 Kasım 2021
419 Mesaj

Durum: OrtayaKarışık


Aktiflik
Seviye
Deneyim
(Co) Administrator

Görev Org./Grup :

Strateji


Alıntı : Alıntı-1: Orjinal mesajı yazan @STORİX; 31 January 2022
bende test ettim iste :):):):) @DeXPLaNeR;





😅😂👍


___________________________________________
* CA_ DeXPLaNeR _CW *
       
  C-WarZ , Errorle Mücadele (TIM LiDERi) , Yöneteam (TIM LiDERi) ,    
 
 
Gönderilme Tarihi: 31 Ocak 2022 16:17:43 - Kayıtlı IP
  Mesajı İhbar Et!     

HAYALET

Albay

03 Ocak 2022
259 Mesaj

Durum: Beyaz Ve Sen


Aktiflik
Seviye
Deneyim
Moderatör

Görev Org./Grup :

Sosyal Medya


Lojistik


On numara abicim seni tekrar görmek çok hoş (:


___________________________________________
Oraleti sevmemiz portakala olan düşkünlüğümüzden değil biz ezilenin yanındayız.
       
     
 
 
Git:
  Arkadaşına yolla

Sayfa Yüklenme Süresi: 0.0515


 

İçerik Yöneticisi : AKTIF / Veriler Aktarıldı...
IP Adresiniz : 172.70.131.66 Güvenlik Nedeniyle Kayıt Altındadır.



Uzun yoldan geldik, uzun yola devam...

   


Reklam vermek için tıklayın

Forum Kuralları | Üye Olmak İçin | CyberAkademi | Operasyonel TİM'ler
CYBERAKADEMI ~ 2021