Bu makale, kullanmakta olduğunuz sistemleri (Server/Client) güncel tutmanız ve security hardening yapmanız için yayınlanmıştır. Sistemleriniz de güvenlik açığı olduğu zaman aşağıdaki işlemler yapılabilmektedir.

Bu bilgileri yasa dışı bir faaliyet amacıyla kullanmayınız.

Domain Controller üzerinde yetkili erişim sağlandıktan sonra, gerçekleştirilen adımlardan birisi elde edilen yetkili erişimin sürekliliğini sağlayabilmektir. Varsayılan olarak bir kerberos ticket süresi 10 saattir. Golden Ticket işlemi ile etki alanındaki KRBTGT servis hesabının parola özeti ve etki alanındaki bir takım bazı bilgiler kullanılarak etki alanındaki en yetkili hesap (Domain Admins) haklarıyla bu süre 10 yıla çıkarılarak, sürekli erişim sağlanabilir.

KRBTGT: Domain Controller oluşturulduğunda KRBTGT adında bir kullanıcı oluşur. Golden Ticket için KRBTGT hesabının bilgileri gereklidir.

Kerberos: Domain Controller ortamında kimlik doğrulama Kerberos protokolü üzerine kurulmuştur. Kimlik denetim mekanizması Ticket denilen biletler üzerinden gerçekleştirilir. Kerberos’ta Ticket Granting Ticket (TGT) kavramı önemlidir. TGT bileti ilgili kullanıcıyı istemciye tanıtır. Varsayılan olarak bir TGT 10 saat için geçerlidir.

Bu makalede bu tür işlemlerin nasıl gerçekleştirileceğini göreceğimiz gibi, makalenin sonunda bu tür işlemlerden kendinizi korumanız için nasıl önlemler almanız gerektiğiyle ilgili bilgilerde yer almaktadır.

Bu işlemin nasıl gerçekleştirildiğini adım adım aşağıdaki şekilde görebilmekteyiz;

Kerberos bilgilerini elde etmek için aşağıdaki adımlar uygulanır.

Domain admin olan Burak account ile pass to ticket yapılır. (Daha önceki makalede nasıl PTT yapılacağı anlatılmıştır.) Bu işlemimizde de Mimikatz aracını kullanacağız.

Not: Ticket’larım C:\T1’de bulunmaktadır.

Klist ile Burak credentiallarını kontrol edilir.

Domain bilgilerini almak için

Mimikatz

Privilege::debug

Lsa::dump /inject /name:krbtgt

Golden Ticket üretme işlemine geçiyoruz.

Burak.kirbi dosyasına ulaşıyoruz.

Golden ticket kullanımına geçebiliriz.

10 saatlik kerberos ticket kullanım süresi 10 yıla çıkmaktadır.

Mimikatz’dan çıkıp aynı ps session da klist yaptığımda yine 10 yıllık ticket’ı görüyorum.

Bu tür zafiyetlerden korunmak için aşağıdaki çalışmalar önerilmektedir. Sayfamızdaki diğer makalelerden çalışmalarla ilgili detaylı bilgilere ulaşabilirsiniz.

1. PAW (High Secure Workstation) kullanınız.
2. Anti Virüs + EDR + Malware Detection kullanınız.
3. Aduit Log’ların doğru konfigüre edildiğinden ve aktif olduğundan emin olunuz.
4. Gerekli security hardening çalışmalarının yapıldığından ve yapınıza uygun olarak konfigüre edildiğinden emin olunuz.
5. ATA yada Azure ATP kullanınız.