Altın Bilet Saldırıları Kerberos Tabanlı Kalıcılık Tehdidi ve Savunma Stratejileri
Microsoft Active Directory altyapılarında en tehlikeli kalıcılık yöntemlerinden biri olan Altın Bilet saldırıları, KRBTGT hesabının ele geçirilmesiyle saldırgana domain üzerinde sınırsız ve zamansız erişim sağlar. Bu teknik, kimlik doğrulama protokolünün temel tasarımını istismar ederek geleneksel güvenlik kontrollerini tamamen etkisiz kılar.
Nesil Teknoloji olarak TSE A Sınıfı Sızma Testi yetkinliğimizle kurumların Active Directory güvenlik duruşunu derinlemesine analiz ediyor, Altın Bilet ve benzeri kalıcılık tehditlerine karşı savunma mimarilerini güçlendiriyoruz. Bu makalede saldırının teknik anatomisini, tespit yöntemlerini ve uluslararası standartlara uygun savunma yaklaşımlarını adım adım inceleyeceğiz.
Altın Bilet saldırısı, saldırganın KRBTGT hesabının NTLM hash değerini ele geçirip kendi sahte TGT bileti oluşturmasıyla gerçekleşir. Bu bilet, domain controller tarafından meşru kabul edilir ve saldırgana domain admin yetkisiyle istediği kaynağa erişim imkanı tanır. Şifre değişiklikleri, MFA ve antivirüs çözümleri bu saldırıyı engelleyemez. Sadece KRBTGT hesabının çift aşamalı şifre rotasyonu ve katmanlı izleme stratejileri etkili savunma sunar.
1. Kerberos Nedir ve Altın Bilet Nasıl Ortaya Çıkar
Kerberos, Microsoft Active Directory ortamlarında kullandığımız bir kimlik doğrulama protokolüdür. Adını Yunan mitolojisindeki üç başlı bekçi köpekten alır çünkü ağın kapılarını korur. Bu protokolün çalışma mantığını anlamak için bir otel benzetmesi yapabiliriz. Otelin resepsiyonu size geçerli bir kart verir, bu kartla otelin herhangi bir odasına giriş yapabilirsiniz. Resepsiyon sizin kimliğinizi bir kez kontrol eder ve ardından size anahtar görevi görecek bir kart verir. Kerberos da benzer şekilde çalışır. Kullanıcı ağa ilk giriş yaptığında, domain controller üzerindeki Kimlik Dağıtım Merkezi KDC ona bir bilet verir. Bu bilet, kullanıcının daha sonra ağdaki diğer kaynaklara erişmek için kullanacağı ana karttır. Bu ana bilete Ticket Granting Ticket TGT adı verilir. TGT, KRBTGT adı verilen özel bir hesabın şifreleme anahtarı ile şifrelenir.
KRBTGT hesabı, Active Directory’nin kalbidir. Tüm TGT’ler bu hesabın hash değeri ile imzalanır. Normal bir kullanıcı şifresini değiştirdiğinde yalnızca kendi hesabı etkilenir ancak KRBTGT hesabının hash değeri değişmediği sürece domaindeki tüm TGT’ler geçerliliğini korur. Saldırgan, KRBTGT hash değerini ele geçirdiğinde, kendi istediği bilgilerle bir TGT oluşturabilir. Bu sahte bilet, orijinal KDC tarafından oluşturulmuş gibi görünür çünkü doğru anahtarla şifrelenmiştir. Domain controller, bu bileti sorgulamaz ve saldırgana sınırsız erişim izni verir. İşte bu nedenle saldırıya Altın Bilet adı verilmiştir. Altın bilet, sahibine tüm fabrikada sınırsız dolaşım hakkı verir tıpkı bu saldırının domain üzerinde sağladığı yetki gibi.
2. Altın Bilet Saldırısının Teknik İşleyişi ve Aşamaları
Altın Bilet saldırısı üç ana aşamadan oluşur. İlk aşama KRBTGT hash değerinin ele geçirilmesidir. Bu genellikle saldırganın önceden domain admin yetkilerine sahip olmasını gerektirir. Yani saldırgan zaten sistemi yeterince ele geçirmiştir ve kalıcılık sağlamak için bu tekniğe başvurur. Hash’i elde etmenin birkaç yolu vardır. DCSync yöntemi, saldırganın bir domain controller gibi davranarak diğer domain controller’dan tüm kullanıcı hash’lerini çekmesidir. LSASS belleğinin dökümü alınarak bellek içindeki KRBTGT hash’i okunabilir. Bir diğer yol ise NTDS.dit dosyasını kopyalamak ve offline olarak hash’leri çıkarmaktır. Bu dosya, domain controller üzerinde tüm kullanıcı parola hash’lerini barındırır.
İkinci aşamada saldırgan ele geçirdiği hash ile bir TGT oluşturur. Bu işlem için Mimikatz, Rubeus veya Impacket gibi araçlar kullanılır. Saldırgan, oluşturacağı bilete istediği her bilgiyi ekleyebilir. Örneğin taklit edeceği kullanıcı adını Domain Administrator olarak belirleyebilir, grup üyeliklerine Enterprise Admins ve Domain Admins ekleyebilir. Biletin geçerlilik süresini 10 yıl olarak ayarlayabilir. Kullanılacak şifreleme türünü seçebilir. Çoğu araç varsayılan olarak RC4 şifrelemesi kullanır ancak güncel sistemlerde AES şifreleme beklenir. Bu fark, tespit için önemli bir ipucudur. Üçüncü aşama ise oluşturulan bileti saldırganın kendi oturumuna yüklemektir. Mimikatz’ta kerberos::ptt komutu ile bilet belleğe enjekte edilir. Artık saldırgan, normal bir kullanıcı gibi ağdaki tüm kaynaklara erişebilir. Şifreler değişse, hesap kilitlense bile bu bilet geçerliliğini korur çünkü doğrulama yalnızca KRBTGT hash’ine dayanır.
3. Altın Bilet ve Gümüş Bilet Karşılaştırması Teknik Farklar ve Tespit
Altın Bilet saldırısı sıklıkla Gümüş Bilet Silver Ticket ile karıştırılır. Her iki teknik de Kerberos biletlerini taklit eder ancak amaçları ve etkileri farklıdır. Gümüş Bilet, belirli bir servise özel bir servis bileti oluşturarak yalnızca o servise erişim sağlar. Altın Bilet ise TGT oluşturarak tüm domaine erişim sağlar. Aşağıdaki tablo iki tekniği karşılaştırmaktadır.
| Özellik | Altın Bilet Golden Ticket | Gümüş Bilet Silver Ticket |
|---|---|---|
| Hedef Bilet Tipi | TGT Ticket Granting Ticket | TGS Service Ticket |
| Gereksinim | KRBTGT hesap hash’i | Hedef servis hesabı hash’i örneğin SQL Server veya dosya sunucusu |
| Erişim Kapsamı | Domain geneli sınırsız yönetici yetkisi | Sadece belirli bir servise özel erişim |
| KDC ile İletişim | Evet, TGT KDC tarafından doğrulanır | Hayır, servis bileti doğrudan ilgili servise sunulur |
| Tespit Edilebilirlik | Orta-Yüksek KDC günlüklerinde RC4 kullanımı veya anormal süreler | Düşük, çünkü KDC ile temas olmaz |
| Kalıcılık Süresi | KRBTGT şifresi değişene kadar yıllar | Servis hesabı şifresi değişene kadar genellikle 30-90 gün |
Tespit için olay günlükleri analizi kritiktir. Windows Security Event Log’da 4768 olayı TGT talebini, 4769 olayı servis bileti talebini gösterir. Altın Bilet kullanıldığında genellikle RC4 şifreleme türü gözlenir. Eğer ortam AES şifreleme kullanıyor ise RC4 kullanan talepler hemen dikkat çeker. Ayrıca biletin geçerlilik süresi de anormal olabilir. Örneğin 10 yıl geçerli bir bilet, olay günlüklerinde görünür. Davranışsal analiz platformları, bir kullanıcının daha önce hiç erişmediği bir kaynağa aniden erişmesi veya normal çalışma saatleri dışında hareket etmesi gibi anormallikleri yakalayabilir.
4. Savunma Derinliği Altın Bilete Karşı Alınması Gereken Önlemler
Altın Bilet saldırılarına karşı tam koruma sağlamak mümkün değildir çünkü Kerberos protokolünün temel işleyişine dayanır. Ancak savunma derinliği yaklaşımı ile risk önemli ölçüde azaltılabilir. Aşağıda bu yaklaşımın ana unsurlarını detaylandırıyoruz.
KRBTGT Şifre Rotasyonu
En önemli adım KRBTGT hesabının düzenli ve çift aşamalı şifre rotasyonudur. Microsoft’un önerisi, KRBTGT şifresini her 6 ayda bir değiştirmek ve değişimi art arda iki kez uygulamaktır. Tek bir değişim yetersizdir çünkü domain controller’lar eski hash’i de geçerli kabul etmeye devam eder. Çift rotasyon işlemi şu şekilde yapılır. İlk değişim gerçekleştirilir, replikasyon için en az 2 saat beklenir, ardından ikinci değişim yapılır. Bu sayede eski hash tamamen geçersiz hale gelir ve daha önce oluşturulmuş tüm Altın Biletler işlevsiz kalır.
Ayrıcalıklı Erişim Yönetimi
İkinci katman ayrıcalıklı erişim yönetimidir. Domain Admin hesaplarını en aza indiriyoruz ve bu hesapları yalnızca domain controller’lara giriş için kullanıyoruz. Katmanlı yönetim modeli Tier 0 domain controller’lar, Tier 1 sunucular, Tier 2 kullanıcı iş istasyonları uygulanmalıdır. Kimlik bilgisi koruma mekanizmaları olan Credential Guard ve LSA Protection tüm Windows sistemlerinde etkinleştirilmelidir. Credential Guard, LSASS belleğini sanal bir ortama taşıyarak hash’lerin dökümünü engeller. LSA Protection ise LSASS sürecini korumalı süreç olarak çalıştırır.
İzleme ve Olay Yanıtı
Üçüncü katman izleme ve olay yanıtıdır. Merkezi SIEM çözümlerinde Kerberos olaylarını topluyor ve RC4 şifreleme kullanan 4769 olayları için alarm kuruyoruz. EDR çözümleri, Mimikatz gibi araçların bellek içi çalıştırılmasını tespit edebilir. Düzenli tehdit avcılığı ile anormal TGT taleplerini proaktif olarak araştırıyoruz. NIST SP 800-53, ISO 27001 A.9.2.6 ve KVKK’nın teknik idari tedbirler başlığı altında bu tür izleme ve yanıt mekanizmalarını zorunlu tutar. Nesil Teknoloji, TSE A Sınıfı Sızma Testi yetkisi ile kurumların bu standartlara uygunluğunu denetlemekte ve eksiklikleri raporlamaktadır.
Ağ Segmentasyonu ve Yedekleme
Son olarak ağ segmentasyonu ve yedekleme stratejileri unutulmamalıdır. Domain controller’ları ayrı bir yönetim ağına alıyoruz ve bu ağa erişimi sıkı şekilde kontrol ediyoruz. Yedeklemeleri offline olarak saklıyoruz; böylece bir saldırı durumunda temiz sistemlerden geri dönüş mümkün olur. Bu önlemlerin tümü, saldırgan KRBTGT hash’ini ele geçirse dahi etkisini sınırlandırmayı ve tespit edilme olasılığını artırmayı hedefler.
5. Gerçek Dünya Vaka Analizi APT Gruplarının Altın Bilet Kullanımı
Altın Bilet saldırıları yalnızca teorik bir tehdit değil, aynı zamanda birçok ileri düzey kalıcı tehdit APT aktörü tarafından başarıyla kullanılmıştır. 2017 yılında gerçekleşen NotPetya fidye yazılımı saldırısı, Altın Bilet tekniklerinin yayılma aşamasında nasıl kullanıldığını göstermiştir. Saldırganlar önce bir domain controller’ı ele geçirip KRBTGT hash’ini almış, ardından oluşturdukları Altın Bilet ile ağdaki tüm sistemlere yanal hareket ederek yazılımı yaymışlardır. Kurumların şifre değiştirme politikaları bu saldırıyı durduramamış, sadece KRBTGT rotasyonu sonrası temizlik mümkün olabilmiştir.
Bir başka örnek, Rusya ile bağlantılı APT29 Cozy Bear grubunun 2020 yılında gerçekleştirdiği SolarWinds kampanyasıdır. APT29, kurum içinde elde ettiği yüksek yetkilerle KRBTGT hash’ini çıkarmış ve yıllarca sürecek Altın Biletler oluşturmuştur. Bu biletler sayesinde şifre sıfırlamaları ve izleme sistemlerinden bağımsız olarak hedef ağlarda kalıcılık sağlamışlardır. CISA tarafından yayınlanan raporlarda, bu tür saldırıların tespit edilmesinin ortalama 9 ay sürdüğü belirtilmiştir. Tespit genellikle KRBTGT şifresinin planlı rotasyonu sırasında veya anormal bilet sürelerinin fark edilmesiyle gerçekleşmektedir.
Bu vaka analizleri, Altın Bilet saldırılarının yalnızca teknik bir zafiyet değil, aynı zamanda süreçsel ve yönetişimsel bir zafiyet olduğunu ortaya koymaktadır. Kurumların düzenli penetrasyon testleriyle bu vektörleri simüle etmesi, olay müdahale planlarını güncel tutması ve KRBTGT rotasyonunu takvim bazlı bir prosedür haline getirmesi hayati önem taşır. Nesil Teknoloji, TSE A Sınıfı Sızma Testi kapsamında müşterilerine gerçekçi Altın Bilet senaryoları sunarak savunma mekanizmalarının etkinliğini ölçmektedir.
Sık Sorulan Sorular
Altın Bilet saldırısı tespit edilebilir mi
Evet, ancak geleneksel antivirüs çözümleriyle değil. Tespit için SIEM üzerinde Kerberos olay günlüklerinin analizi, RC4 şifreleme kullanımı, anormal bilet süreleri ve davranışsal anormalliklerin izlenmesi gerekir. EDR çözümleri de Mimikatz benzeri araçların bellek içi çalıştırılmasını tespit edebilir.
KRBTGT hesabının şifresi ne sıklıkla değiştirilmelidir
Microsoft ve NIST en iyi uygulama rehberine göre KRBTGT şifresi her 6 ayda bir değiştirilmeli ve değişim art arda iki kez yapılmalıdır. İlk değişimden sonra replikasyon tamamlanması için en az 2-4 saat beklenmeli, ardından ikinci değişim gerçekleştirilmelidir.
Altın Bilet saldırısı sırasında çok faktörlü kimlik doğrulama MFA korur mu
MFA, kullanıcı şifresinin ele geçirilmesini engellese de Altın Bilet saldırısı KRBTGT hash’ine dayandığı için MFA’yı bypass eder. Çünkü saldırgan doğrudan bir TGT oluşturur ve kimlik doğrulama sürecini atlar. MFA yalnızca ilk erişim aşamasında etkilidir.
Altın Bilet ile Gümüş Bilet arasındaki temel fark nedir
Altın Bilet KRBTGT hash’i ile oluşturulan bir TGT’dir ve domain genelinde sınırsız yetki sağlar. Gümüş Bilet ise belirli bir servis hesabının hash’i ile oluşturulan servis biletidir ve yalnızca o servise erişim verir. Gümüş Bilet KDC ile iletişim gerektirmediği için tespiti daha zordur.
Nesil Teknoloji Altın Bilet saldırılarına karşı hangi hizmetleri sunuyor
Nesil Teknoloji, TSE A Sınıfı Sızma Testi yetkisi kapsamında Active Directory güvenlik değerlendirmeleri, kırmızı takım simülasyonları, KRBTGT rotasyon danışmanlığı ve 7/24 siber tehdit izleme hizmetleri sunmaktadır. Uzman kadromuz ile kurumların bu tehdide karşı direncini artırıyoruz.
