Active Directory ve İç Ağ Sızma Testi: Kerberoasting'den Domain Admin'e Saldırı Yolları ve Savunma

Hızlı Cevap: İç ağ sızma testi, bir saldırganın kurum ağında zaten bir tutamak (örneğin oltalamayla ele geçirilmiş tek bir çalışan bilgisayarı) elde ettiği varsayımıyla, oradan en yüksek yetkiye, yani Active Directory Domain Admin'e ulaşıp ulaşamayacağını ölçer. Tipik saldırı zinciri şudur: ağ dinleme ve LLMNR/NBT-NS zehirleme ile ilk kimlik bilgisi yakalama, BloodHound ile saldırı yolu haritalama, Kerberoasting ve AS-REP Roasting ile servis hesabı parolası kırma, Active Directory Sertifika Hizmetleri (ADCS) yanlış yapılandırmaları, kısıtsız ve kısıtlı delegasyon suistimali, ACL ve GPO kötüye kullanımı, Pass-the-Hash ile yanal hareket ve sonunda DCSync ya da Golden Ticket ile alan adı tam ele geçirme. Mandiant'a göre olay müdahale vakalarının büyük çoğunluğu bir biçimde Active Directory'yi içerir. Savunma; katmanlı yönetici modeli, Protected Users, LAPS, NTLM kısıtlama, ADCS sertleştirme ve sürekli saldırı yolu denetimiyle kurulur.

Bir kurumun çevresel güvenliği (güvenlik duvarı, WAF, e-posta filtresi) ne kadar iyi olursa olsun, saldırganlar bir kez içeri girdiğinde asıl oyun Active Directory üzerinde oynanır. Active Directory, neredeyse her kurumsal ağda kimlerin hangi kaynağa erişebileceğini yöneten merkezi kimlik altyapısıdır; bu yüzden hem savunmanın hem saldırının ağırlık merkezidir. Mandiant'ın yıllık M-Trends raporlarında, soruşturulan olayların ezici çoğunluğunun bir aşamasında Active Directory'nin (ilk erişim, kalıcılık ya da yetki yükseltme) yer aldığı bildirilir. İç ağ sızma testi tam da bu gerçeği sahnede canlandırır: ekibimiz, gerçek bir saldırganın yapacağını yetkili ve kontrollü biçimde yapar, alan adını ele geçirir, hangi yolla ele geçirdiğini kanıtlar ve o yolun nasıl kapatılacağını raporlar.

Bu yazı, dış pentest yerine içeriden, varsayılan ihlal (assumed breach) senaryosuyla yürüyen iç ağ testini ele alır. Genel süreç ve fiyatlandırma için sızma testi süreci ve ne zaman gerekli yazımıza, kapsam türleri için black box, white box, grey box rehberine, hizmetlerin birbirinden farkı için ise red team, sızma testi ve purple team farkı yazımıza bakabilirsiniz.

İç ağ sızma testi nedir, dış testten farkı ne

Dış sızma testi internetten görünen yüzeyi (web siteleri, VPN, e-posta, açık portlar) hedef alır. İç ağ sızma testi ise saldırganın çevreyi zaten aştığını varsayar ve ağın içine yerleştirilen bir cihazdan ya da verilen düşük yetkili bir kullanıcıdan başlar. Bunun nedeni gerçekçiliktir: modern ihlallerin çoğu oltalama, çalınan parola ya da tedarikçi yoluyla başlar; asıl hasar saldırganın içeride yanal hareket edip yetki yükseltmesiyle oluşur. İç test, "biri içeri girdiğinde ne kadar ilerleyebilir, biz fark eder miyiz" sorusunu yanıtlar.

İç testte iki başlangıç modeli vardır. Birincisi tamamen kimliksiz başlangıç: ekip ağa takılır, hiçbir hesap verilmeden ağ dinleme ve zehirleme ile ilk kimlik bilgisini kendisi elde eder. İkincisi varsayılan ihlal: standart bir çalışan hesabı verilir ve "bu hesabı ele geçiren bir saldırgan nereye kadar gider" ölçülür. İkinci model zaman ve bütçeyi saldırının asıl değer yarattığı yetki yükseltme aşamasına odakladığı için giderek standart hale gelmiştir. Modern bir saldırgan, çevreyi kırmak için günler harcamak yerine, bir kullanıcının oltalamayla düştüğünü varsayıp doğrudan yanal harekete geçer; iç test bu gerçeği yansıtır.

Active Directory'yi bu kadar kritik yapan, yapısının doğasıdır. Tek bir orman içinde binlerce kullanıcı, bilgisayar, grup ve hizmet, karmaşık bir izin ve güven ağıyla birbirine bağlıdır. Bu ağda yöneticiler genellikle güvenlikten çok işlevselliği önceler: eski uyumluluk için NTLM açık bırakılır, servis hesaplarına gereğinden fazla yetki verilir, sertifika şablonları gevşek yapılandırılır. Saldırgan için her biri bir tutamak, savunan için her biri kapatılması gereken bir yoldur.

Saldırı yolu: tek kullanıcıdan Domain Admin'e

1. İlk tutamak ve ağ dinleme

İç test çoğu zaman ağa takılan bir cihazla ya da verilen bir kullanıcıyla başlar. İlk hedef, ağda ne olduğunu anlamak ve ilk kimlik bilgisini elde etmektir. Windows ağlarında bir bilgisayar, bir isim DNS'te çözülemediğinde LLMNR, NBT-NS ve mDNS gibi yayın temelli protokollerle "bu ismi kim biliyor" diye ağa sorar. Saldırgan bu sorulara sahte yanıt vererek kurbanın kimlik doğrulama trafiğini kendine çeker ve NTLM kimlik bilgisini (challenge/response) yakalar. MITRE ATT&CK bu tekniği T1557.001 (LLMNR/NBT-NS Poisoning and SMB Relay) olarak tanımlar. Pratikte Responder aracıyla ağ dinlenir; yakalanan NetNTLMv2 hash'leri ya çevrimdışı kırılır ya da SMB imzalaması kapalı sistemlere doğrudan relay edilir. SMB imzalaması kapalı bir sunucuya yapılan relay, parolayı hiç kırmadan o sunucuda komut çalıştırma anlamına gelebilir. Bu, birçok iç testte ilk ayağın yere bastığı yerdir.

2. BloodHound ile saldırı yolu haritalama

Bir kez geçerli bir kullanıcıya sahip olunduğunda, sıradaki soru "buradan Domain Admin'e giden en kısa yol nedir" olur. SpecterOps'un geliştirdiği BloodHound, Active Directory ve Entra ID'deki ilişkileri (kim hangi gruba üye, kim hangi makinede oturum açmış, kim kime yetki devretmiş, kim hangi nesne üzerinde yazma hakkına sahip) bir graf olarak modeller ve düşük yetkili bir tutamaktan yüksek değerli hedeflere giden saldırı yollarını görselleştirir. Saldırgan için BloodHound, ağda günlerce el yordamıyla aranacak yetki yükseltme zincirini saniyeler içinde ortaya çıkarır; savunan için ise bu yolları önceden kapatmanın haritasıdır. SpecterOps ücretsiz bir Community Edition ve ticari BloodHound Enterprise sunar; ikincisi savunan ekiplerin saldırı yollarını sürekli izlemesini sağlar.

3. Kerberoasting

Active Directory'de servisler (SQL Server, web uygulamaları, yedekleme ajanları) çoğu zaman bir servis hesabıyla çalışır ve bu hesaplara bir SPN (Service Principal Name) atanır. MITRE ATT&CK'in T1558.003 (Kerberoasting) olarak tanımladığı teknikte saldırgan, SPN'li hesaplar için Kerberos servis biletleri (TGS) talep eder ve bu biletleri çevrimdışı kırarak servis hesabının açık metin parolasını ele geçirir. Servis hesapları sık sık yüksek yetkili (hatta Domain Admin üyesi) ve yıllardır değişmemiş zayıf parolalı olduğundan, Kerberoasting iç testlerin en verimli yetki yükseltme yollarından biridir. Üstelik herhangi bir kimlik doğrulamalı kullanıcı bu bileti talep edebildiği ve kırma işlemi çevrimdışı olduğu için tespit edilmesi zordur. Savunma, servis hesaplarına 25 karakter ve üzeri rastgele parolalar (ya da grup yönetimli servis hesapları, gMSA) vermekten geçer.

4. AS-REP Roasting

Bazı hesaplarda Kerberos ön kimlik doğrulaması (pre-authentication) kapalıdır. MITRE ATT&CK T1558.004 (AS-REP Roasting) bu zaafı tanımlar: saldırgan, ön doğrulaması kapalı hesaplar için şifreli AS-REP materyalini ister ve çevrimdışı kırar. Kerberoasting'den farkı, hedef hesabın parolasını bilmeye gerek olmamasıdır; yalnızca hesabın varlığı ve ön doğrulamanın kapalı olması yeterlidir. Eski uygulamalar için ön doğrulamanın kapatıldığı hesaplar, çoğu kurumda gözden kaçan bir risktir.

5. ADCS: Active Directory Sertifika Hizmetleri saldırıları

Son yılların en verimli yeni saldırı yüzeyi, Active Directory Sertifika Hizmetleri'dir (ADCS). Yanlış yapılandırılmış sertifika şablonları, düşük yetkili bir kullanıcının kendisi için yüksek yetkili bir kullanıcı (örneğin Domain Admin) adına sertifika talep etmesine ve bu sertifikayla o kullanıcı olarak kimlik doğrulamasına izin verebilir. Bu zafiyet aileleri ESC1'den ESC8'e kadar numaralandırılır; örneğin bir şablonun istemcinin konu adını belirlemesine izin vermesi (ESC1) ya da web kayıt uç noktasının NTLM relay'e açık olması (ESC8). ADCS saldırıları, parola kırmaya hiç gerek kalmadan doğrudan alan adı ele geçirmeye götürebildiği için iç testlerin vazgeçilmez bir kontrol kalemidir. Savunma, sertifika şablonlarının kayıt izinlerini ve bayraklarını sıkılaştırmak ve web kayıt uçlarını korumaktan geçer.

6. Delegasyon, ACL ve GPO suistimali

Active Directory'nin esnekliği, suistimal edilebilir birçok yetki devri mekanizması sunar. Kısıtsız delegasyon (unconstrained delegation) yapılandırılmış bir sunucu ele geçirilirse, o sunucuya kimlik doğrulayan her kullanıcının bileti çalınabilir, ki bu bir domain controller'ı çekmek için zorlanabilir. Kısıtlı delegasyon ve kaynak temelli kısıtlı delegasyon (RBCD), yanlış yapılandırıldığında saldırganın başka bir kullanıcıya bürünmesine izin verir. Bunların ötesinde, nesneler üzerindeki aşırı geniş erişim kontrol listeleri (ACL) bir saldırganın bir kullanıcının parolasını sıfırlamasına, bir gruba kendini eklemesine ya da bir GPO'yu (Grup İlkesi Nesnesi) değiştirerek geniş bir makine kümesinde kod çalıştırmasına olanak verir. BloodHound bu zincirleri tam da bu yüzden görselleştirir.

7. Pass-the-Hash ile yanal hareket

NTLM kimlik doğrulamasında parolanın kendisi değil, hash'i kullanılır. MITRE ATT&CK T1550.002 (Pass the Hash) tekniğinde saldırgan, bir makineden çaldığı NTLM hash'ini parolayı hiç kırmadan başka makinelerde kimlik doğrulamak için kullanır ve ağda yanal hareket eder. Bir makinede yerel yönetici parolası tüm makinelerde aynıysa, tek bir hash tüm ağı açar; bu yüzden yerel yönetici parolalarının makineye özel ve döngüsel olması kritiktir. Yanal hareket, saldırganın bir makineden diğerine atlayarak yüksek değerli hedeflere yaklaştığı aşamadır ve genellikle tespit için en çok fırsat sunan andır.

8. DCSync ve Golden Ticket: alan adı tam ele geçirme

Zincirin sonu alan adının tam kontrolüdür. MITRE ATT&CK T1003.006 (DCSync) tekniğinde saldırgan, replikasyon yetkisini kötüye kullanıp bir domain controller'ı taklit ederek Active Directory'den parola hash'lerini, geçmiş hash'ler dahil, çeker. En kritik hedef KRBTGT hesabının hash'idir: bu hash ele geçirilirse, MITRE ATT&CK T1558.001 (Golden Ticket) ile saldırgan, alan adındaki herhangi bir hesap için geçerli Kerberos bileti üretebilir, yani istediği kimliğe bürünüp kalıcı olur. Bu noktada alan adı tamamen ele geçirilmiştir ve temizlenmesi çoğu zaman KRBTGT parolasının kısa aralıklarla iki kez sıfırlanmasını gerektirir; tek sıfırlama yeterli olmaz çünkü geçerli biletler bir süre çalışmaya devam eder.

Saldırı tekniği, MITRE ATT&CK ve savunma özeti

Aşama Teknik MITRE ATT&CK Birincil savunma
İlk kimlik bilgisi LLMNR/NBT-NS zehirleme T1557.001 LLMNR/NBT-NS kapatma, SMB imzalama
Yetki yükseltme Kerberoasting T1558.003 Uzun rastgele servis parolaları, gMSA
Yetki yükseltme AS-REP Roasting T1558.004 Ön doğrulamayı zorunlu kılma
Yanal hareket Pass-the-Hash T1550.002 LAPS, Protected Users, NTLM kısıtlama
Tam ele geçirme DCSync T1003.006 Replikasyon yetkilerini denetleme
Kalıcılık Golden Ticket T1558.001 KRBTGT korumasi, Tier 0 izolasyonu

Bulgular nasıl raporlanır

İç ağ sızma testinin değeri, listelenen tekniklerde değil, her bulgunun kanıtlanmış saldırı yolu olarak sunulmasındadır. DSET olarak her zinciri, ham kanıt (yakalanan hash, BloodHound yol grafiği, ele geçirilen bilet, talep edilen sahte sertifika) ve adım adım yeniden üretim ile raporlarız; yanlış pozitif sunmayız. Bu yaklaşımın neden önemli olduğunu doğrulanmış zafiyet ve yanlış pozitifsiz test yazımızda anlattık. Rapor iki katmanlıdır: yöneticiye iş riskini ve etkisini sade bir dille, teknik ekibe ise her bulgu için tam düzeltme adımlarını ve önceliklendirmeyi verir. Düzeltme sonrası yeniden test (retest) ile kapatma doğrulanır.

Savunma: saldırı yollarını kapatmak

  1. Katmanlı yönetici modeli. Microsoft'un kurumsal erişim modeli, ayrıcalıklı hesapları katmanlara (Tier 0 alan denetleyicileri ve kimlik altyapısı, Tier 1 sunucular, Tier 2 istemciler) ayırır; bir katmandaki kimlik bilgisinin diğerini ele geçirmesini engeller ve sıfır güven ilkesini (açık doğrulama, en az yetki, ihlali varsay) uygular. Tier 0 hesaplarının asla bir istemcide oturum açmaması, Golden Ticket'a giden yolu büyük ölçüde kapatır.
  2. Protected Users grubu. Bu gruptaki hesaplar yalnızca Kerberos AES kullanır; NTLM, kimlik devri ve önbellekli açık kimlik bilgisi kullanamaz, bu da Pass-the-Hash gibi kimlik bilgisi hırsızlığını sınırlar.
  3. Windows LAPS. Yerel yönetici parolalarını makineye özel üretir ve döngüsel olarak değiştirir; Microsoft bunu açıkça pass-the-hash ve yanal hareket koruması olarak tanımlar.
  4. LLMNR/NBT-NS kapatma ve SMB imzalama. Yayın temelli isim çözümlemesini kapatmak ve SMB imzalamayı zorunlu kılmak, zehirleme ve relay saldırılarını büyük ölçüde durdurur.
  5. NTLM kısıtlama ve güçlü servis hesabı parolaları. NTLM'i mümkün olduğunca kısıtlamak ve servis hesaplarına uzun, rastgele parolalar ya da grup yönetimli servis hesapları vermek, Kerberoasting ve relay verimini düşürür.
  6. ADCS sertleştirme. Sertifika şablonlarının kayıt izinlerini ve bayraklarını gözden geçirin, istemcinin konu adı belirlemesine izin veren şablonları kapatın ve web kayıt uçlarını NTLM relay'e karşı koruyun.
  7. Sürekli yol denetimi. BloodHound'u savunan tarafta düzenli çalıştırmak, yeni oluşan saldırı yollarını saldırgandan önce kapatır; bu, statik bir denetim değil sürekli bir disiplin olmalıdır.

DSET olarak nasıl çalışıyoruz

İç ağ testlerimizi yetkili ve kapsamı yazılı olarak belirlenmiş biçimde yürütürüz; yasal çerçeve için sızma testi sözleşmesi ve yasal yetkilendirme yazımıza bakın. Yerli otonom motorumuz KAOS bulguları hızlandırır, ama her kritik bulguyu insan uzman doğrular. Standart metodolojimizin temeli için PTES yedi aşamalı standart ve pentest standartları karşılaştırması yazılarımız yol göstericidir. Web ve API katmanını da sınamak için web uygulaması sızma testi ve API güvenliği sızma testi hizmetlerimize bakabilirsiniz.

Sıkça Sorulan Sorular

İç ağ sızma testi dış testin yerine geçer mi? Hayır, ikisi farklı yüzeyi ölçer. Dış test çevreyi, iç test çevre aşıldıktan sonraki yanal hareket ve yetki yükseltme riskini ölçer. Olgun bir program ikisini de içerir.

Test ağı bozar mı? Doğru kapsam ve Rules of Engagement ile risk yönetilir; yıkıcı teknikler (örneğin geniş çapta servis durdurma ya da KRBTGT sıfırlama) yazılı onay ve bakım penceresi olmadan uygulanmaz.

Domain Admin'i gerçekten ele geçirir misiniz? Hedef budur ve çoğu ilk testte ulaşılabilir; asıl değer, hangi yolla ulaşıldığını ve o yolun nasıl kapatılacağını kanıtlamaktır.

Ne sıklıkla yapılmalı? En az yılda bir ve Active Directory'de önemli bir değişiklik (yeni güven, yeni sertifika otoritesi, büyük göç) sonrası. Sürekli izleme için BloodHound Enterprise gibi araçlar kullanılabilir.

Saldırı tespit edilebilir mi? Evet; Kerberoasting bilet talepleri, DCSync replikasyon istekleri ve anormal sertifika talepleri uygun günlükleme ve izlemeyle tespit edilebilir. İç test, bu tespit yeteneğini de dolaylı olarak sınar.

Kaynaklar

İç ağınızda bir saldırganın Domain Admin'e ulaşıp ulaşamayacağını kanıtlamak için DSET ile iletişime geçin.