Yazılım & İşletim Sistemiİleri

Active Directory İhlallerinde Parola Sıfırlamanın Yetersizliği ve Giderilmesi

Active Directory ihlallerinde parola sıfırlamak neden yeterli değildir? Önbelleğe alınmış kimlik bilgileri ve Kerberos biletlerinin saldırgan erişimini nasıl sürdürdüğünü öğrenin.

B
Bleeping Computer Tutorials
4 görüntülenme
Active Directory İhlallerinde Parola Sıfırlamanın Yetersizliği ve Giderilmesi

Sorun: Parola Sıfırlama Neden İhlali Sonlandırmaz?

Bir Active Directory (AD) ortamında ihlal tespit edildiğinde, ilk refleks genellikle etkilenen hesapların parolalarını sıfırlamaktır. Ancak, saldırganlar sisteme bir kez sızdığında, sadece parola değişikliği oturumlarını sonlandırmak için yeterli olmayabilir. Bunun temel nedeni, Windows kimlik doğrulama mekanizmalarının (Kerberos ve NTLM) çalışma prensibidir.

Teknik Arka Plan

Saldırganlar, ele geçirdikleri hesaplarla Kerberos Ticket Granting Tickets (TGT) veya Session Tokens elde edebilirler. Parola değiştirilse bile, halihazırda oluşturulmuş olan bu biletler, süreleri dolana kadar geçerliliğini korur. Ayrıca, saldırganlar "Pass-the-Hash" (PtH) veya "Pass-the-Ticket" (PtT) tekniklerini kullanarak, yeni parolaya ihtiyaç duymadan mevcut oturumları suistimal etmeye devam edebilirler.

Çözüm Adımları

Bir ihlal sonrası saldırganı ortamdan tamamen temizlemek için sadece parola sıfırlamak yetersizdir. Aşağıdaki adımları izleyerek temizlik sürecini tamamlayın:

  1. Tüm Aktif Oturumları Sonlandırın: Kullanıcının mevcut tüm oturumlarını zorla sonlandırın.
  2. Kerberos TGT Anahtarlarını Sıfırlayın: 'krbtgt' hesabının parolasını iki kez sıfırlayarak tüm mevcut biletleri geçersiz kılın.
  3. Önbelleğe Alınmış Kimlik Bilgilerini Temizleyin: Uç noktalardaki (endpoint) önbelleği temizlemek için ilgili komutları çalıştırın.
  4. Zararlı Kalıcılık Mekanizmalarını Kontrol Edin: Saldırganın oluşturduğu yeni arka kapıları veya servisleri denetleyin.

Gerekli Komutlar

Kerberos biletlerini temizlemek için uç noktada şu komutu kullanın:

klist purge

Oturumları sonlandırmak ve bağlantıları kesmek için PowerShell üzerinden şu komutu kullanabilirsiniz:

Get-ADUser -Identity [KullanıcıAdı] | Set-ADUser -Enabled $false
Uyarı: 'krbtgt' hesabının parolasını iki kez sıfırlamak kritiktir. İlk sıfırlama eski biletlerin bir süre daha çalışmasına izin verir, ikinci sıfırlama ise tüm eski biletleri tamamen geçersiz kılar.

Bu adımlar, saldırganın mevcut erişimini kesmek ve ortamı güvenli hale getirmek için zorunludur. Parola değişikliği tek başına bir güvenlik stratejisi değil, daha geniş bir olay müdahale planının sadece bir parçası olmalıdır.

İlgili Makaleler