Kerberoasting Nedir?
Nisan 9, 2026
Uncategorized
Giriş
Kurumsal ağ yapılarının kalbi olan Active Directory (AD) ekosistemi, binlerce kullanıcı ve servisin birbirleriyle güvenli bir şekilde iletişim kurmasını sağlamak için Kerberos protokolünü temel alır. Ancak, tasarım gereği sunulan bu esneklik, siber saldırganlar için en sofistike ve tespiti zor saldırı vektörlerinden biri olan Kerberoasting‘e zemin hazırlamaktadır.
Kerberoasting, ağdaki standart bir kullanıcının, servis hesaplarına (SQL, IIS, SharePoint vb.) ait biletleri talep ederek bu biletlerin şifrelenmiş içeriklerini çevrimdışı (offline) ortamda kırma işlemidir. 2026 yılı siber tehdit ortamında, fidye yazılımı (Ransomware) saldırılarının ve gelişmiş kalıcı tehditlerin (APT) yatayda hareket (Lateral Movement) aşamasındaki en stratejik adımı Kerberoasting’dir.
Konunun Temel Açıklaması
Kerberoasting, bir güvenlik açığından (vulnerability) ziyade, Kerberos protokolünün çalışma prensibindeki yapısal bir özelliğin suistimal edilmesidir. Saldırının temelinde, Active Directory içerisindeki her servis hesabının (Service Principal Name – SPN) parolasının, o servis için üretilen biletleri (TGS) şifrelemek için kullanılması yatar.
Bir saldırgan, ağda hiçbir özel yetkiye (Admin vb.) sahip olmasa bile, herhangi bir servis için meşru bir bilet talebinde bulunabilir. Domain Controller (KDC), bu isteği reddetmez ve servisin parolasıyla şifrelenmiş bileti kullanıcıya iletir. Bu noktadan sonra saldırgan, sistemle olan bağlantısını keser ve ele geçirdiği bu şifreli veriyi kendi kontrolündeki güçlü donanımlarda kırmaya başlar.
Kerberoasting Saldırısının Teknik Anatomisi
Bir Kerberoasting operasyonu, sistematik bir metodoloji izleyen dört ana teknik aşamadan oluşur:
1. Servis Hesaplarının Tespiti (Enumeration)
Saldırgan, iç ağa sızdığı ilk anda “kimleri avlayabileceğini” belirlemek için ağdaki SPN kayıtlarını tarar.
Teknik Detay: setspn -Q */* gibi standart Windows komutları veya PowerView gibi otomatize betikler kullanılarak; SQL, Exchange, IIS ve diğer kritik servisleri çalıştıran hesaplar listelenir. Bu aşama tamamen meşru bir sorgulama olduğu için ağ trafik izleme araçları tarafından genellikle bir tehdit olarak algılanmaz.
2. Bilet Talebi (Requesting TGS)
Saldırgan, tespit ettiği servis hesapları için Domain Controller’dan bir servis bileti (TGS) talep eder.
Protokol İşleyişi: Kerberos protokolü gereği, bir kullanıcı bir servise erişmek istediğinde önce KDC’ye gider. KDC, kullanıcının kimliğini doğrular ve servisin hash bilgisiyle şifrelenmiş bileti kullanıcıya teslim eder. Saldırganın gerçekten o servise erişme niyeti yoktur, sadece servisin parolasını içeren şifreli paketi almayı hedefler.
3. Biletlerin Hafızadan Çıkarılması (Extraction)
İstenen biletler, kullanıcının bilgisayarındaki bellek (LSA süreci) üzerinde saklanır. Saldırgan, bu biletleri disk üzerine bir dosya olarak dışarı çıkarır (dumping).
Araç Kullanımı: Mimikatz veya Rubeus gibi araçlar, bellekteki biletleri .kirbi veya hashcat formatında dışarı aktarmak için kullanılır.
4. Çevrimdışı Parola Kırma (Cracking)
İstismarın son aşaması olan “Roasting” (Kızartma), tamamen saldırganın kendi bilgisayarında gerçekleşir.
Yöntem: Saldırgan, ele geçirdiği hash dosyasını Hashcat veya John the Ripper gibi araçlara yükler. Sözlük saldırıları veya kaba kuvvet yöntemleriyle, servisin orijinal parolasını bulana kadar denemeler yapar. Parola kırıldığında, saldırgan artık o servisin tüm yetkilerine sahip olur.
Neden Bu Kadar Tehlikelidir?
Kerberoasting, siber güvenlik ekipleri için gerçek bir kabustur çünkü:
Düşük Giriş Bariyeri: Ağdaki en yetkisiz stajyer hesabı bile bu saldırıyı başlatabilir.
Tespiti Zor: Bilet istemek Windows dünyasında saniyede binlerce kez yapılan meşru bir işlemdir.
Hız ve Etki: Bir servis hesabı ele geçirildiğinde, saldırgan genellikle veritabanlarında “DB Admin” veya sunucularda “Local Admin” yetkisi kazanır.
Riskler ve Kurumsal Etkileri
Yatayda Hareket: Ele geçirilen servis parolasıyla, saldırgan ağ içinde diğer sunuculara sıçrar.
Veri Sızıntısı: Finansal kayıtlar ve stratejik planlar gibi hassas veriler saniyeler içinde sızdırılabilir.
Domain Admin Yolu: Eğer bir servis hesabı yanlışlıkla yüksek yetkili bir gruba üye yapılmışsa, sonuç tam sistem kontrolüdür.
Önleme ve Güvenlik Önlemleri (Sertleştirme)
Kerberoasting’e karşı savunma hattı, “Sürekli İzleme” ve “Güçlü Yapılandırma” üzerine kurulmalıdır:
Karmaşık Parola Politikası: Servis hesaplarının parolaları en az 25-30 karakterli ve rastgele olmalıdır.
gMSA (Group Managed Service Accounts): Microsoft tarafından sunulan bu özellik, parolaların 120 karakter olmasını ve otomatik yönetilmesini sağlar. En kesin çözümdür.
Honey-Tokens: Ağda hiçbir işlevi olmayan sahte servis hesapları (honey-spn) oluşturulmalıdır. Buradan bilet talep edildiği an SIEM üzerinden alarm üretilebilir.
En Az Yetki İlkesi: Servis hesapları asla “Domain Admins” grubuna dahil edilmemeli ve sadece çalışması gereken sunucuda yetkilendirilmelidir.
Sonuç
Kerberoasting, Active Directory güvenliğinin ne kadar hassas bir dengede durduğunu gösteren en çarpıcı örnektir. 2026’nın sofistike siber saldırı ekosisteminde, sadece dış duvarları korumak artık yeterli değildir. Siber dayanıklılık, saldırganın yollarını o daha yola çıkmadan kapatan bir mimari disiplindir.
Tags :
#ActiveDirectory,#Kerberoasting,#Kerberos
Share This :