Pass the Hash Atağı Nedir?
Günümüzde yaygın olarak güvenlik için parolalar kullanılmaktadır. Bu parolaları kırmak için Dictionary, Brute Force gibi saldırılar kullanılabilir ve parola açık bir şekilde bulunabilir. Fakat bir sistemi ele geçirmek için sadece parolaları düz metin haline getirmemiz gerekmeyebilir. Belirli fonksiyonlardan geçirilerek özeti alınmış parolalarla da sistemlerde yer edinebiliriz. Bu saldırılar Pass the hash olarak karşımıza çıkmaktadır. Pass the hash atağından ilk olarak 1997 yılında araştırmacı Paul Ashton tarafından söz edilmiştir. Amacı şifrelenmemiş parolalara erişemeseler bile parola özetlerini kullanarak saldırganın sisteme erişimini sağlamak, domain içerisine yayılmak ve sahip olunana hakları yükseltmektir.
Pass the Hash Atağı Nasıl Yapılır?
Windows sistemlerde kullanıcı doğrulama parolaları NT Hash algoritması kullanılarak özeti alınmış bir şekilde saklanmaktadır. Saldırgan, öncelikle sisteme yetkili erişim sağladıktan sonra bellekte tutulan LM ya da NTLM şifre özetini ele geçirmeyi amaçlamaktadır.
LM: Windows sistemlerde eskiden kullanılan ancak günümüzde aktif olarak kullanılmasa da eski sistemlerle ortaya çıkabilecek uyumsuzlukların önüne geçebilmek adına desteklenen parola özetidir.
NTLM: LM’ de bulunan zayıflıklar giderilmiş olup Windows sistemlerde kullanılan parola özetidir.
Şifre özetlerini elde etmek için farklı araçlar kullanılmaktadır. Örmek olarak mimikatz aracını verebiliriz. Ayrıntılı olarak daha önce Mimikatz Nedir? (https://www.infinitumit.com.tr/mimikatz-ssp-nedir-2/) isimli yazımızda bu araçtan bahsedilmişti. Saldırganlar bu parola özetlerini ele geçirdikleri zaman parola açık metin olarak ellerinde olmasa dahi sisteme erişim sağlayabilmekte ve daha sonrasında yetki yükseltmesi yapabilmektedir. Saldırganlar yeni bir kullanıcı oluşturmadan mevcut kullanıcı ile sistemde yer edinebilir.
Pass the Hash Atağına Karşı Önlemler
Pass The Hash atağından korunmak için önlemler alabiliriz. Bunların başında öncelikli olarak çalışanlara farkındalık eğitimi verilmesi gelmektedir.
- Kullanıcılara verilen yetkiler denetlenmeli ve düzenlenmelidir.
- LM ve NTLM yerine NTLMv2 veya Kerberos tercih edilmelidir.
- Yüksek yetkilere haklara sahip kullanıcılar ile son kullanıcı bilgisayarlarına bağlanılmamalıdır.
- Yapılan aktiviteler, log kayıtları izlenmelidir.
- Kritik sistemlerde kimlik doğrulama 2FA ile yapılmalıdır.
- Aktif olmayan kullanıcı hesapları kontrol edilmelidir.
Ayrıca bu saldırı türü sızma testlerinde de sıkça kullanılan bir yöntemdir. Infinitum IT Youtube kanalımızda bulunan Active Directory Ortamınız Güvende mi? (https://www.youtube.com/watch?v=TqxvgOunCyI&ab_channel=InfinitumLabs) isimli videomuzda bu atak türünden ve önlemlerinden ayrıntılı bir şekilde bahsedilmiştir.