CyberFlow Logo CyberFlow BLOG
Smb Pentest

Pass-the-Hash Analizi: Siber Güvenlikte Neden Önemlidir?

✍️ Ahmet BİRKAN 📂 Smb Pentest

Pass-the-Hash tekniği, siber güvenlikte kritik bir konudur. Bu yazıda, PtH saldırısının detaylarını ve savunma mekanizmalarını keşfedeceksiniz.

Pass-the-Hash Analizi: Siber Güvenlikte Neden Önemlidir?

Pass-the-Hash saldırıları, siber güvenlik açıklarına dönüşebilir. Bu blogda, PtH'nin ne olduğunu, NTLM hash yapısını ve etkili savunma yöntemlerini öğrenin.

Giriş ve Konumlandırma

Giriş

Siber güvenlik dünyasında, ağların güvenliğini ihlal etmek için sıklıkla kullanılan birçok teknik bulunmaktadır. Bunlardan biri de "Pass-the-Hash" (PtH) adıyla bilinen bir saldırı tekniğidir. Bu teknik, bir saldırganın, ele geçirdiği bir NTLM (NT LAN Manager) veya LM (LAN Manager) hash’ini kullanarak, sistemde parolanın düz metin haline ihtiyaç duymadan oturum açmasına olanak tanır. Temelde, bu yöntem parolaların yerine hash’lerin kullanılması durumununda, hash’lerin de kimlik doğrulamasında geçerli birer kimlik olarak kabul edilmesinden kaynaklanmaktadır.

Neden Önemlidir?

Pass-the-Hash saldırıları, modern ağ ortamlarında sıkça karşılaşılan bir tehlikedir. Kullanıcıların parolaları genellikle çeşitli güvenlik önlemleri ile korunmuş olsa da, bir sistem üzerine sızılması durumunda, bu savunmaların etkisi azalır. Özellikle, Windows işletim sistemlerinin kimlik doğrulama prosedürlerinde hash’lerin kaydedilmesi, saldırganlar için oldukça cazip bir hedef oluşturur. Saldırganlar, bu hash’leri ele geçirdikten sonra, hedef sistemlere yetkisiz erişim sağlamada kullanabilirler. Bunun sonucunda, ağ içinde hareket yetenekleri artar ve kritik verilere ulaşmaları kolaylaşır.

Siber Güvenlik Bağlamı

Pass-the-Hash saldırıları, genellikle bir pen-test (penetrasyon test) senaryosu çerçevesinde incelenmektedir. Bu tür testlerde, ağın güvenlik açıkları, yetkisiz erişim imkânları ve saldırı vektörleri tespit edilmeye çalışılır. Pen-test gerçekleştiren güvenlik uzmanları, bu tür saldırıları simüle ederek hedef sistemlerin olası açıklarını belirler ve mevcut güvenlik önlemlerinin yeterliliğini test ederler. Pass-the-Hash saldırılarının kullanımı, hedef sistemlere erişimde karşılaşılabilecek zayıf noktaların ve savunma mekanizmalarının anlaşılması açısından kritik öneme sahiptir.

PtH saldırılarının önlenmesi konusunda, birçok güvenlik önlemi ve teknik bulunmaktadır. Örneğin, Microsoft, geçerli kimlik doğrulama yöntemlerinin güvenliğini artırmak için, çeşitli koruma mekanizmaları geliştirmiştir. Bununla birlikte, bu saldırılar halen yaygın bir tehdit teşkil etmektedir.

Teknik Terimlere Hazırlık

Pass-the-Hash tekniğini anlamak için, belirli terimlerin ve bileşenlerin tanınması gerekmektedir. Bunlar arasında NTLM ve LM hash yapıları, LSASS (Local Security Authority Subsystem Service) gibi kritik süreçler, dumping (hash ele geçirme) teknikleri ve Impacket gibi araçlar yer almaktadır. Bu konteks içinde, siber güvenlik uzmanlarının ve kod yazarlarının, bu terimleri ve araçları etkili bir biçimde kullanabilmeleri gerekmektedir.

Aşağıda, PtH saldırısının uygulanmasında sıkça kullanılan bazı araçlar ve yöntemler hakkında bilgilendirme yapılacaktır:

# Mimikatz ile NTLM Hash Dökümü
sekurlsa::logonpasswords

Yukarıdaki komut, Mimikatz kullanarak bellekteki kimlik bilgilerini ele geçirmek için kullanılmaktadır. Genel olarak, Başarılı bir Pass-the-Hash saldırısı gerçekleştirmek için, ilk aşama doğru araçların ve tekniklerin seçilmesi ve uygulanmasıdır. Bu nedenle, güvenlik alanında çalışan profesyonellerin, Pass-the-Hash tekniğine dair derin bir anlayışa sahip olmaları önemlidir.

Sonuç olarak, Pass-the-Hash analizi, siber güvenlik alanında kritik bir kavramdır. Sadece saldırı detaylarının anlaşılması açısından değil, aynı zamanda savunma stratejilerinin oluşturulmasında da etkili bir rol oynamaktadır. Bu bağlamda, Pass-the-Hash saldırılarının incelenmesi ve anlaşılması, ağ güvenliğini artırmak için atılacak önemli bir adımdır.

Teknik Analiz ve Uygulama

Pass-the-Hash Tehditi

Siber güvenlik alanında "Pass-the-Hash" (PtH), saldırganların kullanıcı parolalarını düz metin olarak elde etmeden sistemlere yetki kazanmasını sağlayan ciddi bir tehdit oluşturur. Windows işletim sistemleri, parolaları düz metin değil, hash'ler olarak saklar. Saldırganlar, bu hash'leri ele geçirerek, hiç bir düz metin parolasına ihtiyaç duymadan sistemleri kullanabilirler. Bu bölümde, PtH saldırılarının derinlemesine teknik analizi yapılacaktır.

NTLM Hash Yapısı

Windows işletim sisteminde, parolalar NTLM (NT LAN Manager) algoritması kullanılarak hash'lenir. Bu hash'ler, orijinal paroladan farklı bir biçimde, güvenli bir şekilde saklanır. NTLM hash yapısının temel bileşenleri arasında:

  • LM Hash: Eski sistemlerde kullanılan ve zayıf bir güvenlik sunan hash yöntemi.
  • NTLM Hash: Daha modern Windows sistemlerinde kullanılan, MD4 algoritması tabanına dayanan daha güvenilir bir hash yöntemi.

Bu iki yapı arasındaki fark, NTLM'in daha karmaşık olup, daha güçlü bir güvenlik sunmasıdır.

Hash Ele Geçirme (Dumping)

Bir PtH saldırısının temel aşamalarından biri, hedef sistemden hash'leri almak veya "dump etmek"tir. Bu işlem genellikle aşağıdaki adımları içerir:

  1. Sistem Sürecinin Belirlenmesi: Windows'ta kimlik doğrulama politikalarını yöneten ve kullanıcıların oturum bilgilerinin saklandığı LSASS (Local Security Authority Subsystem Service) süreci genellikle ilk hedef olur.
  2. Dumping İşlemi: Mimikatz gibi araçlar kullanarak LSASS'tan hash'lerin ele geçirilmesi.

Örnek Mimikatz komutu ile bellekteki hash’leri dökme işlemi:

mimikatz # sekurlsa::logonpasswords

Bu komut, sistem üzerindeki tüm oturum bilgilerini görüntüler.

Impacket ile PtH Uygulaması

Impacket, siber güvenlik uzmanları için önemli bir araç setidir. Bu araçlar, Windows sistemler üzerinde PtH saldırıları gerçekleştirmek için sıkça kullanılır. Özellikle psexec.py aracı, bir NTLM hash kullanarak hedef sistemde komut çalıştırmanıza olanak tanır.

Aşağıda bir örnek ile nasıl kullanılacağı gösterilmektedir:

psexec.py admin@10.0.0.5 -hashes aad3b435b51404eeaad3b435b51404ee:b0f2c78d6a5e2e77d1a...

Yukarıdaki komut ile, belirtilen hash kullanılarak uzak bir sunucuya bağlanılır ve gerekli komutlar çalıştırılabilir.

Lateral Movement ve Yanal Hareket

PtH saldırılarının bir başka kritik aşaması "lateral movement" yani yanal hareket olarak adlandırılır. Bu, bir makineden diğerine geçerek ağ üzerinden ilerlemeyi ifade eder. Hash sızdırarak birden fazla sisteme erişim sağlamak için CrackMapExec (CME) aracı kullanılabilir.

CME ile hedef ağda hash kullanarak tarama yapmak için aşağıdaki komut kullanılabilir:

crackmapexec smb 10.0.0.0/24 -u admin -H NTLM_HASH

Bu komut, ağdaki tüm makineleri kontrol ederek belirli bir hash ile giriş yapılabilecek sistemleri sıralar.

Savunma Mekanizmaları

PtH saldırılarına karşı savunma mekanizmaları geliştirilmiştir. Microsoft, özellikle aşağıdaki yöntemleri önermektedir:

  • Local Administrator Password Solution (LAPS): Her makine için benzersiz bir yerel yönetici parolası ve hash üretir.
  • Protected Users grubu oluşturmak: NTLM kullanımını kısıtlayarak Kerberos'a geçiş yapar.
  • Restricted Admin Mode: RDP bağlantıları sırasında hash'lerin hedef sunucu belleğine gitmesini engeller.

Sonuç

Pass-the-Hash saldırıları, günümüz siber tehdit ortamında önemini korumaktadır. Bu tür analizler, güvenlik uzmanlarının bu tip saldırıları önlemek için daha etkili önlemler geliştirmesine yardımcı olur. Organizasyonlar, sistemlerini proaktif bir şekilde korumak için yukarıda belirtilen teknikleri ve savunma mekanizmalarını uygulamalıdır. Bu şekilde, ağ üzerindeki kaynaklarını daha güvenli bir hale getirme imkanı bulurlar.

Risk, Yorumlama ve Savunma

Pass-the-Hash (PtH) saldırılarının etkisini anlamak için ilk olarak bu tür saldırıların nasıl gerçekleştirildiğini ve hangi güvenlik açıklarından yararlandığını değerlendirmemiz gerekiyor. Bu tür bir saldırıda, sızan veri genellikle kullanıcı kimlik bilgileri anlamında NTLM hash’leri veya LM hash’leridir. Bu hash’leri ele geçiren bir saldırgan, ilgili sistem üzerinde yetki kazanabilir. Ancak, PtH saldırılarının etkili olabilmesi için bazı koşulların sağlanması gerekiyor.

Saldırı Yönteminin Etkisi

PtH saldırılarının en kritik yönlerinden biri, NTLM protokolünün tasarımında yatar. NTLM, parolayı düz metin olarak değil, bir hash olarak saklar. Bu durum, saldırganların parolayı bilmeden, yalnızca hash ile yetki alarak sisteme giriş yapabilmelerine olanak tanır. Aşağıda, PtH saldırısının nasıl gerçekleştiğine dair örnek bir senaryo verilmiştir:

  1. Saldırgan, yerel bir makinede administrator (yönetici) erişimi elde ediyor.
  2. Daha sonra, bu makinede bulunan LSASS (Local Security Authority Subsystem Service) bellek alanından hash'leri dışa aktarıyor. Bunun için kullanılan bir komut:
    sekurlsa::logonpasswords
  3. Elde edilen hash ile ağ üzerindeki başka bir makineye bağlanıyor:
    psexec.py admin@10.0.0.5 -hashes aad3b435...:b0f2...

Bu basit örnek, PtH saldırısının birçok sistemde neden bu kadar tehlikeli olduğunu gösterir. Eğer yönetici yetkilerine sahip bir makineye erişim sağlanırsa, saldırgan ağda yayılma fırsatına sahip olur.

Yanlış Yapılandırmalar ve Zafiyetler

PtH saldırılarının ortaya çıkmasında önemli bir rol oynayan faktörlerden biri, yanlış yapılandırmalardır. Örneğin, ağdaki birçok makinede aynı hash'in geçerli olması, bir saldırganın bu hash'e erişim sağlaması durumunda tüm ağda serbest kalmasına yol açar. Bu tür durumlarda, sızan veri, kullanıcılara ait kimlik bilgileri olarak karşımıza çıkar, bu da saldırganın iç ağda geniş bir etki alanı elde etmesine neden olur.

Bir diğer zafiyet ise, Windows NTLM protokolünün doğasında yatar. NTLM, yalnızca hash'i geçerli bir kimlik olarak kabul eder, bu da saldırganların doğrudan hash'i kullanarak oturum açmasını kolaylaştırır. Bu durum, siber güvenlik açısından ciddi bir risk faktörüdür.

Savunma Mekanizmaları

Pass-the-Hash saldırılarına karşı savunma mekanizmaları geliştirmek, ağ güvenliğini artırmanın anahtarıdır. Microsoft'un önerdiği bazı çözümler şunlardır:

  1. Yerel Yönetici Parola Tazelemesi (LAPS): Her makinenin yerel yönetici parolasını benzersiz hale getirir. Bu sayede bir makineden alınan hash ile diğer makinelerde yetki elde etme olasılığı azalır.

  2. Protected Users Grubu: Bu grup, NTLM kullanımını kısıtlayarak yalnızca Kerberos tabanlı kimlik doğrulama yapılmasına olanak tanır. Bu sayede hash kullanılarak yetki almak imkânı ortadan kalkar.

  3. Restricted Admin Mode: Uzak masaüstü bağlantıları sırasında hash'in diğer makinelerin belleğine gitmesini engeller. Böylece, PtH saldırılarına karşı bir güvenlik duvarı oluşturmuş olunur.

Sonuç

Pass-the-Hash analizinin güvenlik anlamında önemi büyüktür. Saldırganların, parolaları bilmeden yetki kazanabileceği bir açık olduğu için, bu tür zafiyetleri anlamak ve doğru savunma stratejileri geliştirmek gereklidir. Yapılandırmaların gözden geçirilmesi, zafiyetlerin giderilmesi ve doğru güvenlik uygulamalarının hayata geçirilmesi kritik öneme sahiptir. Siber güvenlik mücadelesinde, her organizasyonun bu tür riskleri ortadan kaldırabilmesi için sürekli bir değerlendirme sürecine ihtiyaç vardır. Bu, sadece teknik önlemler değil, aynı zamanda kullanıcı farkındalığı ve eğitimini de kapsamaktadır.