CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Pass-the-Hash ve Pass-the-Ticket İle Siber Güvenlikte Yeni Dönem

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Siber güvenlik dünyasında Pass-the-Hash ve Pass-the-Ticket tekniklerini keşfedin. Bu saldırı yöntemlerinin detaylarını öğrenin.

Pass-the-Hash ve Pass-the-Ticket İle Siber Güvenlikte Yeni Dönem

Pass-the-Hash (PtH) ve Pass-the-Ticket (PtT) teknikleri, modern siber saldırılarda önemli bir rol oynamaktadır. Bu yazıda, bu iki yöntem hakkında bilmeniz gereken her şeyi keşfedeceksiniz.

Giriş ve Konumlandırma

Siber güvenlik alanındaki tehditler sürekli evrim geçirirken, saldırganlar da hedeflerine ulaşmak için yeni ve sofistike yöntemler geliştirmektedir. Bu bağlamda, "Pass-the-Hash" (PtH) ve "Pass-the-Ticket" (PtT) teknikleri önemli bir yer tutmaktadır. Saldırganların parolasını bilmeden, yalnızca hash ya da bilet bilgileri ile sistemlere erişim sağlaması, günümüz siber saldırılarının karmaşıklığını ve çeşitliliğini gözler önüne sermektedir. Bu iki teknik, sistemlerdeki güvenlik açıklarını kullanarak siber savunmanın zayıf noktalarını hedef alır.

PtH ve PtT Nedir?

Pass-the-Hash (PtH) saldırısı, bir saldırganın, kullanıcının açık metin parolasını bilmeden, NTLM hash değerini kullanarak sisteme oturum açmasına olanak sağlar. Bu durumda saldırgan, hedef sistemlerde kullanıcı kimlik bilgilerini elde etmek için hash bilgisini kötüye kullanır. Örneğin, bir ağ üzerinde bir kullanıcının NTLM hash değerini ele geçiren bir saldırgan, bu hash ile diğer sistemlere erişim kazanabilir. Aşağıda bir PtH saldırısının temel çalışma prensibi gösterilmektedir:

1. Kullanıcının NTLM hash'ini elde etme.
2. Hash kullanarak hedef sistemde oturum açma.
3. Ağ üzerinden diğer sistemlere yayılma.

Pass-the-Ticket (PtT) ise Kerberos protokolünü kullanarak, çalınan bir TGT (Ticket Granting Ticket) biletinin başka bir sistemde geçerli bir oturum oluşturarak kullanılmasını ifade eder. Burada saldırgan, ele geçirilen bilet verisini sistemin belleğine enjekte ederek, hükümdir oturum açabilir. Hem PtH hem de PtT, saldırganların ağ üzerinde yatay hareket etmelerine olanak tanır ve bu durum, savunma mekanizmalarının etkinliğini sorgulattırır.

Neden Önemli?

Günümüzde birçok organizasyon, kullanıcı kimlik doğrulama sürecinde NTLM ve Kerberos protokollerine güvenmektedir. Bu iki protokolde oluşan güvenlik açıkları, siber saldırganların işini kolaylaştırmakta ve veri ihlalleri için kapı aralamaktadır. Siber güvenlik uzmanları ve pentester'lar, bu teknikleri anlamak ve doğru bir şekilde analiz etmek zorundadır. Bu bağlamda, PtH ve PtT tekniklerinin anlaşılması, güvenlik önlemlerinin alınması adına kritik bir öneme sahiptir.

Bu iki saldırı türü, siber güvenlikte savunma mekanizmalarının geliştirilmesi ve yenilikçi güvenlik çözümlerinin oluşturulması açısından zenith bir noktayı temsil etmektedir. Örneğin, bir organizasyonun "Restricted Admin" modu gibi güvenlik özelliklerini benimsemesi, PtH saldırılarına karşı önlem oluşturması açısından önemlidir. Aynı zamanda, olay günlüğü analizi yapılarak bu saldırı türlerinin tespit edilmesi ve engellenmesi sağlanabilir.

Okuyucuya Hazırlık

Bu blog serisinde, PtH ve PtT tekniklerinin detaylarına iniş yaparak, daha derin teknik bilgilere ulaşmayı hedefliyoruz. Bu yöntemlerin etkinliğini artıran etkenler, kullanımları sırasında dikkat edilmesi gereken noktalar ve savunma stratejileri üzerine duracağız. Ayrıca, örnek senaryolar ve teknik incelemeler ile okuyucuların bu konudaki anlayışlarını pekiştirmeyi planlıyoruz. Bilgilerinizi güncellemek ve bu siber tehditlerle etkili bir şekilde başa çıkmak için bu içeriği takip etmek, güvenlik uzmanları için önemli bir adım olacaktır.

Teknik Analiz ve Uygulama

Pass-the-Hash (PtH) ve Pass-the-Ticket (PtT) Tekniklerinin Teknik Analizi

Siber güvenlik dünyasında "Pass-the-Hash" (PtH) ve "Pass-the-Ticket" (PtT) teknikleri, ağ içindeki kimlik doğrulama süreçlerine yönelik ciddi tehditler olarak kabul edilmektedir. Bu bölümde, bu tekniklerin nasıl çalıştığına ve bunlara karşı alınabilecek önlemlere dair detaylı bir inceleme yapacağız.

Pass-the-Hash (PtH) Nedir?

Pass-the-Hash (PtH), NTLM (NT Lan Manager) protokolünü kullanan sistemlerde, bir kullanıcının şifresine ihtiyaç duymadan, yalnızca hash değeri ile oturum açma tekniğidir. Kullanıcı parolasının açık metin haline erişim olmadan, ele geçirilen NTLM hash değeri kullanılarak sızma gerçekleştirilmektedir. Bu teknik, saldırganın hedef sistemde kullanıcı adı ve parola kombinasyonunu bilmesine gerek kalmadan erişim elde etmesini sağlar.

Hash vs Parola

Parola ve hash arasındaki temel fark şudur: Parola, kullanıcı tarafından bilinen gizli bir veri iken, hash; parolanın matematiksel bir özetidir. Örneğin, aşağıdaki gibi bir parolanın hash'ini almak için kullanılan bir yöntem:

# Örnek parola
my_password = "P@ssw0rd"
hash_value = hash(my_password) # Bu, gerçek bir hash fonksiyonu ile alınmalıdır.

Bu işlem sonucunda elde edilen hash değeri, PtH saldırılarında kullanılacak olan ana veridir. Saldırgan bu hash ile hedef sistemde oturum açabilir.

PtH Çalışma Prensibi

Saldırının başarılı olabilmesi için, saldırganın bazı adımları takip etmesi gereklidir:

  1. Erişim Sağlama: İlk adım, bir ağ veya sistemde kullanıcı oturumu açmak ya da sistemde yetkisiz erişim sağlamak.
  2. NTLM Hash Elde Etme: Sistemden NTLM hash'lerini çalma. Bu, genellikle bellek döküm süreçleri ile gerçekleştirilir.
  3. Oturum Açma: Ele geçirilen hash değeri ile hedef sistemde oturum açma girişimi.

Bu adımların uygulama örneği, Mimikatz aracı ile yapılabilir. Mimikatz kullanarak PtH saldırısını gerçekleştirmek için şu komutlar kullanılır:

mimikatz # Başlatma
sekurlsa::minidump C:\Windows\System32\lsass.exe # LSASS bellek dökümünü alma
sekurlsa::hashdump # Hash dump alma

Pass-the-Ticket (PtT) Nedir?

Pass-the-Ticket (PtT), Kerberos protokolü kullanılarak gerçekleştirilen bir saldırı türüdür. Burada, saldırganlar hedef sisteme ait yetkili bir Kerberos bileti (TGT) ele geçirerek, bu bileti kendi belleğine enjekte etmekte ve böylece hedef sistem üzerinde yetki kazanmaktadır.

PtH ve PtT Arasındaki Fark

Her iki teknik de kimlik doğrulama süreçlerini hedef almaktadır, ancak temel farklılıkları vardır:

  • PtH, NTLM protokolünü kullanarak hash değeri ile erişim sağlarken;
  • PtT, Kerberos biletlerini kullanarak yetki kazanır.

Bilet Enjeksiyonu

Bu aşamada, ele geçirilen Kerberos bileti, mevcut oturumun belleğine enjekte edilir. Aşağıdaki örnekte, bir bileti enjekte etmek için kullanılabilecek Mimikatz komutu görülmektedir:

mimikatz # Başlatma
kerberos::ptt ticket.kirbi # Ele geçirilen bileti belleğe enjekte etme

Overpass-the-Hash

Overpass-the-Hash saldırısı, NTLM hash'i kullanılarak Kerberos servisinden geçerli bir TGT bileti talep etme yöntemidir. Bu, saldırganın hem NTLM hash'ini hem de Kerberos biletlerini kullanarak erişimi artırmasına olanak sağlar.

Kerberos erişimlerini engellemek için, "Restricted Admin" modunu kullanmak kritik öneme sahiptir. Bu mod kullanıldığında, yönetici hash bilgileri hedef makinenin belleğinde saklanmaz ve böylece PtH saldırılarına karşı bir koruma sağlanır.

Olay Günlüğü Analizi

Bir PtH veya PtT saldırısının tespiti için kritik olan olay günlükleri bulunmaktadır. Özellikle, Event ID 4624 (Logon) günlükleri, bir oturum açma girişimini izlemek için kritik veriler sunar.

Log kayıtlarında "Logon Type" bilgisi oldukça önemlidir. Örneğin:

  • Logon Type 9: NewCredentials - Mimikatz tarafından sıklıkla tetiklenen oturum türüdür.
  • Logon Type 3: Network Logon - Uzak bir sistemden hash kullanılarak yapılan SMB erişimlerinde görüntülenmektedir.

Sonuç

Pass-the-Hash ve Pass-the-Ticket teknikleri, günümüzde siber güvenlik alanında ciddi tehditler oluşturmaya devam etmektedir. Bu saldırıların önlenmesi için, sistem yöneticilerinin doğru yapılandırmaları ve etkin izleme mekanizmalarını uygulamaları büyük önem taşımaktadır. Bu tekniklerin önlenmesi için kullanılabilecek stratejiler arasında güçlü parolaların kullanılması, erişim kontrol politikalarının belirlenmesi ve sistem güncellemelerinin düzenli olarak yapılması sayılabilir.

Risk, Yorumlama ve Savunma

Risk Analizi ve Yorumlama

Pass-the-Hash (PtH) ve Pass-the-Ticket (PtT) teknikleri, modern siber saldırıların önemli bileşenlerindendir. Bu saldırı türleri, sistemlerin zayıf noktalarını hedef alarak kötü niyetli aktörlerin, kullanıcı parolalarını bilmeden oturum açmalarını sağlar. Risk analizi, bu tür saldırılara karşı savunma stratejilerinin geliştirilmesinde kritik bir rol oynamaktadır.

Pass-the-Hash saldırılarında, bir saldırganın NTLM hash'ini ele geçirme yeteneği, bu saldırının ne denli tehlikeli olduğuna işaret eder. Saldırganın elinde, herhangi bir kötü niyetli eylem gerçekleştirebilecek yetkilerle donatılmış bir kullanıcıya erişim vardır. Bu tür bir senaryo, ağ güvenliği açsısından yüksek risk taşır ve kritik verilerin tehlikeye girmesine yol açabilir.

Benzer şekilde, Pass-the-Ticket saldırıları, Kerberos protokolünü kullanan sistemlerde devreye girer. Saldırgan, geçerli bir Kerberos bileti ele geçirerek, kurbanın kimlik bilgilerini taklit edebilir. Bu tür durumlar, özellikle büyük organizasyonlarda sıkça rastlanmakta ve ciddi güvenlik açıklarına neden olmaktadır.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Yanlış yapılandırma veya sistem zafiyetleri, PtH ve PtT saldırılarına davetiye çıkaran önemli etkenlerdir. Örneğin, NTLM kullanan bir sistemde saldırganların erişim sağlayabileceği LSA Secrets bilgileri, PtH saldırılarının temel kaynakları arasında yer almaktadır. Bu tür bilgilerin güvenli bir şekilde saklanmaması, sistemi tehdit eden açıktır.

Aşağıdaki örnek, konunun somut bir çerçevesi içinde değerlendirilmesine olanak tanır:

Sistem: Windows Server 2019
Ağ Protokol: NTLM
Yanlış Yapılandırma: NTLM kimlik doğrulamasını devre dışı bırakmamak ve LSA Secrets'in düzgün korunmaması
Risk: Ele geçirilen NTLM hash'leri ile Ağda yatay hareket ve veri sızıntısı ihtimali

Bir diğer zafiyet, eski sistemlerde güncellemelerin yapılmaması veya gereksiz protokollerin açık bırakılmasıdır. Örneğin, hizmetlerin kullanıcılara açık bırakılması, istemcilerin zaten zayıf olan kimlik doğrulama mekanizmalarını daha da riskli hale getirir.

Sızan Veriler ve İlgili Sonuçlar

Bir PtH veya PtT saldırısı sonucunda sızan veriler, genellikle kimlik bilgileri, oturum biletleri veya uygulama erişim anahtarları gibi kritik bağlamlar içerir. Bu tür verilerin ele geçirilmesi, saldırganların sistem üzerinde tam yetki elde etmesine olanak tanır. Kurumsal sistemlerde bu durum, sadece bir çalışanın bilgilerini değil, tüm organizasyonun verilerini tehdit eder.

Saldırılara karşı yapılacak savunmalar arasında, şifrelemenin kullanılması ve sistemlerde güçlü parolaların zorunlu hale getirilmesi ön plana çıkar. Ayrıca, olay günlüğü analizi ile geçmişte gerçekleşen saldırıların izleri tespit edilmelidir.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlik savunma stratejileri kapsamında, aşağıdaki önlemler alınmalıdır:

  1. Güçlü Şifreler: Kullanıcı hesapları için karmaşık, uzun ve güçlü parolalar kullanmak.
  2. MTLM'den Kaçınma: NTLM yerine Kerberos gibi daha güvenli kimlik doğrulama protokollerine geçiş yapmak.
  3. İzleme ve Analiz: Olay günlüğü analizi ile anormal etkinliklerin tespitini sağlamak ve bu tür aktiviteleri izlemek.
  4. Restricted Admin Modu: Uzaktan yönetim için "Restricted Admin" modunun kullanılması, hash bilgilerinin hedef makinenin belleğinde saklanmamasını sağlar.
  5. Sıklıkla Güncelleme: İşletim sistemleri ve uygulamalar için en son güncellemelerin yapılması, açıkların kapatılmasına yardımcı olur.

Sonuç Özeti

Pass-the-Hash ve Pass-the-Ticket teknikleri, siber güvenlikte önemli zafiyetler barındıran metodolojilerdir. Yanlış yapılandırmalar, sistem zafiyetleri ve zayıf parolalar, saldırganların bu teknikleri kullanmasını kolaylaştırmaktadır. Kuruluşların bu tür saldırılara karşı etkili savunmalar geliştirmeleri, sadece bireysel kullanıcıların değil, tüm organizasyonun güvenliğini artıracaktır. Hem proaktif önlemler hem de düzenli izleme, siber güvenlik risklerini minimize etmek adına kritik öneme sahiptir.