Pass the Hash Ataklarından Nasıl Korunurum?
  1. Anasayfa
  2. İpuçları
  3. Alakalı Konular

Pass the Hash Ataklarından Nasıl Korunurum?

Hasan Dimdik tarafından
17/05/2019 Okuma süresi: 6dk, 13sn
1

Bu yazımda Pass the Hash atak nedir ve kısaca PTH ataklarından nasıl korunabilirizden bahsedeceğim. Detaylara inmeden önce siber güvenlik kavramının sadece teknik kişilerin sorunu olmadığı ve şirket içerisindeki herkesi kapsadığını ve titizlikle üzerinde durulması gerektiğini belirtmek isterim. Aşağıdaki tabloda 2018′ in ilk yarısında olan veri sızıntısını görebilirsiniz. Sanırım bu tablo işin boyutunu gözler önüne seriyor.

Yazım içerisinde ise en sık tercih edilen atak türlerinden Pass the Hash atağından nasıl korunabileceğimizden bahsedeceğim.

Resim-1

PTH atağı nedir?

Windows Server veya istemcilerinde şifreler hash olarak tutulmaktadır. Saldırganlar RAM üzerinden ilgili hash bilgilerini çalarak hedef sisteme erişmek için kullanırlar. Bu atak türüne PTH atağı denilmektedir. Bu atağın amacı domain içerisinde yayılmak (Lateral Movement) ve hak yükseltmektir (Privilege escalation)

Resim-2

PTH Atağından Korunma Metodları

Herhangi bir ataktan korunmak için en önemli faktörün insan olduğu unutulmamalıdır. Personellere farkındalık eğitimleri aldırılmalıdır. Mümkünse alınan eğitimde gerçekleşmiş olaylar ele alınmalıdır. Gözlemlerime dayanarak söyleyebilirim ki birçok kurum formalite olarak bu eğitimleri aldırmaktadır.

Gelelim Teknik olarak nasıl önlem alabileceğimize;

1.Yapı içerisindeki tüm aktiviteler detaylı olarak izlenmelidir. İlgili araçlara örnek vermek gerekirse;
  • Microsoft ATA
  • Javelin Network örnek olarak verilebilir.

2. Domain Admin, Enterprise Admin gibi yüksek haklara sahip kullanıcılar için,

Account is sensitive and cannot be delegated olarak işaretlenmelidir.

Resim-3

Kaynak : https://blogs.technet.microsoft.com/poshchap/2015/05/01/security-focus-analysing-account-is-sensitive-and-cannot-be-delegated-for-privileged-accounts/

3. Yapı amacına göre birbirinden izole edilmelidir. Bu yapıya örnek vermek gerekirse DC ler Tier 0 da olmalı. Uygulama sunucuları Tier 1 gibi. Yapı birbirinden izole edilmelidir. Bu sayede atak yüzeyi de daraltılmış olur. Bu tarz yapılarda yapılan en büyük hata ise ayrımın sadece sunucu ve vlan sekmentasyonu şeklinde yapıldığıdır. Örneğin DC lerin yedeklenmesi için kullandığımız donanım veya yazılım Tier 1 katmanında ise ve DC leri yedeklemek için kullanılıyorsa aslında tam anlamıyla izolasyon yapılmadığını da göstermektedir. Tier 0 katmanında yedekleme ihtiyacı var ise oraya ayrıca donanım satin alınmalı veya yazılım kurulmalıdır.

Resim-4

4.Domain Controller, Exchange Server gibi kritik sistemlere direkt olarak kendi istemci makinalarımızdan bağlanmamamız gerekmektedir. Bu tarz işlemleri yapmak için ayrı bir vlan da sıkılaştırması yapılmış sadece gerekli programların kurulu olduğu PAW(Priviledge Access Workstation) makinaları ile vpn üzerinden bağlanılmalıdır.

Kaynak : https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/privileged-access-workstations

5. Domain admini gibi yüksek ayrıcalıklı haklara sahip kullanıcılar ile son kullanıcı bilgisayarlarına veya uygulama sunucularına bağlanılmamalıdır. Aşağıdaki polilitikalar yüksek haklara sahip kullanıcılar için yapılandırılmalıdır. ( İlgili politikalar server OU su, istemci bilgisayarların bulunduğu OU için ayrıcalıklı hesaplar için yapılandırılmalıdır)

  • Deny Log on locally
  • Deny Log on as a service
  • Deny Log on as a batch job

Resim-5

6. Ayrıcalıklı haklara sahip kullanıcılar için minimum 22 karakter ve kompleks şifreler vermeniz tavsiye edilmektedir.

7. Şifre yönetimi için eğer mümkünse Single Connect, Cyberark veya bütçe yok ise Microsoft’ un ücretsiz sağlamış olduğu LAPS’ I yapılandırmanız tavsiye edilmektedir.

8. Eğer mümkün ise uygulamalara veya sunuculara çift katmanlı oturum ile bağlanılması tavsiye edilmektedir.

9. Scheduled Task ları ayrıcalıklı haklara sahip kullanıcılar ile yapılandırılması engellenmelidir.

10.Servis hesaplarına Domain Admin gibi yüksek ayrıcalıklı haklar verilmemelidir.

11. Yapı içerisindeki Domain Admin ler veya yüksek haklara sahip kullanıcılar minimum düzeyde olmalıdır.

12. Lokal Adminlerin oturum açması engellenmelidir.

13. Sistemlere bağlanılan kullanıcı, normal kullanıcı hesabından ayrı olmalıdır ve mümkümse çift katmanlı olarak PAM (Priviledge Access Management) üzerinden erişilmelidir ve tüm aktiviteler kayıt edilmelidir.

14. LSA koruması aktif edilmelidir.

Kaynak : https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection

15. LM uyumluluk seviyesi minimum Level 3 veya üzeri olmalıdır.

Resim-6

16. Interactive logon: Number of previous logons to cache politikası yapılandırılmalıdır. Yapılandırılmaması durumunda admin haklarına sahip kullanıcının oturum açtığı sisteme saldırı yapılması durumunda hash bilgisi kolayca ele geçirilebilir. İlgili riski daha dramatik hale getirmek istersek tüm admin şifrelerinin aynı olduğunu hayal edebilirsiniz.

Resim-7

17. “Debug Programs” User Right kuralı yapılandırılmalı mümkünse tüm kullanıcılar kuraldan çıkarılmalıdır. İlgili hak malesef işletim sisteminin hassas ve önemli parçalarına erişim hakkı vermektedir. İlgili hak ile grup içerisine eklenen kullanıcı veya kullanıcıların bilgisi saldırganın eline geçmesi durumunda rootkit enjekte etmek için kullanılabilir.

Resim-8

18.Restricted Admin Mode for Remote Desktop Connection kuralı yapılandırılmalıdır.

Resim-9

19. Microsoft Security Baseline ve/veya CIS Baseline lar referans alınarak gerekli sıkılaştırmalar yapılmalıdır.

20. Eğer kullanıcılar üzerinden local admin hakları bazı gerekçelerle alınamıyorsa, Avecto, Cylance veya IBM BigFix gibi ürünler konumlandırılmalıdır. Avecto hakkında yazmış olduğum yazıyı aşağıdaki linkten okuyabilirsiniz.

http://www.mshowto.org/avecto-ile-privilege-management.html

21. Windows Firewall üzerinde inbound kısıtlamalar yapılmalıdır. Kural kısmında Any Ip address kaldırılmalıdır ve sadece gerekli ip bloklarına izin verilmelidir.

Resim-11

22. Sunucuların güvenlik yamaları aktif olarak takip edilmeli ve gerekli yamalar zamanında geçilmelidir.

23. Olay günlükleri için korelasyon kuralları yazılmalı ve bu sistemler dikkatlice izlenmelidir. Bunun için yazmış olduğum Denetim ve Loglama’ nın Elli Tonu isimli e kitabımıı okuyabilirsiniz.

Link: https://gallery.technet.microsoft.com/Denetim-ve-Loglamann-Elli-cbed0000

24. Siem ürünleri mümkünse uzman kişilerce yönetilmelidir. Genelde sektör içerisinde Windows Admin arkadaşa bu sorumluluk yıkılmaktadır.

Yazımın sonuna gelirken teknik olmayan bir kaç konuya da değinmek istiyorum. Sektör deneyimime dayanarak söyleyebilirim ki Türkiye’ de malesef siber güvenliğe yapılan yatırım gereksiz masraf olarak görülmektedir. Sanırım bu hata yapılan en ölümcül hataların başında gelmektedir. Musibet tabanlı çalışma modelinden vazgememiz gerekmekte ve etrafımızda olan olaylardan ders çıkarmamız gerekmektedir.

Resim-12

Bu konuyla ilgili sorularınızı  alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.

Referanslar

www.mshowto.org

Sans

https://www.microsoft.com/en-us/download/details.aspx?id=36036

TAGs:Pass the Hash Ataklarından Nasıl Korunurum ,pth nedir,Pass the Hash nedir, MS ATA, MS ATA nedir,LM nedir, LSA nedir,Priviledge Access Workstation,Priviledge Access Workstation nedir,Priviledge Access Management,Priviledge Access Management nedir,Lateral Movement,Lateral Movement nedir, yanal hareket nedir,hak yükseltme,Privilege escalation,hak yükseltme nedir,Privilege escalation nedir

Bu İçeriğe Tepkin Ne Oldu?
  • 6
    harika_
    Harika!!
  • 0
    be_enmedim
    Beğenmedim
  • 0
    _ok_iyi
    Çok iyi
  • 1
    sevdim_
    Sevdim!
  • 0
    bilemedim_
    Bilemedim!
  • 0
    olmad_
    Olmadı!
  • 0
    k_zd_m_
    Kızdım!
Etiketler
Hasan Dimdik

2008 yılından itibaren bilişim camiasının içerisindeyim. 11 Yıllık dönem içerisinde teknikerlikten başlayarak bir çok farklı pozisyonda çalıştım. Dünyanın en büyük sigorta şirketleri arasında yer alan Allianz Türkiye’ de Kıdemli Sistem Uzmanı olarak çalıştıktan sonra kariyerimde değişiklik yaparak UAE’ nin en büyük bankası Emirates NBD bankasında kıdemli teknoloji mühendisi olarak devam etmektiyim. Profesyonel iş yaşantımın dışında yönetim kadrosunda yer aldığım www.mshowto.org sitesinde gönüllü yazarlık ve yöneticilik yapmaktayım. 15+ konferansda konuşmacı olarak yer aldım. 150+ makale ve 7 E-Kitap yayınladım. İki defa TRT Kent Radyosunda söyleşi yapma deneyimini yaşadım. MCSE, MCPS, MS ve Tenable Certificate of Proficiency ünvanlarına sahibim. Aynı zamanda 2 yıl Microsoft Enterprise Mobility MVP ünvanına layık görüldükten sonra uzmanlık alanı değiştirerek Cloud and Datacenter MVP olarak devam etmekteyim.

Yazarın Profili
İlginizi Çekebilir
dijital-pazarlamada-seo
11/03/2021
Dijital Pazarlama’da SEO ve Anahtar Kelimeler

Benzer Yazılar

Bültenimize Katılın

Tıklayın, üyemiz olun ve yeni güncellemelerden haberdar olan ilk kişi siz olun.

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Yorumlar (1)

  1. 29/05/2019

    Çok güzel bir kılavuz olmuş, elinize sağlık.

    Cevapla

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir