İlginizi Çekebilir
  1. Ana Sayfa
  2. İpuçları
  3. Pass the Hash Ataklarından Nasıl Korunurum?

Pass the Hash Ataklarından Nasıl Korunurum?

PTHKapak

Bu yazımda Pass the Hash atak nedir ve kısaca PTH ataklarından nasıl korunabilirizden bahsedeceğim. Detaylara inmeden önce siber güvenlik kavramının sadece teknik kişilerin sorunu olmadığı ve şirket içerisindeki herkesi kapsadığını ve titizlikle üzerinde durulması gerektiğini belirtmek isterim. Aşağıdaki tabloda 2018′ in ilk yarısında olan veri sızıntısını görebilirsiniz. Sanırım bu tablo işin boyutunu gözler önüne seriyor.

Yazım içerisinde ise en sık tercih edilen atak türlerinden Pass the Hash atağından nasıl korunabileceğimizden bahsedeceğim.

Resim-1

PTH atağı nedir?

Windows Server veya istemcilerinde şifreler hash olarak tutulmaktadır. Saldırganlar RAM üzerinden ilgili hash bilgilerini çalarak hedef sisteme erişmek için kullanırlar. Bu atak türüne PTH atağı denilmektedir. Bu atağın amacı domain içerisinde yayılmak () ve hak yükseltmektir ()

Resim-2

PTH Atağından Korunma Metodları

Herhangi bir ataktan korunmak için en önemli faktörün insan olduğu unutulmamalıdır. Personellere farkındalık eğitimleri aldırılmalıdır. Mümkünse alınan eğitimde gerçekleşmiş olaylar ele alınmalıdır. Gözlemlerime dayanarak söyleyebilirim ki birçok kurum formalite olarak bu eğitimleri aldırmaktadır.

Gelelim Teknik olarak nasıl önlem alabileceğimize;

1.Yapı içerisindeki tüm aktiviteler detaylı olarak izlenmelidir. İlgili araçlara örnek vermek gerekirse;
  • Microsoft ATA
  • Javelin Network örnek olarak verilebilir.

2. Domain Admin, Enterprise Admin gibi yüksek haklara sahip kullanıcılar için,

Account is sensitive and cannot be delegated olarak işaretlenmelidir.

Resim-3

Kaynak : https://blogs.technet.microsoft.com/poshchap/2015/05/01/security-focus-analysing-account-is-sensitive-and-cannot-be-delegated-for-privileged-accounts/

3. Yapı amacına göre birbirinden izole edilmelidir. Bu yapıya örnek vermek gerekirse DC ler Tier 0 da olmalı. Uygulama sunucuları Tier 1 gibi. Yapı birbirinden izole edilmelidir. Bu sayede atak yüzeyi de daraltılmış olur. Bu tarz yapılarda yapılan en büyük hata ise ayrımın sadece sunucu ve vlan sekmentasyonu şeklinde yapıldığıdır. Örneğin DC lerin yedeklenmesi için kullandığımız donanım veya yazılım Tier 1 katmanında ise ve DC leri yedeklemek için kullanılıyorsa aslında tam anlamıyla izolasyon yapılmadığını da göstermektedir. Tier 0 katmanında yedekleme ihtiyacı var ise oraya ayrıca donanım satin alınmalı veya yazılım kurulmalıdır.

Resim-4

4.Domain Controller, Exchange Server gibi kritik sistemlere direkt olarak kendi istemci makinalarımızdan bağlanmamamız gerekmektedir. Bu tarz işlemleri yapmak için ayrı bir vlan da sıkılaştırması yapılmış sadece gerekli programların kurulu olduğu PAW() makinaları ile vpn üzerinden bağlanılmalıdır.

Kaynak : https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/privileged-access-workstations

5. Domain admini gibi yüksek ayrıcalıklı haklara sahip kullanıcılar ile son kullanıcı bilgisayarlarına veya uygulama sunucularına bağlanılmamalıdır. Aşağıdaki polilitikalar yüksek haklara sahip kullanıcılar için yapılandırılmalıdır. ( İlgili politikalar server OU su, istemci bilgisayarların bulunduğu OU için ayrıcalıklı hesaplar için yapılandırılmalıdır)

  • Deny Log on locally
  • Deny Log on as a service
  • Deny Log on as a batch job

Resim-5

6. Ayrıcalıklı haklara sahip kullanıcılar için minimum 22 karakter ve kompleks şifreler vermeniz tavsiye edilmektedir.

7. Şifre yönetimi için eğer mümkünse Single Connect, Cyberark veya bütçe yok ise Microsoft’ un ücretsiz sağlamış olduğu LAPS’ I yapılandırmanız tavsiye edilmektedir.

8. Eğer mümkün ise uygulamalara veya sunuculara çift katmanlı oturum ile bağlanılması tavsiye edilmektedir.

9. Scheduled Task ları ayrıcalıklı haklara sahip kullanıcılar ile yapılandırılması engellenmelidir.

10.Servis hesaplarına Domain Admin gibi yüksek ayrıcalıklı haklar verilmemelidir.

11. Yapı içerisindeki Domain Admin ler veya yüksek haklara sahip kullanıcılar minimum düzeyde olmalıdır.

12. Lokal Adminlerin oturum açması engellenmelidir.

13. Sistemlere bağlanılan kullanıcı, normal kullanıcı hesabından ayrı olmalıdır ve mümkümse çift katmanlı olarak PAM () üzerinden erişilmelidir ve tüm aktiviteler kayıt edilmelidir.

14. LSA koruması aktif edilmelidir.

Kaynak : https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection

15. LM uyumluluk seviyesi minimum Level 3 veya üzeri olmalıdır.

Resim-6

16. Interactive logon: Number of previous logons to cache politikası yapılandırılmalıdır. Yapılandırılmaması durumunda admin haklarına sahip kullanıcının oturum açtığı sisteme saldırı yapılması durumunda hash bilgisi kolayca ele geçirilebilir. İlgili riski daha dramatik hale getirmek istersek tüm admin şifrelerinin aynı olduğunu hayal edebilirsiniz.

Resim-7

17. “Debug Programs” User Right kuralı yapılandırılmalı mümkünse tüm kullanıcılar kuraldan çıkarılmalıdır. İlgili hak malesef işletim sisteminin hassas ve önemli parçalarına erişim hakkı vermektedir. İlgili hak ile grup içerisine eklenen kullanıcı veya kullanıcıların bilgisi saldırganın eline geçmesi durumunda rootkit enjekte etmek için kullanılabilir.

Resim-8

18.Restricted Admin Mode for Remote Desktop Connection kuralı yapılandırılmalıdır.

Resim-9

19. Microsoft Security Baseline ve/veya CIS Baseline lar referans alınarak gerekli sıkılaştırmalar yapılmalıdır.

20. Eğer kullanıcılar üzerinden local admin hakları bazı gerekçelerle alınamıyorsa, Avecto, Cylance veya IBM BigFix gibi ürünler konumlandırılmalıdır. Avecto hakkında yazmış olduğum yazıyı aşağıdaki linkten okuyabilirsiniz.

http://www.mshowto.org/avecto-ile-privilege-management.html

21. Windows Firewall üzerinde inbound kısıtlamalar yapılmalıdır. Kural kısmında Any Ip address kaldırılmalıdır ve sadece gerekli ip bloklarına izin verilmelidir.

Resim-11

22. Sunucuların güvenlik yamaları aktif olarak takip edilmeli ve gerekli yamalar zamanında geçilmelidir.

23. Olay günlükleri için korelasyon kuralları yazılmalı ve bu sistemler dikkatlice izlenmelidir. Bunun için yazmış olduğum Denetim ve Loglama’ nın Elli Tonu isimli e kitabımıı okuyabilirsiniz.

Link: https://gallery.technet.microsoft.com/Denetim-ve-Loglamann-Elli-cbed0000

24. Siem ürünleri mümkünse uzman kişilerce yönetilmelidir. Genelde sektör içerisinde Windows Admin arkadaşa bu sorumluluk yıkılmaktadır.

Yazımın sonuna gelirken teknik olmayan bir kaç konuya da değinmek istiyorum. Sektör deneyimime dayanarak söyleyebilirim ki Türkiye’ de malesef siber güvenliğe yapılan yatırım gereksiz masraf olarak görülmektedir. Sanırım bu hata yapılan en ölümcül hataların başında gelmektedir. Musibet tabanlı çalışma modelinden vazgememiz gerekmekte ve etrafımızda olan olaylardan ders çıkarmamız gerekmektedir.

Resim-12

Bu konuyla ilgili sorularınızı http://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

Sans

https://www.microsoft.com/en-us/download/details.aspx?id=36036

TAGs: ,,, MS ATA, MS ATA nedir,LM nedir, ,Priviledge Access Workstation,Priviledge Access Workstation nedir,Priviledge Access Management,Priviledge Access Management nedir,Lateral Movement,Lateral Movement nedir, ,,Privilege escalation, nedir,

Yorum Yap

Yazar Hakkında

Profesyonel iş hayatıma 2008 yılında başladım. 10 Yıllık dönem içerisinde teknikerlikten başlayarak bir çok farklı pozisyonda çalıştım. Dünyanın en büyük sigorta şirketleri arasında yer alan Allianz Türkiye’de Kıdemli Sistem Uzmanı olarak çalışmaktayım. Profesyonel iş yaşantımın dışında yönetim kadrosunda yer aldığım mshowto.org sitesinde gönüllü yazarlık yapmaktayım. 15+ konferansta konuşmacı olarak yer aldım. 150+ makale ve bu yazı serisi ile birlikte beşinci E-Kitabımı yazmanın mutluluğunu yaşamaktayım. İki defa TRT Kent Radyosunda söyleşi yapma deneyimini yaşadım. MCSE,MCPS,MS ve Tenable Certificate of Proficiency ünvanlarına sahibim. Aynı zamanda 2 yıl Microsoft Enterprise Mobility MVP ünvanına layık görüldüm. MVP | Enterprise Mobility ,2016,2017 MCSE | Server Infrastructure MCSA | Server 2012 MCPS | Microsoft Certified Professional Microsoft Specialist : Server Virtualization with Windows Server Hyper-V and System Center Specialist Tenable Certificate of Proficiency Cyberoam Certified Network & Security Professional Backup Academy Certified Professional

Yorum Yap

Yorumlar (1)

  1. 6 ay önce

    Çok güzel bir kılavuz olmuş, elinize sağlık.