Hash'i geç - Pass the hash

Gelen kriptanalizinde ve bilgisayar güvenliği , karma geçmesi yatan kullanarak bir uzak sunucuya veya hizmete authenticate bir saldırganın sağlayan bir hack tekniktir NTLM veya LanMan karma bir kullanıcının şifresinin yerine ilişkili gerektiren düz metin normalde olduğu gibi şifreyi . Düz metin parolasını çalma ihtiyacını, yalnızca hash'i çalmak ve bunu kimlik doğrulaması için kullanmakla değiştirir.

Saldırgan, geçerli kullanıcı adı ve kullanıcı parolası karma değerlerini (bir şekilde, farklı yöntemler ve araçlar kullanarak) elde ettikten sonra, bu bilgileri kaba kuvvete gerek kalmadan LM veya NTLM kimlik doğrulamasını kullanarak uzak bir sunucuda veya hizmette kimlik doğrulaması yapmak için kullanabilir. açık metin şifresini elde etmek için karmalar (bu teknik yayınlanmadan önce gerekli olduğu gibi). Saldırı , bir sonraki parola değiştirilene kadar parola karmalarının oturumdan oturuma sabit kaldığı, kimlik doğrulama protokolündeki bir uygulama zayıflığından yararlanır .

Bu teknik, Windows, Unix veya başka bir işletim sistemine sahip bir makinede çalışsa da, LM veya NTLM kimlik doğrulamasını kabul eden herhangi bir sunucu veya hizmete karşı gerçekleştirilebilir.

Açıklama

NTLM kimlik doğrulaması kullanan sistemlerde veya hizmetlerde, kullanıcıların parolaları hiçbir zaman kablo üzerinden düz metin olarak gönderilmez . Bunun yerine, bir etki alanı denetleyicisi gibi istekte bulunan sisteme, bir sorgulama-yanıt kimlik doğrulama şemasına yanıt olarak bir karma olarak sağlanırlar .

Yerel Windows uygulamaları, kullanıcılardan açık metin parolası ister, ardından bu parolayı bir veya iki karma değere (LM veya NT karmaları) dönüştüren LsaLogonUser gibi API'leri çağırır ve ardından bunu NTLM kimlik doğrulaması sırasında uzak sunucuya gönderir. Bu mekanizmanın analizi, ağ kimlik doğrulamasını başarıyla tamamlamak için açık metin parolasının gerekli olmadığını, yalnızca karmaların gerekli olduğunu göstermiştir.

Bir saldırgan, bir kullanıcının parolasının karmalarına sahipse, açık metin parolasını kaba kuvvetle kullanması gerekmez; uzak bir sisteme karşı kimlik doğrulaması yapmak ve o kullanıcının kimliğine bürünmek için hasat ettikleri rastgele bir kullanıcı hesabının karmasını kullanabilirler. Başka bir deyişle, bir saldırganın bakış açısından, karmalar, oluşturuldukları orijinal parolalara işlevsel olarak eşdeğerdir.

Tarih

Karma geçmesi teknik aslen 1997 yılında Paul Ashton tarafından yayınlanan ve modifiye oluşuyordu Samba SMB kabul edilen kullanıcı şifresi yerine cleartext şifreleri sağlamalarının o müşterinin. Samba'nın sonraki sürümleri ve SMB ve NTLM protokollerinin diğer üçüncü taraf uygulamaları da işlevsellik içeriyordu.

Tekniğin bu uygulaması, bir üçüncü taraf (örneğin, Samba ve diğerleri) tarafından oluşturulan bir SMB yığınına dayanıyordu ve bu nedenle, bir bilgisayar korsanının bakış açısından, sınırlı veya kısmi işlevsellik dahil olmak üzere bir dizi sınırlamaya maruz kaldı: SMB protokolü, yıllar içinde gelişmeye devam etti, bu, SMB protokolünün kendi uygulamalarını oluşturan üçüncü tarafların, Windows ve SMB'nin (tarihsel olarak çok karmaşık olan tersine mühendislik yoluyla) daha yeni sürümleri tarafından tanıtıldıktan sonra protokolde değişiklik ve eklemeler yapması gerektiği anlamına gelir. ve zaman alıcı). Bu , hash tekniğini kullanarak NTLM kimlik doğrulamasını başarıyla gerçekleştirdikten sonra bile , Samba'nın SMB istemcisi gibi araçların, saldırganın kullanmak isteyebileceği işlevleri uygulamamış olabileceği anlamına gelir. Bu, DCOM veya RPC kullanan Windows programlarına saldırmanın zor olduğu anlamına geliyordu.

Ayrıca, saldırganlar, saldırılar gerçekleştirirken üçüncü taraf istemcileri kullanmakla sınırlandırıldığından, diğerlerinin yanı sıra Net.exe veya Active Directory Kullanıcıları ve Bilgisayarları aracı gibi yerleşik Windows uygulamalarını kullanmak , saldırgandan veya kullanıcının kimlik doğrulaması için açık metin parolasını girmesini ve ilgili parola karma değerini girmemesini sağlayın.

2008'de Hernan Ochoa, Windows'ta yerel olarak gerçekleştirilecek 'karmayı geçirme'ye izin veren "Karma Geçiş Araç Takımı" adlı bir araç yayınladı. Yerel Güvenlik Yetkilisi tarafından bellekte önbelleğe alınan kullanıcı adı, etki alanı adı ve parola karmalarının, bir kullanıcının kimliği doğrulandıktan sonra çalışma zamanında değiştirilmesine izin verdi - bu, standart Windows uygulamalarını kullanarak 'karmayı geçirmeyi' ve böylece zayıflatmayı mümkün kıldı. işletim sisteminde yerleşik temel kimlik doğrulama mekanizmaları.

Araç ayrıca , penetrasyon test cihazları (ve saldırganlar) tarafından hızla yaygın olarak kullanılan lsass.exe işleminin belleğinde ( diskteki kalıcı depolamada değil) önbelleğe alınan parola karmalarının boşaltılmasına izin veren yeni bir teknik tanıttı . Bu karma toplama tekniği, daha önce kullanılan tekniklerden (örneğin, yerel Güvenlik Hesapları Yöneticisi veritabanını (SAM) pwdump ve benzer araçlar kullanarak boşaltmak ) daha gelişmiştir , çünkü bellekte depolanan karma değerleri, oturum açan etki alanı kullanıcılarının (ve etki alanı yöneticilerinin) kimlik bilgilerini içerebilir. makinenin içine. Örneğin, yerel SAM'de kalıcı olarak depolanmayan kimliği doğrulanmış etki alanı kullanıcılarının karmaları da dökülebilir. Bu, bir penetrasyon test cihazının (veya saldırganın) , o etki alanının üyesi olan tek bir makineyi tehlikeye attıktan sonra tüm Windows etki alanının güvenliğini aşmasını mümkün kılar . Ayrıca, saldırı anında ve kaba kuvvet saldırısı gerçekleştirmek için pahalı bilgi işlem kaynaklarına ihtiyaç duymadan gerçekleştirilebilir.

Bu araç takımının yerini daha sonra orijinal aracın işlevselliğini ve işletim sistemi desteğini genişleten "Windows Kimlik Bilgisi Düzenleyicisi" almıştır. Bazı antivirüs satıcıları araç setini kötü amaçlı yazılım olarak sınıflandırır.

Hash toplama

Saldırgan, hash geçiş saldırısı gerçekleştirmeden önce, hedef kullanıcı hesaplarının parola karmalarını elde etmelidir. Bu amaçla, sızma testi yapanlar ve saldırganlar, bir dizi farklı yöntem kullanarak parola karmalarını toplayabilir:

  • Önceden bir makinede (örneğin konsolda veya RDP aracılığıyla) oturum açmış olan kullanıcıların önbelleğe alınmış karmaları veya kimlik bilgileri, Yönetici düzeyinde ayrıcalıklara sahip herkes tarafından SAM'den okunabilir. Çevrimdışı kullanım için önbelleğe alma karmalarının veya kimlik bilgilerinin varsayılan davranışı yöneticiler tarafından devre dışı bırakılabilir, bu nedenle bir makine yeterince sağlamlaştırılmışsa bu teknik her zaman çalışmayabilir.
  • Yerel kullanıcının hesap veritabanını ( SAM ) boşaltmak . Bu veritabanı, yalnızca güvenliği ihlal edilen belirli makinede yerel kullanıcı hesaplarını içerir. Örneğin, bir etki alanı ortamında, bir makinenin SAM veritabanı, etki alanı kullanıcılarını içermez, yalnızca o makinede yerel olan ve etki alanındaki diğer hizmetlere kimlik doğrulaması yapmak için çok yararlı olmayacaktır. Ancak, birden fazla sistemde aynı yerel yönetici hesabı parolaları kullanılıyorsa, saldırgan yerel kullanıcı hesabı karmalarını kullanarak bu sistemlere uzaktan erişebilir.
  • İstemci ve sunucular arasındaki LM ve NTLM sorgulama-yanıt diyaloglarını koklamak ve daha sonra yakalanan şifreli karmaları kaba kuvvetlendirme (bu şekilde elde edilen karmalar şifrelendiğinden, gerçek karmaları elde etmek için bir kaba kuvvet saldırısı gerçekleştirmek gerekir).
  • Windows tarafından depolanan kimliği doğrulanmış kullanıcıların kimlik bilgilerini lsass.exe işleminin belleğine atmak. Bu şekilde atılan kimlik bilgileri, RDP aracılığıyla oturum açmış olanlar gibi etki alanı kullanıcıları veya yöneticilerinin kimlik bilgilerini içerebilir . Dolayısıyla bu teknik, güvenliği ihlal edilmiş bilgisayarda yerel olmayan, daha çok makinenin üyesi olduğu güvenlik etki alanından kaynaklanan kullanıcı hesaplarının kimlik bilgilerini almak için kullanılabilir.

Azaltmalar

Herhangi bir iletişim protokolü (SMB, FTP, RPC, HTTP vb.) ile birlikte LM veya NTLM kimlik doğrulamasını kullanan herhangi bir sistem bu saldırıya karşı risk altındadır. Bir saldırgan tarafından ayrıcalıklarını yükseltmek ve ardından saldırıyı kolaylaştıran hash toplama işlemini gerçekleştirmek için kullanılabilecek Windows'taki olası açıklardan ve Windows üzerinde çalışan uygulamalardan kaynaklanan açıklardan korunmak çok zordur . Ayrıca, bir Windows etki alanında yalnızca bir makinenin doğru şekilde yapılandırılmaması veya bir saldırganın içeri girme yolunu bulması için bir güvenlik yamasının eksik olması gerekebilir. Ayrıca, bir zayıflığı keşfetme sürecini otomatikleştirmek için çok çeşitli sızma testi araçları mevcuttur. bir makinede.

Tekniğe karşı tek bir savunma yoktur, bu nedenle standart derinlemesine savunma uygulamaları geçerlidir - örneğin güvenlik duvarlarının kullanımı , izinsiz giriş önleme sistemleri , 802.1x kimlik doğrulama , IPsec , antivirüs yazılımı , yükseltilmiş ayrıcalıklara sahip kişilerin sayısını azaltma, proaktif güvenlik düzeltme eki vb. Windows'un önbelleğe alınmış kimlik bilgilerini depolamasını engellemek, saldırganları bellekten karma elde etmekle sınırlayabilir; bu, genellikle saldırı yürütüldüğünde hedef hesabın makinede oturum açması gerektiği anlamına gelir. Etki alanı yöneticilerinin güvenliği ihlal edilmiş veya güvenilmeyen sistemlerde oturum açmasına izin vermek, yöneticilerin karmalarının saldırganların hedefi haline geldiği bir senaryo oluşturacaktır; bu nedenle, etki alanı yöneticisi oturum açma işlemlerini güvenilir etki alanı denetleyicileriyle sınırlamak, bir saldırganın fırsatlarını sınırlayabilir. En az ayrıcalık ilkesi, kullanıcıların eldeki görevi tamamlamak için gerekenden daha fazla ayrıcalığa sahip hesapları kullanmaması gerektiği için en az kullanıcı erişimi (LUA) yaklaşımının benimsenmesini önerir.Sistemleri LM veya NTLM kullanmayacak şekilde yapılandırmak da güvenliği güçlendirebilir, ancak daha yeni istismarlar Kerberos biletlerini benzer şekilde iletebilir . Sistemdeki hata ayıklama ayrıcalıklarının kapsamını sınırlamak, hassas süreçlerin belleğinden kod enjekte eden veya karmaları çalan bazı saldırıları boşa çıkarabilir .

Kısıtlı Yönetici Modu, saldırının etkinliğini azaltmak için tasarlanmış, güvenlik bülteni 2871997 aracılığıyla 2014 yılında tanıtılan yeni bir Windows işletim sistemi özelliğidir.

Ayrıca bakınız

Notlar

Referanslar

Dış bağlantılar