Siber güvenlik dünyasında, kimlik doğrulama sistemlerine yönelik saldırılar, kullanıcıların kimlik bilgilerinin ele geçirilmesiyle büyük bir tehdit oluşturur. Pass-the-Hash (PtH) ve Pass-the-Ticket (PtT) saldırıları, bu tür tehditlerin en yaygın ve tehlikeli olanlarıdır. Her iki saldırı türü de kimlik doğrulama süreçlerini hedef alır ve saldırganların kimlik bilgilerini çalmasına olanak tanır. Bu makalede, bu saldırıların nasıl işlediğini, aralarındaki farkları ve korunma yöntemlerini inceleyeceğiz.


Pass-the-Hash (PtH) Saldırısı

1. Pass-the-Hash Nedir?

Pass-the-Hash, saldırganın bir kullanıcının şifresini bilmeden, onun hashlenmiş (özetlenmiş) kimlik doğrulama bilgisini ele geçirip kullanarak sistemde oturum açmasını sağlayan bir saldırı türüdür. Windows işletim sistemlerinde, kullanıcı şifreleri genellikle NTLM (NT LAN Manager) protokolü tarafından hashlenir ve bu hashler, şifre yerine kimlik doğrulama amacıyla kullanılabilir. Saldırgan, ele geçirdiği bu hash’i doğrudan kullanarak sisteme sızabilir.

2. Saldırı Nasıl Gerçekleşir?

Pass-the-Hash saldırıları genellikle şu adımlarla gerçekleştirilir:

  • Adım 1: Hash’in Ele Geçirilmesi: Saldırgan, sistemdeki zafiyetleri kullanarak bir kullanıcının şifre hash’ini ele geçirir. Bu genellikle sistemdeki zayıf güvenlik açıklarından veya kullanıcı makinelerindeki kötü amaçlı yazılımlar aracılığıyla yapılır.
  • Adım 2: Hash’in Yeniden Kullanımı: Ele geçirilen hash, saldırgan tarafından başka sistemlerde kimlik doğrulamak için kullanılır. Saldırgan, kullanıcının şifresini bilmeden bu hash sayesinde başka sistemlere erişim sağlayabilir.
  • Adım 3: Sistemlere Yetkisiz Erişim: Saldırgan, hash’i kullanarak hedef sistemlerde oturum açar ve yetkisiz işlemler yapabilir.

3. Pass-the-Hash Saldırısının Etkileri

Pass-the-Hash saldırıları, özellikle birden fazla sistemin aynı kimlik doğrulama bilgilerini paylaştığı ortamlarda tehlikelidir. Eğer bir saldırgan bir kullanıcının hash’ini ele geçirirse, bu hash’i kullanarak tüm ağa yayılabilir ve geniş çaplı veri ihlallerine neden olabilir.

4. Pass-the-Hash’e Karşı Korunma Yöntemleri

  • Şifre Politikalarını Güçlendirme: Kullanıcıların güçlü ve karmaşık şifreler kullanması önemlidir. Ayrıca, sık sık şifre değiştirme zorunluluğu getirilmelidir.
  • Çok Faktörlü Kimlik Doğrulama (MFA): Tek başına şifreler yerine MFA kullanmak, Pass-the-Hash saldırılarına karşı ek bir güvenlik katmanı sağlar.
  • Yönetici Haklarının Sınırlandırılması: Kullanıcılar sadece gerekli olduğu durumlarda yönetici yetkilerine sahip olmalıdır. Özellikle Domain Admin hesaplarının kullanımı minimize edilmelidir.
  • Güvenlik Yaması Uygulama: Sistemlerdeki zafiyetler için yayınlanan güvenlik yamalarını hızlı bir şekilde uygulamak, hashlerin ele geçirilmesini engelleyebilir.

Pass-the-Ticket (PtT) Saldırısı

1. Pass-the-Ticket Nedir?

Pass-the-Ticket, bir saldırganın Kerberos kimlik doğrulama protokolüne ait ticket (bilet) bilgilerini ele geçirip bu bilgileri yeniden kullanarak sisteme erişim sağlamasıdır. Kerberos protokolü, Windows sistemlerinde yaygın olarak kullanılır ve kullanıcıların şifrelerini kullanmadan biletler aracılığıyla kimlik doğrulama yapmalarına olanak tanır. PtT saldırılarında saldırgan, bir kullanıcının oturum bileti olan Ticket Granting Ticket (TGT) veya Service Ticket (ST)‘i çalar ve bu biletlerle yetkisiz erişim elde eder.

2. Saldırı Nasıl Gerçekleşir?

Pass-the-Ticket saldırıları şu adımlarla gerçekleştirilir:

  • Adım 1: Biletin Ele Geçirilmesi: Saldırgan, kullanıcının Kerberos bileti olan TGT veya ST’yi ele geçirir. Bu biletler, bir kullanıcının sistem üzerinde kimliğini doğrulamak için kullanılır ve geçerlilik süresi boyunca tekrar tekrar kullanılabilir.
  • Adım 2: Biletin Yeniden Kullanılması: Saldırgan, ele geçirdiği bilet ile hedef sistemlerde kullanıcının oturumu gibi işlem yapabilir. Kerberos bileti şifrelenmiş olsa da, saldırgan bu bileti tekrar kullanarak başka sistemlere yetkisiz erişim sağlayabilir.
  • Adım 3: Yetkisiz Erişim: Saldırgan, ele geçirdiği biletle farklı sistemlerde oturum açar ve ağda geniş çaplı bir şekilde dolaşarak verileri ele geçirebilir.

3. Pass-the-Ticket Saldırısının Etkileri

PtT saldırıları, özellikle büyük ve karmaşık ağlarda tehlikelidir. Kerberos biletlerinin çalınması, bir saldırganın tüm ağ üzerinde kolayca hareket edebilmesini sağlar. Saldırgan, Domain Admin yetkileri gibi yüksek ayrıcalıklar elde edebilir ve bu, büyük güvenlik ihlallerine yol açabilir.

4. Pass-the-Ticket’e Karşı Korunma Yöntemleri

  • Kerberos Biletlerinin Süresini Kısaltma: Kerberos biletlerinin geçerlilik süresini kısaltmak, biletin ele geçirilse bile uzun süre kullanılmasını engeller.
  • KDC Denetimlerini Artırma: Kerberos’un merkezinde yer alan Key Distribution Center (KDC) üzerinde sıkı denetimler yapmak, biletlerin yetkisiz kullanımını engelleyebilir.
  • Gelişmiş Güvenlik Araçları Kullanma: Ağ trafiğini analiz eden güvenlik araçları ile anormal kimlik doğrulama işlemlerini tespit edebilir ve Kerberos ile ilgili güvenlik açıklarını giderebilirsiniz.

Pass-the-Hash ve Pass-the-Ticket Saldırıları Arasındaki Farklar

ÖzellikPass-the-Hash (PtH)Pass-the-Ticket (PtT)
Kimlik Doğrulama ProtokolüNTLMKerberos
Ne Ele Geçirilir?Hash (Özetlenmiş şifre bilgisi)Kerberos bileti (TGT veya ST)
Saldırı YöntemiHash’in kimlik doğrulama için kullanılmasıKerberos biletinin kimlik doğrulama için kullanılması
Etkili Olduğu SistemlerNTLM tabanlı kimlik doğrulama kullanan sistemlerKerberos tabanlı kimlik doğrulama kullanan sistemler
Erişim AlanıTek bir hash ile farklı sistemlere erişimBirden fazla bilet ile ağ üzerinde dolaşma
Korunma YöntemleriGüçlü şifreler, MFA, hash yönetimiKerberos bileti yönetimi, bilet süresinin kısaltılması

Sonuç

Pass-the-Hash (PtH) ve Pass-the-Ticket (PtT) saldırıları, kimlik doğrulama süreçlerini hedef alan ciddi tehditlerdir. Her iki saldırı türü de, saldırganların kimlik doğrulama bilgilerini ele geçirerek yetkisiz erişim elde etmelerine olanak tanır. PtH saldırıları NTLM hash’leri kullanırken, PtT saldırıları Kerberos biletlerini hedef alır. Bu tehditlere karşı alınacak önlemler, güçlü şifre politikaları, çok faktörlü kimlik doğrulama (MFA) ve güvenlik yamalarının düzenli uygulanması gibi yöntemlerle mümkündür. Özellikle büyük ve karmaşık ağlar, bu tür saldırılara karşı ekstra dikkatli olmalıdır.