Filmlerde, bilgisayar korsanları genellikle birkaç tuşa girer ve birkaç saniye içinde tüm ağlara erişim sağlar. Ancak gerçek dünyada, saldırganlar genellikle düşük seviyeli bir kullanıcı hesabından başka bir şeyle başlar ve ardından ağı ele geçirmelerini sağlayacak ek ayrıcalıklar elde etmek için çalışırlar.
Bu ayrıcalıkları elde etmek için yaygın olarak kullanılan yöntemlerden biri, hash saldırısıdır.
Parola karmasının perde arkası
Hash-pass saldırısının nasıl çalıştığını anlamak için önce parola hashlerinin nasıl kullanıldığını anlamanız gerekir.
Bir sisteme şifre atadığınızda, o şifre aslında sistemde saklanmaz. Bunun yerine işletim sistemi, parola için bir karma hesaplamak için matematiksel bir formül kullanır. Hash, gerçek şifre değil, saklanan şeydir.
Sisteme giriş yaptığınızda, kimlik doğrulama motoru, girdiğiniz şifre için bir hash hesaplamak için aynı matematiksel formülü kullanır ve bunu saklanan hash ile karşılaştırır. İki karma birbiriyle eşleşirse, parolanın doğru olduğu varsayılır ve erişim verilir.
Bundan önemli çıkarım, sistem söz konusu olduğunda, hash’in şifre olmasıdır.
Bir sisteme erişmek isteyen bir saldırganın her zaman bir kullanıcının şifresini bilmesi gerekmez. Yalnızca, sistemde zaten depolanmış olan parola karmasına erişmeleri gerekir. Hacker’ın bakış açısından, bir parola karmasına erişime sahip olmak, esasen parolaya erişime sahip olmakla aynıdır.
Parola karma, parolaları korumak için yaygın olarak kullanılan bir tekniktir, ancak tüm parola karma teknolojileri eşit değildir. Bu gönderi, üç ana şifre karma tekniği türünü özetlemektedir. ve Active Directory’nizin hangisini kullandığını nasıl değiştireceğiniz.
Karma tehlikeye girdiğinde ne olur?
Daha önce belirtildiği gibi, bir ağı ele geçirmek isteyen siber suçlular, ilk giriş noktası olarak genellikle temel bir kullanıcı hesabı kullanır. Karanlık Web’den çalıntı kimlik bilgileri satın alabilir, kullanıcıya parola çalan kötü amaçlı yazılım bulaştırabilir veya bir kullanıcının parolasını almak için herhangi bir sayıda başka teknik kullanabilirler.
Bilgisayar korsanı, düşük seviyeli bir kullanıcının parolasına (hash değil, gerçek parola) eriştiğinde, bir sonraki önceliği o kullanıcı olarak oturum açmak ve ardından izinlerini yükseltmenin yollarını aramaktır. Bu, hash saldırısının devreye girdiği yerdir.
Windows işletim sisteminde hash yaygınlığı
Hash saldırısı çeşitli sistemlerde kullanılabilir, ancak en yaygın olarak Windows sistemlerini hedefler. Windows’un favori bir hedef olmasının nedeni, Windows sistemlerinin, o sisteme giriş yapmış herkes için parola karmaları içermesidir. Bir kullanıcının bir sistemde yerel olarak oturum açmış olması veya bir RDP oturumu kullanmış olması önemli değildir. Hash’leri hala sistemde saklanacaktır.
Bilgisayar korsanı bir sistemde oturum açtığında, bir noktada bir yöneticinin oturum açtığını umarak sistemde var olabilecek herhangi bir parola karmasını arar. Yönetici düzeyinde özetler yoksa, bilgisayar korsanı, diğer tüm iş istasyonlarında oturum açmak ve parola özetlerini çıkarmak için çalınan parola karmalarını kullandıkları bir karma püskürtme saldırısı gerçekleştirir.
Sonunda saldırgan, yönetici düzeyinde bir karma içeren bir sistem bulacaktır. Bu karma daha sonra etki alanı denetleyicilerine, uygulama sunucularına, dosya sunucularına ve diğer hassas kaynaklara erişim sağlamak için kullanılabilir.
Ağınızda bir hash saldırısını önlemek için beş adım
Ne yazık ki, hash saldırılarını tespit etmek zordur, çünkü bu saldırılar normal işletim sistemi kimlik doğrulama mekanizmalarına dayanır. Bu nedenle, hash saldırılarının başarılı olmasını önlemek için adımlar atmak önemlidir. Bir hash saldırısının başarılı olma ihtimalini azaltmak için yapabileceğiniz birkaç şey var.
- Ayrıcalıklı bir hesapla asla bir iş istasyonuna giriş yapmayın
Her şeyden önce, ayrıcalıklı bir hesap kullanarak bir iş istasyonuna asla ve asla giriş yapmamalısınız. Buna RDP oturumları dahildir. Saldırılara karşı güçlendirilmiş özel yönetim iş istasyonları kurmak ve ayrıcalıklı işlemleri yalnızca bu iş istasyonlarından gerçekleştirmek en iyisidir.
- Windows Defender Kimlik Bilgisi Korumasını Etkinleştir
Windows 10 ve 11 şunları içerir: Windows Defender Credential Guard adlı araç. Bu araç etkinleştirildiğinde, Yerel Güvenlik Yetkilisi Alt Sistem Hizmetini korumalı alanda çalıştırmak için donanım düzeyinde sanallaştırma kullanır. Bu basit eylem, sistemi hash saldırılarına karşı çok daha dirençli hale getirir.
- En Az Kullanıcı Erişimi İlkesini Uygulayın
En Az Kullanıcı Erişiminin arkasındaki ana fikir, kullanıcıların işlerini yapmaları için özel olarak gerekli olan izinlerin ötesinde herhangi bir izne sahip olmaması gerektiğidir. En Az Kullanıcı Erişimi’ni kullanmak, hash saldırısını engellemese de, bir saldırgan bir veya daha fazla hesabın güvenliğini aşmayı başarırsa hasarı en aza indirecektir.
- Gereksiz Trafiği Engellemek için Güvenlik Duvarlarını Kullanın
Son kullanıcı cihazlarının büyük olasılıkla etki alanı denetleyicilerine, dosya sunucularına ve diğer iş kolu sistemlerine erişmesi gerekecektir. Ancak, bir iş istasyonunun diğerine erişmesi biraz nadirdir. İş istasyonundan iş istasyonuna trafiği engellemek için güvenlik duvarlarını kullanabilirseniz, saldırganın başarılı bir hash saldırısı için gerekli olan yanal hareketleri yapma yeteneğini azaltmış olursunuz.
- Parola Sağlığınıza Erişmek için Specops Parola Denetçisini kullanın
Saldırgan bir hash saldırısı başlatmadan önce, bir başlangıç noktası gerektirir. Bu genellikle çalıntı kimlik bilgileri şeklinde gelir. A Specops Password Auditor adlı ücretsiz araç risk altındaki hesapları ele geçirilmeden önce belirlemenize yardımcı olabilir.
Specops Password Auditor, yalnızca kullanıcı parolalarının güvenli parolalar için endüstri standartlarına uygun olduğunu doğrulamakla kalmaz, aynı zamanda kullanıcı parolalarını, ele geçirildiği bilinen bir parola listesiyle karşılaştırabilir. Bu şekilde, böyle bir hesaptan yararlanılmadan önce bir parola değişikliğini zorlayabilirsiniz.
Sponsorluğunda Özel Harekat