Hash'i geç - Pass the hash

İçinde kriptanaliz ve bilgisayar Güvenliği, esrarı geçmek bir saldırganın uzaktaki bir sunucunun veya hizmetin temelini kullanarak kimlik doğrulamasına olanak tanıyan bir bilgisayar korsanlığı tekniğidir. NTLM veya LanMan karma bir kullanıcının şifresini, ilişkili şifreyi zorunlu kılmak yerine düz metin normalde olduğu gibi parola. Düz metin şifresini çalma ihtiyacını yalnızca karmayı çalmakla ve bunu kimlik doğrulamak için kullanmakla değiştirir.

Bir saldırgan, geçerli kullanıcı adı ve kullanıcı parolası karma değerlerini elde ettikten sonra (bir şekilde, farklı yöntemler ve araçlar kullanarak), bu bilgileri, LM veya NTLM kimlik doğrulamasını kullanarak uzaktaki bir sunucuda veya hizmette kimlik doğrulaması yapmak için kullanabilirler. kaba kuvvet açık metin şifresini elde etmek için karmalar (bu teknik yayınlanmadan önce gerektiği gibi). Saldırı, kimlik doğrulama protokolündeki bir uygulama zayıflığından yararlanır; burada parola karması, oturum, toplantı, celse şifre bir sonraki değiştirilene kadar oturuma.

Bu teknik, ister Windows, Unix veya başka bir işletim sistemi ile çalışan bir makinede çalışsın, LM veya NTLM kimlik doğrulamasını kabul eden herhangi bir sunucu veya hizmete karşı gerçekleştirilebilir.

Açıklama

NTLM kimlik doğrulamasını kullanan sistemlerde veya hizmetlerde, kullanıcıların parolaları hiçbir zaman açık metin telin üzerinden. Bunun yerine, talep eden sisteme bir etki alanı denetleyicisi, olarak karma bir yanıt olarak meydan okuma-yanıt kimlik doğrulaması düzeni.[1]

Yerel Windows uygulamaları, kullanıcılardan açık metin şifresini ister, ardından API'ler LsaLogonUser gibi[2] bu parolayı bir veya iki karma değere (LM veya NT sağlamaları) dönüştüren ve ardından bunu NTLM kimlik doğrulaması sırasında uzak sunucuya gönderen.[Notlar 1][3] Bu mekanizmanın analizi, ağ kimlik doğrulamasını başarıyla tamamlamak için açık metin şifresinin gerekli olmadığını, yalnızca karmalara ihtiyaç olduğunu göstermiştir.

Bir saldırgan, bir kullanıcının şifresinin karma değerlerine sahipse, açık metin şifresini kaba kuvvetle zorlamaları gerekmez; uzaktaki bir sisteme karşı kimlik doğrulaması yapmak ve bu kullanıcıyı taklit etmek için topladıkları rastgele bir kullanıcı hesabının karmasını kullanabilirler.[4] Diğer bir deyişle, bir saldırganın bakış açısından, hash'ler, oluşturuldukları orijinal parolalara işlevsel olarak eşdeğerdir.

Tarih

esrarı geçmek teknik ilk olarak 1997'de Paul Ashton tarafından yayınlandı[4] ve değiştirilmiş bir Samba SMB açık metin şifreleri yerine kullanıcı şifre karmalarını kabul eden istemci. Samba'nın sonraki sürümleri ve SMB ve NTLM protokollerinin diğer üçüncü taraf uygulamaları da işlevselliği içeriyordu.

Tekniğin bu uygulaması, bir üçüncü taraf (örneğin, Samba ve diğerleri) tarafından oluşturulan bir SMB yığınına dayanıyordu ve bu nedenle, bir bilgisayar korsanının bakış açısından, sınırlı veya kısmi işlevsellik dahil olmak üzere bir dizi sınırlamadan muzdaripti: SMB protokolü, yıllar içinde gelişmeye devam etti; bu, kendi SMB protokolü uygulamalarını oluşturan üçüncü tarafların daha yeni Windows ve SMB sürümleri (tarihsel olarak çok karmaşık olan tersine mühendislik yoluyla) tanıtıldıktan sonra protokole değişiklikler ve eklemeler yapması gerektiği anlamına gelir. ve zaman alıcı). Bu, NTLM kimlik doğrulamasını başarıyla gerçekleştirdikten sonra bile esrarı geçmek teknikte, Samba'nın SMB istemcisi gibi araçlar, saldırganın kullanmak isteyebileceği işlevselliği uygulamamış olabilir. Bu, DCOM veya RPC kullanan Windows programlarına saldırmanın zor olduğu anlamına geliyordu.

Ayrıca, saldırganlar saldırılar gerçekleştirirken üçüncü taraf istemcileri kullanmakla sınırlandırıldığından, Net.exe gibi yerleşik Windows uygulamalarını kullanmak mümkün değildi. aktif Dizin kulanıcıları ve bilgisayarları aracı, çünkü saldırgan veya kullanıcıdan kimlik doğrulaması için açık metin şifresini girmesini istediler, karşılık gelen şifre karma değerini değil.

Hernan Ochoa, 2008'de "Karma Aktarma Araç Seti" adlı bir araç yayınladı.[5] Bu, 'hash'i geçirme'nin Windows'ta yerel olarak gerçekleştirilmesine izin verdi. Kullanıcı adı, alan adı ve parola karmalarının bellekte önbelleğe alınmasına izin verdi. Yerel Güvenlik Yetkilisi çalışma zamanında değiştirilecek sonra bir kullanıcının kimliği doğrulandı - bu, standart Windows uygulamalarını kullanarak "karmanın geçmesini" ve böylece işletim sisteminde yerleşik olan temel kimlik doğrulama mekanizmalarını baltalamayı mümkün kıldı.

Araç ayrıca, şifrenin hafızasında önbelleğe alınan döküm şifre karmalarının kullanılmasına izin veren yeni bir lsass.exe işlem (diskte kalıcı depolamada değil), hızla yaygın olarak kullanılan penetrasyon test cihazları (ve saldırganlar). Bu hash hasat tekniği, daha önce kullanılan tekniklerden daha gelişmiştir (örneğin, yerel Güvenlik Hesapları Yöneticisi veritabanı (SAM) kullanarak pwdump ve benzer araçlar), çünkü bellekte depolanan karma değerler, makinede oturum açan etki alanı kullanıcılarının (ve etki alanı yöneticilerinin) kimlik bilgilerini içerebilir. Örneğin, yerel SAM'da kalıcı olarak depolanmayan kimliği doğrulanmış etki alanı kullanıcılarının karmaları da dökümlenebilir. Bu, penetrasyon test cihazının (veya saldırganın) bir bütün olarak tehlikeye atmasını mümkün kılar. Windows alanı o alanın üyesi olan tek bir makineyi tehlikeye attıktan sonra. Ayrıca, saldırı, kaba kuvvet saldırısı gerçekleştirmek için pahalı bilgi işlem kaynaklarına ihtiyaç duyulmadan anında uygulanabilir.

Bu araç setinin yerini daha sonra orijinal aracın işlevselliğini ve işletim sistemi desteğini genişleten "Windows Kimlik Bilgileri Düzenleyicisi" almıştır.[6][7] Bazı virüsten koruma yazılımı satıcıları, araç setini kötü amaçlı yazılım olarak sınıflandırır.[8][9]

Hash hasadı

Bir saldırganın karma-geçirme saldırısı gerçekleştirmeden önce, hedef kullanıcı hesaplarının şifre karmalarını alması gerekir. Bu amaçla, sızma testi yapanlar ve saldırganlar bir dizi farklı yöntem kullanarak parola karmalarını toplayabilir:

  • Daha önce bir makinede (örneğin konsolda veya RDP aracılığıyla) oturum açmış olan kullanıcıların önbelleğe alınmış karmaları veya kimlik bilgileri, Yönetici düzeyinde ayrıcalıklara sahip olan herkes tarafından SAM'den okunabilir. Çevrimdışı kullanım için karmaları veya kimlik bilgilerini önbelleğe almanın varsayılan davranışı yöneticiler tarafından devre dışı bırakılabilir, bu nedenle bir makine yeterince sağlamlaştırıldıysa bu teknik her zaman çalışmayabilir.
  • Yerel kullanıcının hesap veritabanının dökümü (SAM ). Bu veritabanı, yalnızca güvenliği ihlal edilen belirli makinenin yerel kullanıcı hesaplarını içerir. Örneğin, bir etki alanı ortamında, SAM Bir makinenin veritabanı etki alanı kullanıcılarını içermez, yalnızca o makinede yerel olan ve etki alanındaki diğer hizmetlerin kimliğini doğrulamak için çok yararlı olmayacak kullanıcıları içerir. Ancak, aynı yerel yönetici hesabı parolaları birden çok sistemde kullanılırsa, saldırgan yerel kullanıcı hesabı karmalarını kullanarak bu sistemlere uzaktan erişebilir.
  • Koklama İstemci ve sunucular arasındaki LM ve NTLM sorgulama-yanıt diyalogları ve daha sonra yakalanan şifrelenmiş karmaları kaba zorlama (bu şekilde elde edilen karmalar şifrelendiğinden, gerçek karmaları elde etmek için kaba kuvvet saldırısı gerçekleştirmek gerekir).
  • Windows tarafından depolanan kimliği doğrulanmış kullanıcıların kimlik bilgilerinin lsass.exe işleminin belleğine atılması. Bu şekilde dökülen kimlik bilgileri, etki alanı kullanıcılarının veya yöneticilerinin kimlik bilgilerini içerebilir; örneğin, RDP. Bu teknik, bu nedenle, güvenliği ihlal edilen bilgisayar için yerel olmayan, bunun yerine makinenin üyesi olduğu güvenlik etki alanından kaynaklanan kullanıcı hesaplarının kimlik bilgilerini elde etmek için kullanılabilir.

Azaltıcılar

Herhangi bir iletişim protokolü (SMB, FTP, RPC, HTTP vb.) İle birlikte LM veya NTLM kimlik doğrulamasını kullanan herhangi bir sistem bu saldırı nedeniyle risk altındadır.[1] Windows'taki olası istismarlar ve bir saldırgan tarafından bir saldırgan tarafından kullanılabilen Windows üzerinde çalışan uygulamalar nedeniyle bu açıktan korunmak çok zordur. yükseltmek ayrıcalıkları ve ardından saldırıyı kolaylaştıran hash hasadı gerçekleştirir. Ayrıca, bir Windows etki alanındaki yalnızca bir makinenin doğru şekilde yapılandırılmamış olması veya bir saldırganın bir yol bulması için bir güvenlik yamasının eksik olması gerekebilir. Ayrıca, bir zayıflığı keşfetme sürecini otomatikleştirmek için çok çeşitli sızma testi araçları mevcuttur. bir makinede.

Tekniğe karşı tek bir savunma yoktur, bu nedenle standart derinlemesine savunma uygulamalar geçerlidir[10] - örneğin kullanımı güvenlik duvarları, saldırı önleme sistemleri, 802.1x kimlik doğrulaması, IPsec, antivirüs yazılımı ayrıcalıkları yüksek olan insan sayısını azaltmak,[11] proaktif güvenlik yaması[12] vb. Windows'un önbelleğe alınmış kimlik bilgilerini saklamasını önlemek, saldırganların bellekten karma değerleri elde etmesini sınırlayabilir, bu da genellikle saldırı gerçekleştiğinde hedef hesabın makinede oturum açması gerektiği anlamına gelir.[13] Etki alanı yöneticilerinin güvenliği ihlal edilebilecek veya güvenilmeyen sistemlerde oturum açmasına izin vermek, yöneticilerin hash'lerinin saldırganların hedefi haline geldiği bir senaryo oluşturacaktır; etki alanı yöneticisi oturum açma işlemlerini güvenilen etki alanı denetleyicileriyle sınırlamak, bu nedenle bir saldırgan için fırsatları sınırlayabilir.[10] en az ayrıcalık ilkesi en az kullanıcı erişimi (LUA) yaklaşımının benimsenmesi gerektiğini, kullanıcıların eldeki görevi tamamlamak için gerekenden daha fazla ayrıcalığa sahip hesaplar kullanmaması gerektiğini önerir.[10] Sistemleri LM veya NTLM kullanmayacak şekilde yapılandırmak da güvenliği güçlendirebilir, ancak daha yeni açıklar iletebilir Kerberos biletleri benzer bir yolla.[14] Kapsamını sınırlamak hata ayıklama sistemdeki ayrıcalıklar bazı saldırıları engelleyebilir. kodu enjekte etmek veya hassas işlemlerin hafızasından karmalar çalın.[10]

Kısıtlı Yönetici Modu, saldırının etkinliğini azaltmak için tasarlanmış 2871997 güvenlik bülteni aracılığıyla 2014 yılında tanıtılan yeni bir Windows işletim sistemi özelliğidir.[15]

Ayrıca bakınız

Notlar

  1. ^ Windows'un kullanabileceğini unutmayın Kerberos varsayılan olarak kimlik doğrulama.

Referanslar

  1. ^ a b Chris Hummel (12 Ekim 2009). "Hash'i Geçebildiğinizde Neden Crack?". SANS Enstitüsü. Alıntı dergisi gerektirir | günlük = (Yardım Edin)
  2. ^ "LsaLogonUser". Microsoft. 7 Eylül 2011. Alındı 25 Ekim 2011.
  3. ^ "Etkileşimli Oturum Açma Nasıl Çalışır?". Microsoft. 22 Ocak 2009. Alındı 25 Ekim 2011.
  4. ^ a b Daniel Stirnimann (9 Ağustos 2010). "Windows Attack - 5 Dakikada Kurumsal Yönetici Ayrıcalıkları Elde Edin" (PDF). Compass Security AG. Alındı 10 Ekim 2010.
  5. ^ Hernan Ochoa (2 Temmuz 2008). "Hash-The-Hash Toolkit nedir?". Alındı 20 Ekim 2011.
  6. ^ Hernan Ochoa (2011). WCE Dahili. RootedCON.
  7. ^ Hernan Ochoa (2011). "Windows Kimlik Bilgileri Düzenleyicisi (WCE) F.A.Q." Amplia Güvenliği. Alındı 25 Ekim 2011.
  8. ^ "SecurityRisk.WinCredEd". Symantec. 21 Mart 2011. Alındı 25 Ekim 2011.
  9. ^ "HackTool: Win32 / Wincred.A". Microsoft. 1 Ekim 2011. Alındı 25 Ekim 2011.
  10. ^ a b c d Bashar Ewaida (21 Ocak 2010). "Hash-the-pass saldırıları: Araçlar ve Azaltma". SANS Enstitüsü. Alıntı dergisi gerektirir | günlük = (Yardım Edin)
  11. ^ Roger Grimes (26 Temmuz 2011). "Hash pass saldırılarını başlamadan önce durdurun". InfoWorld. Alındı 25 Ekim 2011.
  12. ^ Rob Kraus; Brian Barber; Mike Borkin; Naomi Alpern (2010). En Ölümcül Yedi Microsoft Saldırısı. Syngress. sayfa 12–14. ISBN  1-59749-551-4.
  13. ^ "Karma Geçiş Saldırılarını ve Önbelleğe Alınmış Kimlik Bilgisi Saldırılarını Önleme". Berkley Lab Bilgisayar Koruma Programı. Alındı 20 Ekim 2011.
  14. ^ "Microsoft Windows Kerberos 'Bileti Geçin' Yeniden Yürütme Güvenlik Bypass Güvenlik Açığı". securityfocus.com. 13 Ağustos 2010. Arşivlenen orijinal 12 Mart 2016 tarihinde. Alındı 20 Ekim 2010.
  15. ^ https://technet.microsoft.com/library/security/2871997

Dış bağlantılar