NTLM Kimlik Bilgileri Nasıl ve Neden Kırılır?

Windows hesabı parolaları veya NTLM parolaları, düşük şifreleme güçleri nedeniyle kurtarılması en kolay şifreler arasında yer alıyor. Ayrıca NTLM parolaları, kullanıcının internet tarayıcılarında depolanan parolaları, şifreli sohbetleri, EFS korumalı dosyaları ve bunun gibi daha birçok DPAPI korumalı verilerin kilidini açmada önemli rol oynar.

Kullanıcılar, Windows hesaplarında oturum açıklarında parolalarını doğrulamak için NTLM karmalarını kullanırlar. Microsoft, parolaları depolamak için Windows’un modern sürümlerinde bile hala NTLM mekanizmasını kullanıyor. Bu parolalar ise etki alanı denetleyicisindeki SAM veya NTDS veritabanında saklanıyor. Bu algoritmanın uygulanması sebebiyle de NTLM karmalarının kırılması daha eski LM karmalarına nazaran daha hızlı hale geliyor.

NTLM karmaları, yerel Windows hesaplarının yanı sıra Windows 8’de tanıtılan yeni hesap türü Microsoft Hesabı oturumunu koruyor. Windows parola karmasını önbelleğe alır ve yerel olarak bilgisayarda depolar. Bu yöntem, kullanıcıların bilgisayarlarını çevrimdışı kullanırken oturum açmalarına yarar. Ayrıca bu yöntem, önbelleğe alınmış karma dosyasının çıkarılmasına ve çevrimdışı olarak bir saldırı yapılmasına olanak tanır.

Karma haline gelmiş Microsoft hesabı parolaları, NTLM parolalarının geri kalanıyla birlikte SAM veri tabanında yerel olarak depolanır. Böylece teknik olarak yerel önbelleğe alınmış Microsoft Hesabı parolaları da, diğer önbelleğe alınmış kimlik bilgileriyle aynı NTLM mekanizmasıyla korunuyor. Bu durumda Microsoft parolaları da Windows parolaları gibi kolay ve hızlı kırılabilir hale geliyor.

Microsoft, LM ve NTLM parola karmalarını korumak için kriptografik tuzlama (Salt) yöntemini kullanıyor. Bununla beraber her iki şifre için de aynı koruma yöntemi kullanılır. Bu da, belirli bir bilgisayarda bulunan tüm kullanıcı hesaplarına aynı anda saldırmaya izin veriyor. Windows Hello PIN ise farklı bir şifreleme sistemi kullanarak tüm bunların gerisinde kalıyor.

Yukarıdaki tabloda görüleceği üzere, CPU’ya yönelik yapılan kurtarma işlemi ortalama bir hız sergilerken, RTX 2070 kullanılarak saniyede 23 milyara kadar şifre kombinasyonu denenebiliyor. Böylesine bir hız, güçlendirilmiş bir şifreleme kümesinden (küçük ve büyük harfler, sayılar ve özel karakterler) oluşan 8 karakterlik şifrelerin 87 saatin altında kırılmasını sağlar. Yalnızca küçük ve büyük İngilizce harfler ile rakamlar içeren (özel karakter içermeyen) daha tipik 8 karakterli bir parola ise 3 saatten kısa sürede kırılabilir.

Windows, çeşitli sistem kaynaklarını koruyan şifreleme anahtarlarına erişmenin şeffaf bir yolu olarak Veri Koruma Uygulama Programlama Arayüzü (DPAPI) kullanır. Bu tür DPAPI korumalı kaynaklara örnek olarak Microsoft Edge ve Google Chrome’da depolanan çevrimiçi formlar ve kimlik doğrulama bilgileri (parolalar), EFS (Şifrelenmiş Dosya Sistemi veya NTFS dosya şifreleme) anahtarları, ağ paylaşımlarına ve FTP kaynaklarına yönelik parolalar ve çok daha fazlası verilebilir.

DPAPI, her kullanıcının Windows hesabında saklanan hassas bilgileri şeffaf bir şekilde korur. Örneğin, kullanıcı bir dosya veya klasörün Gelişmiş Özellikler penceresindeki “Verileri korumak için içeriği şifrele” kutusunu işaretleyerek dosya şifrelemeyi etkinleştirirse, şifrelenmiş dosyalara kimliği doğrulanmış kullanıcı şeffaf bir şekilde erişebilir.

Ayrıca DPAPI, Microsoft Edge ve Google Chrome tarayıcılarında önbelleğe alınan kimlik doğrulama bilgilerini de korur. Bu koruma aynı zamanda şeffaftır; kullanıcının bu kimlik doğrulama bilgilerine erişmek için herhangi bir ek parola girmesi gerekmez. Ancak kimliği doğrulanmış bir Windows oturumu olmadan bir disk görüntüsü analiz edilirken bu tür kimlik bilgileri çıkarılamaz.


Microsoft Edge kaydedilmiş parolalar.

Bu strateji, diğer parolaları kırmak veya verilerin şifresini çözmek için kullanılabilecek kolay erişilebilir verileri, kanıt olarak potansiyel değerini göz ardı ederek önceliklendirir. Özellikle web tarayıcısı parola saklama, anahtarlık, DPAPI korumalı veriler vb. gibi parolalara öncelik verir.

Peki neden NTLM şifresine ihtiyacımız var?

Bu şifreleme ile korunan diğer verilerden dolayı bu şifreleme sistemine ihtiyaç duyuyoruz. Kullanıcıların Microsoft Edge ve Google Chrome gibi Windows Web tarayıcılarında saklanan şifreleri, Windows DPAPI ile korunan bir anahtarla şifrelenir. Anahtarın şifresini çözmek ve saklanan parolalara erişmek için bir Windows hesabı kilidinin açılması gerekir. Bu da, kullanıcının Windows hesabında oturum açmak için NTLM parolasının kırılması gerektiği anlamına gelmekte. NTLM şifrelerinin kurtarılmasının çok hızlı olması da, onları mükemmel bir hedef haline getiriyor.

Bu stratejiden yararlanabilmek için de yapılması gereken adımlar sırasıyla aşağıdaki gibi olacaktır.

  1. Erişilebilen şifreler için şifrelenmemiş verileri analiz edin.
  2. Özel sözlük oluşturun veya güncelleyin.
  3. NTLM parolasını kurtarmak için bu özel sözlüğü kullanın.
  4. DPAPI korumalı verilere Elcomsoft Internet Password Breaker ile erişin.
  5. Özel sözlüğü güncelleyin.
  6. Kullanıcıların var olan parola sözlüklerini inceleyin ve kontrolünü sağlayın.
  7. Özel sözlüğü “temizlenmiş”, kalıp tabanlı parolalarla güncelleyin. Örneğin, “Password123” gibi girişler için “password” ve orta güçte “Rakam” mutasyonları kullanın.
  8. Dosyalara ve belgelere saldırırken, en hızlı/en kolay kırılan dosyaları sıranın en üstüne yerleştirin. NTLM parolaları en zayıf parolalar arasındadır ve her zaman sıranın en üstünde yer almalıdır.

Çözüm

Tarif edilen stratejiler bir noktada mantıksız görünse de, en önemli kanıtlara öncelik veren stratejilerden daha az belirginliğe sahip. Stratejinizi seçerken, en değerli kanıtın, kaba kuvvetle kurtarılamayan en güçlü korumaya sahip olabileceğini göz önünde bulundurun.

Yorum yapın