Hedef kuruluşların bilgisayar sistemlerine ve ağlarına ilk erişimi sağlama konusunda uzmanlaşmış bir tehdit aktörü, çalışanların NTLM karmalarını çalmak için bubi tuzaklı e-posta eklerini kullanıyor.
Neden NTLM karmalarının peşindeler?
NT LAN Manager (NTLM) karmaları kullanıcıların (kodlanmış) parolalarını içerir.
“Windows'ta kullanıcı kimlik doğrulaması, uzaktaki bir sisteme kullanıcının söylediği kişi olduğunu kanıtlamak için kullanılır. NTLM bunu, parolayı kimseye açıklamadan, bir sorgulama ve yanıt alışverişi sırasında parola bilgisini kanıtlayarak yapıyor,” dedi Microsoft, NTLM kullanımını kullanımdan kaldırıp daha modern, genişletilebilir ve güvenli bir kimlik doğrulama olan Kerberos'u tercih etme hedeflerini açıklayan yakın tarihli bir gönderide söyledi protokol.
Proofpoint araştırmacıları, “Bu karmalar, şifre kırmak için kullanılabilir veya hedeflenen kuruluş içindeki diğer güvenlik açıklarını kullanarak etkilenen bir ortamda yanal olarak hareket etmek için 'Pass-The-Hash' saldırılarını kolaylaştırabilir” dedi. (Ancak şifreyi kırmak, çok faktörlü kimlik doğrulamanın açık olduğu hesaplara erişim sağlamak için yeterli değildir.)
Varonis Threat Labs araştırmacıları yakın zamanda saldırganların NTLM şifre karmalarını ele geçirmek için kullandıkları alternatif hileleri belgeledi.
Kimlik avı e-postası NTLM karmalarını çalmalarına nasıl olanak tanır?
Araştırmacılara göre, Şubat 2024'ün sonlarında, tehdit aktörü (TA577 olarak işaretlendi) dünya çapında yüzlerce kuruluşun çalışanlarını hedef alan on binlerce e-posta gönderdi.
E-postalar önceki e-postalara yanıtmış gibi görünüyordu ve potansiyel kurbanları ekteki ZIP arşiv dosyasını indirip açmaya yönlendiriyordu.
Kimlik avı e-postası (Kaynak: Proofpoint)
“HTML dosyası açıldığında, .txt ile biten bir dosya şeması URI'sine meta yenileme yoluyla bir Sunucu İleti Bloğu (SMB) sunucusuna sistem bağlantısı girişimini tetikledi. Yani dosya, tehdit aktörünün sahip olduğu harici bir KOBİ kaynağıyla otomatik olarak bağlantı kuracaktır” diye açıkladı araştırmacılar.
Saldırıda gerçek bir kötü amaçlı yazılım kullanılmadı; saldırganlar yalnızca NTLM karmalarını çalmak için SMB sunucusundan NTLMv2 sorgulama/yanıt çiftlerini yakalamak istedi.
“Bu SMB sunucularına izin verilen herhangi bir bağlantı girişimi, bilgisayar adları, etki alanı adları ve kullanıcı adları gibi diğer hassas bilgilerin açık metin olarak açığa çıkmasının yanı sıra NTLM karmalarını tehlikeye atabilir” dediler.
Bu ek bilgiler aynı zamanda hedeflenen kuruluşa ve riske devam etmeye ve ek kötü amaçlı yazılım/fidye yazılımını bırakmaya değip değmeyeceğine dair bazı bilgiler sağlayabilir.
Kuruluşlar için tavsiyeler
TA577, geçmişte QBot (Qakbot) ve daha yakın zamanda Pikabot gibi kötü amaçlı yazılım yükleyicisi sağlamasıyla tanınıyor, ancak NTLM kimlik bilgilerini çalmaya çalışırken ilk kez görülüyorlar.
Araştırmacılar, “TA577'nin yeni taktikleri, teknikleri ve prosedürleri (TTP'ler) benimseme ve dağıtma hızı, tehdit aktörünün muhtemelen yeni dağıtım yöntemlerini hızlı bir şekilde yineleyip test etmek için zamana, kaynaklara ve deneyime sahip olduğunu gösteriyor” dedi ve şunları söyledi: Ayrıca, “kötü amaçlı yazılım dağıtımı için uzak içeriğe erişmek üzere alıcıları SMB ve WebDAV gibi harici dosya paylaşımlarına yönlendirmek amacıyla dosya şeması URI'lerini kötüye kullanan çok sayıda tehdit aktörünün sayısında da bir artış” görüldü.
Bu girişimleri engellemek için kuruluşların giden KOBİ bağlantılarını engellemesi gerektiğini tavsiye ettiler.
“SMB'ye konuk erişiminin devre dışı bırakılması saldırıyı hafifletmiyor çünkü dosyanın konuk erişimini kullanıp kullanmayacağını belirlemek için harici SMB sunucusunda kimlik doğrulaması yapması gerekiyor” diye eklediler.