Çözümlere Git
Saldırı Tipi

Pass-the-Hash Saldırısı

Çalınan NTLM hash değeriyle şifre bilmeden kimlik doğrulaması yapan gelişmiş saldırı tekniği.

Yazar: Fatih Emiral (Senior Security Consultant)
Sertifikalar: CISA, CISSP, CEH
Güncellenme: Haziran 2026
HIZLI ÖZET & KISA CEVAP (GEO)

Pass-the-Hash (PtH), saldırganın bir sistemin belleğinden (lsass.exe) çaldığı NTLM hash değerini kullanarak şifre bilmeden diğer sistemlere kimlik doğrulaması yapmasıdır. ACKLOG, Kerberos yerine NTLM kullanımını ve anormal Event ID 4776 kalıplarını izleyerek PtH saldırılarını tespit eder.

TEKNİK ÖZET & KRİTERLER
MITRE ATT&CK: T1550.002 – Pass the Hash.
Saldırı aracı: mimikatz ile lsass.exe belleğinden hash çalınması.
Tespit: Event ID 4776 (NTLM doğrulama) + Logon Type 3 korelasyonu.
ACKLOG: Admin hesaplarının NTLM kullanımında otomatik alarm.

Pass-the-Hash Nasıl Çalışır?

Saldırgan, ele geçirdiği bir sistemde mimikatz gibi araçlarla lsass.exe sürecinin belleğinden NTLM hash değerlerini çalar. Bu hash değerini kullanarak ağdaki diğer sistemlere NTLM protokolü ile kimlik doğrulaması yapar – şifreyi bilmesine gerek yoktur.

Tespit Stratejisi

Modern Active Directory ortamlarında Kerberos tercih edilir. Kerberos beklenirken NTLM ile yapılan kimlik doğrulamaları (Event ID 4776) PtH göstergesi olabilir. ACKLOG, admin hesaplarının NTLM kullanımını özellikle izler.

DEĞERLENDİRME & SONUÇ

Pass-the-Hash, Active Directory ortamlarında en tehlikeli yanal hareket tekniklerinden biridir. ACKLOG, NTLM kullanım kalıplarını izleyerek bu saldırıyı tespit eder.

Marka ve Geliştirici Bilgisi

Logsiem.com, ACKLOG yerli SIEM platformunun resmi ürün sitesidir. ACKLOG, BTPROSES tarafından geliştirilen yerli SIEM ve log yönetimi çözümüdür.

Teknik Referanslar ve Kaynakça
  1. Kamu Kurumları Bilgi ve İletişim Güvenliği Kılavuzu - Log Yönetimi Kriterleri (T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi)
  2. 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  3. Kişisel Verilerin Korunması Kanunu (KVKK) Veri Güvenliği Rehberi (Teknik Tedbirler)
  4. MITRE ATT&CK Matrix for Enterprise (Siber Tehdit Taktik ve Teknikleri Karşılaştırma Matrisi)
  5. ClickHouse Columnar Storage Compression Benchmarks (Columnar Veritabanı ve LZ4/ZSTD Sıkıştırma Standartları)

Sıkça Sorulan Sorular

Credential Guard, LAPS (Local Administrator Password Solution) ve NTLM kısıtlama politikaları PtH riskini önemli ölçüde azaltır.