۷ نوع حمله مبتنی بر هویت (IDENTITY-BASED ATTACKS)
آیا می دانستید که ۸۰ درصد از تمام حملات سایبری از طریق هویت های به خطر افتاده انجام می شود و شناسایی آن ها تا ۲۵۰ روز طول می کشد؟
متاسفانه، حملات مبتنی بر هویت به طور فوق العاده ای دشوار کشف می شوند. هنگامی که اعتبار کاربر معتبر به خطر می افتد و مهاجم خود را به جای آن کاربر جا می زند، تمایز قائل شدن بین رفتار معمولی کاربر و رفتار هکر با استفاده از ابزارها و اقدامات امنیتی سنتی اغلب بسیار دشوار است.
برای درک بهتر چشم انداز تهدیدات مبتنی بر هویت، بیایید هفت حمله رایج مبتنی بر هویت و نحوه عملکرد آنها را بررسی کنیم.
انواع حملات مبتنی بر هویت
۱. تزریق اعتبار (Credential Stuffing)
تزریق اعتبار یک حمله سایبری است که در آن مجرمین سایبری از اعتبار ورود به سیستم های سرقت شده از یک سیستم برای تلاش برای دسترسی به یک سیستم نامرتبط استفاده می کنند.
حملات تزریق اعتبار یک مسیر حمله نسبتا ساده را دنبال می کنند. ابتدا، مهاجم از اعتبار حسابهای سرقت شده استفاده می کند یا اعتبارهای نقض شده را از طریق دارک وب خریداری می کند. با در اختیار داشتن اعتبار، مهاجم سپس یک بات نت یا ابزار اتوماسیون دیگری را برای تلاش همزمان برای ورود به چندین حساب نامرتبط راه اندازی می کند. سپس بات بررسی می کند که آیا به هر سرویس یا حساب ثانویه ای دسترسی داده شده است یا خیر. در صورت موفقیت آمیز بودن تلاش ورود، مهاجم اطلاعات بیشتری مانند دادههای شخصی، اطلاعات کارت اعتباری ذخیره شده یا جزئیات بانکی را جمع آوری می کند.
۲. حمله بليط طلایی (Golden Ticket Attack)
حمله بليط طلایی تلاشی برای به دست آوردن دسترسی تقریبا نامحدود به دامنه یک سازمان با دسترسی به داده های کاربری ذخیره شده در Active Directory (AD) مایکروسافت است. این حمله از نقاط ضعف در پروتکل احراز هویت Kerberos که برای دسترسی به AD استفاده می شود، سوء استفاده می کند و به مهاجم اجازه می دهد تا از احراز هویت معمولی عبور کند.
برای انجام یک حمله بليط طلایی، مهاجم به موارد زیر نیاز دارد:
- نام دامنه (FQDN)
- شناسه امنیتی دامنه (SID)
- هش رمز عبور KRBTGT
- نام کاربری حسابی که قرار است به آن دسترسی پیدا کند
۳. سرقت اعتبار Kerberos یا (Kerberoasting)
سرقت اعتبار Kerberos یک تکنیک حمله پس از سوءاستفاده است که تلاش می کند رمز عبور یک حساب کاربری سرویس درون AD را بشکند.
در چنین حمله ای، مهاجمی که خود را به عنوان یک کاربر حساب با یک نام اصلی سرویس Service Principal Name به اختصار (SPN) جا می زند، درخواست یک تیکت می کند که حاوی یک رمز عبور رمزگذاری شده یا Kerberos است. (یک SPN یک ویژگی است که یک سرویس را به یک حساب کاربری درون AD متصل می کند). سپس مهاجم به صورت آفلاین برای شکستن هش رمز عبور، اغلب با استفاده از تکنیک های brute force، کار می کند.
هنگامی که اعتبارنامه های متنی ساده حساب کاربری سرویس در معرض دید قرار می گیرند، مهاجم دارای اعتبار کاربری است که می تواند از آن برای جعل هویت صاحب حساب استفاده کند.
۴. حمله مرد میانی (Man-in-the-Middle Attack)
حمله مرد میانی نوعی حمله سایبری است که در آن مهاجم به مکالمه بین دو نفر، دو سیستم یا یک نفر و یک سیستم گوش می دهد.
هدف از حمله مرد میانی جمع آوری اطلاعات شخصی، رمز عبور یا جزئیات بانکی و یا فریب قربانی برای انجام کارهایی مانند تغییر اعتبار ورود، تکمیل تراکنش یا آغاز انتقال وجه است.
۵. حمله عبور از هش (Pass-the-Hash Attack)
عبور از هش (PtH) نوعی حمله سایبری است که در آن مهاجم اعتبار کاربری “هش شده” را سرقت می کند و از آن برای ایجاد یک جلسه کاربری جدید بر روی همان شبکه استفاده می کند.
مهاجم به طور معمول از طریق یک تکنیک مهندسی اجتماعی به شبکه دسترسی پیدا می کند. هنگامی که مهاجم به حساب کاربری دسترسی پیدا کرد، از ابزارها و تکنیک های مختلفی برای اسکن حافظه فعال استفاده می کند تا به داده هایی دست یابد که او را به هش ها برساند.
مهاجم با داشتن یک یا چند هش رمز عبور معتبر، به دسترسی کامل به سیستم دست می یابد و امکان حرکت جانبی در سراسر شبکه را فراهم می کند. از آنجایی که مهاجم خود را از یک برنامه به برنامه دیگر به جای کاربر واقعی جا می زند، اغلب درگیر جمع آوری هش می شود. جمع آوری هش های اضافی در سراسر سیستم که می تواند برای دسترسی به بخش های بیشتری از شبکه، افزودن امتیازات حساب، هدف قرار دادن یک حساب کاربری با امتیاز بالا و ایجاد درهای پشتی و سایر دروازه ها برای فعال کردن دسترسی های بعدی استفاده شود.
۶. پاشش رمز عبور (Password Spraying)
پاشش رمز عبور یک تکنیک brute-force است که در آن هکر از یک رمز عبور رایج برای چندین حساب کاربری استفاده می کند.
ابتدا، مهاجم لیستی از نامهای کاربری به دست میآورد، سپس با استفاده از همان رمز عبور تلاش میکند با تمام نامهای کاربری وارد شود. مهاجم این فرآیند را با رمزهای عبور جدید تکرار میکند تا زمانی که حمله سیستم احراز هویت هدف را برای به دست آوردن دسترسی به حساب و سیستم نقض کند.
۷. حمله بليط نقرهای (Silver Ticket Attack)
بلیط نقرهای یک بلیط احراز هویت جعل شده است که اغلب زمانی ایجاد میشود که مهاجمی رمز عبور یک حساب کاربری را بدزدد. حملات بلیط نقرهای از این احراز هویت برای جعل بلیطهای سرویس اعطای بلیط (TGS) استفاده میکنند. یک بلیط سرویس جعل شده، رمزگذاری شده است و امکان دسترسی به منابع برای سرویس خاصی را که توسط حمله بلیط نقرهای هدف قرار گرفته است، فراهم میکند.
هنگامی که مهاجم بلیط نقرهای جعل شده را به دست میآورد، میتواند کد را بهعنوان سیستم محلی هدف اجرا کند. سپس آنها میتوانند امتیازات خود را روی میزبان محلی افزایش دهند و شروع به حرکت جانبی در محیط به خطر افتاده کنند یا حتی یک بلیط طلایی ایجاد کنند. این به آنها دسترسی به بیش از خدمات مورد نظر در ابتدا می دهد و یک تاکتیک برای اجتناب از اقدامات پیشگیری امنیت سایبری است.
مطالب زیر را حتما بخوانید
-
معرفی کامل Veil Framework: ابزار قدرتمند تست نفوذ و دور زدن آنتیویروسها
7 بازدید
-
آشنایی کامل با Social Engineering Toolkit (SET): ابزار قدرتمند حملات مهندسی اجتماعی
33 بازدید
-
هرآنچه باید درباره باجافزار WannaCry بدانید: یکی از بزرگترین تهدیدات سایبری تاریخ
32 بازدید
-
سیاست Least Privilege: کلید طلایی برای حفاظت از دادهها و کاهش ریسکهای امنیتی
41 بازدید
-
Obfuscation چیست و چه کاربردهایی دارد؟ بررسی تکنیکهای پنهانسازی در امنیت سایبری
40 بازدید
-
بدافزارهای بدون فایل (Fileless Malware): تهدیدی پیشرفته در دنیای امنیت سایبری
47 بازدید