حمله Pass-The-Hash چیست؟ دیگر نیاز به کرک پسورد نیست!

حمله pass-the-hash (PtH) نوعی حمله امنیت سایبری است که در آن مهاجم اعتبارنامه کاربری که به صورت “هش” شده است را به سرقت میبرد و از آن برای ایجاد یک نشست کاربری جدید در همان شبکه استفاده میکند. بر خلاف سایر حملات سرقت اعتبارنامه، در حمله گذر از هش، مهاجم برای دسترسی به سیستم نیازی به دانستن یا کرک کردن رمز عبور ندارد. بلکه از یک نسخه ذخیرهشده از رمز عبور برای شروع یک نشست جدید استفاده میکند.
هش رمز عبور چیست؟
هش رمز عبور یک تابع ریاضی یک طرفه است که رمز عبور کاربر را به یک رشته متن تبدیل میکند که قابل بازگردانی یا رمزگشایی برای نمایش رمز عبور واقعی نیست. به عبارت ساده، رمزهای عبور به صورت متن یا کاراکتر ذخیره نمی شوند، بلکه به صورت نمادهای هش نامشخص ذخیره می شوند.
چرا حمله Pass-The-Hash به یک نگرانی فزاینده تبدیل شده اند؟
با توجه به اینکه سازمانهای بیشتری از فناوری ورود یکپارچه (SSO) برای توانمندسازی نیروی کار از راه دور و بهبود تجربه کاربری استفاده میکنند، مهاجمان به آسیبپذیری ذاتی رمزهای عبور ذخیرهشده و اعتبارنامههای کاربری پی بردهاند.
حملات مبتنی بر هویت، مانند حملات گذر از هش، که در آن مهاجمان خود را به عنوان کاربران مجاز جا میزنند، به دلیل اینکه اکثر راهکارهای امنیت سایبری سنتی نمیتوانند بین یک کاربر واقعی و مهاجمی که وانمود به کاربر واقعی میکند تمایز قائل شوند، به ویژه برای شناسایی دشوار هستند.
به همین دلیل، محافظت در برابر حملات گذر از هش بسیار مهم است، زیرا این تکنیک اغلب به عنوان دروازهای برای سایر مسائل امنیتی جدیتر مانند نقض دادهها، سرقت هویت و حملات بدافزار یا باجافزار عمل میکند.
حمله Pass-The-Hash چگونه کار میکند؟
در یک حمله گذر از هش، مهاجم معمولاً از طریق یک تکنیک مهندسی اجتماعی مانند فیشینگ به شبکه نفوذ میکند. فیشینگ روشی است که در آن یک مجرم سایبری با فریب احساسات قربانی، مانند ترس، همدردی یا طمع، او را برای به اشتراک گذاشتن اطلاعات شخصی یا دانلود یک فایل مخرب ترغیب میکند.
پس از دسترسی مهاجم به حساب کاربری، او از ابزارها و تکنیکهای مختلفی برای اسکن حافظه فعال سیستم استفاده میکند تا به دادههایی برسد که او را به هش رمز عبور برساند.
مهاجم با در اختیار داشتن یک یا چند هش معتبر از رمز عبور، میتواند به دسترسی کامل به سیستم دست یابد و امکان حرکت جانبی (Lateral Movement) در سراسر شبکه را داشته باشد. از آنجایی که مهاجم خود را به عنوان کاربر در برنامههای مختلف جا میزند، اغلب به جمعآوری هشهای بیشتر (Hash Harvesting) روی میآورد. این کار به مهاجم امکان دسترسی به بخشهای بیشتری از شبکه، افزایش سطح دسترسی حساب کاربری، هدف قرار دادن یک حساب کاربری با سطح دسترسی بالا و ایجاد درهای پشتی و سایر گذرگاهها برای دسترسیهای بعدی را میدهد.
چه سیستمهایی در برابر حملات گذر از هش آسیبپذیر هستند؟
سرورهای ویندوزی و سازمانهایی که به طور خاص از پروتکل احراز هویت مایکروسافت تحت عنوان NTLM (مدیریت شبکه محلی تکنولوژی جدید) استفاده میکنند، در برابر حملات گذر از هش آسیبپذیرتر هستند.
NTLM مجموعهای از پروتکلهای امنیتی مایکروسافت است که هویت کاربران را تأیید میکند و از یکپارچگی و محرمانگی فعالیتهای آنها محافظت میکند. اساساً، NTLM یک ابزار ورود یکپارچه (SSO) است که برای تأیید هویت کاربر بدون نیاز به ارسال رمز عبور، بر اساس پروتکل چالش-پاسخ (Challenge-Response) عمل میکند. این فرآیند با نام احراز هویت NTLM شناخته میشود.
بررسی یک سناریوی حمله گذر از هش اخیر
در آوریل ۲۰۲۲، پلتفرم باجافزار تحت عنوان سرویس (RaaS) به نام Hive از تکنیک گذر از هش برای پیشبرد یک حمله هماهنگ علیه تعداد زیادی از مشتریان سرور Exchange مایکروسافت، از جمله آنهایی که در بخشهای انرژی، خدمات مالی، سازمانهای غیرانتفاعی و بهداشت و درمان فعالیت میکنند، استفاده کرد.
این حمله از یک آسیبپذیری خاص در سرور Exchange مایکروسافت به نام ProxyShell سواستفاده کرد. اگرچه این آسیبپذیری به سرعت توسط مایکروسافت وصله شد، بسیاری از کسبوکارها نرمافزار خود را بهروز نکرده بودند و در معرض خطر قرار گرفتند.
مهاجمان با سوءاستفاده از آسیبپذیری ProxyShell یک اسکریپت مخرب تحت وب را کاشتند که برای اجرای کد مخرب روی سرور Exchange استفاده میشد. سپس مهاجمان با استفاده از تکنیک گذر از هش و ابزار Mimikatz برای سرقت هش NTLM، کنترل سیستم را به دست گرفتند. سپس گروه Hive اقدام به شناسایی بر روی سرور، جمعآوری دادهها و استقرار باجافزار کردند.
مقابله با حملات گذر از هش
برای جلوگیری از حملات گذر از هش در سطح سازمانی، سازمانها باید درک کنند که بهترین شیوههای امنیتی سنتی، مانند تعیین الزامات قوی برای رمز عبور و نظارت بر تلاشهای ورود متعدد، برای این روش خاص حمله، کمک محدودی خواهند داشت. خوشبختانه، شرکتها میتوانند چندین اقدام مؤثر دیگر برای جلوگیری از حملات گذر از هش و محدود کردن تأثیر آنها انجام دهند:
۱. محدود کردن دسترسی به شبکه و سطح دسترسی حسابها
سازمانها همچنین باید برای محدود کردن حرکت هکر و کاهش آسیب، اقداماتی را برای محدود کردن دسترسی به شبکه انجام دهند. برخی از این تکنیکها عبارتند از:
اصل حداقل امتیاز (POLP): اصل حداقل امتیاز (POLP) یک مفهوم و روش امنیتی رایانهای است که به کاربران حقوق دسترسی محدودی را بر اساس وظایفی که برای شغلشان ضروری است، اعطا میکند. این اصل اطمینان میدهد که فقط کاربران مجاز که هویتشان تأیید شده است، مجوزهای لازم برای اجرای کارها در سیستمها، برنامهها، دادهها و سایر داراییهای خاص را دارند. این اصل به طور گسترده به عنوان یکی از مؤثرترین روشها برای تقویت وضعیت امنیت سایبری سازمان در نظر گرفته میشود، زیرا به سازمانها اجازه میدهد تا دسترسی به شبکه و دادهها را کنترل و نظارت کنند.
اعتماد صفر (Zero Trust): اعتماد صفر یک چارچوب امنیتی است که نیازمند احراز هویت، مجوز و اعتبارسنجی مداوم همه کاربران (چه در داخل و چه خارج از شبکه سازمان) قبل از دریافت دسترسی به برنامهها و دادهها است. این چارچوب، فناوریهای پیشرفتهای مانند MFA مبتنی بر ریسک، حفاظت از هویت، امنیت نقطه پایانی نسل بعدی و فناوری قدرتمند بار کاری ابری را برای تأیید هویت کاربر یا سیستم، در نظر گرفتن دسترسی در آن لحظه خاص و حفظ امنیت سیستم ترکیب میکند. اعتماد صفر همچنین نیازمند در نظر گرفتن رمزگذاری دادهها، ایمنسازی ایمیل و تأیید بهداشت داراییها و نقاط انتهایی قبل از اتصال به برنامهها است.
مدیریت دسترسی ویژه (PAM): مدیریت دسترسی ویژه (PAM) یک استراتژی امنیت سایبری است که بر حفظ امنیت حساب کاربری مدیر و اعتبارنامههای ویژه آن تمرکز دارد.
بخشبندی هویت (Identity Segmentation): بخشبندی هویت روشی برای محدود کردن دسترسی کاربران به برنامهها یا منابع بر اساس هویت است.
کاهش سطح حمله: پروتکلهای قدیمی مانند NTLM را که دارای آسیبپذیریهای شناختهشدهای هستند و معمولاً توسط مهاجمان مورد سوءاستفاده قرار میگیرند، غیرفعال کنید.
۲. راهاندازی راهحل تشخیص و پاسخ به تهدید هویت
یک راهحل جامع تشخیص و پاسخ به تهدید میتواند به کاهش خطر سوءاستفاده مهاجم از حمله گذر از هش برای شروع حرکت جانبی یا تلاش برای اتصال به یک کنترلکننده دامنه AD از طریق RDP کمک کند. چنین راهحلی با داشتن سنسوری روی کنترلکننده دامنه AD که میتواند تمام ترافیک احراز هویت و همچنین دید به نقاط نهایی را ببیند، میتواند تهدیدات را در سراسر نقاط نهایی و لایه هویت برای متوقف کردن مهاجم از ادامه کار مرتبط کند.
در حالی که راهحلهای MFA به تنهایی نمیتوانند به حملهای که در آن مهاجم رمز عبور را به دست آورده است، رسیدگی کنند، این راهکار میتواند به محض تشخیص رفتار غیرعادی یا تهدیدی مبتنی بر هویت، مانند درخواستی که از یک نقطه انتهایی یا کاربری که قبلاً استفاده نشده است، فرآیندی برای تایید هویت چندعاملی (MFA) را آغاز کند. تلاش برای اجرای چیزی در فرآیند زیرسیستم Local Security Authority Subsystem Service (LSASS) این کار اطمینان میدهد که حتی اگر مهاجم بتواند حمله PtH را با موفقیت آغاز کند، نمیتواند آسیب بیشتری وارد کند.
3. انجام تست نفوذ و یا ردتیمینگ (RedTeaming)
تست نفوذ و یا عملیات تیم قرمز که گاهی اوقات به عنوان هک اخلاقی نیز شناخته میشود، اقدام مهم دیگری است که سازمانها میتوانند برای محافظت از خود در برابر حملات مبتنی بر هویت مانند گذر از هش انجام دهند. تست نفوذ مجموعهای از حملات سایبری واقعی را برای آزمایش تواناییهای امنیت سایبری یک سازمان و آشکارسازی آسیبپذیریها شبیهسازی میکند. این تست شامل شناسایی سیستم، enumeration، کشف آسیبپذیری، سوءاستفاده، افزایش سطح دسترسی، حرکت جانبی و رسیدن به اهداف است.
4. رویکرد پیشگیرانهی شکار تهدید (Proactive Threat Hunting)
جستجوی پیشگیرانه شکار تهدید، امکان جستجو را برای حملات ناشناخته و پنهانی که از اعتبارنامههای سرقتشده استفاده میکنند و تحت پوشش کاربران مجاز انجام میشوند، فراهم میکند. این اقدام زمانی انجام میشود که اقدامات استاندارد ممکن است آنها را از دست بدهند.
مطالب زیر را حتما بخوانید
-
دوره SOC-200 شرکت OffSec: مقدمهای بر عملیات مرکز امنیت (SOC)
19 بازدید
-
بررسی جامع Mythic C2: فریمورک قدرتمند برای تست نفوذ و عملیات تیم قرمز
32 بازدید
-
AS-REP Roasting: تحلیل حمله به پروتکل Kerberos و راهکارهای مقابله
51 بازدید
-
بررسی تیم قرمز (Red Team) و تیم آبی (Blue Team) در امنیت سایبری
3.51k بازدید
-
معرفی کامل Veil Framework: ابزار قدرتمند تست نفوذ و دور زدن آنتیویروسها
168 بازدید
-
آشنایی کامل با Social Engineering Toolkit (SET): ابزار قدرتمند حملات مهندسی اجتماعی
231 بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.