راهکارهای جلوگیری از دستیابی مهاجمان به رمز عبور
با توجه به Sophos Active Adversary Playbook 2021، استفاده حسابهای معتبر از طریق نام کاربری و رمز عبور، یکی از پنج تکنیک برتر مهاجمان برای ایجاد دسترسی اولیه است. با اینکه اعتبارنامههای معتبر در مرحله دسترسی اولیه بهسادگی لو میروند، اما میتوان از آنها در سراسر زنجیره حمله استفاده کرد. در این مطلب، با روشهای دستیابی مهاجمان به رمز عبور آشنا خواهید شد تا با شناخت بیشتر، بتوانید سطح امنیت رمز عبورهای سازمانی را افزایش دهید.
یک موضوع چالش برانگیز
استفاده دشمنان از حسابهای معتبر، بهویژه برای متخصصان امنیت سایبری، موضوعی چالشبرانگیز است. تشخیص استفاده غیرمجاز از حسابهای معتبر، در میان انبوهی از موارد استفاده قانونی بسیار دشوار است. اعتبار را میتوان به روشهای مختلفی به دست آورد و یک حساب معتبر میتواند سطوح مجوز متفاوتی در یک سازمان داشته باشد که از یک کاربر ساده تا سرپرست دامنه متغیر هستند.
یکی دیگر از مسائلی که شرایط را پیچیدهتر میکند، وجود انواع مختلفی از حسابها است که شامل مواردی همچون حسابهای آزمایشی، حسابهای خدماتی برای دسترسی غیر انسانی، APIها و حسابهای Third Party میشوند. از طرفی هم افراد بسیاری از اعتبار سازمانی خود در خدمات آنلاین نامرتبط استفاده میکنند. بیشتر آنها از یک آدرس ایمیل به جای نام کاربری استفاده میکنند که خطر قرار گرفتن در معرض تهدید را افزایش میدهد. متاسفانه استفاده از رمز عبور مشابه برای حسابهای مختلف هم امری عادی است که باعث میشود در صورت لو رفتن یک رمز عبور، حسابهای دیگر آن فرد هم در معرض خطر قرار بگیرند. از سوی دیگر هم، همهگیری ویروس کرونا باعث شد سازمانها امکان دسترسی از راه دور را برای همه کارکنان فراهم کنند که باعث افزایش موارد استفاده غیرمجاز از VPNها و ابزارهای دسترسی از راه دور شد.
مهاجمان چگونه اعتبار را به دست میآورند؟
فهرست راههای دستیابی به اعتبار، بسیار گسترده است و فقط چند مورد از آنها را بررسی خواهیم کرد. هدف نهایی عوامل تهدید، دستیابی به بالاترین سطح امتیاز برای دستیابی به اهدافشان مثل غیرفعال کردن راهکارهای امنیتی، استخراج دادهها، حذف پشتیبانگیری و استقرار باجافزار است. آنها انتظار ندارند حساب سرپرست دامنه را از طریق یک ایمیل فیشینگ دریافت کنند! در عوض با اهداف سادهتر شروع میکنند و طی یک مسیر، به هدف اصلی میرسند.
روشهای خارجی شامل فیشینگ، Brute Force، مهندسی اجتماعی (به عنوان مثال، فردی که تظاهر میکند یک ارائهدهنده خدمات IT قابل اعتماد است و درخواست ایجاد حساب کاربری میکند) و SQL Injection میشوند. این روشها در مواردی بهعنوان مجموعههایی قابل فروش یا حتی رایگان در دسترس قرار میگیرند.
مهاجمان تلاش میکنند اعتبارنامههای بهدستآمده را با روشهای دسترسی خارجی، در تکنیکی که به عنوان Stuffing شناخته میشود، تطبیق دهند. از آنجایی که نمیتوان انتظار داشت که کاربران بیش از چند کلمه عبور را به خاطر بسپارند، استفاده مجدد از اعتبارنامهها رایج است و نامهای کاربری اغلب بر اساس فرمتهای آدرس ایمیل استخراج میشوند. به همین دلیل است که احراز هویت چند عاملی در تمام دسترسیهای خارجی اهمیت بسیار بالایی دارد. وقتی که یک مورد از مجموعه اعتبارنامهها با روش دسترسی از راه دور همخوانی داشت، عامل تهدید میتواند به یک کاربر معتبر تبدیل شود و در سازمان شما پنهان شود.
پیش از اینکه به روشهای Privilege Escalation برسیم، باید به این نکته مهم توجه کنیم که روشهای دسترسی دیگری هم وجود دارند که به اعتبار نیازی ندارند. Exploitها یا رمزهای عبور پیشفرض در متمرکزکنندههای VPN، Exchange، فایروالها، روترها، وبسرورها و SQL Injection، همگی برای ورود به سازمان مورد استفاده قرار گرفتهاند. پس از ورود، از آنجایی که حسابهای کاربری ساده دسترسی کافی برای انجام تکنیکهای شناسایی مختلف ندارند، تمرکز مهاجم روی ایجاد مسیری مناسب برای دستیابی به دسترسیهای سطح بالاتر یا ایجاد حسابهای مختلف برای حفظ دسترسی خواهد بود. بهطور کلی ابزارها و روشهایی که ممکن است در این پروسه توسط مهاجم استفاده شوند، شامل موارد زیر هستند:
- کشف اطلاعات مربوط به سیستم و محیط اطراف با استفاده از دستورات سادهای مثل whoami و ipconfig.
- جستجوی دستگاهی که وارد آن شده برای پیدا کردن فایلهایی که دارای رمز عبور در نام یا محتویاتشان باشند.
- جستجوی LDAP برای کسب اینکه چه حسابهای دیگری ممکن است اهداف مناسبی باشند.
- بررسی رجیستری ویندوز برای یافتن اطلاعات کاربری که در این بخش ذخیره شدهاند.
- جستجوی کوکیهای وب برای کشف اطلاعات کاربری ذخیره شده.
- آمادهسازی یک ابزار فرمان مبتنی بر PowerShell، تا حتی اگر کاربر رمز عبور خود را تغییر داد، همچنان امکان ورود به سیستم وجود داشته باشد.
- جستجو و کشف اینکه چه برنامههایی روی سیستم نصب شدهاند. ابزارهای دسترسی از راه دور و ابزارهای مدیریتی مانند PSExec و PSKill، در صورتی که در سیستم وجود داشته باشند میتوانند برای پیشبرد اهداف مهاجم بسیار مفید باشند.
مقاله پیشنهادی: “محصولات و امکانات جدید امنیت شبکه“
در مرحله بعد و البته تنها در صورت نیاز، مهاجم ممکن است این روند را با نصب و استفاده از برنامههای ناخواسته ادامه دهد. PSExec و PSKill، ابزارهای رسمی مدیریتی مایکروسافت هستند، اما کاربردهای فراوان دیگری نیز دارند. IObit، GMER، Process Hacker، AutoIT، Nircmd، اسکنرهای پورت و ابزارهای Packet Sniffer، همگی در حملاتی که روی آنها بررسی انجام گرفته، استفاده شدهاند. هدف این ابزارها فلج کردن راهحلهای امنیتی EndPoint است. بنابراین عامل تهدید میتواند به مرحله بعدی برود، یعنی جایی که از ابزارهایی استفاده میکند که احتمالا شرایط را واقعا خطرناک میکنند.
ابزارهای محبوبی که برای یافتن حسابهای دارای امتیاز بالاتر استفاده میشوند عبارتند از Mimikatz، IcedID، PowerSploit و Cobalt Strike. Trickbotنیز یکی از همین ابزارهاست که دیگر محبوبیت چندانی ندارد. این ابزارها تواناییهای پیچیدهای برای ضبط، تفسیر، دستکاری و ارسال اطلاعاتی دارند که شبکهها برای احراز هویت کاربران (مثل Kerberos) از آنها استفاده میکنند. در حالی که دادهها رمزگذاری شدهاند، ثابت شده که این اقدام صرفا سرعت عمل مهاجمان ماهر را کاهش داده و جلوی رسیدن به اهدافشان را نمیگیرد. رمز عبورهای رمزگذاریشده مربوط به حسابهای معتبر، اغلب میتواند از طریق شبکه ارسال و پذیرفته شوند؛ این روش به عنوان تکنیکهای Pass-the-Hash و Pass-the-Ticket شناخته میشود.
برای تطبیق سریع رمز عبور رمزگذاریشده با اطلاعات متنی، از جداول گسترده گذرواژهها استفاده میشود. ابزارهای Keylogger ممکن است برای ضبط کلیدهای فشردهشده صفحه کلید روی دستگاه اضافه شوند تا رمز عبور بدون هیچ رمزگذاری را فاش کنند. اخیرا آسیبپذیریهای خاصی مانند HiveNightmare/SeriousSam و PrintNightmare آش شدهاند که امکان دسترسی به اعتبارنامهها را حتی بدون حقوق مدیریتی فراهم میکنند. همه این موارد را که کنار بگذاریم، ابزارهایی مانند LaZagne بهراحتی در دسترس هستند و توانایی انجام همه این کارها را دارند! مهاجمان بهکمک چنین ابزراهایی میتوانند حتی رمزهای عبور ذخیرهشده در مرورگرها، نرمافزارهای پیامرسان، پایگاههای داده، بازیها، ایمیل و وایفای را بازیابی کنند.
استفاده از مدارک معتبر
اعتبارنامههای معتبر، بهویژه آنهایی که حقوق سطح مدیریت دارند، چند کاربرد قابل توجه دارند؛ آنها میتوانند در سراسر یک سازمان، برای تغییر Group Policy، غیرفعال کردن ابزارهای امنیتی، حذف و ایجاد حسابهای جدید استفاده شوند. بسیاری از مهاجمان، دادهها را پس از استخراج برای فروش گذاشته یا بهمنظور اخاذی یا جاسوسی از آنها استفاده میکنند. دادهها ممکن است برای جعل هویت و انجام حملاتی با ایمیلهای تجاری هم استفاده شوند. اما در اغلب موارد، قصد مهاجم فقط فراهم کردن راهی برای توزیع و اجرای هر گونه باجافزار به عنوان سرویس است و اگر این کار انجام نشد، در موارد بسیاری، مهاجمان فقط از حساب معتبر برای فعال کردن BitLocker یا تغییر کلید آن استفاده میکنند.
جمعبندی: راه محافظت از سازمان چیست؟
با مشکلی جدی مواجه هستیم که میتواند عواقب جبرانناپذیری داشته باشد؛ اما خبر خوش اینجاست که راهحل این مشکل هم به خوبی شناخته شده است و از طریق افراد، فرآیند و فناوری به آن پرداخته میشود. بخشهایی از آموزش امنیت سایبری که روی افراد متمرکز است، شامل موارد زیر میشود:
- نحوه شناسایی ایمیلهای فیشینگ
- عدم استفاده مجدد از رمزهای عبور
- عدم استفاده از رمزهای عبور کاری برای حسابهای شخصی
- پیچیده کردن رمز عبور
- اجتناب از مراجعه به وبسایتهای مشکوک
و در سمت دیگر، یعنی از نظر فرآیند و تکنولوژی هم شامل موارد زیر میشود:
- احراز هویت چند عاملی باید تا حد امکان بهطور گسترده مورد استفاده قرار گیرد.
- سطح حمله خارجی باید تا حد امکان کوچک باشد و بهروز نگه داشته شود.
- تعداد حسابهایی که بالاترین سطح را دارند باید به حداقل برسد.
- استفاده از حقوق مدیریت محلی باید محدود شود.
- حسابهای خدمات و آزمایشی استفاده نشده باید حذف شوند.
- باید بر استفاده از ابزارهای قدرتمند مدیریت و برنامههای ناخواسته کنترل و نظارت وجود داشته باشد.
- وجود نظارت کافی بر ورودهای غیرمنتظره از نظر موقعیت جغرافیایی و زمان.
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.