بررسی حمله Pass The Hash چیست ؟ روش های جلوگیری
بررسی حمله Pass The Hash چیست ؟ روش های جلوگیری
امروز میخواهیم یکی از حملات جالب را براتون توضیح بدیم که شاید تعداد کمی از شما اسم این حمله رو بدونه. موضوع درمورد حمله Pass the hash چیست ؟ در ادامه تا حد متوسطی با این حمله بیشتر آشنا میشویم.
حمله Pass the hash چیست ؟
به زبان ساده Pass the Hash نوعی حمله سایبری است که در آن هکر یک password hash را میدزدد
و از آن برای ایجاد یک session جدید در همان شبکه استفاده میکند. اگر بخواهیم بهتر بگیم هکر از آن میتواند برای احراز هویت و دسترسی جانبی (lateral access) به سایر سیستم های شبکه استفاده کند.
- در حمله Pass the Hash برخلاف سایر حملات سرقت اطلاعات هویتی مثل پسورد (Credential theft Attacks)، هکر نیازی
به دانستن یا شکستن رمز عبور (Crack the Password) برای دسترسی به سیستم ندارد. بلکه از یک نسخه ذخیره شده رمز عبور برای شروع یک session جدید استفاده می کند بزارید کمی ساده تر در مورد حمله Pass the Hash صحبت کنیم حملات PTH از پروتکل احراز استفاده می کنند، زیرا هش رمزهای عبور برای هر session ثابت می ماند تا زمانی که رمز عبور عوض شود. مهاجمان معمولاً با استفاده از تکنیک (scraping a system’s active memory)، هشها را به دست میآورند.
Password hash چیست ؟
Password hash یک تابع ریاضی یک طرفه (one-way mathematical function) است که رمز عبور کاربر را به رشتهای از text تبدیل میکند که نمیتوان آن را معکوس یا رمزگشایی کرد تا رمز عبور واقعی را آشکار شود. به زبان ساده اگر بخواهیم براتون توضیح بدهیم یعنی این که گذرواژهها بهعنوان متن (text) یا کاراکتر (characters) ذخیره نمیشوند، بلکه نمادهای هش غیر توصیفی (nondescript hash symbols) هستند. برای مثال :
” کاربر گذرواژه خود را blacksecurityteam میزارد اما در دیتایس به این صورت ذخیره نمی شود بلکه به این صورت ذخیره میشود ba4e057206c1d5b7f22f6e2d62149af5 “
نکته : این کار الزامی هست اگر پسورد ها هش نشود و در دیتابیس ذخیره شود
و روزی دیتابیس هک شود منجر به این میشود تمام مشخصات (اطلاعات) کاربران لو بره اما اگر به صورت هش شده باشد و با الگوریتم درستی این کار انجام شده باشد هکر نمیتواند پسورد کاربران متوجه شود.
چرا حملات Pass the Hash Attacks یک نگرانی رو به رشد هستند ؟
شناسایی حملات مبتنی بر هویت (identity-based attack)، مانند حملات هش، که در آن هکر خود را به عنوان کاربر
درست یا بهتر بگیم (کاربری که احراز هویت کرده و وجود دارد در آن مکان) معرفی میکند، بسیار سخت است تشخیص درست دادن که ایا این فرد همان است یا خیر. اگر بخواهیم به عبارتی دیگر توضیح دهیم میتوان بگویم در اکثر راهحلهای امنیت سایبری سنتی نمیتوانند بین یک کاربر واقعی و یک مهاجم که خود را به عنوان یک کاربر (درست – واجب شرایط) پنهان میکند، تشخیص دهند
- محافظت در برابر حملات هش بسیار مهم است زیرا این تکنیک اغلب به عنوان دروازه ای برای سایر مسائل امنیتی جدی تر مانند data breaches ،identity theft و حملات بد افزار یا باج افزار عمل کنند.
حمله Pass the Hash چگونه کار می کند ؟
در حمله هش، مهاجم معمولاً از طریق یک تکنیک مهندسی اجتماعی مانند فیشینگ به شبکه دسترسی پیدا میکند، و او را متقاعد می کند
که اطلاعات شخصی خود را به اشتراک بگذارد. یا کاری میکند کاربر یک فایل را دانلود کند و خوب هنگامی که مهاجم به اکانت اون کاربر دسترسی پیدا می کند، از ابزارها و تکنیک های مختلفی استفاده می کند تا داده هایی را استخراج کند. همچنین از آنجایی که مهاجم هویت کاربر را از یک برنامه به برنامه دیگر جعل می کند، اغلب درگیر برداشت هش می شود – هش های اضافی را در سراسر سیستم جمع می کنند که می تواند برای دسترسی به مناطق بیشتری از شبکه و افزایش سطح دسترسی حسابی که مورد هدف قرار داده استفاده کند.
در مورد این حمله بیشتر بدانید !
به عبارت ساده تر : برای موفقیت یک حمله PTH، هکر ابتدا باید به یک کامپیوتر دسترسی پیدا کند تا بتواند به هش ها برسد. هنگامی که هکر شرابط خودش حضور خودش را در سیستم تارگت محکم کرد برای مثال با استفاد از backdoors و موارد دیگر بعد میتواند به سادگی بدون نگران بودن از این که دسترسی ش قطع شه شه به بقیه موارد بپردازد . از جمله مواردی که هکر به دنبال ان میرود این است که (اطاعات هویتی) بیشتری را برداشته و سطح دسترسی خود را در طول مسیر افزایش دهد.
نکته : مهاجم با یک یا چند هش رمز عبور معتبر میتواند دسترسی کامل به سیستم را به دست می آورد.
چگونه از حملات Pass The Hash جلوگیری کنیم ؟
اجرای موارد امنیتی زیر به حذف یا به حداقل رساندن حمله PtH کمک می کند؛ اجرای صحیح موارد زیر به شدت مهم است.
- Least Privilege Security Model :
محدوده (scope) را محدود می کند و با کاهش توانایی مهاجمان برای افزایش سطح دسترسی و مجوزهای صحیح، خطر یک حمله PtH را کاهش می دهد. (به صورت کلی هر چیزی که استفاده ازشون نمیکنید رو حذف کنید) !
- Separation of Privilege :
عوض کردن مکرر گذرواژهها . این فرایند به شما بسیار کمک میکند.