بررسی حمله Pass The Hash چیست ؟ روش های جلوگیری

1258 بازدید

دسته بندی: آموزشی - امنیت منتشر شده در 1401-12-12 نویسنده: مهرشاد محمدی زمان مطالعه: 5 دقیقه 0 نظر به روز شده در 1401-12-12

بررسی حمله Pass The Hash چیست ؟ روش های جلوگیری

امروز میخواهیم یکی از حملات جالب را براتون توضیح بدیم که شاید تعداد کمی از شما اسم این حمله رو بدونه. موضوع درمورد حمله Pass the hash چیست ؟ در ادامه تا حد متوسطی با این حمله بیشتر آشنا میشویم.

حمله Pass the hash چیست ؟

به زبان ساده Pass the Hash نوعی حمله سایبری است که در آن هکر یک password hash را می‌دزدد
و از آن برای ایجاد یک session جدید در همان شبکه استفاده می‌کند. اگر بخواهیم بهتر بگیم هکر از آن میتواند برای احراز هویت و دسترسی جانبی (lateral access) به سایر سیستم های شبکه استفاده کند.

در حمله Pass the Hash برخلاف سایر حملات سرقت اطلاعات هویتی مثل پسورد (Credential theft Attacks)، هکر نیازی
به دانستن یا شکستن رمز عبور (Crack the Password) برای دسترسی به سیستم ندارد. بلکه از یک نسخه ذخیره شده رمز عبور برای شروع یک session جدید استفاده می کند بزارید کمی ساده تر در مورد حمله Pass the Hash صحبت کنیم حملات PTH از پروتکل احراز استفاده می کنند، زیرا هش رمزهای عبور برای هر session ثابت می ماند تا زمانی که رمز عبور عوض شود. مهاجمان معمولاً با استفاده از تکنیک (scraping a system’s active memory)، هش‌ها را به دست می‌آورند.

Password hash چیست ؟

Password hash یک تابع ریاضی یک طرفه (one-way mathematical function) است که رمز عبور کاربر را به رشته‌ای از text تبدیل می‌کند که نمی‌توان آن را معکوس یا رمزگشایی کرد تا رمز عبور واقعی را آشکار شود. به زبان ساده اگر بخواهیم براتون توضیح بدهیم یعنی این که گذرواژه‌ها به‌عنوان متن (text) یا کاراکتر (characters) ذخیره نمی‌شوند، بلکه نمادهای هش غیر توصیفی (nondescript hash symbols) هستند. برای مثال :

” کاربر گذرواژه خود را blacksecurityteam میزارد اما در دیتایس به این صورت ذخیره نمی شود بلکه به این صورت ذخیره میشود ba4e057206c1d5b7f22f6e2d62149af5 “

نکته : این کار الزامی هست اگر پسورد ها هش نشود و در دیتابیس ذخیره شود
و روزی دیتابیس هک شود منجر به این میشود تمام مشخصات (اطلاعات) کاربران لو بره اما اگر به صورت هش شده باشد و با الگوریتم درستی این کار انجام شده باشد هکر نمیتواند پسورد کاربران متوجه شود.

چرا حملات Pass the Hash Attacks یک نگرانی رو به رشد هستند ؟

شناسایی حملات مبتنی بر هویت (identity-based attack)، مانند حملات هش، که در آن هکر خود را به عنوان کاربر
درست یا بهتر بگیم (کاربری که احراز هویت کرده و وجود دارد در آن مکان) معرفی می‌کند، بسیار سخت است تشخیص درست دادن که ایا این فرد همان است یا خیر. اگر بخواهیم به عبارتی دیگر توضیح دهیم میتوان بگویم در اکثر راه‌حل‌های امنیت سایبری سنتی نمی‌توانند بین یک کاربر واقعی و یک مهاجم که خود را به عنوان یک کاربر (درست – واجب شرایط) پنهان می‌کند، تشخیص دهند

محافظت در برابر حملات هش بسیار مهم است زیرا این تکنیک اغلب به عنوان دروازه ای برای سایر مسائل امنیتی جدی تر مانند data breaches ،identity theft و حملات بد افزار یا باج افزار عمل کنند.

حمله Pass the Hash چگونه کار می کند ؟

در حمله هش، مهاجم معمولاً از طریق یک تکنیک مهندسی اجتماعی مانند فیشینگ به شبکه دسترسی پیدا می‌کند، و او را متقاعد می کند
که اطلاعات شخصی خود را به اشتراک بگذارد. یا کاری میکند کاربر یک فایل را دانلود کند و خوب هنگامی که مهاجم به اکانت اون کاربر دسترسی پیدا می کند، از ابزارها و تکنیک های مختلفی استفاده می کند تا داده هایی را استخراج کند. همچنین از آنجایی که مهاجم هویت کاربر را از یک برنامه به برنامه دیگر جعل می کند، اغلب درگیر برداشت هش می شود – هش های اضافی را در سراسر سیستم جمع می کنند که می تواند برای دسترسی به مناطق بیشتری از شبکه و افزایش سطح دسترسی حسابی که مورد هدف قرار داده استفاده کند.

در مورد این حمله بیشتر بدانید !

به عبارت ساده تر : برای موفقیت یک حمله PTH، هکر ابتدا باید به یک کامپیوتر دسترسی پیدا کند تا بتواند به هش ها برسد. هنگامی که هکر شرابط خودش حضور خودش را در سیستم تارگت محکم کرد برای مثال با استفاد از backdoors و موارد دیگر بعد میتواند به سادگی بدون نگران بودن از این که دسترسی ش قطع شه شه به بقیه موارد بپردازد . از جمله مواردی که هکر به دنبال ان میرود این است که (اطاعات هویتی) بیشتری را برداشته و سطح دسترسی خود را در طول مسیر افزایش دهد.

نکته : مهاجم با یک یا چند هش رمز عبور معتبر میتواند دسترسی کامل به سیستم را به دست می آورد.

چگونه از حملات Pass The Hash جلوگیری کنیم ؟

اجرای موارد امنیتی زیر به حذف یا به حداقل رساندن حمله PtH کمک می کند؛ اجرای صحیح موارد زیر به شدت مهم است.

Least Privilege Security Model :

محدوده (scope) را محدود می کند و با کاهش توانایی مهاجمان برای افزایش سطح دسترسی و مجوزهای صحیح، خطر یک حمله PtH را کاهش می دهد. (به صورت کلی هر چیزی که استفاده ازشون نمیکنید رو حذف کنید) !