0
0

حمله Internal Monologue Attack چیست ؟

1729 بازدید
Internal Monologue Attack چیست ؟

حمله Internal Monologue Attack چیست ؟

 

شاید شما هم مانند خیلی از افرادی که پا به دنیای تست و نفوذ میزارن اسم حملاتی رو میشنوید که براتون عجیب هست یا به خوبی انها رو نمیتونید درک کنید.
امروز ما تصمیم گرفتیم راجب یکی از حمله های جالب صحبت کنیم که به آن مرحله “internal monologue attack” گویند این تکنیک توسط Elad Shamir به نام “internal monologue attack” نام گذاری شده است. در مقاله بررسی حملات Internal monolouge attack با ما همراه باشید.

 

Internal Monologue Attack چیست ؟

پیش از پاسخ به این سوال بزارید راجب گذشته صحبت کنیم. راجب زمانی که در طول فعالیت‌های آزمایش تست و نفوذ در زیرساخت های داخلی (Internal infrastructure penetration testing میشد اطلاعات رو از host memory به صورت آسان تر از الان بیرون کشید و هچنین میتوانستیم از برنامه ای معروفی مثل Mimikatz استفاده کنیم که در زمان خودش بسیار کاربردی تر از الان بود و همینطور میشد این حملات را به صورت remotely (از راه دور)  از memory اجرا کرد به اتمام رسیده.

 

بخاطر سد های دفاعی داخلی ویندوز و سد های دفاعی جدید محصولات های  امنیتی. روش های جدیدی برای بدست آوردن
این اطلاعات کاربر نیاز داریم که internal monologue attack یکی از آنهاست؛ همان طور که در بالا گفتیم “internal monologue attack” توسط Elad Shamir کشف شد. اگر بخواهیم به زبان ساده راجب مفهموم این حمله صحبت کنیم.

 

حمله Internal Monologue Attack چیست ؟

 

به زبان ساده میتوان گفت :

باید بگیم این حمله به هکر اجازه میدهد که NTLMv1 challenge response hashes  از سیستم قربانی دریافت کنید.
موردی که این حمله را جالب میکنه این هست که شما بدون تزریق کد در memory  یا تعامل با سرویس های محافظت شده شده مانند Local Security Authority Subsystem Service (LSASS) میتوانید hashes ها را دریافت کنید و سپس این هش ها می توانند کرک شوند یا متعاقباً در یک حمله Pass-The-Hash (PTH) استفاده شوند.

 

بزارید به نوع دیگری هم این حمله را توضیح دهیم

این تکنیک به شدت خلاقانه است  که به هکر اجازه می دهد تا بدون دست زدن به فرآیند LSASS، اطلاعات را بدست آورد.
این حمله از پروتکل NetNTLMv1 challenge-response استفاده میکند زیرا پروتکل NetNTLMv1 به نوعی challenge-response را محاسبه می‌ کند مشکل دارد و بهتر بگیم امن نیست و به مهاجم اجازه می‌دهد تا با شکستن (cracking) آسان پاسخ، هش NTLM را retrieve کند یا بهتر بگیم بازیابی کند.

 

نکته : ماژول ششم کتاب ceh 12 راجب system hacking هست و این حمله در آن بخش هم آمده است که ما آن را تدریس کردیم متیوانید از اینجا به صفحه دوره مراجعه کنید.

 

مراحل Internal monologue attack را توضیح دهید ؟

برای پاسخ به این سوال باید گفت شما باید از (impersonated user privilege) استفاده کنید که در آن هکر باید یک local procedure call
به بسته احراز هویت NTLM به نام MSV1_0 فراخوانی کند که در حقیقت برای encrypt یا بهتر بگیم رمزگذاری یک چالش شناخته شده (known challenge) با استفاده از (SSPI – secure single sign-on) در ویندوز است.

  • در ادامه این یک NetNTLMv1 response  برای آن چالش با استفاده از هش NTLM کاربر جعل شده
    (impersonated user’s) به عنوان یک کلید ایجاد می کند و بعد به  دلیل ضعف در NetNTLMv1 challenge-response protocol ، هکر می تواند به راحتی با کرک کردن این response، هش NTLM را استخراج کرده و یک حمله «Pass the Hash» را انجام دهد.

اکنون، به دلیل ضعف در پروتکل چالش-پاسخ NetNTLMv1، تستر می تواند به راحتی با کرک کردن این پاسخ، هش NTLM را استخراج کرده و یک حمله «Pass the Hash» را انجام دهد.

 

NetNTLM Downgrading را توضیح دهید ؟

یکی از موارد مهمی که باید درباره ش صحبت کنیم NetNTLM Downgrading است.

  • سیستم‌های مدرن به‌طوری پیکربندی شده‌اند به صورت (پیش‌فرض) تا از استفاده NetNTLMv1 جلوگیری شود به علت این که زیرا فردی که مورد حمله قرار میگیرد یک local administrator است

یک حمله Downgrade NetNTLM می تواند برای فعال کردن (enable) این طرح احراز هویت ضعیف تر (weaker authentication scheme) انجام شود. در نتیجه این کار کنترل های پیشگیرانه را برای NetNTLMv1 غیرفعال (disable) می کند. در نتیجه  هکر می‌تواند non-network logon tokens  را از فرآیندهای در حال اجرا بازیابی کند و هویت کاربر مرتبط را جعل کند.

 

نتیجه ای که Internal monologue attack را توضیح دهید ؟

مزیت اصلی این حمله این است که می توان آن را برای فرار از شناسایی شدن استفاده کرد زیرا هیچ تعاملی با هیچ فرآیند
محافظت شده (protected process) وجود ندارد و ترافیک شبکه ایجاد نمی شود. از این تکنیک میشود برای به دست آوردن domain user hashes در طول فرایند تست نفوذ داخلی (internal penetration test) بدون شناسایی یا مسدود شدن استفاده کرد.

نکته : این حمله نیاز به registry modification  در هنگام انجام NTLM downgrade attack دارد.

 

کاملترین دوره آموزش هکر قانونمند ورژن 12 | دوره CEH v12 کلیک کنید !

0 0 votes
امتیازدهی به مقاله
آیا این مطلب را می پسندید؟
https://blacksecurityteam.com/?p=26728
اشتراک گذاری:
واتساپتوییترفیسبوکپینترستلینکدین
مهرشاد محمدی
علاقه مند به شبکه و امنیت و تست و نفوذ و اشنا با زبان های برنامه نویسی php,java,python,javascript هستم و در اخر دوست دار شدید سیستم عامل لینوکس :-)
مطالب بیشتر
برچسب ها:
اشتراک در
اطلاع از
guest

0 نظرات
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x