راه‌کارهای جلوگیری از دستیابی مهاجمان به رمز عبور

با توجه به Sophos Active Adversary Playbook 2021، استفاده حساب‌های معتبر از طریق نام کاربری و رمز عبور، یکی از پنج تکنیک برتر مهاجمان برای ایجاد دسترسی اولیه است. با اینکه اعتبارنامه‌های معتبر در مرحله دسترسی اولیه به‌سادگی لو می‌روند، اما می‌توان از آن‌ها در سراسر زنجیره حمله استفاده کرد. در این مطلب، با روش‌های دستیابی مهاجمان به رمز عبور آشنا خواهید شد تا با شناخت بیشتر، بتوانید سطح امنیت رمز عبورهای سازمانی را افزایش دهید.

یک موضوع چالش برانگیز

استفاده دشمنان از حساب‌های معتبر، به‌ویژه برای متخصصان امنیت سایبری، موضوعی چالش‌برانگیز است. تشخیص استفاده غیرمجاز از حساب‌های معتبر، در میان انبوهی از موارد استفاده قانونی بسیار دشوار است. اعتبار را می‌توان به روش‌های مختلفی به دست آورد و یک حساب معتبر می‌تواند سطوح مجوز متفاوتی در یک سازمان داشته باشد که از یک کاربر ساده تا سرپرست دامنه متغیر هستند.

یکی دیگر از مسائلی که شرایط را پیچیده‌تر می‌کند، وجود انواع مختلفی از حساب‌‌ها است که شامل مواردی همچون حساب‌های آزمایشی، حساب‌های خدماتی برای دسترسی غیر انسانی، APIها و حساب‌های Third Party می‌شوند. از طرفی هم افراد بسیاری از اعتبار سازمانی خود در خدمات آنلاین نامرتبط استفاده می‌کنند. بیشتر آن‌ها از یک آدرس ایمیل به جای نام کاربری استفاده می‌کنند که خطر قرار گرفتن در معرض تهدید را افزایش می‌دهد. متاسفانه استفاده از رمز عبور مشابه برای حساب‌های مختلف هم امری عادی است که باعث می‌شود در صورت لو رفتن یک رمز عبور، حساب‌های دیگر آن فرد هم در معرض خطر قرار بگیرند. از سوی دیگر هم، همه‌گیری ویروس کرونا باعث شد سازمان‌ها امکان دسترسی از راه دور را برای همه کارکنان فراهم کنند که باعث افزایش موارد استفاده غیرمجاز از VPNها و ابزارهای دسترسی از راه دور شد.

مهاجمان چگونه اعتبار را به دست می‌آورند؟

فهرست راه‌های دستیابی به اعتبار، بسیار گسترده است و فقط چند مورد از آن‌ها را بررسی خواهیم کرد. هدف نهایی عوامل تهدید، دستیابی به بالاترین سطح امتیاز برای دستیابی به اهدافشان مثل غیرفعال کردن راه‌کارهای امنیتی، استخراج داده‌ها، حذف پشتیبان‌گیری و استقرار باج‌افزار است. آن‌ها انتظار ندارند حساب سرپرست دامنه را از طریق یک ایمیل فیشینگ دریافت کنند! در عوض با اهداف ساده‌تر شروع می‌کنند و طی یک مسیر، به هدف اصلی می‌رسند.

روش‌های خارجی شامل فیشینگ، Brute Force، مهندسی اجتماعی (به عنوان مثال، فردی که تظاهر می‌کند یک ارائه‌دهنده خدمات IT قابل اعتماد است و درخواست ایجاد حساب کاربری می‌کند) و SQL Injection می‌شوند. این روش‌ها در مواردی به‌عنوان مجموعه‌هایی قابل فروش یا حتی رایگان در دسترس قرار می‌گیرند.

مهاجمان تلاش می‌کنند اعتبارنامه‌های به‌دست‌آمده را با روش‌های دسترسی خارجی، در تکنیکی که به عنوان Stuffing شناخته می‌شود، تطبیق دهند. از آنجایی که نمی‌توان انتظار داشت که کاربران بیش از چند کلمه عبور را به خاطر بسپارند، استفاده مجدد از اعتبارنامه‌ها رایج است و نام‌های کاربری اغلب بر اساس فرمت‌های آدرس ایمیل استخراج می‌شوند. به همین دلیل است که احراز هویت چند عاملی در تمام دسترسی‌های خارجی اهمیت بسیار بالایی دارد. وقتی که یک مورد از مجموعه‌ اعتبارنامه‌ها با روش دسترسی از راه دور همخوانی داشت، عامل تهدید می‌تواند به یک کاربر معتبر تبدیل شود و در سازمان شما پنهان شود.

پیش از اینکه به روش‌های Privilege Escalation برسیم، باید به این نکته مهم توجه کنیم که روش‌های دسترسی دیگری هم وجود دارند که به اعتبار نیازی ندارند. Exploitها یا رمزهای عبور پیش‌فرض در متمرکزکننده‌های VPN، Exchange، فایروال‌ها، روترها، وب‌سرورها و SQL Injection، همگی برای ورود به سازمان مورد استفاده قرار گرفته‌اند. پس از ورود، از آنجایی که حساب‌های کاربری ساده دسترسی کافی برای انجام تکنیک‌های شناسایی مختلف ندارند، تمرکز مهاجم روی ایجاد مسیری مناسب برای دستیابی به دسترسی‌های سطح بالاتر یا ایجاد حساب‌های مختلف برای حفظ دسترسی خواهد بود. به‌طور کلی ابزارها و روش‌هایی که ممکن است در این پروسه توسط مهاجم استفاده شوند، شامل موارد زیر هستند:

• کشف اطلاعات مربوط به سیستم و محیط اطراف با استفاده از دستورات ساده‌ای مثل whoami و ipconfig.
• جستجوی دستگاهی که وارد آن شده برای پیدا کردن فایل‌هایی که دارای رمز عبور در نام یا محتویاتشان باشند.
• جستجوی LDAP برای کسب اینکه چه حساب‌های دیگری ممکن است اهداف مناسبی باشند.
• بررسی رجیستری ویندوز برای یافتن اطلاعات کاربری که در این بخش ذخیره شده‌اند.
• جستجوی کوکی‌های وب برای کشف اطلاعات کاربری ذخیره شده.
• آماده‌سازی یک ابزار فرمان مبتنی بر PowerShell، تا حتی اگر کاربر رمز عبور خود را تغییر داد، همچنان امکان ورود به سیستم وجود داشته باشد.
• جستجو و کشف اینکه چه برنامه‌هایی روی سیستم نصب شده‌اند. ابزارهای دسترسی از راه دور و ابزارهای مدیریتی مانند PSExec و PSKill، در صورتی که در سیستم وجود داشته باشند می‌توانند برای پیشبرد اهداف مهاجم بسیار مفید باشند.

مقاله پیشنهادی: “محصولات و امکانات جدید امنیت شبکه“

در مرحله بعد و البته تنها در صورت نیاز، مهاجم ممکن است این روند را با نصب و استفاده از برنامه‌های ناخواسته ادامه دهد. PSExec و PSKill، ابزارهای رسمی مدیریتی مایکروسافت هستند، اما کاربردهای فراوان دیگری نیز دارند. IObit، GMER، Process Hacker، AutoIT، Nircmd، اسکنرهای پورت و ابزارهای Packet Sniffer، همگی در حملاتی که روی آن‌ها بررسی انجام گرفته، استفاده شده‌اند. هدف این ابزارها فلج کردن راه‌حل‌های امنیتی EndPoint است. بنابراین عامل تهدید می‌تواند به مرحله بعدی برود، یعنی جایی که از ابزارهایی استفاده می‌کند که احتمالا شرایط را واقعا خطرناک می‌کنند.

ابزارهای محبوبی که برای یافتن حساب‌های دارای امتیاز بالاتر استفاده می‌شوند عبارتند از Mimikatz، IcedID، PowerSploit و Cobalt Strike.  Trickbotنیز یکی از همین ابزارهاست که دیگر محبوبیت چندانی ندارد. این ابزارها توانایی‌های پیچیده‌ای برای ضبط، تفسیر، دستکاری و ارسال اطلاعاتی دارند که شبکه‌ها برای احراز هویت کاربران (مثل Kerberos) از آن‌ها استفاده می‌کنند. در حالی که داده‌ها رمزگذاری شده‌اند، ثابت شده که این اقدام صرفا سرعت عمل مهاجمان ماهر را کاهش داده و جلوی رسیدن به اهدافشان را نمی‌گیرد. رمز عبورهای رمزگذاری‌شده مربوط به حساب‌های معتبر، اغلب می‌تواند از طریق شبکه ارسال و پذیرفته شوند؛ این روش به عنوان تکنیک‌های Pass-the-Hash و Pass-the-Ticket شناخته می‌شود.

برای تطبیق سریع رمز عبور رمزگذاری‌شده با اطلاعات متنی، از جداول گسترده گذرواژه‌ها استفاده می‌شود. ابزارهای Keylogger ممکن است برای ضبط کلیدهای فشرده‌شده صفحه کلید روی دستگاه اضافه شوند تا رمز عبور بدون هیچ رمزگذاری را فاش کنند. اخیرا آسیب‌پذیری‌های خاصی مانند HiveNightmare/SeriousSam و PrintNightmare آش شده‌اند که امکان دسترسی به اعتبارنامه‌ها را حتی بدون حقوق مدیریتی فراهم می‌کنند. همه این موارد را که کنار بگذاریم، ابزارهایی مانند LaZagne به‌راحتی در دسترس هستند و توانایی انجام همه این کارها را دارند! مهاجمان به‌کمک چنین ابزراهایی می‌توانند حتی رمزهای عبور ذخیره‌شده در مرورگرها، نرم‌افزارهای پیام‌رسان، پایگاه‌های داده، بازی‌ها، ایمیل و وای‌فای را بازیابی کنند.

استفاده از مدارک معتبر

اعتبارنامه‌های معتبر، به‌ویژه آن‌هایی که حقوق سطح مدیریت دارند، چند کاربرد قابل توجه دارند؛ آن‌ها می‌توانند در سراسر یک سازمان، برای تغییر Group Policy، غیرفعال کردن ابزارهای امنیتی، حذف و ایجاد حساب‌های جدید استفاده شوند. بسیاری از مهاجمان، داده‌ها را پس از استخراج برای فروش گذاشته یا به‌منظور اخاذی یا جاسوسی از آن‌ها استفاده می‌کنند. داده‌ها ممکن است برای جعل هویت و انجام حملاتی با ایمیل‌های تجاری هم استفاده شوند. اما در اغلب موارد، قصد مهاجم فقط فراهم کردن راهی برای توزیع و اجرای هر گونه باج‌افزار به عنوان سرویس است و اگر این کار انجام نشد، در موارد بسیاری، مهاجمان  فقط از حساب معتبر برای فعال کردن BitLocker یا تغییر کلید آن استفاده می‌کنند.

جمع‌بندی: راه محافظت از سازمان چیست؟

با مشکلی جدی مواجه هستیم که می‌تواند عواقب جبران‌ناپذیری داشته باشد؛ اما خبر خوش اینجاست که راه‌حل این مشکل هم به خوبی شناخته شده است و از طریق افراد، فرآیند و فناوری به آن پرداخته می‌شود. بخش‌هایی از آموزش امنیت سایبری که روی افراد متمرکز است، شامل موارد زیر می‌شود:

• نحوه شناسایی ایمیل‌های فیشینگ
• عدم استفاده مجدد از رمزهای عبور
• عدم استفاده از رمزهای عبور کاری برای حساب‌های شخصی
• پیچیده کردن رمز عبور
• اجتناب از مراجعه به وب‌سایت‌های مشکوک

و در سمت دیگر، یعنی از نظر فرآیند و تکنولوژی هم شامل موارد زیر می‌شود:

• احراز هویت چند عاملی باید تا حد امکان به‌طور گسترده مورد استفاده قرار گیرد.
• سطح حمله خارجی باید تا حد امکان کوچک باشد و به‌روز نگه داشته شود.
• تعداد حساب‌هایی که بالاترین سطح را دارند باید به حداقل برسد.
• استفاده از حقوق مدیریت محلی باید محدود شود.
• حساب‌های خدمات و آزمایشی استفاده نشده باید حذف شوند.
• باید بر استفاده از ابزارهای قدرتمند مدیریت و برنامه‌های ناخواسته کنترل و نظارت وجود داشته باشد.
• وجود نظارت کافی بر ورودهای غیرمنتظره از نظر موقعیت جغرافیایی و زمان.

منبع