أمن و حماية البيانات

Pass the Hash كل ما تريد معرفته عن

ما هو هجوم Pass the Hash ؟

هي تقنية يقوم من خلالها المخترق بالتقاط شيفرة كلمة المرور ثم تمريرها ببساطة للمصادقة والوصول الجانبي المحتمل إلى الأنظمة الأخرى المتصلة بالشبكة. لا يحتاج ممثل هذا التهديد إلى فك تشفير التجزئة للحصول على كلمة مرور بصورة  نص عادي.

و تستغل هجمات بروتوكول المصادقة ، حيث تظل شيفرة كلمات المرور ثابتة لكل جلسة حتى يتم تغيير كلمة المرور. عادةً ما يحصل المهاجمون على شيفرات الدخول عن طريق المسح و البحث في الذاكرة النشطة للنظام وغيرها من التقنيات.

كيف يقوم المخترق بهجوم Pass the Hash؟

لعله من أخطر أنواع الهجوم على أجهزة الـ Windows والـ Active Directory هو هجوم “باس ذا هاش Pass the Hash”، وذلك لسهولة اختراق كل شبكة الـ Active Directory والـ Domain بهذه الطريقة.
لكي نفهم طريقة هذا الهجوم الخطير، سوف أشرح بشكل مبسط طريقة الــ Windows في تخزين كلمات السر وتبادلها مع السيرفرات داخل الدومين للحصول علي الخدمات المطلوبة مثل “فايل شير File Share”، وطباعة وغيرها.

فعندما نخلق حساب علي الـ Windows وعمل كلمة سر له، يقوم الـ Windows بتشفير كلمة السر (Password Hash) وتخزين الهاش داخل الـ SAM Database، وفي كل مرة يقوم المستخدم بإدخال كلمة السر للدخول للحاسب فإن LSA أو “Local Security Authority module” يقوم بتحويل كلمة السر إلى هاش ثم يقوم بمطابقتها مع الهاش المخزنة في الـ SAM، فإذا تطابقت يقوم بفتح الحساب ونفس المبدأ يُطبق على الـ Domain أيضاً، فقط الفرق أن الهاش يرسل للدومين كونترولر (Active Directory) للمطابقة وإعطاء إذن الدخول.

السيستم أدمن الذي يكون عضو في “Domain Controller group” يدخل إلى أي حاسوب عن بعد للصيانة، فإن الهاش الخاص به يخزن في الـ SAM الخاص بهذا الحاسوب في الميموري وهنا تكمن الخطورة الكبرى.

ما الذي يستطيع المخترق فعله عند وصولها للهاش الخاص للأدمن في قاعدة SAM ؟

 

  1. إذا كان local admin مفعل للمستخدم فهذا يتيح للهاكر الذي بطريقة ما اخترق هذا الحاسوب، أن يقرأ ويأخذ كل الهاش الموجود في الـ SAM، من ضمنها “الدومين ادمن هاش” إذا دخل إلى هذا الحاسوب مؤخراً.

  2. يستطيع الهاكر أخذ “الدومين ادمن هاش” وإرساله إلى الـ Active Directory وهنا يستطيع من نفس الحاسوب أن يتصرف على أنه Domain Admine وهذا يُسمي “Privilege Escalation”، ويقوم بإضافة الـ User الخاص بالحاسوب المخترق إلى الدومين أدمن Domain Admin .

  3. يستطيع أيضاً إضافة مستخدم جديد كدومين ادمن، ويكون لديه تحكم كامل بكل السيرفرات المشركة مع الدومين ويستطيع الدخول إلى كل مستخدمين الدومين.

كيف يمكن الحد من هذا الهجوم وإيقافه :

  1.  لابد أن يكون هناك تطبيق يسمي Privilege Access Management (PAM).

  2.  عدم استخدام حساب الدومين إلاّ للضرورة القصوى، ويجب الفصل بين حساب الدومين والحساب الشخصي للسيستم أدمن.

  3.  إذا اضطر السيستم أدمن لاستخدام الدومين أدمن على حاسوب، فيجب عليه التاكد من أن الهاش الخاص به لا يبقي في الـ SAM الخاص بالحاسوب.

زر الذهاب إلى الأعلى