پایگاه دانش
حمله Pass-the-Hash (PtH) چیست؟
حمله Pass-the-Hash (PtH) چیست؟
حمله Pass-the-Hash نوعی حمله سایبری است که در آن هش رمز عبور از مدیران دزدیده شده و برای دسترسی غیرمجاز به شبکه استفاده می شود. با چنین حملهای، نیازی به سرقت یا شکستن یک رمز عبور نیست، زیرا برای افزایش دسترسی به شبکه و سیستمهای آن، فقط هش رمز عبور لازم است.هش رمز عبور چیست؟
یک هش رمز عبور نتیجهی اعمال یک تابع هش بر روی یک رمز عبور است، که یک الگوریتم رمزنگاری یکطرفه است و هر ورودی را به یک رشتهی ثابت از کاراکترها تبدیل میکند که به نظر تصادفی میآید. هدف اصلی هش کردن یک رمز عبور، امنسازی آن است تا اگر ذخیرهسازی دادهها به خطر بیفتد، رمزهای عبور واقعی فاش نشوند. نحوهی کار به این صورت است:- تبدیل: وقتی شما یک رمز عبور ایجاد میکنید، توسط تابع هش به یک مقدار هش تبدیل میشود، که یک رشته از حروف و اعداد است.
- ذخیرهسازی: این مقدار هش به جای رمز عبور متن ساده در پایگاه داده ذخیره میشود.
- تأیید: هر بار که وارد سیستم میشوید، رمز عبوری که وارد میکنید دوباره هش میشود، و هش تولید شده با هش ذخیره شده مقایسه میشود. اگر مطابقت داشته باشند، دسترسی اعطا میشود.
حملات Pass-the-Hash چگونه کار می کنند؟
حملات Pass-the-Hash زمانی شروع میشوند که یک مجرم سایبری دستگاه مدیر را به خطر بیاندازد. این اغلب با آلوده کردن دستگاه به بدافزار از طریق تکنیکهای مهندسی اجتماعی انجام میشود. به عنوان مثال، یک ایمیل فیشینگ می تواند برای یک مدیر ارسال شود و آنها را تشویق کند که روی یک پیوست یا پیوند کلیک کنند. اگر مدیر بر روی پیوند یا پیوست کلیک کند، بدافزار را می توان بلافاصله بدون اینکه او بداند دانلود کرد. هنگامی که بدافزار بر روی دستگاه سرپرست نصب می شود، مجرم سایبری هش های رمز عبور ذخیره شده در دستگاه را جمع آوری می کند. تنها با یک هش رمز عبور مرتبط با یک حساب کاربری ممتاز، مجرمان سایبری می توانند شبکه یا پروتکل احراز هویت شبکه را دور بزنند. هنگامی که یک مجرم سایبری احراز هویت را دور می زند، می تواند به اطلاعات محرمانه دسترسی پیدا کند و به صورت جانبی در یک شبکه حرکت کند تا به سایر حساب های دارای امتیاز دسترسی پیدا کند.چه کسی در برابر حملات Pass-the-Hash آسیب پذیرتر است؟
ماشینهای ویندوز به دلیل آسیبپذیری در هشهای مدیریت شبکه محلی فناوری جدید ویندوز (NTLM) بیشتر مستعد حملات Pass-the-Hash هستند. NTLM مجموعه ای از پروتکل های امنیتی ارائه شده توسط مایکروسافت است که به عنوان یک راه حل ورود به سیستم (SSO) عمل می کند که بسیاری از سازمان ها از آن استفاده می کنند. این آسیبپذیری NTLM به مجرمان اجازه میدهد تا از حسابهای دامنه در معرض خطر فقط با استفاده از یک هش رمز عبور، بدون نیاز به رمز عبور واقعی استفاده کنند.چگونه میتوانید حملات Pass-the-Hash را محدود کنید؟
روی راه حل مدیریت دسترسی ممتاز (PAM) سرمایه گذاری کنید مدیریت دسترسی ممتاز (PAM) به ایمن سازی و مدیریت حساب هایی اشاره دارد که به سیستم ها و داده های بسیار محرمانه دسترسی دارند. حسابهای ممتاز شامل سیستمهای حقوق و دستمزد، حسابهای سرپرست فناوری اطلاعات و سیستمهای عامل هستند. راه حل PAM به سازمان ها کمک می کند تا با استفاده از اصل کمترین امتیاز (PoLP) دسترسی به حساب های دارای امتیاز را ایمن و مدیریت کنند. PoLP یک مفهوم امنیت سایبری است که به کاربران امکان دسترسی کافی به داده ها و سیستم هایی را می دهد که برای انجام کارهای خود نیاز دارند، نه بیشتر و نه کمتر. با راه حل PAM، سازمان ها می توانند اطمینان حاصل کنند که کاربران فقط از طریق کنترل های دسترسی مبتنی بر نقش (RBAC) به حساب های مورد نیاز خود دسترسی دارند. سازمانها همچنین میتوانند از رمزهای عبور قوی و احراز هویت چند عاملی (MFA) برای امنیت بیشتر حسابها و سیستمها استفاده کنند. رمزهای عبور خود را به طور منظم تغییر دهید چرخش منظم رمزهای عبور میتواند خطر حمله Pass the Hash را با کوتاه کردن زمان اعتبار هش سرقت شده کاهش دهد. بهترین راه حل میتواند PAM باشد که قابلیت چرخش رمز عبور را دارند و میتوان می توانید فعال کنید.Zero-trust را اجرا کنید
zero trust چارچوبی است که فرض می کند همه کاربران در معرض خطر قرار گرفته اند، از آنها می خواهد که به طور مداوم هویت خود را تایید کنند و دسترسی آنها به سیستم ها و داده های شبکه را محدود می کند. به جای اعتماد ضمنی به همه کاربران و دستگاههای موجود در یک شبکه، zero trust به هیچکس اعتماد نمیکند و فرض میکند که همه کاربران به طور بالقوه در معرض خطر هستند. zero trust می تواند به کاهش خطرات امنیت سایبری، به حداقل رساندن سطح حمله یک سازمان، و بهبود حسابرسی و نظارت بر انطباق کمک کند. با zero trust ، مدیران فناوری اطلاعات تمامی کاربران، سیستم ها و دستگاه ها را به طور کامل مشاهده می کنند. آنها می توانند ببینند چه کسی به شبکه متصل می شود، از کجا وصل می شود و از کجا به آنها دسترسی پیدا می کند.انجام آزمایشهای نفوذ منظم
آزمایشهای نفوذ، که به آنها تستهای نفوذ یا pen tests نیز گفته میشود، حملات سایبری شبیهسازی شده به شبکهها، سیستمها و دستگاههای یک سازمان هستند. با انجام منظم آزمایشهای نفوذ، سازمانها میتوانند محل وجود آسیبپذیریها را تشخیص دهند تا پیش از آنکه توسط مجرمان سایبری مورد سوءاستفاده قرار گیرند، آنها را برطرف کنند.نتیجهگیری از حمله Pass-the-Hash (Pth)
حملات Pass-the-Hash (Pth) به دلیل استفاده از نقاط ضعف بنیادین در مکانیزمهای احراز هویت ویندوز، خطرناک هستند. برای مقابله با حملات Pth، سازمانها باید از رویکرد امنیتی چندلایهای استفاده کنند که شامل مدیریت دسترسیهای ممتاز (PAM) میشود. این رویکرد باید با استفاده از ابزارهای پیشرفته تشخیص و نظارت بر تهدیدات و بهروزرسانی منظم پروتکلهای امنیتی همراه باشد. با اجرای این اقدامات، سازمانها میتوانند در برابر تهدیدات مداوم و در حال تکامل ناشی از حملات Pth و Ptt ایستادگی کنند و از دادههای حساس و یکپارچگی شبکه خود محافظت نمایند. این حملات اغلب از دید سیستمهای امنیتی سنتی پنهان میمانند زیرا به سرقت رمزهای عبور به صورت متن ساده تکیه ندارند، که شناسایی آنها را دشوارتر میکند. پس از دستیابی مهاجم به دسترسی، پتانسیل برای خسارت وسیع است، از جمله نقض دادهها، جاسوسی یا حتی تسلط کامل بر شبکه. اجرای کنترلهای دسترسی قوی، استفاده از ابزارهای پیشرفته تشخیص تهدید نظارت، و بهروزرسانی منظم پروتکلهای امنیتی برای خنثیسازی این تاکتیکهای پنهان ضروری است. با انجام این کارها، سازمانها میتوانند بهتر در برابر تهدیدات مداوم و در حال تکامل ناشی از حملات Pth و Ptt ایستادگی کنند و از دادههای حساس و یکپارچگی شبکه خود محافظت کنند.موارد اخیر
-
حمله DNS Amplification چیست و چگونه انجام می شود؟ نحوه مقابله با آن
-
معرفی همه پروتکل های مسیریابی شبکه و برسی انواع روش های روتینگ
-
پروتکل RIP چیست و چگونه روتینگ را انجام می دهد؟
-
پروتکل EGP چیست و با IGP چه تفاوتی دارد؟
-
پروتکل IS-IS چیست؟ این پروتکل مسیریابی چه تفاوتی هایی دارد و چگونه کار می کند؟
-
پروتکل IGRP چیست و چه تفاوتی با EIGRP دارد؟ پروتکل مسیریابی سیسکو
-
آشنایی با پروتکل IGP و انواع ان
-
حمله BGP Hijacking چیست و چگونه رخ میدهد؟ برسی انواع آن و روش هایی برای پیشگیری
-
پروتکل BGP چیست و چرا خیلی مهم است؟ برسی کامل
-
Route Leaks چیست؟ نشت مسیر چگونه امنیت شبکه را به خطر میاندازد؟
برترین ها
اشتراک گذاری این مطلب
دیدگاهتان را بنویسید
نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند *