حمله Pass-the-Hash (PtH) چیست؟

حمله Pass-the-Hash نوعی حمله سایبری است که در آن هش رمز عبور از مدیران دزدیده شده و برای دسترسی غیرمجاز به شبکه استفاده می شود. با چنین حمله‌ای، نیازی به سرقت یا شکستن یک رمز عبور نیست، زیرا برای افزایش دسترسی به شبکه و سیستم‌های آن، فقط هش رمز عبور لازم است.

هش رمز عبور چیست؟

یک هش رمز عبور نتیجه‌ی اعمال یک تابع هش بر روی یک رمز عبور است، که یک الگوریتم رمزنگاری یک‌طرفه است و هر ورودی را به یک رشته‌ی ثابت از کاراکترها تبدیل می‌کند که به نظر تصادفی می‌آید. هدف اصلی هش کردن یک رمز عبور، امن‌سازی آن است تا اگر ذخیره‌سازی داده‌ها به خطر بیفتد، رمزهای عبور واقعی فاش نشوند. نحوه‌ی کار به این صورت است:

1. تبدیل: وقتی شما یک رمز عبور ایجاد می‌کنید، توسط تابع هش به یک مقدار هش تبدیل می‌شود، که یک رشته از حروف و اعداد است.
2. ذخیره‌سازی: این مقدار هش به جای رمز عبور متن ساده در پایگاه داده ذخیره می‌شود.
3. تأیید: هر بار که وارد سیستم می‌شوید، رمز عبوری که وارد می‌کنید دوباره هش می‌شود، و هش تولید شده با هش ذخیره شده مقایسه می‌شود. اگر مطابقت داشته باشند، دسترسی اعطا می‌شود.

به طور خلاصه، هش کردن رمز عبور یک اقدام امنیتی اساسی برای حفاظت از رمزهای عبور کاربران در پایگاه‌های داده است. این اطمینان را می‌دهد که حتی اگر پایگاه داده توسط افراد غیرمجاز دسترسی پیدا کند، آن‌ها نمی‌توانند به راحتی رمزهای عبور واقعی را رمزگشایی کنند.

حملات Pass-the-Hash چگونه کار می کنند؟

حملات Pass-the-Hash زمانی شروع می‌شوند که یک مجرم سایبری دستگاه مدیر را به خطر بیاندازد. این اغلب با آلوده کردن دستگاه به بدافزار از طریق تکنیک‌های مهندسی اجتماعی انجام می‌شود. به عنوان مثال، یک ایمیل فیشینگ می تواند برای یک مدیر ارسال شود و آنها را تشویق کند که روی یک پیوست یا پیوند کلیک کنند. اگر مدیر بر روی پیوند یا پیوست کلیک کند، بدافزار را می توان بلافاصله بدون اینکه او بداند دانلود کرد.

هنگامی که بدافزار بر روی دستگاه سرپرست نصب می شود، مجرم سایبری هش های رمز عبور ذخیره شده در دستگاه را جمع آوری می کند. تنها با یک هش رمز عبور مرتبط با یک حساب کاربری ممتاز، مجرمان سایبری می توانند شبکه یا پروتکل احراز هویت شبکه را دور بزنند. هنگامی که یک مجرم سایبری احراز هویت را دور می زند، می تواند به اطلاعات محرمانه دسترسی پیدا کند و به صورت جانبی در یک شبکه حرکت کند تا به سایر حساب های دارای امتیاز دسترسی پیدا کند.

چه کسی در برابر حملات Pass-the-Hash آسیب پذیرتر است؟

ماشین‌های ویندوز به دلیل آسیب‌پذیری در هش‌های مدیریت شبکه محلی فناوری جدید ویندوز (NTLM) بیشتر مستعد حملات Pass-the-Hash هستند. NTLM مجموعه ای از پروتکل های امنیتی ارائه شده توسط مایکروسافت است که به عنوان یک راه حل ورود به سیستم (SSO) عمل می کند که بسیاری از سازمان ها از آن استفاده می کنند.

این آسیب‌پذیری NTLM به مجرمان اجازه می‌دهد تا از حساب‌های دامنه در معرض خطر فقط با استفاده از یک هش رمز عبور، بدون نیاز به رمز عبور واقعی استفاده کنند.

چگونه می‌توانید حملات Pass-the-Hash را محدود کنید؟

روی راه حل مدیریت دسترسی ممتاز (PAM) سرمایه گذاری کنید

مدیریت دسترسی ممتاز (PAM) به ایمن سازی و مدیریت حساب هایی اشاره دارد که به سیستم ها و داده های بسیار محرمانه دسترسی دارند. حساب‌های ممتاز شامل سیستم‌های حقوق و دستمزد، حساب‌های سرپرست فناوری اطلاعات و سیستم‌های عامل هستند.

راه حل PAM به سازمان ها کمک می کند تا با استفاده از اصل کمترین امتیاز (PoLP) دسترسی به حساب های دارای امتیاز را ایمن و مدیریت کنند. PoLP یک مفهوم امنیت سایبری است که به کاربران امکان دسترسی کافی به داده ها و سیستم هایی را می دهد که برای انجام کارهای خود نیاز دارند، نه بیشتر و نه کمتر. با راه حل PAM، سازمان ها می توانند اطمینان حاصل کنند که کاربران فقط از طریق کنترل های دسترسی مبتنی بر نقش (RBAC) به حساب های مورد نیاز خود دسترسی دارند. سازمان‌ها همچنین می‌توانند از رمزهای عبور قوی و احراز هویت چند عاملی (MFA) برای امنیت بیشتر حساب‌ها و سیستم‌ها استفاده کنند.

رمزهای عبور خود را به طور منظم تغییر دهید

چرخش منظم رمزهای عبور میتواند خطر حمله  Pass the Hash را با کوتاه کردن زمان اعتبار هش سرقت شده کاهش دهد. بهترین راه حل میتواند PAM باشد که قابلیت چرخش رمز عبور را دارند و میتوان می توانید فعال کنید.

Zero-trust را اجرا کنید

zero trust چارچوبی است که فرض می کند همه کاربران در معرض خطر قرار گرفته اند، از آنها می خواهد که به طور مداوم هویت خود را تایید کنند و دسترسی آنها به سیستم ها و داده های شبکه را محدود می کند. به جای اعتماد ضمنی به همه کاربران و دستگاه‌های موجود در یک شبکه، zero trust به هیچ‌کس اعتماد نمی‌کند و فرض می‌کند که همه کاربران به طور بالقوه در معرض خطر هستند.

zero trust می تواند به کاهش خطرات امنیت سایبری، به حداقل رساندن سطح حمله یک سازمان، و بهبود حسابرسی و نظارت بر انطباق کمک کند. با zero trust ، مدیران فناوری اطلاعات تمامی کاربران، سیستم ها و دستگاه ها را به طور کامل مشاهده می کنند. آنها می توانند ببینند چه کسی به شبکه متصل می شود، از کجا وصل می شود و از کجا به آنها دسترسی پیدا می کند.

انجام آزمایش‌های نفوذ منظم

آزمایش‌های نفوذ، که به آن‌ها تست‌های نفوذ یا pen tests نیز گفته می‌شود، حملات سایبری شبیه‌سازی شده به شبکه‌ها، سیستم‌ها و دستگاه‌های یک سازمان هستند. با انجام منظم آزمایش‌های نفوذ، سازمان‌ها می‌توانند محل وجود آسیب‌پذیری‌ها را تشخیص دهند تا پیش از آنکه توسط مجرمان سایبری مورد سوءاستفاده قرار گیرند، آن‌ها را برطرف کنند.

نتیجه‌گیری از حمله Pass-the-Hash (Pth)

حملات Pass-the-Hash (Pth) به دلیل استفاده از نقاط ضعف بنیادین در مکانیزم‌های احراز هویت ویندوز، خطرناک هستند. برای مقابله با حملات Pth، سازمان‌ها باید از رویکرد امنیتی چندلایه‌ای استفاده کنند که شامل مدیریت دسترسی‌های ممتاز (PAM) می‌شود. این رویکرد باید با استفاده از ابزارهای پیشرفته تشخیص و نظارت بر تهدیدات و به‌روزرسانی منظم پروتکل‌های امنیتی همراه باشد. با اجرای این اقدامات، سازمان‌ها می‌توانند در برابر تهدیدات مداوم و در حال تکامل ناشی از حملات Pth و Ptt ایستادگی کنند و از داده‌های حساس و یکپارچگی شبکه خود محافظت نمایند. این حملات اغلب از دید سیستم‌های امنیتی سنتی پنهان می‌مانند زیرا به سرقت رمزهای عبور به صورت متن ساده تکیه ندارند، که شناسایی آن‌ها را دشوارتر می‌کند. پس از دستیابی مهاجم به دسترسی، پتانسیل برای خسارت وسیع است، از جمله نقض داده‌ها، جاسوسی یا حتی تسلط کامل بر شبکه. اجرای کنترل‌های دسترسی قوی، استفاده از ابزارهای پیشرفته تشخیص تهدید  نظارت، و به‌روزرسانی منظم پروتکل‌های امنیتی برای خنثی‌سازی این تاکتیک‌های پنهان ضروری است. با انجام این کارها، سازمان‌ها می‌توانند بهتر در برابر تهدیدات مداوم و در حال تکامل ناشی از حملات Pth و Ptt ایستادگی کنند و از داده‌های حساس و یکپارچگی شبکه خود محافظت کنند.