در دنیای امنیت سایبری یکی از ترسناک‌ترین تهدیدها حمله‌ای است که به مهاجمان اجازه می‌دهد از امتیازات کاربران مجاز برای دسترسی نامحدود به منابع شبکه سوءاستفاده کنند. حمله Golden Ticket با بهره‌گیری از آسیب‌پذیری‌های سیستم احراز هویت Kerberos به مهاجمان امکان می‌دهد تا به اطلاعات حساس شما دست یابند، بدون اینکه فعالیتشان به‌سادگی شناسایی شود. در این مقاله، به بررسی این نوع حمله، نحوه عملکرد آن و روش‌های مقابله خواهیم پرداخت تا شما را در برابر این تهدید جدی محافظت کنیم.

حمله Golden Ticket چیست؟

حمله Golden Ticket یک تکنیک پیشرفته در دنیای هک و امنیت سایبری است که در آن مهاجمان با دستکاری در سیستم احراز هویت Kerberos کنترل کامل و نامحدودی بر منابع شبکه به دست می‌آورند. این حمله زمانی رخ می‌دهد که یک مهاجم موفق شود کلید اصلی احراز هویت (KRBTGT) را که برای صدور بلیت‌های احراز هویت Kerberos استفاده می‌شود به دست آورد. با داشتن این کلید، مهاجم می‌تواند بلیت‌های تقلبی ایجاد کند که به آنها دسترسی کامل و مداوم به منابع شبکه را حتی بدون حضور یا شناسایی توسط مدیران سیستم می‌دهد.

ویژگی خطرناک این حمله در این است که مهاجمان می‌توانند با ایجاد بلیت‌هایی با تاریخ‌های دلخواه، کنترل طولانی‌مدت بر شبکه داشته باشند. این بلیت‌ها به آنها اجازه می‌دهند تا به حساب‌های حساس دسترسی پیدا کنند، داده‌ها را استخراج کنند یا حتی زیرساخت‌های شبکه را به خطر بیندازند. حمله Golden Ticket به دلیل پیچیدگی آن، اغلب توسط گروه‌های هکری پیشرفته برای حملات سایبری هدفمند استفاده می‌شود.

چگونه حمله Golden Ticket کار می‌کند و کدام سیستم‌های احراز هویت را تهدید می‌کند؟

حمله Golden Ticket از آسیب‌پذیری‌های موجود در پروتکل Kerberos یکی از پرکاربردترین سیستم‌های احراز هویت در شبکه‌های سازمانی، بهره‌برداری می‌کند. در این حمله مهاجم ابتدا باید به یک سیستم دارای امتیازات مدیریتی دسترسی پیدا کند تا کلید رمزنگاری اصلی یا همان KRBTGT را به دست آورد. این کلید برای ایجاد بلیت‌های Kerberos استفاده می‌شود که اعتبار کاربران شبکه را مشخص می‌کند. با داشتن این کلید، مهاجم می‌تواند بلیت‌های جعلی ایجاد کرده و دسترسی کامل و بدون محدودیت به منابع شبکه داشته باشد.

یکی از ویژگی‌های مخرب حمله Golden Ticket این است که بلیت‌های جعلی ایجادشده به راحتی توسط سیستم‌های امنیتی معمولی شناسایی نمی‌شوند. این بلیت‌ها معمولاً تاریخ‌های معتبر و اطلاعاتی شبیه به بلیت‌های قانونی دارند، اما در واقع توسط مهاجم تولید شده‌اند. علاوه بر این مهاجم می‌تواند بلیت‌هایی با تاریخ‌های بسیار طولانی یا حتی بدون تاریخ انقضا ایجاد کند، که این امر مدیریت شبکه را در تشخیص فعالیت‌های مخرب دشوارتر می‌کند.

حمله Golden Ticket بیشترین تهدید را برای شبکه‌هایی ایجاد می‌کند که از پروتکل Kerberos استفاده می‌کنند، به‌ویژه در محیط‌هایی مانند Microsoft Active Directory. این سیستم به دلیل گستردگی استفاده در سازمان‌ها، هدف اصلی مهاجمان است. در صورت موفقیت‌آمیز بودن این حمله، مهاجمان می‌توانند به اطلاعات حساس، فایل‌ها، پایگاه‌های داده و حتی زیرساخت‌های حیاتی دسترسی پیدا کنند، بدون اینکه توسط سیستم‌های امنیتی یا کاربران قانونی شناسایی شوند.

پروتکل احراز هویت Kerberos چیست؟

پروتکل Kerberos یکی از روش‌های امن احراز هویت در شبکه‌های کامپیوتری است که به ویژه در سیستم‌های مبتنی بر Active Directory کاربرد گسترده‌ای دارد. این پروتکل با استفاده از رمزنگاری کلید متقارن و مفهوم تیکت (Ticket)، به کاربران و سرویس‌ها امکان می‌دهد بدون ارسال مستقیم رمز عبور در شبکه، به صورت ایمن تأیید هویت شوند. Kerberos امنیت، کارایی و مدیریت متمرکز را برای احراز هویت کاربران در محیط‌های سازمانی فراهم می‌کند و نقشی حیاتی در مقابله با تهدیداتی مانند جعل هویت ایفا می‌کند.

پروتکل تأیید هویت Kerberos چیست و چه ساختاری دارد؟

مراحل انجام حمله Golden Ticket

1. کسب دسترسی به حساب مدیر دامنه (Domain Admin):

اولین مرحله در حمله Golden Ticket، دسترسی به حساب کاربری مدیر دامنه است. مهاجم معمولاً از روش‌هایی مانند حملات Pass-the-Hash سرقت اطلاعات اعتباری یا فیشینگ برای به دست آوردن این دسترسی استفاده می‌کند. این سطح دسترسی برای هدف قرار دادن حساب‌های حیاتی مانند KRBTGT ضروری است.

2. استخراج کلید KRBTGT:

پس از کسب دسترسی لازم، مهاجم باید کلید رمزنگاری اصلی پروتکل Kerberos، یعنی KRBTGT، را استخراج کند. این کلید برای رمزنگاری تمامی بلیت‌های TGT (Ticket Granting Ticket) استفاده می‌شود. مهاجم با ابزارهایی مانند Mimikatz این کلید را از حافظه یا پایگاه داده Active Directory بازیابی می‌کند.

3. تولید Golden Ticket:

با دسترسی به کلید KRBTGT مهاجم می‌تواند یک TGT جعلی یا همان Golden Ticket تولید کند. این بلیت می‌تواند حاوی اطلاعات و مجوزهایی باشد که به مهاجم امکان می‌دهد به عنوان هر کاربر دلخواه، از جمله مدیر دامنه، وارد شبکه شود و کنترل کامل را به دست گیرد.

4. استفاده از Golden Ticket برای دسترسی نامحدود:

مهاجم با استفاده از بلیت جعلی می‌تواند به منابع شبکه مانند سرورها، فایل‌ها و پایگاه‌های داده دسترسی پیدا کند. این بلیت به‌گونه‌ای طراحی شده که به راحتی توسط سیستم‌های امنیتی شناسایی نشود و دسترسی بدون محدودیت را فراهم می‌کند.

5. پایداری دسترسی:

در این مرحله مهاجم می‌تواند مدت اعتبار بلیت جعلی را تنظیم کند تا برای مدت طولانی، حتی ماه‌ها یا سال‌ها، معتبر باقی بماند. این کار امکان دسترسی دوباره به شبکه را حتی پس از رفع اولیه حمله توسط مدیران فراهم می‌کند.

تفاوت بین حمله Golden Ticket و Silver Ticket

حمله Golden Ticket و Silver Ticket هر دو از آسیب‌پذیری‌های پروتکل احراز هویت Kerberos بهره‌برداری می‌کنند، اما هدف و نحوه عملکرد آن‌ها متفاوت است. حمله Golden Ticket با تمرکز بر کلید رمزنگاری اصلی KRBTGT در دامنه، به مهاجم اجازه می‌دهد بلیتی تولید کند که دسترسی نامحدودی به تمام منابع شبکه و حتی تغییر در تنظیمات دامنه فراهم می‌کند. این حمله مستلزم دسترسی به حساب مدیر دامنه است و به مهاجم قدرت کنترل گسترده‌ای در سطح دامنه می‌دهد.

ولی حمله Silver Ticket محدودتر است و تنها برای دسترسی به یک سرویس خاص یا مجموعه‌ای از سرویس‌ها مورد استفاده قرار می‌گیرد. در این نوع حمله، مهاجم به کلید رمزنگاری یک سرویس خاص، مانند کلید سرویس‌های HTTP یا SQL Server، دسترسی پیدا می‌کند و بلیتی جعلی برای همان سرویس ایجاد می‌کند. این بلیت برخلاف Golden Ticket به کل دامنه دسترسی نمی‌دهد اما شناسایی آن سخت‌تر است زیرا اغلب تنها در سطح سرویس خاص بررسی می‌شود.

چگونه از حمله Golden Ticket جلوگیری کنیم؟

1. تغییر دوره‌ای رمز عبور حساب KRBTGT

رمز عبور حساب KRBTGT باید به صورت منظم تغییر داده شود تا از سوءاستفاده مهاجمان جلوگیری شود. با هر بار تغییر رمز عبور، بلیت‌های قدیمی نامعتبر می‌شوند و دسترسی مهاجمان به شبکه قطع می‌شود. توصیه می‌شود این فرآیند حداقل هر شش ماه یک بار انجام شود و در صورت تشخیص هرگونه نفوذ، فوراً رمز عبور تغییر یابد.

2. نظارت و لاگ‌برداری از فعالیت‌ها

ثبت و بررسی مداوم لاگ‌های مرتبط با فعالیت‌های کاربری، به‌ویژه در پروتکل Kerberos، می‌تواند به شناسایی فعالیت‌های غیرعادی کمک کند. استفاده از ابزارهای پیشرفته برای مانیتورینگ، امکان شناسایی نشانه‌های حمله Golden Ticket را فراهم می‌کند و به تیم امنیتی برای واکنش سریع‌تر کمک می‌کند.

3. بهره‌گیری از ابزارهای شناسایی تهدیدات پیشرفته

راهکارهایی مانند Microsoft Defender for Identity یا Azure Advanced Threat Protection (ATP) می‌توانند رفتارهای مشکوک در شبکه را شناسایی کنند. این ابزارها با تحلیل ترافیک شبکه و فعالیت کاربران، به تشخیص و جلوگیری از حملات پیچیده‌ای مثل Golden Ticket کمک می‌کنند.

4. اجرای اصل کمترین سطح دسترسی (Least Privilege)

برای کاهش احتمال وقوع حملات Kerberos دسترسی‌های مدیریتی باید محدود شوند. تنها کاربرانی که نیاز واقعی دارند باید دسترسی ادمین داشته باشند. همچنین، تقسیم وظایف و استفاده از حساب‌های مدیریتی جداگانه برای هر فعالیت می‌تواند خطر حملات را کاهش دهد.

اصل کمترین امتیاز (POLP) یا Principle of Least Privilege چیست؟

5. استفاده از احراز هویت چندعاملی (MFA)

پیاده‌سازی احراز هویت چندعاملی برای کاربران حساس و مدیران شبکه، امنیت دسترسی را تقویت می‌کند. MFA با افزودن لایه‌ای اضافی از امنیت، امکان سرقت اطلاعات ورود و استفاده غیرمجاز از حساب‌های مدیریتی را به شدت کاهش می‌دهد.

جمع‌بندی…

حمله Golden Ticket یکی از خطرناک‌ترین تهدیدات امنیتی در شبکه‌های مبتنی بر Active Directory است که مهاجمان را قادر می‌سازد با جعل دسترسی‌های Kerberos به منابع حساس دست یابند. این حمله به دلیل استفاده از کلید KRBTGT و قابلیت پایداری طولانی‌مدت، می‌تواند خسارات جدی ایجاد کند. با پیاده‌سازی اقدامات پیشگیرانه مانند تغییر دوره‌ای رمز KRBTGT و نظارت مستمر می‌توان از وقوع این حمله جلوگیری کرد و امنیت شبکه را به میزان قابل توجهی افزایش داد.