
حمله Kerberoasting چیست؟ چگونه از این حملات پیشرفته جلوگیری کنیم؟
حملات Kerberoasting یکی از روشهای پیشرفته در حوزه حملات سایبری است که مهاجمان از آن برای به دست آوردن اطلاعات احراز هویت در شبکههای مبتنی بر پروتکل Kerberos استفاده میکنند. این حملات معمولاً حسابهای سرویس را هدف قرار میدهند و میتوانند به دسترسی غیرمجاز به منابع حساس منجر شوند. در این مقاله، به بررسی نحوه عملکرد Kerberos، مراحل انجام حمله Kerberoasting، روشهای تشخیص و راهکارهای پیشگیری از آن خواهیم پرداخت.
حمله Kerberoasting چیست؟
حمله Kerberoasting یکی از تکنیکهای شناختهشده در دنیای هک و امنیت سایبری است که مهاجمان از آن برای دسترسی به اطلاعات حساس احراز هویت در شبکههای مبتنی بر Active Directory استفاده میکنند. این حمله از پروتکل Kerberos که یکی از روشهای امن احراز هویت در شبکهها است، بهرهبرداری میکند. مهاجمان با درخواست بلیط خدمات (Service Tickets) از کنترلکننده دامنه (Domain Controller) که حاوی هش رمز عبور حساب سرویس است، این هشها را ذخیره کرده و خارج از شبکه با استفاده از ابزارهایی مانند Hashcat رمزگشایی میکنند.
از آنجا که حسابهای سرویس معمولاً رمز عبور پیچیدهای ندارند و تغییر کمتری در آنها رخ میدهد، مهاجمان میتوانند بهراحتی آنها را هدف قرار دهند. هدف اصلی این حمله دسترسی به حسابهای کاربری با سطح دسترسی بالا در شبکه است. اگر مهاجم بتواند هش رمز عبور یک حساب سرویس را کرک کند، ممکن است به منابع مهم و اطلاعات حساس دست یابد. این نوع حمله اغلب بدون نیاز به امتیازات مدیریتی در شبکه آغاز میشود، که این موضوع آن را برای مهاجمان بسیار جذاب میسازد.
پروتکل Kerberos چیست؟
پروتکل Kerberos یک پروتکل امنیتی است که برای احراز هویت و تبادل اطلاعات ایمن در شبکههای کامپیوتری طراحی شده است. این پروتکل از رمزنگاری کلید متقارن برای تأمین امنیت استفاده میکند و به کاربران و سرویسها این امکان را میدهد که بدون نیاز به ارسال مستقیم رمز عبور خود، هویتشان را تأیید کنند. Kerberos معمولاً در شبکههای بزرگ و سازمانی، مانند سیستمهای Windows استفاده میشود و به کمک آن، تمامی درخواستهای دسترسی به منابع تحت شبکه، به صورت امن و کنترلشده انجام میشود.
پروتکل تأیید هویت Kerberos چیست و چه ساختاری دارد؟
مراحل اجرای حمله Kerberoasting
-
دسترسی اولیه به شبکه:
در مرحله اول، مهاجم باید دسترسی اولیه به شبکه هدف را به دست آورد. این دسترسی ممکن است از طریق حملات فیشینگ، بهرهبرداری از آسیبپذیریها یا استفاده از اطلاعات کاربری لو رفته به دست آید. نکته مهم این است که مهاجم برای آغاز حمله Kerberoasting نیازی به دسترسی مدیریتی (Admin) ندارد و تنها یک حساب کاربری عادی کافی است.
-
شناسایی حسابهای سرویس:
پس از ورود به شبکه مهاجم تلاش میکند حسابهای سرویس (Service Accounts) موجود در Active Directory را شناسایی کند. این حسابها معمولاً به سرویسهای خاصی در شبکه متصل هستند و از طریق ابزارهایی مانند PowerShell یا اسکریپتهای دیگر قابل شناسایی هستند. مهاجم به دنبال حسابهایی است که SPN (Service Principal Name) دارند، چرا که این حسابها قابل هدفگذاری در Kerberoasting هستند.
-
درخواست بلیط خدمات (Service Tickets):
در این مرحله مهاجم برای حسابهای سرویس شناساییشده، بلیطهای خدمات (Service Tickets) را از Domain Controller درخواست میکند. این درخواست از طریق پروتکل Kerberos انجام میشود و در پاسخ، بلیطهای خدمات رمزنگاریشده ارسال میشوند. این بلیطها حاوی هش رمز عبور حساب سرویس هستند و مهاجم آنها را ذخیره میکند.
-
استخراج بلیطها از حافظه:
بلیطهای خدمات دریافتشده معمولاً در حافظه سیستم قربانی ذخیره میشوند. مهاجم با استفاده از ابزارهایی مانند Mimikatz یا Rubeus این بلیطها را از حافظه استخراج میکند. این بلیطها به صورت رمزنگاریشده هستند و باید در خارج از محیط شبکه رمزگشایی شوند.
-
کرک کردن هش رمز عبور:
آخرین مرحله کرک کردن هش رمز عبور استخراجشده است. مهاجم هشها را به یک محیط خارجی منتقل کرده و با استفاده از ابزارهایی مانند Hashcat تلاش میکند تا رمز عبور اصلی را بازیابی کند. اگر رمز عبور کرک شود، مهاجم میتواند از حساب سرویس برای دسترسی به منابع حساس شبکه استفاده کند که در برخی موارد به دسترسیهای مدیریتی منجر میشود.
دلایل موفقیت حملات Kerberoasting
-
ضعف در مدیریت رمز عبور
یکی از اصلیترین دلایل موفقیت مهاجمان حملات Kerberoasting استفاده از رمزهای عبور ضعیف یا قابل حدس توسط حسابهای سرویس است. بسیاری از حسابهای سرویس به دلیل نیاز به دسترسی دائمی، رمزهای عبور طولانیمدت و تغییرناپذیر دارند. این رمزهای عبور اغلب به اندازه کافی پیچیده نیستند و مهاجمان میتوانند آنها را با ابزارهای کرک رمز عبور به راحتی بازیابی کنند.
-
نبود احراز هویت چندعاملی (MFA)
بسیاری از سازمانها هنوز از احراز هویت چندعاملی (MFA) برای محافظت از حسابهای کاربری و سرویسها استفاده نمیکنند. این نقص امنیتی به مهاجمان اجازه میدهد تنها با داشتن یک نام کاربری و رمز عبور، به منابع حساس دسترسی پیدا کنند. در نتیجه، حتی اگر مهاجم بتواند رمز عبور را کرک کند، هیچ مکانیزم امنیتی اضافی برای جلوگیری از دسترسی غیرمجاز وجود ندارد.
-
دسترسی آسان به ابزارهای حمله
ابزارهایی مانند Mimikatz، Rubeus و Hashcat که برای اجرای حملات Kerberoasting استفاده میشوند، به صورت رایگان و عمومی در دسترس هستند. این ابزارها فرایند شناسایی، استخراج و کرک کردن هش رمز عبور را ساده میکنند. همین دسترسی آسان به ابزارها باعث شده است که حتی مهاجمان با سطح دانش متوسط نیز بتوانند این حملات را با موفقیت اجرا کنند.
-
پیکربندی نادرست Active Directory
پیکربندیهای ضعیف در Active Directory یکی دیگر از دلایل موفقیت حملات Kerberoasting است. به عنوان مثال، استفاده از مجوزهای اضافی برای حسابهای سرویس، یا عدم تنظیم دقیق سیاستهای امنیتی به مهاجمان کمک میکند تا به راحتی اهداف خود را شناسایی کرده و از آسیبپذیریها بهرهبرداری کنند.
نمونههایی از حملات Kerberoasting در دنیای واقعی
-
حمله به شرکت Boeing
در سال ۲۰۱۸ شرکت هوافضا و صنایع دفاعی Boeing هدف حملهای قرار گرفت که در آن مهاجمان از تکنیک Kerberoasting برای دسترسی به حسابهای حساس استفاده کردند. این حمله با استفاده از ابزارهای رایج در کرک هشهای Kerberos انجام شد. مهاجمان پس از دسترسی به رمزهای عبور حسابهای سرویس، توانستند به بخشهای حساس شبکه نفوذ کنند. این رویداد ضعف در مدیریت حسابهای سرویس و رمزهای عبور آنها را برجسته کرد.
-
حمله به سازمانهای دولتی در ایالات متحده
یک کمپین حمله گسترده در سال ۲۰۱۹ سازمانهای دولتی آمریکا را هدف قرار داد که از Kerberoasting به عنوان تکنیک اصلی بهرهبرداری استفاده میکرد. مهاجمان از آسیبپذیریهای Active Directory و حسابهای سرویس برای دسترسی به دادههای حساس دولتی استفاده کردند. این حملات منجر به افشای اطلاعات محرمانه و تأثیر منفی بر اعتماد عمومی به امنیت زیرساختهای دولتی شد.
-
نفوذ به شبکههای شرکت Ubisoft
در سال ۲۰۲۰، شرکت بازیسازی مشهور Ubisoft یکی از قربانیان حملات Kerberoasting بود. مهاجمان با بهرهگیری از ضعفهای امنیتی در Active Directory و کرک کردن هشهای Kerberos موفق شدند به اطلاعات حیاتی کاربران و دادههای داخلی این شرکت دسترسی پیدا کنند. این حمله تأثیر زیادی بر شهرت Ubisoft گذاشت و آنها را مجبور کرد تا سیاستهای امنیتی خود را بهروزرسانی کنند.
راهکارهای پیشگیری و مقابله با Kerberoasting
استفاده از رمزهای عبور قوی برای حسابهای سرویس
یکی از اصلیترین دلایل موفقیت حملات Kerberoasting، استفاده از رمزهای عبور ضعیف برای حسابهای سرویس است. برای پیشگیری، رمزهای عبور پیچیده و طولانی که شامل حروف بزرگ و کوچک، اعداد و نمادها هستند، ضروری است. همچنین استفاده از مدیر رمز عبور (Password Manager) برای تولید و مدیریت رمزهای قوی توصیه میشود.
فعالسازی احراز هویت چندعاملی (MFA)
احراز هویت چندعاملی (Multi-Factor Authentication) لایهای اضافی از امنیت فراهم میکند که در صورت به خطر افتادن رمز عبور، همچنان دسترسی به حسابها را دشوار میسازد. MFA باعث میشود که حتی اگر مهاجم به هش رمز عبور دست یابد، برای ورود به سیستم نیاز به فاکتورهای اضافی داشته باشد.
محدود کردن دسترسی حسابهای سرویس
حسابهای سرویس باید فقط به منابعی که برای عملکرد خود نیاز دارند دسترسی داشته باشند. با اعمال اصل حداقل دسترسی (Principle of Least Privilege) میتوان از سوءاستفاده احتمالی مهاجمان جلوگیری کرد. همچنین نظارت بر فعالیت حسابهای سرویس برای شناسایی رفتارهای غیرعادی ضروری است.
اجرای خطمشیهای مدیریت عمر رمز عبور
ایجاد سیاستهایی برای تغییر دورهای رمز عبور حسابهای سرویس میتواند تأثیر حملات Kerberoasting را کاهش دهد. این کار باعث میشود مهاجمان در صورت دستیابی به هشهای قدیمی، نتوانند از آنها استفاده کنند. تعیین بازههای زمانی مناسب برای تغییر رمز عبور نیز باید با توجه به حساسیت حساب انجام شود.
غیرفعالسازی حسابهای غیرضروری
حسابهایی که دیگر مورد استفاده قرار نمیگیرند، هدفی آسان برای مهاجمان هستند. شناسایی و غیرفعالسازی این حسابها میتواند سطح حمله را کاهش دهد. بررسی دورهای برای اطمینان از فعال بودن تنها حسابهای ضروری توصیه میشود.
جمعبندی…
حملات Kerberoasting یکی از روشهای پیچیده و در عین حال مؤثر در سرقت اطلاعات کاربری و نفوذ به شبکههای سازمانی است که از نقاط ضعف سیستم احراز هویت Kerberos سوءاستفاده میکند. این حملات با وجود پیچیدگی، به دلیل استفاده از الگوریتمهای رمزنگاری قدیمی، رمزهای عبور ضعیف و عدم نظارت کافی در بسیاری از سازمانها موفقیتآمیز هستند. توجه به این مواردی همچون احراز هویت چند عاملی میتواند به طور مؤثری آسیبپذیری سازمانها در برابر Kerberoasting را کاهش دهد.
موارد اخیر
-
فناوری سایه یا Shadow IT چیست و چقدر مخرب است؟
-
RTP چیست و با RTCP چه تفاوتی دارد؟
-
SIP چیست و چه کاربردی دارد؟ برسی پروتکل SIP و اجزای آن
-
سرویس VoIP چیست و چه کاربرد ها و مزایایی دارد؟
-
شبکه ISDN یا Integrated Services Digital Network چیست و چه کاربردی دارد؟ مقایسه با PSTN
-
شبکه PSTN چیست و چه تفاوتی با VoIP دارد؟
-
CASB چیست؟ چگونه Cloud Access Security Broker از امنیت ابری دفاع می کند؟
-
چارچوب MITRE ATT&CK چیست و چگونه باعث تقویت امنیت سایبری می شود؟
-
DEP چیست؟ برسی قابلیت امنیتی Data Execution Prevention
-
ASLR چیست و چگونه در حافظه رایانه شما تغییر ایجاد می کند؟
برترین ها
-
CASB چیست؟ چگونه Cloud Access Security Broker از امنیت ابری دفاع می کند؟
-
چارچوب MITRE ATT&CK چیست و چگونه باعث تقویت امنیت سایبری می شود؟
-
DEP چیست؟ برسی قابلیت امنیتی Data Execution Prevention
-
ASLR چیست و چگونه در حافظه رایانه شما تغییر ایجاد می کند؟
-
RCE چیست؟ برسی حملات اجرای کد از راه دور (Remote Code Execution)
اشتراک گذاری این مطلب
دیدگاهتان را بنویسید
نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند *
