پایگاه دانش

حمله Kerberoasting چیست؟ چگونه از این حملات پیشرفته جلوگیری کنیم؟

حملات Kerberoasting یکی از روش‌های پیشرفته در حوزه حملات سایبری است که مهاجمان از آن برای به دست آوردن اطلاعات احراز هویت در شبکه‌های مبتنی بر پروتکل Kerberos استفاده می‌کنند. این حملات معمولاً حساب‌های سرویس را هدف قرار می‌دهند و می‌توانند به دسترسی غیرمجاز به منابع حساس منجر شوند. در این مقاله، به بررسی نحوه عملکرد Kerberos، مراحل انجام حمله Kerberoasting، روش‌های تشخیص و راهکارهای پیشگیری از آن خواهیم پرداخت.

حمله Kerberoasting چیست؟

حمله Kerberoasting یکی از تکنیک‌های شناخته‌شده در دنیای هک و امنیت سایبری است که مهاجمان از آن برای دسترسی به اطلاعات حساس احراز هویت در شبکه‌های مبتنی بر Active Directory استفاده می‌کنند. این حمله از پروتکل Kerberos که یکی از روش‌های امن احراز هویت در شبکه‌ها است، بهره‌برداری می‌کند. مهاجمان با درخواست بلیط خدمات (Service Tickets) از کنترل‌کننده دامنه (Domain Controller) که حاوی هش رمز عبور حساب سرویس است، این هش‌ها را ذخیره کرده و خارج از شبکه با استفاده از ابزارهایی مانند Hashcat رمزگشایی می‌کنند.

از آنجا که حساب‌های سرویس معمولاً رمز عبور پیچیده‌ای ندارند و تغییر کمتری در آن‌ها رخ می‌دهد، مهاجمان می‌توانند به‌راحتی آن‌ها را هدف قرار دهند. هدف اصلی این حمله دسترسی به حساب‌های کاربری با سطح دسترسی بالا در شبکه است. اگر مهاجم بتواند هش رمز عبور یک حساب سرویس را کرک کند، ممکن است به منابع مهم و اطلاعات حساس دست یابد. این نوع حمله اغلب بدون نیاز به امتیازات مدیریتی در شبکه آغاز می‌شود، که این موضوع آن را برای مهاجمان بسیار جذاب می‌سازد.

حمله Kerberoasting چیست؟

پروتکل Kerberos چیست؟

پروتکل Kerberos یک پروتکل امنیتی است که برای احراز هویت و تبادل اطلاعات ایمن در شبکه‌های کامپیوتری طراحی شده است. این پروتکل از رمزنگاری کلید متقارن برای تأمین امنیت استفاده می‌کند و به کاربران و سرویس‌ها این امکان را می‌دهد که بدون نیاز به ارسال مستقیم رمز عبور خود، هویتشان را تأیید کنند. Kerberos معمولاً در شبکه‌های بزرگ و سازمانی، مانند سیستم‌های Windows استفاده می‌شود و به کمک آن، تمامی درخواست‌های دسترسی به منابع تحت شبکه، به صورت امن و کنترل‌شده انجام می‌شود.

پروتکل تأیید هویت Kerberos چیست و چه ساختاری دارد؟

مراحل اجرای حمله Kerberoasting

  1. دسترسی اولیه به شبکه:

در مرحله اول، مهاجم باید دسترسی اولیه به شبکه هدف را به دست آورد. این دسترسی ممکن است از طریق حملات فیشینگ، بهره‌برداری از آسیب‌پذیری‌ها یا استفاده از اطلاعات کاربری لو رفته به دست آید. نکته مهم این است که مهاجم برای آغاز حمله Kerberoasting نیازی به دسترسی مدیریتی (Admin) ندارد و تنها یک حساب کاربری عادی کافی است.

  1. شناسایی حساب‌های سرویس:

پس از ورود به شبکه مهاجم تلاش می‌کند حساب‌های سرویس (Service Accounts) موجود در Active Directory را شناسایی کند. این حساب‌ها معمولاً به سرویس‌های خاصی در شبکه متصل هستند و از طریق ابزارهایی مانند PowerShell یا اسکریپت‌های دیگر قابل شناسایی هستند. مهاجم به دنبال حساب‌هایی است که SPN (Service Principal Name) دارند، چرا که این حساب‌ها قابل هدف‌گذاری در Kerberoasting هستند.

  1. درخواست بلیط خدمات (Service Tickets):

در این مرحله مهاجم برای حساب‌های سرویس شناسایی‌شده، بلیط‌های خدمات (Service Tickets) را از Domain Controller درخواست می‌کند. این درخواست از طریق پروتکل Kerberos انجام می‌شود و در پاسخ، بلیط‌های خدمات رمزنگاری‌شده ارسال می‌شوند. این بلیط‌ها حاوی هش رمز عبور حساب سرویس هستند و مهاجم آن‌ها را ذخیره می‌کند.

  1. استخراج بلیط‌ها از حافظه:

بلیط‌های خدمات دریافت‌شده معمولاً در حافظه سیستم قربانی ذخیره می‌شوند. مهاجم با استفاده از ابزارهایی مانند Mimikatz یا Rubeus این بلیط‌ها را از حافظه استخراج می‌کند. این بلیط‌ها به صورت رمزنگاری‌شده هستند و باید در خارج از محیط شبکه رمزگشایی شوند.

  1. کرک کردن هش رمز عبور:

آخرین مرحله کرک کردن هش رمز عبور استخراج‌شده است. مهاجم هش‌ها را به یک محیط خارجی منتقل کرده و با استفاده از ابزارهایی مانند Hashcat تلاش می‌کند تا رمز عبور اصلی را بازیابی کند. اگر رمز عبور کرک شود، مهاجم می‌تواند از حساب سرویس برای دسترسی به منابع حساس شبکه استفاده کند که در برخی موارد به دسترسی‌های مدیریتی منجر می‌شود.

 

دلایل موفقیت حملات Kerberoasting

  • ضعف در مدیریت رمز عبور

یکی از اصلی‌ترین دلایل موفقیت مهاجمان حملات Kerberoasting استفاده از رمزهای عبور ضعیف یا قابل حدس توسط حساب‌های سرویس است. بسیاری از حساب‌های سرویس به دلیل نیاز به دسترسی دائمی، رمزهای عبور طولانی‌مدت و تغییرناپذیر دارند. این رمزهای عبور اغلب به اندازه کافی پیچیده نیستند و مهاجمان می‌توانند آن‌ها را با ابزارهای کرک رمز عبور به راحتی بازیابی کنند.

  • نبود احراز هویت چندعاملی (MFA)

بسیاری از سازمان‌ها هنوز از احراز هویت چندعاملی (MFA) برای محافظت از حساب‌های کاربری و سرویس‌ها استفاده نمی‌کنند. این نقص امنیتی به مهاجمان اجازه می‌دهد تنها با داشتن یک نام کاربری و رمز عبور، به منابع حساس دسترسی پیدا کنند. در نتیجه، حتی اگر مهاجم بتواند رمز عبور را کرک کند، هیچ مکانیزم امنیتی اضافی برای جلوگیری از دسترسی غیرمجاز وجود ندارد.

  • دسترسی آسان به ابزارهای حمله

ابزارهایی مانند Mimikatz، Rubeus و Hashcat که برای اجرای حملات Kerberoasting استفاده می‌شوند، به صورت رایگان و عمومی در دسترس هستند. این ابزارها فرایند شناسایی، استخراج و کرک کردن هش رمز عبور را ساده می‌کنند. همین دسترسی آسان به ابزارها باعث شده است که حتی مهاجمان با سطح دانش متوسط نیز بتوانند این حملات را با موفقیت اجرا کنند.

  • پیکربندی نادرست Active Directory

پیکربندی‌های ضعیف در Active Directory یکی دیگر از دلایل موفقیت حملات Kerberoasting است. به عنوان مثال، استفاده از مجوزهای اضافی برای حساب‌های سرویس، یا عدم تنظیم دقیق سیاست‌های امنیتی به مهاجمان کمک می‌کند تا به راحتی اهداف خود را شناسایی کرده و از آسیب‌پذیری‌ها بهره‌برداری کنند.

پیکربندی نادرست Active Directory

نمونه‌هایی از حملات Kerberoasting در دنیای واقعی

  • حمله به شرکت Boeing

در سال ۲۰۱۸ شرکت هوافضا و صنایع دفاعی Boeing هدف حمله‌ای قرار گرفت که در آن مهاجمان از تکنیک Kerberoasting برای دسترسی به حساب‌های حساس استفاده کردند. این حمله با استفاده از ابزارهای رایج در کرک هش‌های Kerberos انجام شد. مهاجمان پس از دسترسی به رمزهای عبور حساب‌های سرویس، توانستند به بخش‌های حساس شبکه نفوذ کنند. این رویداد ضعف در مدیریت حساب‌های سرویس و رمزهای عبور آن‌ها را برجسته کرد.

  • حمله به سازمان‌های دولتی در ایالات متحده

یک کمپین حمله گسترده در سال ۲۰۱۹ سازمان‌های دولتی آمریکا را هدف قرار داد که از Kerberoasting به عنوان تکنیک اصلی بهره‌برداری استفاده می‌کرد. مهاجمان از آسیب‌پذیری‌های Active Directory و حساب‌های سرویس برای دسترسی به داده‌های حساس دولتی استفاده کردند. این حملات منجر به افشای اطلاعات محرمانه و تأثیر منفی بر اعتماد عمومی به امنیت زیرساخت‌های دولتی شد.

  • نفوذ به شبکه‌های شرکت Ubisoft

در سال ۲۰۲۰، شرکت بازی‌سازی مشهور Ubisoft یکی از قربانیان حملات Kerberoasting بود. مهاجمان با بهره‌گیری از ضعف‌های امنیتی در Active Directory و کرک کردن هش‌های Kerberos موفق شدند به اطلاعات حیاتی کاربران و داده‌های داخلی این شرکت دسترسی پیدا کنند. این حمله تأثیر زیادی بر شهرت Ubisoft گذاشت و آن‌ها را مجبور کرد تا سیاست‌های امنیتی خود را به‌روزرسانی کنند.

نفوذ به شبکه‌های شرکت Ubisoft

راهکارهای پیشگیری و مقابله با Kerberoasting

استفاده از رمزهای عبور قوی برای حساب‌های سرویس

یکی از اصلی‌ترین دلایل موفقیت حملات Kerberoasting، استفاده از رمزهای عبور ضعیف برای حساب‌های سرویس است. برای پیشگیری، رمزهای عبور پیچیده و طولانی که شامل حروف بزرگ و کوچک، اعداد و نمادها هستند، ضروری است. همچنین استفاده از مدیر رمز عبور (Password Manager) برای تولید و مدیریت رمزهای قوی توصیه می‌شود.

فعال‌سازی احراز هویت چندعاملی (MFA)

احراز هویت چندعاملی (Multi-Factor Authentication) لایه‌ای اضافی از امنیت فراهم می‌کند که در صورت به خطر افتادن رمز عبور، همچنان دسترسی به حساب‌ها را دشوار می‌سازد. MFA باعث می‌شود که حتی اگر مهاجم به هش رمز عبور دست یابد، برای ورود به سیستم نیاز به فاکتورهای اضافی داشته باشد.

محدود کردن دسترسی حساب‌های سرویس

حساب‌های سرویس باید فقط به منابعی که برای عملکرد خود نیاز دارند دسترسی داشته باشند. با اعمال اصل حداقل دسترسی (Principle of Least Privilege) می‌توان از سوءاستفاده احتمالی مهاجمان جلوگیری کرد. همچنین نظارت بر فعالیت حساب‌های سرویس برای شناسایی رفتارهای غیرعادی ضروری است.

اجرای خط‌مشی‌های مدیریت عمر رمز عبور

ایجاد سیاست‌هایی برای تغییر دوره‌ای رمز عبور حساب‌های سرویس می‌تواند تأثیر حملات Kerberoasting را کاهش دهد. این کار باعث می‌شود مهاجمان در صورت دستیابی به هش‌های قدیمی، نتوانند از آن‌ها استفاده کنند. تعیین بازه‌های زمانی مناسب برای تغییر رمز عبور نیز باید با توجه به حساسیت حساب انجام شود.

غیرفعال‌سازی حساب‌های غیرضروری

حساب‌هایی که دیگر مورد استفاده قرار نمی‌گیرند، هدفی آسان برای مهاجمان هستند. شناسایی و غیرفعال‌سازی این حساب‌ها می‌تواند سطح حمله را کاهش دهد. بررسی دوره‌ای برای اطمینان از فعال بودن تنها حساب‌های ضروری توصیه می‌شود.

جمع‌بندی…

حملات Kerberoasting یکی از روش‌های پیچیده و در عین حال مؤثر در سرقت اطلاعات کاربری و نفوذ به شبکه‌های سازمانی است که از نقاط ضعف سیستم احراز هویت Kerberos سوءاستفاده می‌کند. این حملات با وجود پیچیدگی، به دلیل استفاده از الگوریتم‌های رمزنگاری قدیمی، رمزهای عبور ضعیف و عدم نظارت کافی در بسیاری از سازمان‌ها موفقیت‌آمیز هستند. توجه به این مواردی همچون احراز هویت چند عاملی می‌تواند به طور مؤثری آسیب‌پذیری سازمان‌ها در برابر Kerberoasting را کاهش دهد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *