يعد تمرير هجوم (Pass the hash) طريقة من الطرق التي يمكن للمتسلل من خلالها الوصول إلى بيانات اعتماد الحساب والتحرك بشكل جانبي في الشبكة، حيث يعتمد المهاجمون في كثير من الأحيان على تقنيات الحركة الجانبية للتسلل إلى شبكات الشركات والحصول على امتياز الوصول إلى بيانات الاعتماد والبيانات.
كيفية منع هجمات تمرير التجزئة
لكي يتحقق هجوم تمرير التجزئة (PtH) بنجاح، يجب أن يحصل الجاني أولاً على وصول إداري محلي على جهاز كمبيوتر لرفع التجزئة، حيث بمجرد أن يكون للمهاجم موطئ قدم، يمكنه التحرك بشكل جانبي بسهولة نسبية ورفع المزيد من أوراق الاعتماد وتصعيد الامتيازات، كما سيساعد تنفيذ أفضل الممارسات الأمنية التالية في القضاء أو على الأقل التقليل من تأثير هجوم تمرير التجزئة ومنها:
- نموذج أمان الامتياز الأقل، يساعد هذا النموذج من الحد من النطاق ويخفف من تأثير هجوم تمرير التجزئة عن طريق تقليل قدرة المهاجمين على تصعيد الوصول والأذونات المميزة، كما ستؤدي إزالة حقوق المسؤول غير الضرورية إلى قطع شوط طويل في تقليل سطح التهديد لـ (PtH) والعديد من أنواع الهجمات الأخرى.
- حلول إدارة كلمات المرور، حيث يمكن أن يؤدي تدوير كلمات المرور بشكل متكرر أو بعد اختراق بيانات الاعتماد المعروف إلى تكثيف الفترة الزمنية التي قد تكون خلالها التجزئة المسروقة صالحة، وذلك من خلال أتمتة تدوير كلمة المرور بعد كل جلسة ذات امتياز، كما يمكن إحباط هجمات (PtH) تمامًا واستغلالها بالاعتماد على إعادة استخدام كلمة المرور.
- فصل الامتيازات، حيث يمكن للفصل بين أنواع مختلفة من الحسابات المميزة وغير المميزة أن يقلل من نطاق استخدام حسابات المسؤول، مما يقلل من مخاطر التسوية وفرص الحركة الجانبية.
- القيام بإنشاء حسابات منفصلة لمسؤول المجال، بحيث يكون لمسؤولي تكنولوجيا المعلومات حساب قياسي بدون وصول مميز للشبكة للعمل اليومي، مثل التحقق من البريد الإلكتروني، وبهذه الطريقة، لا يستخدمون حساب مسؤول المجال إلا عندما يكون الامتياز مطلوبًا حقًا.
- جعل سياسات كلمات المرور على حسابات مسؤول المجال أكثر صرامة من الحسابات الأخرى وزيادة متطلبات التعقيد لكلمات مرور مسؤول المجال بحيث لا يمكن حفظها بسهولة، ومن ثم القيام بتغيير كلمات مرور مسؤول المجال بشكل متكرر أكثر من كلمات مرور المستخدم النهائي من الناحية المثالية بعد كل مرة يتم استخدامها.
- استخدام (LAPS)، وهي أداة مجانية من مايكروسوفت تساعد في إدارة كلمات المرور لأجهزة الكمبيوتر للتأكد من أن حساب المسؤول المحلي لكل كمبيوتر يستخدم كلمة مرور معقدة مختلفة، مما يعيق الحركة الجانبية بواسطة المهاجمين.
- “LAPS” اختصار ل”Microsoft Local Administrator Password Solutions”.
- في العديد من البيئات، تحتاج أجهزة المستخدم النهائي إلى الاتصال بخوادم الملفات ووحدات التحكم بالمجال ولكن ليس بأجهزة المستخدم النهائي الأخرى، لذا يجب القيام بتكوين قواعد جدار الحماية لمنع هذه الاتصالات الجانبية وبالتالي إعاقة الحركة الجانبية للمهاجمين.
- سيساعد التدريب على الوعي الأمني للموظفين على عدم الوقوع في غرام البريد الإلكتروني للتصيد الاحتيالي الأولي أو تقنيات الهندسة الاجتماعية المستخدمة للحصول على المجموعة الأولى من بيانات الاعتماد اللازمة للوصول إلى الشبكة.
- عدم السماح للمستخدمين بأن يكونوا مسؤولين محليين لأنظمة متعددة واقتصار أذونات حساب مسؤول المجال على وحدات التحكم بالمجال والقيام ايضا بتفويض وظائف المسؤول الأخرى إلى حسابات مختلفة، وبالتالي الحد من قيمة أي حساب تم اختراقه.
- مراقبة سجلات التفويض والوصول باستخدام أدوات (SIEM) وهي عبارة عن مجموعة من الأدوات التي تسمح بمراقبة كافة العمليات والأحداث التي تجري داخل البنية الشبكية التحتية للمنظمة لاكتشاف الأنماط غير المعتادة للوصول تلقائيًا والتي قد تشير إلى اختراق الحساب.
- يمكن المساعدة في تقييم مرونة الشبكة ضد الحركة الجانبية واجتياز هجمات التجزئة من خلال اختبار اختراق داخلي، حيث يقوم فريق من مختبري الاختراق بتقليد تصرفات المهاجمين الضارين في محاولة للعثور على الأصول القيمة في الشبكة.
- “SIEM” اختصار ل”security information and event”.
كيف يعمل Pass the Hash attack
- الخطوة الأولى: يدخل المهاجمون إلى الشبكة من خلال حملة تصيد احتيالي، وعند الحصول على نظام، يتم تثبيت الأدوات الخبيثة المذكورة أعلاه لحصاد تجزئة كلمة المرور من الأنظمة المحلية.
- الخطوة الثانية: الحركة الجانبية باستخدام تجزئة حساب المستخدم وكلمة المرور، حيث يقوم بعدها المهاجمون بالمصادقة على الأنظمة والموارد الأخرى التي يمكن للحساب الوصول إليها