در دنیای امروز، حملات سایبری دیگر صرفاً یک تهدید فنی نیستند، بلکه به یکی از جدیترین چالشهای امنیتی برای سازمانها، کسبوکارها و حتی کاربران عادی تبدیل شدهاند. بسیاری از این حملات در ظاهر ساده به نظر میرسند، اما در پشت صحنه با الگوهای پیچیده، رفتارهای هدفمند و روشهای پنهانسازی پیشرفته اجرا میشوند. به همین دلیل، شناسایی بهموقع نشانههای حمله و تحلیل دقیق آنها، نقش بسیار مهمی در کاهش خسارت، جلوگیری از گسترش نفوذ و تقویت دفاع سایبری دارد.
1-Golden Ticket Attack :
شرح حمله : ساخت تیکت TGT جعلی با استفاده از هش حساب krbtgt برای دسترسی به منابع دامنه
بدون احراز هویت واقعی
.
ابزار : Mimikatz
جلوگیری : تغییر دور های رمز عبور حساب krbtgt و مانیتورینگ لاگهای Kerberos .
Event ID های مرتبط :
:4768 درخواست تیکت TGT .
:4769 درخواست تیکت سرویس (TGS) .
4624 :ورود موفق به سیستم.
:MITRE TTP
: Tactic Credential Access
: TechniqueT1558.001 – Steal or Forge Kerberos Tickets: Golden Ticket
:Procedureمهاجم با دسترسی به هش حساب krbtgt ، بلیط TGT جعلی ایجاد میکند که
امکان دسترسی دائمی به منابع دامنه را فراهم میکند.
Splunk Query:
index=wineventlog (EventCode=4768 OR EventCode=4769 OR EventCode=4624)
| eval TicketOptions=coalesce(Ticket_Options, "")
| eval Suspicious=if(EventCode=4768 AND like(TicketOptions, "%0x40810010%"), "Yes", "No")
| stats count by TargetUserName, Suspicious, EventCode
توضیح کوئری : این کوئری رویدادهای مربوط به درخواست تیکتهای Kerberos و ورودهای موفق
را بررسی میکند. ب هویژه، تیکتهایی با گزینه های غیرمعمول مانند 0x40810010 که ممکن است
نشا ندهنده تیکتهای جعلی باشند، شناسایی میشوند .
index=wineventlog EventCode=4624
| where Logon_Type=3 AND Account_Name="krbtgt"
توضیح : ورود با بلیط جعلی ساختهشده با کلید krbtgt
____________________________________________________________
2-Silver Ticket Attack :
شرح حمله : ساخت تیکت TGS جعلی برای دسترسی مستقیم به یک سرویس خاص بدون نیاز به TGT
ابزار: Mimikatz
جلوگیری : تغییر رمز حسا بهای سرویس و بررسی لاگهای مرتبط با سرویسها و مانیتور
درخواست های بدون TGT .
Event ID های مرتبط :
: 4624 ورود موفق به سیستم .
4769 : درخواست تیکت سرویس (TGS) .
:MITRE TTP
:TacticCredential Access
:TechniqueT1558.002 – Steal or Forge Kerberos Tickets: Silver Ticket
:Procedure مهاجم با استخراج کلید رمزنگاری سرویس (Service Account) ، یک TGS جعلی
میسازد که اجازه دسترسی به سرویس مشخصی را میدهد .
Splunk Query:
index=wineventlog (EventCode=4624 OR EventCode=4769)
| transaction TargetUserName startswith=(EventCode=4769) endswith=(EventCode=4624)
| search NOT EventCode=4769
| stats count by TargetUserName, LogonType, AuthenticationPackageName
توضیح کوئری : این کوئری به دنبال ورودهای موفق با استفاده از تیکتهای Kerberos است که
بدون درخواست تیکت سرویس (TGS) انجام شدهاند، که میتواند نشا ندهنده حمله Silver Ticket باشد . .
3-Pass-the-Hash (PtH)
شرح حمله : استفاده از هش رمز عبور برای احراز هویت بدون دانستن رمز واقعی .
ابزار: Mimikatz
جلوگیری:
-1استفاده از Credential Guard
2 - LAPS و محدود کردن استفاده از پروتکل NTLM .
-2حسابهای local با رمزهای متفاوت
Event ID های مرتبط :
:4624 ورود موفق به سیستم .
:4776 احراز هویت با استفاده از NTLM
4624 :نوع ورود Type 9 - استفاده از hash
4648 : Logon with explicit credentials
MITRE TTP:
:Tactic Lateral Movement
:TechniqueT1550.002 – Use Alternate Authentication Material: Pass the Hash
Procedure: مهاجم با هش NTLM یک کاربر، بدون دانستن رمز عبور، در سیستمهای دیگر
لاگین میکند .
Splunk Query:
index=wineventlog (EventCode=4624 OR EventCode=4776)
| stats count by Account_Name, Logon_Type, Authentication_Package
توضیح کوئری : این کوئری ورودهای موفق با استفاده از NTLM را بررسی میکند. ورودهای متعدد
با استفاده از NTLM میتواند نشا ندهنده حمله Pass-the-Hash باشد .
Splunk Query:
index=wineventlog EventCode=4624 Logon_Type=9
| stats count by Account_Name, Ip_Address
توضیح : ورود به سیستم با استفاده از hash به جای رمز واقعی .


