حملات پیشرفته Kerberos در Active Directory: Overpass-the-Hash، Skeleton Key، Credential Dumping و Password Spraying
در دو قسمت قبلی این مجموعه، حملات پایهای مبتنی بر پروتکل Kerberos مثل Pass-the-Ticket، Kerberoasting و AS-REP Roasting را بررسی کردیم. حالا در این پارت سوم، سراغ تکنیکهای پیشرفتهتری میرویم که مستقیماً روی اعتبارنامههای ذخیرهشده در حافظه ویندوز تمرکز دارند. این حملات حرکت جانبی در شبکه را برای مهاجمان خیلی سادهتر و خطرناکتر میکنند.
Overpass-the-Hash، Skeleton Key، Credential Dumping از طریق LSASS و Password Spraying از جمله واقعیترین و پراستفادهترین تکنیکها در حملات واقعی به دامنههای Active Directory هستند. این روشها با دور زدن مکانیزمهای معمولی احراز هویت، دسترسی پنهان و پایدار ایجاد میکنند. در ادامه هر حمله را دقیق بررسی میکنیم: چگونگی کارکرد فنی، ابزارهای مورد استفاده، راههای پیشگیری و کوئریهای Splunk برای شکار تهدید با مپینگ به چارچوب MITRE ATT&CK.
۱. Overpass-the-Hash Attack – ترکیب هوشمند PtH و Kerberos
Overpass-the-Hash یکی از قدرتمندترین راهها برای استفاده از هش NTLM است. مهاجم به جای ارسال مستقیم هش در شبکه، با داشتن آن یک تیکت Kerberos واقعی (TGT) از KDC میگیرد. این کار باعث میشود حمله خیلی تمیزتر و سختتر برای تشخیص باشد.
نحوه عملکرد فنی:
مهاجم اول هش NTLM را از حافظه هدف استخراج میکند. سپس با ابزار مناسب، درخواست TGT میدهد. Kerberos فکر میکند درخواست合法 است و تیکت معتبر صادر میکند. حالا مهاجم میتواند با این تیکت به هر سرور و سرویسی در دامنه دسترسی پیدا کند بدون اینکه هش را مدام در شبکه بفرستد.
ابزارهای مورد استفاده:
- Mimikatz (رایجترین ابزار)
- Rubeus
- برخی اسکریپتهای Impacket
**مپینگ MITRE ATT&CK:**
**Tactic:** Credential Access و Lateral Movement
**Technique:** T1550.001 – Use Alternate Authentication Material: Overpass-the-Hash
**راهکارهای پیشگیری:**
- فعال کردن **Credential Guard** در تمام ماشینهای حساس
- محدود کردن یا غیرفعال کردن پروتکل NTLM از طریق Group Policy
- قرار دادن کاربران حساس در گروه Protected Users
- نظارت دقیق روی لاگینهای نوع ۳ با Authentication Package Kerberos
رویدادهای مهم:
- Event ID 4768 (درخواست TGT)
- Event ID 4624 (ورود موفق)
کوئری Splunk برای Threat Hunting:
```spl
index=wineventlog (EventCode=4768 OR EventCode=4624)
| stats count by TargetUserName, LogonType, AuthenticationPackageName, Computer
| where AuthenticationPackageName="Kerberos"
| sort -count
```
این کوئری ورودهای موفق Kerberos را نشان میدهد. افزایش ناگهانی در حسابهای خاص میتواند نشانه Overpass-the-Hash باشد.
۲. Skeleton Key Attack – بکدور مستر روی Domain Controller
Skeleton Key یکی از ترسناکترین حملات persistence است. مهاجم روی Domain Controller یک پچ در حافظه اعمال میکند که یک رمز عبور master برای تمام حسابهای دامنه ایجاد میکند، بدون اینکه رمزهای اصلی تغییر کنند.
نحوه عملکرد فنی:
مهاجم با دسترسی ادمین به DC، یک DLL خاص را در فرآیند LSASS تزریق میکند. از این لحظه به بعد، هر کاربری که با رمز master (مثلاً mimikatz) لاگین کند، به هر حسابی دسترسی خواهد داشت.
ابزار:
- Mimikatz (ماژول misc::skeleton)
**مپینگ MITRE ATT&CK:**
**Tactic:** Credential Access و Persistence
**Technique:** T1556.002 – Modify Authentication Process: Patch Authentication Process
**راهکارهای پیشگیری:**
- فعال کردن Credential Guard و Device Guard
- محدود کردن دسترسی فیزیکی و شبکهای به Domain Controllerها
- استفاده از Sysmon برای مانیتورینگ بارگذاری DLL
- نظارت بر تغییرات حافظه LSASS با EDR
- لاگبرداری پیشرفته کرنل
**رویدادهای کلیدی (Sysmon):**
- Event ID 7 (Image Loaded)
- Event ID 10 (Process Access)
کوئریهای Splunk:
```spl
index=sysmon EventCode=7
| where Image="C:WindowsSystem32lsass.exe"
| search ImageLoaded="*mimidrv*" OR ImageLoaded="*.dll"
| stats count by Computer, ImageLoaded
```
```spl
index=sysmon EventCode=10
| where TargetImage="*lsass.exe" AND GrantedAccess="0x1fffff"
| stats count by SourceImage, Computer
```
این کوئریها بارگذاری DLLهای مشکوک و دسترسی کامل به LSASS را سریع شناسایی میکنند.
۳. Credential Dumping via LSASS – دزدیدن اعتبارنامه مستقیم از حافظه
LSASS تمام پسوردها، هشها و تیکتهای فعال را در RAM نگه میدارد. مهاجمان با dump کردن این حافظه، همه اعتبارنامهها را یکجا به دست میآورند.
نحوه عملکرد فنی:
ابزارها به فرآیند LSASS متصل شده، حافظه آن را میخوانند و تمام LogonSessionها را استخراج میکنند.
ابزارهای محبوب:
- Mimikatz (sekurlsa::logonpasswords)
- pypykatz
- LaZagne
- Procdump
**مپینگ MITRE ATT&CK:**
**Technique:** T1003.001 – OS Credential Dumping: LSASS Memory
راهکارهای پیشگیری:
- فعال کردن Credential Guard و LSA Protection (RunAsPPL)
- جلوگیری از اجرای ابزارهای خطرناک با AppLocker
- نظارت دقیق دسترسی به lsass.exe
- استفاده از LAPS برای حسابهای محلی ادمین
رویدادهای مهم:
- 4688 (Process Creation)
- 4656 (Handle Request)
- Sysmon Event ID 10
کوئری Splunk:
```spl
index=wineventlog (EventCode=4688 OR EventCode=4656)
| where New_Process_Name="*mimikatz*" OR Object_Name="*lsass*"
| stats count by HostName, New_Process_Name, Command_Line
```
```spl
index=wineventlog EventCode=4688
| where Command_Line="*sekurlsa*" OR New_Process_Name="*mimikatz.exe"
```
۴. Password Spraying – Brute Force هوشمند روی Kerberos
برخلاف Brute Force معمولی که روی یک حساب تعداد زیادی پسورد امتحان میکند، Password Spraying تعداد کمی پسورد رایج را روی تعداد زیادی حساب تست میکند تا از قفل شدن حساب جلوگیری شود.
نحوه عملکرد فنی:
مهاجم لیستی از کاربران را گرفته و با پسوردهای ساده مثل Spring2026، Company123 و غیره امتحان میکند. معمولاً بین هر تلاش فاصله میاندازد.
ابزارها:
- Kerbrute
- Hydra
- CrackMapExec
مپینگ MITRE ATT&CK:
**Technique:** T1110.003 – Brute Force: Password Spraying
**راهکارهای پیشگیری:**
- تنظیم Account Lockout Threshold (۵ تا ۱۰ تلاش)
- فعال کردن MFA برای همه حسابها
- استفاده از Microsoft Password Protection
- نظارت بر لاگینهای ناموفق از منابع خارجی
**رویدادهای مهم:**
- 4768 (TGT Request)
- 4625 (Failed Logon)
کوئری Splunk:
```spl
index=wineventlog (EventCode=4768 OR EventCode=4625)
| stats count by TargetUserName, Computer, EventCode
| where count > 15
| sort -count
```
جمعبندی و توصیههای عملی
حملات Kerberos هنوز یکی از اصلیترین راههای نفوذ به Active Directory هستند. مهاجمان معمولاً با Credential Dumping شروع میکنند، سپس Overpass-the-Hash یا Skeleton Key را اجرا میکنند و در نهایت کنترل کامل دامنه را به دست میآورند.
برای دفاع جدی باید:
- به Windows Server 2022 مهاجرت کنید و Kerberos Armoring را فعال کنید.
- Tiering مدل را پیادهسازی کنید.
- از Microsoft Defender for Identity و Sentinel استفاده مداوم داشته باشید.
- شبیهسازی حملات (Purple Teaming) را به صورت دورهای انجام دهید.
با این اقدامات میتوانید مقاومت زیرساخت خود را در برابر این حملات پیشرفته به شکل قابل توجهی بالا ببرید. امنیت Active Directory نیازمند توجه دائم است، چون یک غفلت کوچک میتواند کل شبکه را در معرض خطر قرار دهد.


