حملات پیشرفته Kerberos در Active Directory: Overpass-the-Hash، Skeleton Key، Credential Dumping و Password Spraying



در دو قسمت قبلی این مجموعه، حملات پایه‌ای مبتنی بر پروتکل Kerberos مثل Pass-the-Ticket، Kerberoasting و AS-REP Roasting را بررسی کردیم. حالا در این پارت سوم، سراغ تکنیک‌های پیشرفته‌تری می‌رویم که مستقیماً روی اعتبارنامه‌های ذخیره‌شده در حافظه ویندوز تمرکز دارند. این حملات حرکت جانبی در شبکه را برای مهاجمان خیلی ساده‌تر و خطرناک‌تر می‌کنند.
Overpass-the-Hash، Skeleton Key، Credential Dumping از طریق LSASS و Password Spraying از جمله واقعی‌ترین و پراستفاده‌ترین تکنیک‌ها در حملات واقعی به دامنه‌های Active Directory هستند. این روش‌ها با دور زدن مکانیزم‌های معمولی احراز هویت، دسترسی پنهان و پایدار ایجاد می‌کنند. در ادامه هر حمله را دقیق بررسی می‌کنیم: چگونگی کارکرد فنی، ابزارهای مورد استفاده، راه‌های پیشگیری و کوئری‌های Splunk برای شکار تهدید با مپینگ به چارچوب MITRE ATT&CK.

۱. Overpass-the-Hash Attack – ترکیب هوشمند PtH و Kerberos

Overpass-the-Hash یکی از قدرتمندترین راه‌ها برای استفاده از هش NTLM است. مهاجم به جای ارسال مستقیم هش در شبکه، با داشتن آن یک تیکت Kerberos واقعی (TGT) از KDC می‌گیرد. این کار باعث می‌شود حمله خیلی تمیزتر و سخت‌تر برای تشخیص باشد.

نحوه عملکرد فنی:
مهاجم اول هش NTLM را از حافظه هدف استخراج می‌کند. سپس با ابزار مناسب، درخواست TGT می‌دهد. Kerberos فکر می‌کند درخواست合法 است و تیکت معتبر صادر می‌کند. حالا مهاجم می‌تواند با این تیکت به هر سرور و سرویسی در دامنه دسترسی پیدا کند بدون اینکه هش را مدام در شبکه بفرستد.

ابزارهای مورد استفاده:


- Mimikatz (رایج‌ترین ابزار)  
- Rubeus  
- برخی اسکریپت‌های Impacket
**مپینگ MITRE ATT&CK:**  
**Tactic:** Credential Access و Lateral Movement  
**Technique:** T1550.001 – Use Alternate Authentication Material: Overpass-the-Hash
**راهکارهای پیشگیری:**  
- فعال کردن **Credential Guard** در تمام ماشین‌های حساس  
- محدود کردن یا غیرفعال کردن پروتکل NTLM از طریق Group Policy  
- قرار دادن کاربران حساس در گروه Protected Users  
- نظارت دقیق روی لاگین‌های نوع ۳ با Authentication Package Kerberos
رویدادهای مهم: 
- Event ID 4768 (درخواست TGT)  
- Event ID 4624 (ورود موفق)


کوئری Splunk برای Threat Hunting: 


```spl
index=wineventlog (EventCode=4768 OR EventCode=4624) 
| stats count by TargetUserName, LogonType, AuthenticationPackageName, Computer 
| where AuthenticationPackageName="Kerberos" 
| sort -count
```

 

این کوئری ورودهای موفق Kerberos را نشان می‌دهد. افزایش ناگهانی در حساب‌های خاص می‌تواند نشانه Overpass-the-Hash باشد.


 ۲. Skeleton Key Attack – بک‌دور مستر روی Domain Controller

Skeleton Key یکی از ترسناک‌ترین حملات persistence است. مهاجم روی Domain Controller یک پچ در حافظه اعمال می‌کند که یک رمز عبور master برای تمام حساب‌های دامنه ایجاد می‌کند، بدون اینکه رمزهای اصلی تغییر کنند.


نحوه عملکرد فنی:  


مهاجم با دسترسی ادمین به DC، یک DLL خاص را در فرآیند LSASS تزریق می‌کند. از این لحظه به بعد، هر کاربری که با رمز master (مثلاً mimikatz) لاگین کند، به هر حسابی دسترسی خواهد داشت.
ابزار:
- Mimikatz (ماژول misc::skeleton)
**مپینگ MITRE ATT&CK:**  
**Tactic:** Credential Access و Persistence  
**Technique:** T1556.002 – Modify Authentication Process: Patch Authentication Process
**راهکارهای پیشگیری:**  
- فعال کردن Credential Guard و Device Guard  
- محدود کردن دسترسی فیزیکی و شبکه‌ای به Domain Controllerها  
- استفاده از Sysmon برای مانیتورینگ بارگذاری DLL  
- نظارت بر تغییرات حافظه LSASS با EDR  
- لاگ‌برداری پیشرفته کرنل
**رویدادهای کلیدی (Sysmon):**  
- Event ID 7 (Image Loaded)  
- Event ID 10 (Process Access)

کوئری‌های Splunk:


```spl
index=sysmon EventCode=7 
| where Image="C:WindowsSystem32lsass.exe" 
| search ImageLoaded="*mimidrv*" OR ImageLoaded="*.dll" 
| stats count by Computer, ImageLoaded
```
```spl
index=sysmon EventCode=10 
| where TargetImage="*lsass.exe" AND GrantedAccess="0x1fffff" 
| stats count by SourceImage, Computer
```

این کوئری‌ها بارگذاری DLLهای مشکوک و دسترسی کامل به LSASS را سریع شناسایی می‌کنند.


 ۳. Credential Dumping via LSASS – دزدیدن اعتبارنامه مستقیم از حافظه

LSASS تمام پسوردها، هش‌ها و تیکت‌های فعال را در RAM نگه می‌دارد. مهاجمان با dump کردن این حافظه، همه اعتبارنامه‌ها را یکجا به دست می‌آورند.

نحوه عملکرد فنی:

ابزارها به فرآیند LSASS متصل شده، حافظه آن را می‌خوانند و تمام LogonSessionها را استخراج می‌کنند.
ابزارهای محبوب: 
- Mimikatz (sekurlsa::logonpasswords)  
- pypykatz  
- LaZagne  
- Procdump
**مپینگ MITRE ATT&CK:**  
**Technique:** T1003.001 – OS Credential Dumping: LSASS Memory

راهکارهای پیشگیری: 


- فعال کردن Credential Guard و LSA Protection (RunAsPPL)  
- جلوگیری از اجرای ابزارهای خطرناک با AppLocker  
- نظارت دقیق دسترسی به lsass.exe  
- استفاده از LAPS برای حساب‌های محلی ادمین
رویدادهای مهم:
- 4688 (Process Creation)  
- 4656 (Handle Request)  
- Sysmon Event ID 10

کوئری Splunk:  


```spl
index=wineventlog (EventCode=4688 OR EventCode=4656) 
| where New_Process_Name="*mimikatz*" OR Object_Name="*lsass*" 
| stats count by HostName, New_Process_Name, Command_Line
```

```spl
index=wineventlog EventCode=4688 
| where Command_Line="*sekurlsa*" OR New_Process_Name="*mimikatz.exe"
```

۴. Password Spraying – Brute Force هوشمند روی Kerberos

برخلاف Brute Force معمولی که روی یک حساب تعداد زیادی پسورد امتحان می‌کند، Password Spraying تعداد کمی پسورد رایج را روی تعداد زیادی حساب تست می‌کند تا از قفل شدن حساب جلوگیری شود.
نحوه عملکرد فنی:
مهاجم لیستی از کاربران را گرفته و با پسوردهای ساده مثل Spring2026، Company123 و غیره امتحان می‌کند. معمولاً بین هر تلاش فاصله می‌اندازد.
ابزارها:
- Kerbrute  
- Hydra  

- CrackMapExec


مپینگ MITRE ATT&CK:


**Technique:** T1110.003 – Brute Force: Password Spraying
**راهکارهای پیشگیری:**  
- تنظیم Account Lockout Threshold (۵ تا ۱۰ تلاش)  
- فعال کردن MFA برای همه حساب‌ها  
- استفاده از Microsoft Password Protection  
- نظارت بر لاگین‌های ناموفق از منابع خارجی
**رویدادهای مهم:**  
- 4768 (TGT Request)  
- 4625 (Failed Logon)


کوئری Splunk:  


```spl
index=wineventlog (EventCode=4768 OR EventCode=4625) 
| stats count by TargetUserName, Computer, EventCode 
| where count > 15 
| sort -count
```

 جمع‌بندی و توصیه‌های عملی

حملات Kerberos هنوز یکی از اصلی‌ترین راه‌های نفوذ به Active Directory هستند. مهاجمان معمولاً با Credential Dumping شروع می‌کنند، سپس Overpass-the-Hash یا Skeleton Key را اجرا می‌کنند و در نهایت کنترل کامل دامنه را به دست می‌آورند.
برای دفاع جدی باید:  
- به Windows Server 2022 مهاجرت کنید و Kerberos Armoring را فعال کنید.  
- Tiering مدل را پیاده‌سازی کنید.  
- از Microsoft Defender for Identity و Sentinel استفاده مداوم داشته باشید.  
- شبیه‌سازی حملات (Purple Teaming) را به صورت دوره‌ای انجام دهید.
با این اقدامات می‌توانید مقاومت زیرساخت خود را در برابر این حملات پیشرفته به شکل قابل توجهی بالا ببرید. امنیت Active Directory نیازمند توجه دائم است، چون یک غفلت کوچک می‌تواند کل شبکه را در معرض خطر قرار دهد.

نظرات کاربران

اخبار و رسانه های مرتبط

مشاهده همه