در پارت‌های قبلی به حملات نسبتاً رایج و اولیه پرداختیم. اما در محیط‌های سازمانی واقعی، مهاجمان حرفه‌ای معمولاً پس از نفوذ اولیه، به سمت تکنیک‌های پیشرفته‌تری حرکت می‌کنند که مستقیماً روی مکانیزم‌های احراز هویت ویندوز و Active Directory تمرکز دارند.

پارت چهارم به بررسی ۵ حمله قدرتمند و پرخطر می‌پردازد که اغلب توسط رد تیم‌ها، پنتسترها و مهاجمان APT استفاده می‌شوند:

  • NTLM Relay Attack
  • Unauthorized Access via Overprivileged Service Accounts
  • DCShadow Attack
  • DCSync Attack
  • Credential Dumping

این حملات عمدتاً در دسته‌بندی‌های Credential Access، Lateral Movement، Privilege Escalation و Defense Evasion قرار می‌گیرند و هدف اصلی‌شان سرقت، بازپخش یا سوءاستفاده از اعتبارنامه‌ها (Credentials) در شبکه‌های ویندوزی است. بسیاری از این تکنیک‌ها بدون نیاز به شکستن رمز عبور (Password Cracking) کار می‌کنند و همین موضوع آن‌ها را بسیار خطرناک کرده است.

در این بخش، برای هر حمله شرح کامل، ابزارهای مورد استفاده، روش‌های پیشگیری، Event IDهای کلیدی برای مانیتورینگ و کوئری‌های عملی Splunk را آورده‌ایم تا هم تیم‌های Blue Team و هم متخصصان امنیت بتوانند این تهدیدات را شناسایی و خنثی کنند.

11 – NTLM Relay Attack

شرح حمله : هکر ترافیک NTLM را رهگیری کرده و آن را به سیستم دیگری منتقل میکند تا احراز هویت جعلی انجام دهد .

ابزار:   ntlmrelayx ، Responder

جلوگیری :

1 - NTLM را غیرفعال کنید

2 - SMB Signing را فعال کنید

3 -مانیتور لاگینهای مشکوک NTLM

Event ID های مرتبط :

4776 :احراز هویت از طریق NTLM

4624 :لاگین موفق با NTLM 

MITRE TTP :

Tactic: Lateral Movement / Credential Access

Technique: T1557.001 – Adversary-in-the-Middle: LLMNR/NBT-NS Poisoning and Relay

Procedure : شنود ترافیک و بازپخش اعتبارنامه NTLM به سرویس هدف بدون نیاز به شکستن رمز .

کوئری: Splunk

index=wineventlog (EventCode=4624 OR EventCode=4776)

| where Authentication_Package="NTLM"

| stats count by Workstation_Name, Account_Name, Logon_Type

توضیح کوئری : این کوئری لاگینهایی که با NTLM انجام شدهاند را فیلتر کرده و با نام ورکاستیشن و نوع لاگین بررسی میکند. لاگینهای غیرعادی از سیستمهای ناشناس ممکن است نشانهی حمله NTLM Relay باشد.

 

12 - Unauthorized Access via Overprivileged Service Accounts

شرح حمله : اکانتهای سرویس با دسترسی بالا که بیش از نیاز مجوز دارند، هدف حمله قرار گرفته و برای گسترش دسترسی در شبکه استفاده میشوند .

ابزار : اکسپلویت از طریق PowerShell ، Kerberos Ticketing ، ابزارهای داخلی سیستم

جلوگیری :

1 - Principle of Least Privilege پیاده شود

2 -بررسی و محدود کردن دسترسی Service Account ها

3 - MFA برای آنها فعال شود

Event ID های مرتبط :

4672 : ورود با مجوزهای خاص (Special Privileges)

4624 : ورود موفق به سیستم

MITRE TTP :

Tactic: Privilege Escalation / Initial Access

Technique: T1078.002 – Valid Accounts: Domain Accounts

Procedure : استفاده از حسا بهای سرویس با دسترسی بیش از حد برای اجرای کد مخرب یا تغییرات دامنه .

کوئری Splunk :

index=wineventlog (EventCode=4672)

| stats count by TargetUserName, PrivilegeList

توضیح کوئری : اکان تهایی که هنگام ورود دارای مجوزهای حساس مثل SeDebugPrivilege یا SeTcbPrivilege هستند را بررسی میکند. این اکان تها معمولا ادمین یا سروی ساکانتهای خطرناک هستند و باید تحت نظر باشند .

13-  DCShadow Attack

شرح حمله : هکر خودش رو به عنوان یک DC جعلی معرفی میکنه و اعمال تغییراتی در اکتیو دایرکتوری

میکنه، مثل تغییر در گروهها یا پسوردها .

ابزار : Mimikatz (lsadump::dcshadow)

جلوگیری :

1 -فقط DC های مجاز اجاز ه replication داشته باشند

2 -فعا لسازی Advanced Auditing

3 -مانیتور Event های replication غیرعادی

Event ID های مرتبط :

4662 : دسترسی به آبجکت AD )برای نوشتن(

5136 : تغییرات روی آبجکت های دامین

4929 : رجیستر شدن یک DC جدید برای replication

 

MITRE TTP:

Tactic: Defense Evasion

Technique: T1207 – DCShadow

Procedure :جعل شدن به عنوان Domain Controller برای نوشتن مستقیم در دایرکتوری فعال و ایجاد کاربران مخفی یا تغییرات مخرب .

 

کوئری Splunk :

index=wineventlog (EventCode=4662 OR EventCode=5136 OR EventCode=4929)

| search Object_Type="domainDNS"

| stats count by EventCode, Object_Name, Subject_Account_Name, Computer

توضیح کوئری : تغییرات مشکوک در آبجکت های اکتیو دایرکتوری (domainDNS) یا تلاش برای اضافه کردن DC جدید بررسی میشن. ممکنه نشوندهنده DCShadow باشه .

14 - DCSync Attack

شرح حمله : هکر با جعل نقش DC ، اطلاعات مربوط به پسورد کاربران مثل هش های NTLM و Kerberos  رو استخراج میکنه .

ابزار : Mimikatz (lsadump::dcsync)

جلوگیری :

1.بررسی دسترسی اکانت ها به  Replicating Directory Changes

2.مانیتور حساب هایی که درخواست replication میدن

3.فعالسازی auditing روی  replication

Event ID های مرتبط :

4662 : دسترسی به آبجکت ها

4670 : تغییر مجوزهای دسترسی

4742 : تغییرات در حساب Domain Controller

MITRE TTP :

Tactic: Credential Access

Technique: T1003.006 – OS Credential Dumping: DCSync

 استفاده از دسترسی های دامنه برای شبیه سازی عملکرد DC و استخراج هش های حسابها از طریق پروتکل های replication :Procedure

کوئری Splunk :

index=wineventlog EventCode=4662

| search Properties="Replicating Directory Changes"

| stats count by Subject_Account_Name, Object_Name, Computer

توضیح کوئری : درخواستهای مربوط به دسترسی replication بررسی میشن. اگر اکانت غیرعادی سعی در دریافت این سطح دسترسی داشته باشه، ممکنه DCSync در حال اجرا باشه.

 

15   - Credential Dumping:

شرح حمله : هکر با ابزارهایی مثل Mimikatz پسورد یا هشها رو از حافظه مثل LSASS  یا فایلهای سیستم میکشه بیرون .

ابزار : Mimikatz ، Pypykatz

جلوگیری :

1 -اجرای Mimikatz رو بلاک کنید

2 -دسترسی به lsass.exe رو مانیتور کنید

3 - Credential Guard فعال کنید

Event ID های مرتبط :

4688 : اجرای پردازش (مثل mimikatz.exe)

4656 : درخواست دسترسی به حافظه (lsass.exe)

MITRE TTP :

Tactic: Credential Access

Technique: T1003 – OS Credential Dumping

Procedure : جمع آوری اعتبارنامه ها از بخشهای مختلف سیستم مانند LSASS ، SAM یا حافظه .

کوئری Splunk :

index=wineventlog (EventCode=4688 OR EventCode=4656)

| search Object_Name="lsass.exe"

| stats count by New_Process_Name, Subject_Account_Name, HostName

توضیح کوئری : بررسی پردازشهایی که به lsass.exe دسترسی پیدا کردن. اجرای mimikatz یا ابزار مشابه رو میشه از این طریق دید .

 

نظرات کاربران

اخبار و رسانه های مرتبط

مشاهده همه