در پارتهای قبلی به حملات نسبتاً رایج و اولیه پرداختیم. اما در محیطهای سازمانی واقعی، مهاجمان حرفهای معمولاً پس از نفوذ اولیه، به سمت تکنیکهای پیشرفتهتری حرکت میکنند که مستقیماً روی مکانیزمهای احراز هویت ویندوز و Active Directory تمرکز دارند.
پارت چهارم به بررسی ۵ حمله قدرتمند و پرخطر میپردازد که اغلب توسط رد تیمها، پنتسترها و مهاجمان APT استفاده میشوند:
- NTLM Relay Attack
- Unauthorized Access via Overprivileged Service Accounts
- DCShadow Attack
- DCSync Attack
- Credential Dumping
این حملات عمدتاً در دستهبندیهای Credential Access، Lateral Movement، Privilege Escalation و Defense Evasion قرار میگیرند و هدف اصلیشان سرقت، بازپخش یا سوءاستفاده از اعتبارنامهها (Credentials) در شبکههای ویندوزی است. بسیاری از این تکنیکها بدون نیاز به شکستن رمز عبور (Password Cracking) کار میکنند و همین موضوع آنها را بسیار خطرناک کرده است.
در این بخش، برای هر حمله شرح کامل، ابزارهای مورد استفاده، روشهای پیشگیری، Event IDهای کلیدی برای مانیتورینگ و کوئریهای عملی Splunk را آوردهایم تا هم تیمهای Blue Team و هم متخصصان امنیت بتوانند این تهدیدات را شناسایی و خنثی کنند.
11 – NTLM Relay Attack
شرح حمله : هکر ترافیک NTLM را رهگیری کرده و آن را به سیستم دیگری منتقل میکند تا احراز هویت جعلی انجام دهد .
ابزار: ntlmrelayx ، Responder
جلوگیری :
1 - NTLM را غیرفعال کنید
2 - SMB Signing را فعال کنید
3 -مانیتور لاگینهای مشکوک NTLM
Event ID های مرتبط :
4776 :احراز هویت از طریق NTLM
4624 :لاگین موفق با NTLM
MITRE TTP :
Tactic: Lateral Movement / Credential Access
Technique: T1557.001 – Adversary-in-the-Middle: LLMNR/NBT-NS Poisoning and Relay
Procedure : شنود ترافیک و بازپخش اعتبارنامه NTLM به سرویس هدف بدون نیاز به شکستن رمز .
کوئری: Splunk
index=wineventlog (EventCode=4624 OR EventCode=4776)
| where Authentication_Package="NTLM"
| stats count by Workstation_Name, Account_Name, Logon_Type
توضیح کوئری : این کوئری لاگینهایی که با NTLM انجام شدهاند را فیلتر کرده و با نام ورکاستیشن و نوع لاگین بررسی میکند. لاگینهای غیرعادی از سیستمهای ناشناس ممکن است نشانهی حمله NTLM Relay باشد.
12 - Unauthorized Access via Overprivileged Service Accounts
شرح حمله : اکانتهای سرویس با دسترسی بالا که بیش از نیاز مجوز دارند، هدف حمله قرار گرفته و برای گسترش دسترسی در شبکه استفاده میشوند .
ابزار : اکسپلویت از طریق PowerShell ، Kerberos Ticketing ، ابزارهای داخلی سیستم
جلوگیری :
1 - Principle of Least Privilege پیاده شود
2 -بررسی و محدود کردن دسترسی Service Account ها
3 - MFA برای آنها فعال شود
Event ID های مرتبط :
4672 : ورود با مجوزهای خاص (Special Privileges)
4624 : ورود موفق به سیستم
MITRE TTP :
Tactic: Privilege Escalation / Initial Access
Technique: T1078.002 – Valid Accounts: Domain Accounts
Procedure : استفاده از حسا بهای سرویس با دسترسی بیش از حد برای اجرای کد مخرب یا تغییرات دامنه .
کوئری Splunk :
index=wineventlog (EventCode=4672)
| stats count by TargetUserName, PrivilegeList
توضیح کوئری : اکان تهایی که هنگام ورود دارای مجوزهای حساس مثل SeDebugPrivilege یا SeTcbPrivilege هستند را بررسی میکند. این اکان تها معمولا ادمین یا سروی ساکانتهای خطرناک هستند و باید تحت نظر باشند .
13- DCShadow Attack
شرح حمله : هکر خودش رو به عنوان یک DC جعلی معرفی میکنه و اعمال تغییراتی در اکتیو دایرکتوری
میکنه، مثل تغییر در گروهها یا پسوردها .
ابزار : Mimikatz (lsadump::dcshadow)
جلوگیری :
1 -فقط DC های مجاز اجاز ه replication داشته باشند
2 -فعا لسازی Advanced Auditing
3 -مانیتور Event های replication غیرعادی
Event ID های مرتبط :
4662 : دسترسی به آبجکت AD )برای نوشتن(
5136 : تغییرات روی آبجکت های دامین
4929 : رجیستر شدن یک DC جدید برای replication
MITRE TTP:
Tactic: Defense Evasion
Technique: T1207 – DCShadow
Procedure :جعل شدن به عنوان Domain Controller برای نوشتن مستقیم در دایرکتوری فعال و ایجاد کاربران مخفی یا تغییرات مخرب .
کوئری Splunk :
index=wineventlog (EventCode=4662 OR EventCode=5136 OR EventCode=4929)
| search Object_Type="domainDNS"
| stats count by EventCode, Object_Name, Subject_Account_Name, Computer
توضیح کوئری : تغییرات مشکوک در آبجکت های اکتیو دایرکتوری (domainDNS) یا تلاش برای اضافه کردن DC جدید بررسی میشن. ممکنه نشوندهنده DCShadow باشه .
14 - DCSync Attack
شرح حمله : هکر با جعل نقش DC ، اطلاعات مربوط به پسورد کاربران مثل هش های NTLM و Kerberos رو استخراج میکنه .
ابزار : Mimikatz (lsadump::dcsync)
جلوگیری :
1.بررسی دسترسی اکانت ها به Replicating Directory Changes
2.مانیتور حساب هایی که درخواست replication میدن
3.فعالسازی auditing روی replication
Event ID های مرتبط :
4662 : دسترسی به آبجکت ها
4670 : تغییر مجوزهای دسترسی
4742 : تغییرات در حساب Domain Controller
MITRE TTP :
Tactic: Credential Access
Technique: T1003.006 – OS Credential Dumping: DCSync
استفاده از دسترسی های دامنه برای شبیه سازی عملکرد DC و استخراج هش های حسابها از طریق پروتکل های replication :Procedure
کوئری Splunk :
index=wineventlog EventCode=4662
| search Properties="Replicating Directory Changes"
| stats count by Subject_Account_Name, Object_Name, Computer
توضیح کوئری : درخواستهای مربوط به دسترسی replication بررسی میشن. اگر اکانت غیرعادی سعی در دریافت این سطح دسترسی داشته باشه، ممکنه DCSync در حال اجرا باشه.
15 - Credential Dumping:
شرح حمله : هکر با ابزارهایی مثل Mimikatz پسورد یا هشها رو از حافظه مثل LSASS یا فایلهای سیستم میکشه بیرون .
ابزار : Mimikatz ، Pypykatz
جلوگیری :
1 -اجرای Mimikatz رو بلاک کنید
2 -دسترسی به lsass.exe رو مانیتور کنید
3 - Credential Guard فعال کنید
Event ID های مرتبط :
4688 : اجرای پردازش (مثل mimikatz.exe)
4656 : درخواست دسترسی به حافظه (lsass.exe)
MITRE TTP :
Tactic: Credential Access
Technique: T1003 – OS Credential Dumping
Procedure : جمع آوری اعتبارنامه ها از بخشهای مختلف سیستم مانند LSASS ، SAM یا حافظه .
کوئری Splunk :
index=wineventlog (EventCode=4688 OR EventCode=4656)
| search Object_Name="lsass.exe"
| stats count by New_Process_Name, Subject_Account_Name, HostName
توضیح کوئری : بررسی پردازشهایی که به lsass.exe دسترسی پیدا کردن. اجرای mimikatz یا ابزار مشابه رو میشه از این طریق دید .


