روابط لجميع الأجزاء:الجزء 1. الحصول على الوصول الأولي (الوصول الأولي)الجزء 2. التنفيذالجزء 3. الربط (الثبات)الجزء 4. امتياز التصعيدالجزء 5. الدفاع التهربالجزء 6. الحصول على بيانات الاعتماد (الوصول إلى بيانات الاعتماد)الجزء 7. الاكتشافالجزء 8. الحركة الجانبيةالجزء 9. جمع البيانات (جمع)الجزء 10الجزء 11. القيادة والسيطرةبعد الحصول على بيانات الاعتماد ، يتمكن المهاجم من الوصول أو حتى التحكم في حسابات النظام أو المجال أو الخدمة (التكنولوجية). ربما سيحاول الخصم الحصول على بيانات اعتماد شرعية لحسابات المستخدمين والحسابات الإدارية من أجل تعريف أنفسهم في النظام والحصول على جميع أذونات الحساب الذي تم التقاطه ، وبالتالي تعقيد مهمة اكتشاف النشاط الضار على جانب الدفاع. يمكن للخصم أيضًا ، إن أمكن ، إنشاء حسابات لغرض استخدامها لاحقًا في البيئة التي تمت مهاجمتها.
المؤلف غير مسؤول عن العواقب المحتملة لتطبيق المعلومات الواردة في المقالة ، كما يعتذر عن عدم الدقة المحتملة في بعض الصياغات والمصطلحات. المعلومات المنشورة هي إعادة سرد مجانية لمحتويات MITER ATT & CK .النظام: ويندوز
الحقوق: المسؤول
الوصف: يهدف التلاعب بالحساب إلى الحفاظ على مستوى معين من حقوق الوصول في البيئة التي تمت مهاجمتها. يتضمن التلاعب تغيير الأذونات وإعدادات الحساب وكيفية التحقق من صحتها ، إضافة أو تغيير مجموعات الوصول. يمكن أن تهدف إجراءات المهاجم إلى تقويض سياسات الأمان ، مثل انتهاء صلاحية كلمة المرور ، من أجل إطالة عمر الحسابات المعرضة للخطر. لإنشاء حسابات أو إدارتها ، يجب أن يكون لدى الخصم بالفعل أذونات كافية في النظام أو المجال.
نصائح الأمان: استخدم المصادقة متعددة العوامل. حماية وحدات تحكم المجال عن طريق تقييد الوصول إلى هذه الأنظمة. تجنّب استخدام حسابات مسؤول المجال على الأنظمة غير المميزة والعمليات اليومية التي يمكن أن تعرضها للخطر.
النظام: لينكس ، ماك
الحقوق: المستخدم
الوصف: تتبع Bash الأوامر التي ينفذها المستخدم باستخدام أداة History. عندما يسجل المستخدم الخروج ، يتم حفظ المجموعة
النصية في ملف
~ / .bash_history . عادةً ما يحتوي هذا الملف على أوامر المستخدم 500 الأخيرة. غالبًا ، في معلمات الأمر ، يحدد المستخدم اسم المستخدم وكلمة المرور ، والتي سيتم حفظها أيضًا في
~ / .bash_history عندما يسجل المستخدم الخروج. يمكن للمهاجمين عرض
~ / .bash_history الملفات من مختلف مستخدمي النظام على أمل الحصول على بيانات الاعتماد.
توصيات الحماية: هناك عدة طرق لمنع كتابة محفوظات الأوامر إلى ملف
~ / .bash_history :
•
تعيين + س التاريخ - تعطيل التسجيل.
•
تعيين -o التاريخ - استئناف التسجيل.
•
إلغاء تعيين HISTFILE - إضافة إلى ملف bash_rc ؛
•
ln -s / dev / null ~ / .bash_history - اكتب سجل الأوامر إلى
/ dev / null .
النظام: ويندوز ، لينكس ، ماك
الحقوق: المستخدم
الوصف: يمكن للخصم استخدام أدوات تكسير كلمة المرور عندما تكون بيانات الاعتماد غير معروفة أو عندما يفشل في الحصول على تجزئة كلمة المرور. يمكن للمعارضين تطبيق أساليب اختيار منهجية عن طريق حساب ذاكرة تخزين مؤقت مناسبة أو استخدام جداول قوس قزح. وعادة ما يتم تجزئة التجزئة خارج النظام المهاجم. دون معرفة كلمة المرور ، يمكن للمهاجمين محاولة تسجيل الدخول باستخدام كلمة مرور فارغة أو قيمة من قائمة كلمات المرور المحتملة. اعتمادًا على سياسة كلمة المرور ، يمكن أن تؤدي هذه الإجراءات إلى العديد من أخطاء المصادقة وقفل الحساب ، بحيث يمكن للخصم استخدام ما يسمى بتجميع كلمة المرور ، والتي يتمثل جوهرها في فرز كلمات المرور الأكثر شيوعًا أو المحتملة مع حسابات مختلفة. هذا يقلل من احتمال قفل يحدث عند التكرار من خلال كلمات مرور متعددة مع حساب واحد فقط.
توصيات الأمان: قم
بتطبيق سياسات تأمين الحساب بعد عدد معين من محاولات تسجيل الدخول الفاشلة. النظر في استخدام المصادقة متعددة العوامل. اتبع التوصيات لمنع الوصول غير المصرح به إلى الحسابات الحالية
(انظر توصيات الحماية لتقنية "الحسابات الصحيحة") .
النظام: ويندوز ، لينكس ، ماك
الحقوق: المسؤول ، النظام ، الجذر
الوصف: تفريغ بيانات الاعتماد (
eng. Dumping
- "التخلص من النفايات" ) هي عملية الحصول على معلومات تسجيل الدخول وكلمات المرور ، عادةً في شكل كلمة مرور أو كلمة مرور نصية ، من نظام التشغيل أو البرنامج. اختبار الأمن.
نوافذSAM (مدير الحساب)SAM هي قاعدة بيانات لحسابات المضيف المحلية. عادةً ما يقوم SAM بتخزين الحسابات التي يعرضها الأمر "
net user ". تتطلب قراءة SAM الوصول إلى مستوى النظام. هناك العديد من الأدوات لاستخراج بيانات SAM من الذاكرة:
•
pwdumpx.exe ؛
•
gsecdump .
•
ميميكاتز ؛
•
secretdump.py .
يمكن استخراج ملف SAM من السجل باستخدام الأداة المساعدة REG:
reg save HKLM\sam sam;
reg save HKLM\system system.بعد ذلك ،
سيساعدك Creddump7 في استخراج التجزئة من قاعدة بيانات SAM الخاصة بك.
ملاحظة: Rid 500 هو حساب المسؤول المحلي المدمج.
RID 501 هو حساب ضيف. تبدأ حسابات المستخدمين بـ
Rid 1000+ .
بيانات الاعتماد المخزنة مؤقتًا (DCC2)بيانات اعتماد المخزن المؤقت للمجال v2 (DCC2) هي ذاكرة التخزين المؤقت لبيانات الاعتماد المستخدمة من قبل نظام التشغيل Windows Vista والإصدارات الأحدث لمصادقة المستخدم عندما تكون وحدة تحكم المجال غير متوفرة. يمكن أن يكون عدد الحسابات المخزنة مؤقتًا بشكل فردي لكل نظام. هذا التجزئة ليس عرضة لهجمات
المار . لاستخراج ملف SAM من الذاكرة ، استخدم cl. الأدوات:
•
pwdumpx.exe ؛
•
gsecdump .
•
ميميكاتز ؛
•
secretdump.pyبدلاً من ذلك ، يمكن أيضًا استخدام الأداة المساعدة Reg أو Creddump7. يتم إجراء التخزين المؤقت
لبيانات الاعتماد في نظام التشغيل Windows Vista باستخدام
PBKDF2 (معيار إنشاء مفتاح كلمة المرور).
أسرار هيئة الأمن المحلي (LSA)أسرار LSA عبارة عن مخازن بيانات اعتماد مخزنة مؤقتًا يخزن فيها النظام بيانات الاعتماد ، بما في ذلك كلمات مرور المستخدم وحسابات الخدمة و InternetExpolorer وكلمات مرور SQL والبيانات الخاصة الأخرى ، مثل مفاتيح تشفير كلمة مرور المجال المشفرة. باستخدام أذونات على مستوى النظام ، يمكنك الوصول إلى أسرار LSA المخزنة في السجل:
HKEY_LOCAL_MACHINE \ SECURITY \ Policy \ Secrets .
عندما تبدأ الخدمات في سياق حساب محلي أو مجال ، يتم تخزين كلمات المرور الخاصة بها في السجل. إذا تم تمكين تسجيل الدخول التلقائي ، يتم أيضًا تخزين معلومات الحساب الخاص في السجل. عن طريق القياس مع طرق الإغراق السابقة ، يتم استخدام نفس الأدوات لمهاجمة LSA Secret:
•
pwdumpx.exe ؛
•
gsecdump .
•
ميميكاتز ؛
•
secretdump.pyيمكن استخراج ملف SAM من السجل باستخدام الأداة المساعدة REG وبيانات الاعتماد باستخدام Creddump7. يتم تشفير كلمات المرور المستخرجة من LSA Secret في UTF-16 ، أي نص عادي. يستخدم Windows 10 ميزات أمان LSA Secret الإضافية.
NTDS من وحدة تحكم المجالللمصادقة والترخيص ، تخزن AD معلومات حول أعضاء المجال - الأجهزة والمستخدمين. بشكل افتراضي ، يتم تخزين قاعدة بيانات AD على وحدة تحكم المجال في الملف
٪ SystemRoot٪ \ NTDS \ Ntds.dit .
يتم استخدام الطرق والأدوات التالية لاستخراج التجزئة من قاعدة بيانات AD:
• نسخة الظل وحدة التخزين (نسخة الظل من وحدة التخزين) ؛
• ntdsutil.exe ؛
• secretdump.py ؛
• استدعاء NinjaCopy .
ملفات تفضيلات سياسة المجموعة (GPP)تفضيلات GPP أو Group Policy هي ملفات XML تصف الإعدادات المختلفة لسياسات المجال ، على سبيل المثال ، توصيل محرك أقراص الشبكة في سياق حساب محدد أو ضبط الحسابات المحلية مسبقًا في أنظمة المجال. قد تحتوي هذه الملفات على بيانات اعتماد. يتم تخزين سياسات المجموعة في وحدة تحكم مجال SYSVOL ، بحيث يمكن لأي مستخدم قراءة ملفات GPP ومحاولة فك تشفير كلمات المرور الموجودة فيها باستخدام sl. الأدوات:
• Metasploit (وظيفة / ويندوز / جمع / أوراق اعتماد / gpp) ؛
• الحصول على GPPPassword.
• gpprefdecrypt.py.لتحديد جميع ملفات XML على مورد SYSVOL ، يمكنك استخدام الأمر:
dir /s *.xml .
الأسماء الرئيسية للخدمة (SPN)رؤية تقنية Kerberoastingبيانات اعتماد النص العاديبعد تسجيل دخول المستخدم ، يتم إنشاء الكثير من بيانات الاعتماد ، والتي يتم تخزينها في ذاكرة عملية خدمة النظام الفرعي للسلطة المحلية (LSASS). يمكن جمع بيانات الاعتماد هذه بواسطة المسؤول أو النظام.
يوفر SSPI (واجهة موفر دعم الأمان) واجهة مشتركة للعديد من موفري دعم الأمان (SSPs). SSP - وحدات البرنامج (DLL) التي تحتوي على واحد أو أكثر من أنظمة المصادقة والتشفير التي يتم تحميلها في عملية LSASS عند بدء تشغيل النظام.
يمكن استخدام بعض SSPs للحصول على بيانات الاعتماد:
• Msv: تسجيل دخول تبادلي ، تسجيل الدخول كـ تسجيل دخول دفعي ، على سبيل المثال ، تشغيل مهام خدمة جدولة المهام ، وتسجيل الدخول كخدمة عبر حزمة مصادقة MSV ؛
• Wdigest: تم تصميم بروتوكول مصادقة الخلاصات لمصادقة الشبكة باستخدام HTTP و SASL (طبقة مصادقة أمان بسيطة) ؛
Kerberos: يوفر مصادقة المجال في نظام التشغيل Windows 2000 والإصدارات الأحدث ؛
• CredSSP: SSO (الدخول الموحد - يسمح الدخول الموحد للمستخدمين بالمصادقة مرة واحدة والوصول إلى الموارد دون إدخال بيانات اعتماد) ومصادقة مستوى الشبكة (المستخدمة للمصادقة في خدمات سطح المكتب البعيد).
أدوات الاعتماد:
•
محرر بيانات اعتماد Windows ؛
• ميميكاتز.يمكن حفظ تفريغ عملية LSASS لتحليلها لاحقًا في نظام آخر.
يتم تنفيذ الأمر التالي على المضيف الهدف:
procdump -ma lsass.exe lsass_dumpبعد ذلك ، يبدأ نظام آخر في Mimikatz:
securlsa::Minidump lsassdump.dmp
sekurelsa::logonPasswords securlsa::Minidump lsassdump.dmp
sekurelsa::logonPasswords .
DCSyncDCSync هو شكل من أشكال تفريغ بيانات الاعتماد من وحدة تحكم مجال. عن طريق إساءة استخدام API وحدة تحكم المجال بدلاً من استخدام تعليمة برمجية ضارة يمكن تحديدها ، يمكن للمهاجم محاكاة عملية النسخ المتماثل من وحدة تحكم مجال بعيدة. يمكن لأعضاء المسؤولين أو إدارة المجال أو إدارة المؤسسة أو حسابات الكمبيوتر تشغيل DCSync لاسترداد معلومات كلمة المرور من م ، والتي قد تشمل تجزئة حسابات المجال مثل KRBTGT (حساب خدمة مركز التوزيع الأساسي المستخدم في نظام التشغيل Windows 2000 لتشغيل مركز توزيع المفاتيح) والمسؤول. يمكن بعد ذلك استخدام التجزئة لإنشاء "تذكرة ذهبية" وتنفيذ هجوم "تمرير تذكرة" أو تغيير كلمة المرور كجزء من "التلاعب بالحساب". يتم تضمين وظيفة DCSync في الوحدة النمطية lsadump ، التي تعد جزءًا من Mimikatz. يدعم Lsadump أيضًا NetSync للنسخ المتماثل عبر البروتوكول القديم.
لينكس
ملف نظام بروكProc هو نظام ملفات خاص في أنظمة التشغيل المشابهة لـ Unix ، والذي يقدم معلومات حول العمليات ومعلومات النظام الأخرى في شكل بنية ملف زائف هرمية (الملفات غير موجودة على القرص ، ولكن في RAM) ، والتي تعمل كواجهة للتفاعل مع مساحة kernel لنظام التشغيل. العمليات التي تعمل كجذر يمكنها مسح ذاكرة البرامج الأخرى قيد التشغيل. إذا قام البرنامج بتخزين كلمات المرور في الذاكرة المفتوحة أو في شكل علامة تجزئة في ذاكرتهم ، فيمكن استخراج هذه القيم من \ Proc لاستخدامها مرة أخرى أو محاولة استرداد كلمة مرور من التجزئة. يستخدم Gnome Keyring و sshd و Apache الذاكرة لتخزين المصادقة "المصنوعات اليدوية". يتم تنفيذ الوظيفة المذكورة أعلاه في أداة مفتوحة المصدر - MimiPenguin ، التي تفريغ ذاكرة العملية ومن ثم تبحث عن كلمات المرور والتجزئة في سلاسل النص وقوالب regex.
توصيات الحماية:نوافذحاول تتبع الوصول إلى LSASS و SAM من خلال الأدوات المسموح بها في النظام المحمي. حدد حقوق الحسابات في مختلف الأنظمة وشرائح الشبكة لمنع المهاجم من الانتقال على شبكة محمية في حالة الحصول على كلمات المرور والتجزئة. تأكد من أن بيانات اعتماد المسؤول المحلي تحتوي على كلمات مرور معقدة وفريدة من نوعها عبر جميع الأنظمة وقطاعات الشبكة. لا تضع حسابات المستخدم أو مسؤول المجال في مجموعات المسؤولين المحليين على أنظمة مختلفة ، مثل هذا يعادل حقيقة أن جميع المسؤولين لديهم نفس كلمة المرور. اتبع
أفضل ممارسات Microsoft لتطوير وإدارة شبكة شركتك . في نظامي التشغيل Windows 8.1 و Windows Server 2012 R2 ، قم بتمكين حماية العمليات المحمية (LSA).
حدد وحظر البرامج التي يحتمل أن تكون خطرة وخبيثة والتي يمكن استخدامها للحصول على مقالب بيانات الاعتماد.
يستخدم Windows 10 آلية جديدة لحماية LSA Secrets - Credential Guard في Windows Defender. مع ظهورها ، لا تخزن عملية LSA البيانات الخاصة في الذاكرة ، ولكنها تتفاعل مع مكون جديد - عملية معزولة ، تكون مسؤولة عن تخزين وحماية أسرار LSA. البيانات المخزنة في عملية معزولة محمية بواسطة المحاكاة الافتراضية وغير متوفرة لبقية نظام التشغيل. يتفاعل LSA مع عملية معزولة باستخدام استدعاءات الإجراءات عن بعد (RPC). لم يتم تكوين "مؤهلات الاعتماد" بشكل افتراضي ولديه متطلبات الأجهزة والبرامج. ومع ذلك ، فهي أيضًا ليست حماية مطلقة من جميع أشكال إلقاء بيانات الاعتماد.
التحكم Replicating Directory Changes الوصول وأذونات النسخ المتماثل وحدة تحكم المجال الأخرى. النظر في تعطيل أو تقييد حركة المرور NTLM. النظر في مراقبة العمليات والحجج من أوامر بدء تشغيل البرنامج ، والتي قد تكون مؤشرا على تفريغ بيانات الاعتماد. على سبيل المثال ، قد تتضمن أدوات الوصول عن بعد أدوات مثل البرامج النصية Mimikatz أو PowerShell مثل Invoke-Mimikatz PowerSploit.
مراقبة سجلات النسخ المتماثل وحدة تحكم المجال للنسخ المتماثل غير المخطط لها أو طلبات النسخ المتماثل. أيضا تتبع حركة المرور التي تحتوي على طلبات النسخ المتماثل من عناوين IP لجهة خارجية.
لينكسللحصول على كلمات المرور والتجزئة من الذاكرة ، يجب أن تفتح العملية ملف
/ proc / PID / maps في النظام ، حيث
PID هو
المعرف الفريد للعملية. يمكن استخدام أداة مراقبة AuditD للكشف عن العمليات العدائية التي تفتح هذا الملف وتحذر من معرف المنتج واسم العملية والوسيطات الأخرى للبرنامج المراقبة.
النظام: ويندوز ، لينكس ، ماك
الحقوق: المسؤول ، النظام ، الجذر
الوصف: يمكن للمهاجمين البحث عن الملفات التي تحتوي على كلمات المرور في أنظمة الملفات المحلية والمجلدات المشتركة عن بُعد. يمكن أن يكون المستخدمون ملفات تم إنشاؤها لتخزين بيانات الاعتماد الخاصة بهم ، وبيانات الاعتماد المشتركة لمجموعة من الأشخاص ، وملفات التكوين التي تحتوي على كلمات مرور للأنظمة أو الخدمات ، والملفات المصدر والملفات الثنائية التي تحتوي على كلمات المرور.
باستخدام أدوات تفريغ بيانات الاعتماد ، يمكن أيضًا استخراج كلمات المرور من النسخ الاحتياطية والصور ولقطات الأجهزة الافتراضية. بالإضافة إلى ذلك ، يمكن تضمين كلمات المرور في ملفات إعدادات نهج المجموعة (GPP) المخزنة على وحدة تحكم مجال.
توصيات الحماية: استخدم التدابير التنظيمية لمنع تخزين كلمات المرور في الملفات. تأكد من أن المطورين ومسؤولي النظام على دراية بالمخاطر المرتبطة بتخزين كلمات المرور بنص واضح في ملفات تكوين البرنامج. راقب وجود الملفات التي تحتوي على كلمات المرور وإزالتها لاحقًا في نظامك. تقييد مشاركة الملفات في دلائل محددة عن طريق منح أذونات فقط للمستخدمين المناسبين. احذف ملفات GPP التي تحتوي على إعدادات "نهج المجموعة" الحساسة.
النظام: ويندوز
الحقوق: المستخدم ، المسؤول
الوصف: يمكن للمهاجمين البحث عن بيانات الاعتماد وكلمات المرور في سجل Windows المخزنة هناك للاستخدام من قبل البرامج أو الخدمات ، وأحيانًا يتم تخزين بيانات الاعتماد لتسجيل الدخول التلقائي. أمثلة على الأوامر للعثور على معلومات كلمة المرور:
reg query HKLM /f password /t REG_SZ /s
reg query HKCU /f password /t REG_SZ /sتوصيات الأمان: لا تقم بتخزين بيانات الاعتماد في السجل. مراقبة التسجيل لبيانات الاعتماد. إذا كان من الضروري تخزين بيانات الاعتماد ، يجب على البرنامج التأكد من أن أذوناتهم محدودة من أجل منع احتمال إساءة استخدام هذه البيانات.
النظام: ويندوز ، لينكس ، ماك
الحقوق: المستخدم
الوصف: يمكن أن تكون الأخطاء التي يرتكبها مطورو آليات المصادقة والترخيص السبب في وجود ثغرات أمنية في البرنامج بمساعدة مهاجم يمكن أن يحصل على وصول غير مصرح به إلى بيانات الاعتماد. على سبيل المثال ، تصف نشرة
MS14-068 مشكلة عدم الحصانة في بروتوكول Kerberos ، والتي يمكن للمهاجم من خلالها تزوير تذاكر Kerberos باستخدام حقوق مستخدم المجال. يمكن استغلال ثغرات بيانات الاعتماد أيضًا في رفع الامتيازات.
توصيات الحماية: قم بتحديث البرنامج بانتظام باستخدام التحكم المركزي لتثبيت التحديثات لمحطات العمل وخوادم المؤسسات. قم بتطوير وتنفيذ عملية لتحديد وتحليل تهديدات الإنترنت في إطار التهديدات ذات الصلة بمؤسستك وسيتم تحديدها. استخدم أدوات الرمل والمحاكاة الافتراضية وأدوات المصغر لتجعل من الصعب على المهاجم استغلاله من خلال استغلال الثغرات الأمنية. في Windows ، تتوفر أدوات للكشف عن النشاط المتعلق باستغلال الثغرات الأمنية ، نحن نتحدث عن Windows Defender Exploit Guard (WDEG) و Enchanced Mitigation Experience Toolkit (EMET). هناك طريقة أخرى لمنع استغلال الثغرات الأمنية وهي استخدام أدوات تكامل التحكم في التدفق (CFI). CFI هو الاسم العام للطرق التي تهدف إلى الحد من المسارات المحتملة لتنفيذ البرنامج في الرسم البياني لتدفق التحكم المتوقع سابقًا. ومع ذلك ، قد لا تعمل العديد من طرق الحماية إذا تم تصميم البرامج الضارة لابتعادها عن التدابير الوقائية ، كما أنها تعتمد على بنية البرنامج الذي يتم تحليله وملفاته الثنائية.
النظام: ويندوز
الحقوق: المستخدم
الوصف: يستخدم بروتوكول Server Message Block (SMB) عادة للمصادقة والتواصل بين أنظمة windows في إطار مشاركة الموارد ومجلدات ملفات الشبكة. عندما يحاول Windows الاتصال بالنظام البعيد عن طريق SMB ، فإنه يحاول تلقائيًا مصادقة المستخدم وإرسال بيانات اعتماد المستخدم الحالي إلى النظام البعيد ، لذلك لا يحتاج المستخدم إلى إدخال بيانات اعتماد للوصول إلى موارد الشبكة ، وهو الأمر المعتاد لبيئة الشركة. في حالة فشل البنية التحتية SMB ، يمكن استخدام بروتوكول Web Distributed Authoring and Versioning (WebDAV) كبروتوكول مشاركة موارد احتياطية ، وهو امتداد لبروتوكول HTTP ويعمل عادةً عبر منافذ TCP 80 و 443.
من خلال فرض مصادقة SMB ، يمكن للمهاجمين إساءة استخدام سلوك النظام المهاجم أثناء اتصاله بالنظام البعيد واستلام تجزئات الحساب. باستخدام تقنية التصيد الاحتيالي ، يمكن للخصم أن يرسل الضحية رابطًا إلى مورد خارجي مسيطر عليه أو يضع ملفًا خاصًا على سطح المكتب أو على مورد عام. عندما يصل نظام المستخدم إلى مورد غير موثوق به ، سيحاول مصادقة وإرسال بيانات اعتماد المستخدم الحالي عبر بروتوكول SMB إلى الخادم البعيد. بعد الحصول على علامة التجزئة ، يمكن للمهاجم القيام بالقوة الغاشمة في وضع عدم الاتصال والحصول على بيانات الاعتماد بشكل واضح أو استخدامها لهجمات التمرير.
فكر في أكثر الطرق شيوعًا لفرض مصادقة SMB:
• مرفق تصيّد يحتوي على مستند به محتوى نشط يتم تنزيله تلقائيًا عند فتح المستند. قد يتضمن المستند طلبًا لملف الكتابة [:] // [عنوان بعيد] / Normal.dotm/ ، الذي يبدأ مصادقة SMB.
• ملف .lnk أو .SCF معدّل (ملف أوامر مستكشف Windows) يحتوي في الخصائص بدلاً من المسار إلى رمز الملف ، رابط خارجي \ [عنوان بعيد] \ pic.png. وبالتالي ، سيحاول النظام تنزيل رمز الملف وفتح الرابط.
توصيات الحماية: قم بحظر حركة مرور SMB الصادرة الموجهة خارج شبكة الشركة عن طريق تصفية منافذ TCP 139 و 445 و UDP وحظرها 137. قم بتصفية وحظر إخراج WebDAV المرور خارج شبكة الشركة. إذا كان الوصول إلى الموارد الخارجية من خلال SMB و WebDAV ضروريًا ، فقم بتحديد الاتصالات الخارجية باستخدام القوائم البيضاء.
النظام: ويندوز
الحقوق: مسؤول النظام
الوصف: عادةً ما يتم تخزين وظائف Windows API في ملفات DLL. تقنية الاعتراض هي إعادة توجيه المكالمات إلى وظائف API من خلال:
• إجراءات ربط هي إجراءات مضمنة في نظام التشغيل التي تنفذ التعليمات البرمجية عند استدعاء أحداث مختلفة ، على سبيل المثال ، ضربات المفاتيح أو حركات الماوس ؛
• تعديلات على جدول العناوين (IAT) ، الذي يخزن المؤشرات إلى وظائف API. سيتيح لك ذلك "خداع" التطبيق الذي تمت مهاجمته ، مما يجبره على تشغيل وظيفة ضارة ؛
• التغيير المباشر للوظيفة (الربط) ، والذي يتم خلاله تغيير البايتات الخمسة الأولى من الوظيفة ، بدلاً من إدخال الانتقال إلى وظيفة ضارة أو وظيفة أخرى يحددها المهاجم.
مثل الحقن ، يمكن للمهاجمين استخدام الربط لتنفيذ تعليمات برمجية ضارة وإخفاء تنفيذها والوصول إلى ذاكرة العملية التي تمت مهاجمتها وزيادة الامتيازات. يمكن للمهاجمين التقاط مكالمات API التي تتضمن معلمات تحتوي على بيانات المصادقة.
عادةً ما يتم استخدام الربط بواسطة الجذور الخفية لإخفاء النشاط الضار في النظام.
توصيات الحماية: يعد اعتراض الأحداث في نظام التشغيل جزءًا من التشغيل العادي للنظام ، وبالتالي فإن أي تقييد لهذه الوظيفة قد يؤثر سلبًا على استقرار التطبيقات المشروعة ، مثل برامج مكافحة الفيروسات. يجب أن تركز الجهود المبذولة لمنع استخدام أساليب الاعتراض على المراحل السابقة من سلسلة killchain.
يمكنك اكتشاف نشاط الربط الضار من خلال مراقبة المكالمات إلى وظائف SetWindowsHookEx و SetWinEventHook ، باستخدام كاشفات الجذور الخفية ، وتحليل السلوك غير الطبيعي للعمليات ، على سبيل المثال ، فتح اتصالات الشبكة ، وقراءة الملفات ، إلخ.النظام: Windows ، Linux ،حقوق macOS : المسؤول ،وصف النظام : يمكن للمهاجمين استخدام وسائل التقاط إدخال المستخدم من أجل الحصول على بيانات اعتماد الحسابات الموجودة.التدوين هو النوع الأكثر شيوعًا لالتقاط إدخال المستخدم ، بما في ذلك العديد من الطرق المختلفة لاعتراض ضربات المفاتيح ، ولكن هناك طرق أخرى للحصول على معلومات الهدف مثل الاتصال بطلب UAC أو كتابة غلاف لموفر بيانات الاعتماد الافتراضي (موفرو بيانات اعتماد Windows). Keylogging هي الطريقة الأكثر شيوعًا لسرقة بيانات الاعتماد عندما يكون استخدام تقنيات إلقاء بيانات الاعتماد غير فعال ويضطر المهاجم إلى البقاء غير نشط لفترة معينة من الوقت.من أجل جمع بيانات اعتماد المستخدم ، يمكن للمهاجم أيضًا تعيين رموز على بوابات الشركات الخارجية ، على سبيل المثال ، على صفحة تسجيل الدخول إلى VPN. يكون ذلك ممكنًا بعد اختراق البوابة أو الخدمة عن طريق الحصول على وصول إداري شرعي ، والذي بدوره يمكن تنظيمه لتوفير وصول احتياطي في مراحل الحصول على الوصول الأولي وتأمينه في النظام.توصيات الحماية: تأكد من اكتشاف وحظر البرامج التي قد تكون خطرة أو ضارة باستخدام أدوات مثل AppLocker أو سياسات تقييد البرامج. اتخاذ تدابير لتقليل الضرر إذا حصل المهاجم على أوراق اعتماد.اتبع أفضل ممارسات Microsoft لتطوير وإدارة شبكة شركة (https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material#a-nameesaebmaesae- النهج الإداري للغابات - التصميم).يمكن Keyloggers تعديل التسجيل وتثبيت برامج التشغيل. وظائف API شائعة الاستخدام هي SetWindowsHook و GetKeyState و GetAsyncKeyState. لا يمكن أن تكون المكالمات إلى وظائف API وحدها مؤشرات تدوين المفاتيح ، ولكن بالاقتران مع تحليل تغييرات السجل ، يمكن أن يشير اكتشاف تثبيت برنامج التشغيل وظهور ملفات جديدة على القرص إلى وجود نشاط ضار. مراقبة ظهور المستخدم التسجيل مقدمي الاعتماد (مخصص مزود الاعتماد cmdlet ل):HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers.النظام: حقوق macOS :وصف المستخدم : عند تشغيل البرامج التي تتطلب تصعيد الامتياز ، يسأل نظام التشغيل المستخدم عادةً عن بيانات الاعتماد المناسبة. يمكن للمهاجمين محاكاة هذه الميزة لطلب بيانات الاعتماد باستخدام نموذج الطلب القياسي. يمكن استدعاء هذا النموذج من طلب بيانات الاعتماد باستخدام AppleScript: سيطالبset thePassword to the text returned of (display dialog "AdobeUpdater needs permission to check for updates. Please authenticate." default answer "")المهاجم بإدخال بيانات الاعتماد لمحاكاة السلوك العادي لنظام التشغيل ، على سبيل المثال ، يتطلب برنامج تثبيت مزيف أو حزمة إزالة برامج ضارة تأكيد الأذونات المقابلة.توصيات الحماية:تدريب المستخدمين حتى يعرفون البرامج التي قد تطلب الإذن والسبب في ذلك. تكوين أن البرامج النصية AppleScript تشغيل يجب أن يتم التحقق من تواقيع المطور موثوق.النظام: حقوق Windows :وصف المستخدم : لكل مثيل خدمة معرف فريد - اسم الخدمة الأساسي (SPN) ، والذي يستخدم لمصادقة Kerberos. يجب أن يكون SPN مرتبطًا بحساب واحد فقط ، حيث يقوم مثبت الخدمة بكتابة SPN في خصائص الحساب في م.يمكن للمهاجمين الذين يحملون بطاقة منح تذكرة Kerberos صالحة (TGT) طلب تذكرة خدمة واحدة أو أكثر من خدمة منح التذاكر Kerberos (TGS) للتفاعل مع أي SPN مسجل على وحدة تحكم مجال. يمكن تشفير عناصر بطاقة الخدمة باستخدام RC4 ، لذلك فإن Kerberos 5 TGS-REP etype 23 ، والذي يحتوي على كلمة مرور للحساب المرتبط بحساب SPN الهدف ويستخدم كمفتاح خاص (انظر وصف Kerberos) ، يكون عرضة للخطر ويمكن اختراقه من خلال القوة الغاشمة. يمكن تنفيذ نفس الهجوم باستخدام تذاكر الخدمة التي تم الحصول عليها من حركة مرور الشبكة. بعد كسر التجزئة الذي تم استلامه ، يمكن للخصم استخدام حساب موجود لتأمين أنفسهم في النظام أو تصعيد الامتيازات أو مزيد من التقدم على الشبكة.توصيات الحماية: استخدم كلمات مرور معقدة وطويلة (مثالية + 25 حرفًا) لحسابات الخدمة وتأكد من تكرار التغيير. بدءًا من Windows Server 2012 ، تتوفر تقنية حسابات الخدمة المدارة للمجموعات (gMSA) في نظام التشغيل ، المصمم لتغيير كلمة مرور حسابات الخدمة (التكنولوجية) تلقائيًا مع إمكانية استخدامها في وقت واحد على عدة خوادم. بدلاً من ذلك ، ضع في اعتبارك استخدام مخازن كلمة مرور الجهة الخارجية.تقييد حقوق الحساب من خلال توفير الحد الأدنى من الامتيازات المطلوبة ؛ استبعاد عضوية الحساب في مجموعات مميزة مثل Domain Admins.إذا أمكن ، قم بتمكين تشفير AES Kerboros أو خوارزمية تشفير أقوى أخرى ، مما يلغي استخدام RC4.تمكين تدوين عمليات تذكرة خدمة Kerberos لتسجيل طلبات تذكرة خدمة Kerberos TGS. تحقق من أنماط النشاط غير الطبيعية ، مثل أحداث 4769 معرف الحدث - الحسابات التي تقوم بتشغيل طلبات عديدة خلال فترة زمنية قصيرة ، خاصةً إذا طلبت تشفير RC4 (نوع تشفير التذاكر: 0x17).النظام: حقوق macOS : rootالوصف: Keychain هو حساب macOS مضمن ومستودع لكلمات المرور للعديد من الخدمات والميزات ، مثل WiFi ومواقع الويب والملاحظات الآمنة والشهادات و Kerberos. توجد ملفات Keychain في:• ~ / Library / Keychains؛
• / المكتبة / سلاسل المفاتيح ؛
• / الشبكة / الخطية / سلاسل المفاتيح /.توفر الأداة المساعدة Console Security المضمنة بشكل افتراضي على نظام التشغيل macOS طريقة ملائمة لإدارة بيانات الاعتماد.لإدارة بيانات الاعتماد الخاصة بهم ، يجب على المستخدمين استخدام حساب إضافي يوفر الوصول إلى سلسلة المفاتيح الخاصة بهم. إذا كان المهاجم يعرف بيانات الاعتماد من سلسلة مفاتيح المستخدم ، فيمكنه الوصول إلى جميع بيانات الاعتماد الأخرى المخزنة في سلاسل مفاتيح هذا المستخدم. بشكل افتراضي ، يتم استخدام حساب المستخدم الحالي لتسجيل الدخول إلى Keychains.توصيات الحماية: يعد إلغاء قفل سلاسل المفاتيح لأحد المستخدمين واستخدام كلمات المرور منه عملية شائعة لن تمر دون أن تلاحظها أدوات الكشف عن البرامج الضارة.النظام: حقوق Windows :وصف المستخدم : دقة اسم البث المتعدد للرابط المحلي (LLMNR) وخدمة أسماء NetBIOS (NBT-NS) عبارة عن بروتوكولات مضمنة في جميع إصدارات Windows التي تعمل كوسيلة بديلة لتحديد المضيف. يعتمد LLMNR على تنسيق DNS ويقوم بحل أسماء الشبكات لأجهزة الكمبيوتر المجاورة دون استخدام DNS. يعرّف NBT-NS النظام على الشبكة المحلية باسم NetBIOS الخاص به.يمكن للمهاجم مزيف مصدر دقة اسم موثوق التي سوف تستجيب لحركة المرور LLMNR (UDP5355) / NBT-NS (UDP137) بحيث الضحية يتواصل مع نظام التحكم العدو. إذا تطلب المضيف المطلوب تحديد الهوية / المصادقة ، فسيتم إرسال اسم المستخدم وتجزئة NTLMv2 للمستخدم الحالي للمضيف الضيف إلى النظام الذي يسيطر عليه الخصم. وبالتالي ، يمكن للمهاجمين ، باستخدام متشمم شبكة ، جمع التجزئات المنقولة ثم محاولة الحصول على كلمات مرور من دون اتصال بالإنترنت باستخدام أدوات القوة الغاشمة.هناك العديد من الأدوات التي يمكن استخدامها لمهاجمة خدمات الأسماء على الشبكات المحلية: NBNSpoof و Metasploit و Responder.توصيات الحماية:فكّر في تعطيل LLMNR و NBT-NS في إعدادات أمان المضيف المحلي أو باستخدام "نهج المجموعة". استخدم ميزات الأمان المحلية التي تمنع حركة مرور LLMNR / NBT-NS.تأكد من أن LLMNR تعطيل في التسجيل:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast=dword:00000000.إذا تم تعطيل LLMNR / NBT-NS بواسطة سياسة الأمان ، فإن مراقبة حركة مرور منافذ UDP5355 و UDP137 ستساعد على اكتشاف الهجوم.النظام: Windows ، Linux ، macOSالوصف: يمكن للمهاجم استخدام واجهة الشبكة في وضع ملفات الصوت (الوضع "غير مسموع") ، حيث تقبل بطاقة الشبكة جميع الحزم بغض النظر عمن يتم توجيهها إلى أو تستخدم منافذ span (منافذ متطابقة) لالتقاط كميات كبيرة من البيانات المنقولة عبر الشبكات السلكية أو اللاسلكية.قد تحتوي البيانات التي تم التقاطها أثناء استنشاق بيانات اعتماد تم إرسالها عبر اتصالات غير آمنة دون استخدام بروتوكولات التشفير. يمكن أيضًا استخدام هجمات متعددة على خدمات اسم الشبكة مثل التسمم LLMNR / NBT-NS من خلال إعادة توجيه حركة المرور لجمع بيانات الاعتماد على مواقع الويب والوكلاء والأنظمة الداخلية.أثناء الاستماع إلى الشبكة ، يمكن للخصم أيضًا الكشف عن معلومات التكوين المختلفة (تشغيل الخدمات ، وأرقام الإصدارات ، وعناوين IP ، وأسماء المضيف ، ومعرفات VLAN ، وما إلى ذلك) الضرورية لمزيد من الحركة على الشبكة و / أو تجاوز ميزات الأمان.نصائح الأمان: تأكد من أن حركة المرور اللاسلكية مشفرة بشكل صحيح. إذا كان ذلك ممكنًا ، استخدم مصادقة Kerberos و SSL والمصادقة متعددة العوامل. مراقبة مفاتيح الشبكة لمنافذ الامتداد ، والتسمم ARP / DNS ، وتغيير تكوين جهاز التوجيه غير المصرح به.استخدم الأدوات لتحديد وحظر البرامج التي يحتمل أن تكون خطرة والتي يمكن استخدامها لاعتراض حركة مرور الشبكة وتحليلها.النظام: حقوق Windows : المسؤول ،وصف النظام : عوامل تصفية كلمة مرور Windows هي آليات لتطبيق سياسات كلمة المرور على المجال والحسابات المحلية. يتم تطبيق عوامل التصفية في شكل ملفات DLL التي تحتوي على طرق للتحقق من توافق كلمات المرور المحتملة مع متطلبات سياسة الأمان. تصفية كلمة المرور يتم استضافة DLLs على المضيفين للحسابات المحلية ووحدات تحكم المجال لحسابات المجال.قبل تسجيل كلمات المرور الجديدة مع مدير حسابات الأمان (SAM) ، تطلب خدمة مرجع الأمان المحلي (LSA) فحص كلمة المرور مع كل مرشح كلمة مرور مسجل في النظام. لن تسري أي تغييرات محتملة ، ولن يؤكد كل مرشح التحقق من الصحة.يمكن للمهاجم تسجيل عوامل تصفية كلمة المرور الضارة في نظام تمت مهاجمته لجمع بيانات الاعتماد. لإجراء فحص التعقيد ، تتلقى المرشحات كلمات مرور نصية واضحة من LSA. ستتلقى المرشحات الضارة بيانات الاعتماد بنص واضح في كل مرة يتم فيها طلب كلمة مرور.توصيات الحماية: تأكد من تسجيل مرشحات كلمة المرور الصحيحة فقط على نظامك. يتم تخزين مرشحات الافتراضي DLL في C: \ ويندوز \ SYSTEM32 \ ويجب أن يكون إدخالا في التسجيل:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\[Notification Packages].تصبح عوامل تصفية كلمة المرور المثبتة حديثًا نافذة المفعول بعد إعادة تشغيل النظام ، وتظهر في التشغيل التلقائي ، ويتم تحميلها في lsass.exeالنظام: Windows ، Linux ،حقوق macOS :وصف المستخدم : تُستخدم المفاتيح والشهادات الخاصة للمصادقة والتشفير / فك التشفير والتوقيعات الرقمية.يمكن للمهاجم جمع المفاتيح السرية على الأنظمة المخترقة لاستخدامها في المصادقة في خدمات الاتصال عن بُعد مثل SSH أو فك تشفير الملفات الأخرى التي تم جمعها ، على سبيل المثال ، ملفات بيانات البريد الإلكتروني.تحتوي ملفات المفاتيح والشهادات على ملحقات مثل .key و .pgp و .gpg و .ppk و .P12 و .pem و .pfx و .cer و p7b و .asc . يمكن للخصم البحث عن الملفات في الدلائل الرئيسية ، على سبيل المثال ~ / .ssh على أنظمة * nix أو C: \ Users (username.ssh) \ على Windows.أثناء عملية الاستخدام ، يجب أن تطلب المفاتيح الخاصة كلمة مرور أو عبارة مرور ، بحيث يمكن للخصم استخدام تقنية التقاط الإدخال لتسجيل المفاتيح بشكل متوازٍ أو محاولة التقاط عبارة مرور دون اتصال بالإنترنت.نصائح الأمان: استخدم عبارات مرور معقدة لتجعل من الصعب كسر المفاتيح الخاصة. تخزين المفاتيح على وسائط التشفير الخارجية كلما أمكن ذلك. تأكد من أن الوصول إلى الموارد الهامة مفتوح فقط للمفاتيح المصرح بها والتحقق من قوائم الوصول بانتظام.تأكد من صحة الأذونات الموجودة في المجلدات التي تحتوي على المفاتيح الخاصة. استخدم بنية أساسية معزولة لإدارة الأنظمة المهمة لمنع التعارض بين الحسابات والأذونات التي يمكن استخدامها للتنقل في الشبكة. اتبع الإرشادات للحماية من إساءة استخدام الحسابات الموجودة.راقب الوصول إلى الملفات والدلائل المرتبطة بمفاتيح وشهادات التشفير ، وتدقيق سجلات المصادقة لتحديد الإجراءات غير الطبيعية التي تشير إلى سوء استخدام المفاتيح أو شهادات المصادقة عن بُعد.النظام: حقوق macOS : rootالوصف: في نظام OS X قبل EL Capitan ، يمكن للمستخدمين الذين لديهم امتيازات الجذر قراءة كلمات مرور المستخدمين الذين قاموا بتسجيل الدخول من النص العادي في Keychain. ويرجع ذلك إلى أنه من أجل راحة المستخدمين ، تسمح Apple للنظام بتخزين بيانات الاعتماد مؤقتًا حتى لا يطالب المستخدمين بإعادة إدخالها كلما كان ذلك ضروريًا.يتم تشفير كلمات المرور المخزنة في حفنة Keychain عدة مرات باستخدام مجموعة من المفاتيح. يتم تشفير المفاتيح ، بدورها ، باستخدام مفاتيح أخرى مخزنة في نفس الملف ، مثل دمية متداخلة روسية. المفتاح الرئيسي الذي يمكنه فتح دمية تعشيش خارجية ويتالي فك تشفير دمية التعشيش التالية شيء آخر غير كلمة المرور المشفرة باستخدام PBKDF2 الذي قام المستخدم بتسجيل الدخول إليه. وبالتالي ، لقراءة كلمة المرور الأولى في سلسلة كلمة مرور المستخدم ، تحتاج إلى إدخال كلمة المرور الخاصة بها أو مفتاح رئيسي. تتم معالجة عمليات keychain بواسطة عملية securityd ؛ ولهذا ، يتم تخزين المفتاح الرئيسي في ذاكرته.اسم المستخدم الجذر ، يمكن للمهاجم مسح الذاكرة من أجل البحث عن مفاتيح التشفير لسلسلة المفاتيح ، وفك تشفير تدريجيًا لكامل تسلسل كلمات مرور المستخدم ، و WiFi ، والبريد ، والمتصفحات ، والشهادات ، إلخ.النظام: Windows ، Linux ،حقوق macOS : المسؤول ، النظام ، الجذرالوصف: يوفر استخدام المصادقة ثنائية العوامل ومتعددة العوامل مستوى أمان أعلى من رابط تسجيل الدخول / كلمة المرور المفردة ، ولكن يجب أن تكون المؤسسات على دراية بطرق اعتراض آليات الأمان هذه والتحايل عليها.يمكن للمهاجمين استخدام آليات المصادقة بشكل هادف مثل البطاقات الذكية للوصول إلى النظام والخدمات وموارد الشبكة.إذا كنت تستخدم بطاقة ذكية للمصادقة ثنائية العوامل (2FA) ، فستحتاج إلى كلوغر للحصول على كلمة المرور المرتبطة بالبطاقة الذكية أثناء الاستخدام العادي. مع كل من البطاقة الذكية المدرجة وكلمة المرور للوصول إلى البطاقة الذكية ، يمكن للخصم الاتصال بمورد شبكة باستخدام نظام مصاب لمصادقة الوكيل باستخدام الرمز المميز للأجهزة المدرجة.يمكن للمهاجمين أيضًا استهداف keylogger لمهاجمة الرموز المميزة للأجهزة الأخرى ، مثل RSA SecurID. يمكن أن يوفر التقاط إدخال رمزي (بما في ذلك رمز التعريف الشخصي للمستخدم) للخصم وصولاً مؤقتًا طوال مدة كلمة المرور التي يتم تلقيها لمرة واحدة ، وقد يسمح له بحساب القيم المستقبلية لكلمات المرور لمرة واحدة (معرفة الخوارزمية والقيمة الأولية لإنشاء كلمات مرور مؤقتة لاحقة).يمكن أيضًا اعتراض طرق 2FA الأخرى واستخدامها من قبل خصم للمصادقة غير المصرح بها. عادة ، يتم إرسال الرموز لمرة واحدة عبر قنوات الاتصال خارج النطاق (SMS ، البريد الإلكتروني ، إلخ). إذا لم يكن الجهاز و / أو الخدمة محميين ، فقد يكونان عرضة للاعتراض.توصيات الحماية:تأكد من إزالة البطاقة الذكية عندما لا تكون قيد الاستعمال. حماية الأجهزة والخدمات المستخدمة لإرسال واستقبال رموز خارج النطاق. حدد وحظر البرامج التي يحتمل أن تكون خطرة وخبيثة والتي يمكن استخدامها لاعتراض بيانات الاعتماد في 2FA.