النقاشات

نقاش: ماذا تعرف عن هجوم Pass-The-Hash

تم أرشفة هذا المحتوى


النقاش يدور حول هجوم Pass-The-Hash, أي شخص يملك معلومات عن هذا النوع من الهجوم يمكنه كتابتها مثلاً متى سمعت بهذا الهجوم وماذا تعرف عنه؟ كيف يستطيع المهاجم تنفيذه وماذا يجب على مدير الشبكة أن يفعل لحماية الأنظمة من هذا الهجوم.

 

موضوع النقاش:

  • هل سمعت مسبقاً عن Pass-The-Hash Attack
  • في حال كنت تعرفه, متى سمعت به
  • هل تستطيع وصفه أو التعريف به
  • أي نظام يستهدف هذا الهجوم
  • باستخدام أي أدوات يستطيع المهاجم تنفيذه
  • ماذا يجب على مدير الشبكة أن يفعل لحماية الأنظمة منه

يمكن لأي شخص المشاركة والاجابة على الأسئلة المطروحة سابقاً وطبعاً لا يشترط الاجابة عليها جميعاً فلا يوجد شخص عارف بكل شيء! ان سمعت بهذا النوع من الهجوم وكنت تملك معلومات عنه (مهما كانت بسيطة) يمكنك كتابتها ومناقشة الآخرين بها, وان كنت لم تسمع به سابقاً يمكنك قول ذلك وطرح الاستفسارات التي تريدها ليجيبك الآخرين عنها.

 

ملاحظة: النقاشات هو قسم جديد في iSecur1ty يهدف لزيادة الوعي الأمني عن طريق طرح عدّة نقاشات هادفة بشكل دوري في الموقع.

‫33 تعليقات

  1. بارك الله فيك أخي عبدالمهيمن على هذا النّقاش الذي أسأل الله أن يكون مفيداً للجميع.

    سمعت بالهجوم قبل حولي 3 سنوات.

    في هذا الهجوم المهاجم لا يقوم بمحاولة كسر كلمات المرور وإنّما تمريرها. باستخدام ادوات خاصة يمكن للمهاجم حقن الهاش في ذاكرة Local Security Authority Subsystem Service وبعد ذلك يمكنه استخدام اي خدمة او اداة في الويندوز بصلاحيات المستخدم صاحب الهاش الذي حصل عليه المهاجم. تزداد فعالية وخطورة الهحوم في حال كون الهاش هو لمدير النّظام.

    الهجوم في الوقت الحالي يستهدف نظام ويندوز ولكن هذا لا يعني ان الانظمة الاخرى في مأمن من هذا الهجوم فبدايته كانت في 1997 ضد Sambaعلى نظام اليونكس.

    لي طلب من الاعضاء الكرام ان يزوّدنا بالإجابات دون اللّجوء إلى غوغل في المرحلة الحالية. هذا سيعطي فرصة لمعرفة مقدار المعرفة بهجوم كهذا لدى الاعضاء. وهو ما سيمكننا من معرفة كم زادت معرفة الاعضاء لهذا الهجوم من خلال النّقاش فقط؟

  2. ** في هذا الهجوم يقوم المخترق بالحصول على الهاش (hash) ويستخدمه للتصال في الجهاز بإرسال الهاش الى الجهاز المراد الإتصال به, بدلاُ من محاول كسر كلمة المرور ( لان كسر المرور تأخذ وقت طويل) .
    ** هذا الهجوم يستهدف (ويندوز) في الغالب .
    ** استخدم (Metasploit) , (pshtoolkit) لتنفيذ هذا الهجوم .

    **لحماية على مدير الشبكة محاولة حماية الهاش قدر المستطاع على سبيل المثال (منع مشاركة الملفات أو التحكم في الوصول لملفات المشاركة ) .

  3. فكرة جميلة فكرة النقاش و الموضوع اجمل

    بالنسبة لي فقد سمعت عن الهجوم قبل 8 اشهر تقريبا

    مبدأ عمل الهجوم هو استخدام الباسوورد المشرفر (HASH) لمستخدم معين في النظام للحصول على صلاحياته دون الحاجة لفك التشفير,لنفرض انك استعطت الحصول على هاش للادمن في شبكة معينة , فلن تحتاج الى فك تشفير هذا الهاش للحصول على صلاحياته بل بامكانك استخدام pass the hash attack لهذه الغاية.الامر اشبه بتعديل الcookies للدخول الى موقع دون الحاجة لفك تشفر كلمة مروره.
    كما قال الاخ باحث عن المعرفة فهو يستهدف انظمة الوندوز بشكل عام

    بالامكان استخدام نسخة معدلة من samba لتصفح درايفرات النظام اللتي يملك صاحب الهاش صلاحيات لتصفحها.
    تكمن اهمية الهجوم بامكانية اختراق اجهزة الشبكة دون الحاجة الى استغلال اي ثغرة في هذه الاجهزة.
    هناك مجموعة من الادوات اضن اسمها pass the hash toolkite تساعدنا على تنفيذ هذا الهجوم بشكل متطور اكثر فبامكاننا الحصور على shell بصلاحيات صاحب الهاش.

  4. مثل ما قال الأخ سامي يمكن تنفيذ هذا الهجوم باستخدام أداة windows/smb/psexec الموجودة في مشروع ميتاسبلويت كذلك باستخدام أداة msvctl أو Pass-The-Hash Toolkit من تطوير Core Security لكن شخصياً لم أقم بتجربة الأخيرة بعد..

    من لديه حلول فعّالة للحماية من هذا النوع من الهجوم في حال تمكّن المهاجم من الحصول على الهاش؟ اتباعاً لمبدء الدفاع في العمق الاعتماد على حماية الهاش فقط ليس كافي ومنع مشاركة الملفات قد لا يكون حل عملي اذا كانت الشبكة تتطلّب ذلك!

    نحتاج تفعال أكثر.. وبالنسبة للأخوة الذين لم يسمعوا بهذه الهجوم أو سمعوا به ولا يملكون معلومات حوله فيهمنا ذكرهم لذلك لأن فكرة النقاشات طرحت لتدعم الباحثين الذين يقومون بعمل احصاء بسيط لموضوع معيّن ولنعلم نسبة تقريبية عن الأشخاص الذين يعلمون بالنقاش المطروح لتحديد مستوى صعوبة النقاشات القادمة 🙂

  5. نعم الامر اشبه بتعديل الكوكيز , مثل المواقع الي ما بنقدر نفك الهاش مثلاً ,

    بنستغل الهاش المشفر بدل الهاش الاول … متصفح الاوبيرا بيعمل هالاشي .

  6. للحقيقة اول مرة بسمع عنها بس اذا ممكن تخبروني طريقة التطبيق اذا ممكن
    بس شكرا” على المعلومات المفيدة الي نزلها كل الاعضاء 😀

  7. الصراحه لا اعرف شي عن هذا النوع من الهجوم.. لكن اتوقع فكرته تكون عن طريق الاختراق بدون كسر الباسورد اللي ياخذ وقت طويل. مثل سرقة الكوكيز والدخول باسم المستخدم من دون كسر الباسورد…

    هل هناك فرق بينها وبين Token Impersonation ؟ حيث ان الاخيره يمكن من خلالها اخذ صلاحيات مستخدم اعلى من غير كسر الباسورد..

    اخيرا، حصلت هذي الورقه البحثيه من Sans عن موضوع Pass The Hash
    http://www.sans.org/reading_room/whitepapers/testing/rss/why_crack_when_you_can_pass_the_hash_33219

  8. اعتقد انه هذه الطريقة يلجا اليها الهاكر عندما يريد اختراق جهاز و هو محمي بكلمة سر يخترق جهاز علي نفس الشبكة غير محمي من ثم يقوم باخذ الهاش عبر meterpreter من ثم يستعمله في اخنراق الجهاز المحمي و دون اللجوء الي فك الهاش و الله اعلم -__-

  9. عبد المهمين … لا اعتقد أنّ هذا الحل كافي 🙂 فمثلاً باستخدام psexec يمكنك استبدال قيمة LM بأصفار وستتم العملية بشكل ناجح باستخدام NTLM.

    فائدة هذه الطريقة هي تجنّب استخدام LM الضعيف والذي يمكن كسره بسهولة. ولكن هل نحتاج إلى كسر كلمات بعد اليوم :)؟ (ممكن)

  10. في الحقيقه اول مرةاسمع عن هذاالهجوم ولكن فيما سبق في اختراقات المواقع حين الحصول علي الهاش المشفر ويصعب كسره في طريقه جداول الراين فكنت بلجأ لتعديل الكوكيز الخاص بيا للدخول بمستخدم الادمن ولكن المشكله في الكوكيز نفسه يجب ان تحصل علي كوكيز ادمن .لكي تعدل عليه كنت بنزل السكريبت علي السرفر المحلي واسجل دخولي ادمن واخذ الهاش واعدل عليه في منتديات vb لا تصلح الطريقه بسبب السالت .اي يجب الحصول علي الهاش والسالت ايضا.
    في الحقيقه صاحب الشبكه هنا بيستخدم المايروتك النظام ده جميل جدا جدا ودرجه حمايته عاليه يكفي انك تمنع الاتصالات وتمنع الشير وكل هذا شئ يسير من امكانياته ويمكنك منع كافه الاتصلات بعده بروتوكلات ايضا اعتقد دي كافيه لحمايه الشبكه .
    ولكن السوال الان ؟ لو اي بي الشبكه ثابت بالطبع حسب ما فهمته انه يمكنك مهاجهم الشبكه عن بعد اليس كذلك ؟

  11. حقا ليس لدي الكثير من المعلومات حول هذا الهجوم
    لكن كما قيل هو عدم محاولة المهاجم فك الشفرة و انما ايهام الجهاز ان مخول بهذه الشفرة
    اما الحماية فتكون على مستوى التشفير SSL/TLS و على مستوى مفتاج الجلسةحيث الاعتماد على نضام متقدم و حديث ينهي هذه المشاكل
    سلامي

  12. ان لم أكن مخطئ Token Impersonation هو هجوم على أنظمة ويندوز من نوع privilege escalation يمكن المهاجم الذي حصل على صلاحيات Administrator على النظام من الحصول على صلاحيات SYSTEM لكن حسب معلوماتي شركة مايكروسوفت وضعت بعض الحلول لهذه المشكلة؟ لا يوجد لدي الكثير من المعلومات عن هذا الهجوم بصراحة 🙂

    Fitouhi Med Ali: أسهل وأسرع طريقة لتطبيق هجوم pass-the-hash هو استخدام مشروع ميتاسبلويت فهو يحتوي على جميع الأدوات اللازمة لذلك, meterpreter لعمل hashdump لهاشات المستخدمين على النظام و psexec لمحاولة الدخول للأنظمة الأخرى التي يديرها مدير الشبكة والحصول على remote shell.

    بالنسبة لحلول قرأت في موقع مايكروسوفت حل يتعلق بتعطيل LM authentication عن طريق الـ Group Policy أو الريجستري في نظام ويندوز أو في حال استخدم مدير الشبكة كلمة مرور تزيد عن 15 حرف, بهذه الحالة الهاش المخزن في ملف SAM لن يكون صالح لاستخدامه للدخول للأجهزة الأخرى.
    للاطلاع على المقال: http://support.microsoft.com/kb/299656

  13. السلام عليكم و رحمة الله تعالى و بركاته ..
    حقيقة إإخــوة أول مـرة أسمع بهذا الهــجوم …!! ~
    و لكــنني إستفدت من خلال بعض ردود الإخــوة ..
    و لدي سؤااال : كيف تستغل هذه الثغرة ؟؟
    و شكرا ً

  14. للتوضيح فقط. هذه ليست ثغرة. هذا جزء من عملية التسجيل مرّة واحدة والدخول المتكرر
    Single-SingOn.

    يعني تخيل مستخدم الحساب في شركة يريد طباعة ملف او التعديل على ملف أو التصفح … إلخ وكل مرّة يحتاج فيها الى الشبكة يجب عليه ادخال كلمة المرور ستكون الأمور غير مقبولة ولا مريحة للمستخدمين من هنا جاءت فكرة التسجيل مرّة والدّخول المتكرر حيث يقوم النّظام بعملية تزويد الصلاحيّات للمصادر المتوفرة على الشبكة بدون ازعاج المستخدم.

    المهاجم في هذه الحالة يقوم باستخدام هذه الصلاحيّات من اجل الوصول الى مصادر الشبكة المتوفرة منتحلاً شخصيّة المستخدم صاحب هذه الصلاحيّات. الخطورة تصبح كارثيّة في حال كون الحساب الذي حصل عليه المهاجم هو حساب مدير النّظام.

  15. بارك الله فيك أخي عبدالمهيمن على هذه الزاوية الرائعة، وأتمنى إثراءنا بالكثير من هذه النقاشات النافعة.

    بخصوص هذا الهجوم، سمعت به أول مرة في مدونة أخي الفاضل “باحث عن المعرفة”.

    بخصوص الحماية، لو فكرنا في تغيير المسار أو إعادة التسمية أو حتى تشفير SAM file لن نتمكن من تسجيل الدخول!

    أو في حال تشفيره فلن يستطيع الويندوز قراءة هذا الملف ومن ثم التحقق وعمل Authentication بشكل سليم!

    إذاً سنصرف النظر عن هذه الأشياء، وننظر في غيرها…

    لكن ماذا عن Authentication Authorization Accounting ? مثل RADIUS ؟

    مثلاً نجعل عملية ِAAA كلها من خلال RADIUS Server سواء كان عبر ACS أو عبر Windows Server.

    بعد هذا، لو أراد المستخدم عمل تسجيل للدخول، فسيتم التحقق من خلال الخادم الخاص بعملية التحقق من اسم المستخدم وكلمة المرور بدلاً عن SAM file .

    تحيتي لكم،

  16. المشكلة أخي ابو عابد ليست في ملف ال SAM فمثل ال domain controller يستخدم ملف آخر.

    المشكلة هي كما ذكرت في التسجيل مرّة والدخول المتكرر. لان كلمة المرور في هذه الحالة سوف يتم حفظها في مكان ما لتوزيدها للنّظام عوضاً عن المستخدم. الوصول لها يعني من قبل المهاجم يعني استخدامه لها في هجومه.

    البعض ذكر استخدام Kerberos كحل. ولكن نسبة نجاح هذا الحل برأي المتواضع ضيئلة صحيح انه لا يوجد ادوات اليوم تقوم بذلك ولكن هذا لا يعني عدم توفر ادوات في المستقبل القريب للقيام بنفس الهجوم. Keberos يستخدم NT hash لتشفير الوقت الحالي للنظام قبل ارساله الى خادم البطاقات (tickets) الحصول على NT hash يعني نظريّاً قدرة المهاجم على القيام بنفس العملية للحصول على تذكرة جديدة. لو كان هناك الية تمنع اصدار تذكرة جديدة قبل انتهاء الحالية لكان الحل ممكن ولكن هذا يطرح اشكاليّات أخرى. كذلك في حالة استحال الموضوع يمكن للمهاجم الذي وصل الى صلاحيات المدير تنصيب لاقط للاحرف ومعرفة كلمة مرور المستخدم يعني حل سحري لا يوجد. لكن باستخدام الدفاع في العمق يمكن التقليل من نسبة هكذا هجوم الى حدّ كبير.

    ارجو ان تكون الصورة وضحت 🙂

  17. فقط احب ان اضيف ان ما ذكرته لا يعني خلاصة الموضوع. كل ما لديه فكرة يمكن استخدامها للحدّ من فرص اختراق النّظام يمكن مشاركتنا بها لأنها في المحصلة النّهائية ستؤدي الى حماية افضل للنظام من هذاالهجوم وغيره.

  18. السلام عليكم،،،
    بعد القراءة في هذا الموضوع،،

    كنت اتوقع ان المشكله فقط في بروتوكول المشاركه SMB . SAMBA لكن اتضح لكي ان المشكلة حاليا يمكن استغلالها في اي شي يستخدم LM/NTLM. اتوقع الحلول تكون كالتالي:
    ١- البدء بإستخدام Kerberos بتدرج والاعتماد الكامل عليه،، ممكن يكون الحل هذا صعب لكن هو احد الحلول.
    ٢- الحمايه من DLL Injection. في خيار في الويندوز Debug Program يكون لجميع المستخدمين بصلاحيات المدير. لكن يمكن الحد من ذلك بانشاء مستخدم واحد فقط يكون مفعل له Debug Program. في هذه الحاله راح تفشل جميع البرامج whosthere,iam,msvclt وغيرها في حقن ملفات DLL.
    ٣- استخدام NIDS/NIPS(Network Intrusion Prevention System) ونفس الشي HIPS.

    هذه بعض الحلول اللي وجدتها…

  19. وعليكم السلام ورحمة الله أخي مهنّد

    بخصوص الحل الأول هو حل مؤقت لأنّه سيتم في المستقبل اضافة دعم لحقن الهاش في Kerberos.

    بخصوص الحل الثاني: صحيح أن تعطيل Debug Program ستفيد في منع الكثير من الهجمات التي تعتمد على الحقن ولكن في حالة استخدام hashdump من metasploit يستطيع المهاجم الحصول على الهاش وبدون حقن.

    اما الحل الثالث فهو حل مطاط :). فمثلاً ما هو الشيء الذي نبحث عنه حتى يستطيع NIDS أو HIPS التقاطه وتوقيفه او الابلاغ عنه. وما هو نسبة التبليغات الخاطئة التي سنتلقها؟ وكيف يمكننا التقليل منها؟ هذه الاسئلة بحاجة لاجابات قبل الشروع بتطبيق هذا الحل.

    شكراً لك لمشاركتنا بهذه الحلول.

  20. صحيح ان الحل الاول مؤقت بالاضافه انه في قسم TODO للاداة PSHTK انه في القريب سوف يتم اضافة انواع اخرى ك Kerberos..

    طبعا الادوات بعضها تعتمد على حقن ملف DLL والاخر يعتمد على تنفيذ الاوامر بواسطة ملف lsass.exe (Command Code Execuation) فالحل الثاني يعتبر جزء من الحماية ويجب عمله حتى يتم الحمايه من حقن ملفات DLL بشكل عام. بالمناسبة الادوات في PSHTK تأتي بنوعين الاول يعتمد على DLL Injection والثاني يعتمد على Command Code Execuation في ملف lsass.exe. فاتوقع ان Debug Program ماينفع مع الادوات اللي تستخدم النوع الثاني؟.. اما بالنسبة للادات Hashdump الموجوده في metasploit فتم تغيرها قبل فتره لتعتمد على اخذ المعلومات من الريجيستري حسب مافهمت من هنا http://blog.metasploit.com/201…mping.html

    بالنسبة للحل الثالث ، المعروف انه في بعض السيرفرات والاجهزه تكون مهمه جداً والمفترض يدخل عليها اشخاص معينين…فنقوم بربط اسماء المستخدمين بأيبي الجهاز الخاص بهم مثلا. ونقوم بكتابة signuture للNIDS/NIPS بانه عند محاولة اي شخص ان يرسل HASH نقوم بالتحقق من المتطلبين (الايبي مقترن باسم المستخدم) اذا كان صحيح ماعندنا مشاكل، لكن عند وجود محاولة اختراق، حيكون عندنا Red flag… هذا بالطبع ليس حل نهائي وجذري لكن يقلل من الاخطار..

    حل اخر،، لو كان الباسورد اكثر من ١٤ حرف لن يكون موجود في الذاكره ولن يتنجح ادوات الـHash Dumping كما اعرف، وبهذا يمكن استخدام هذا الحل للاشياء الحساسة..

    نقاش ممتع ^ـ^

  21. حتى لو كان الباسورد أكثر من 20 حرف يمكن لهذه الادوات الحصول على الهاش.

    استخدام كلمة مرور اكثر من 14 حرفاً يضمن أنّ هذه الكلمة لن يتم تخزينها بصيغة LM الضعيفة ولكن ستبقى صيغة NTLM والتي يمكن استخدامها في pass-the-hash

  22. بسم الله الرحمن الرحيم

    الحقيقه انا مبتدئي جدا ولم اسمع بهذا الهجوم + اريد بعض النصائح عن الشهادات التي من المفترض ان ادرسها لاتبحر في هذا المجال
    شكرا

  23. Disabling LM authentication is the solution , as I searched and found that SMB and NetBIOS can be exploited by passing the hash to gain Administer privileges, Notice that making the pass 15 character will NOT solve the issue.

  24. في الحقيقة هذه المرة الاولى التي اسمع بها عن هذا النوع من الهجوم و يسرني كثيرا ان اتعلم من مناقشتكم الرائعه

    في الوقت ليس لدي اي استفسارات لانني لا زلت لا اعلم شيئا بالكثير عن الشبكات ولكنني سوف انتقل من عالم التصميم الى عالم الحماية

    اخوي عبد المهيمن ارجوك ان تقول لنا ما هي الدورات التي يجب ان يبدأ بها من يريد ان يقوم بعمل أمن المعلومات و الحماية فهذا سوف يفيدني جدا في دراستي التي انوي ان ادرسها لانني اريد ان اغوص في بحر امن المعلومات و الحماية ولك مني جزيل الشكر

    و شكرا للاخوة الذين قاموا بالرد على المناقشه و التي افادتني جدا في المعرفة

    تقبلوا احترامي جميعا

    دمتم سالمين
    اخوكم : يوسف محمد جاد

  25. The best way to go through this type of attack that gives hacker or penetration tester most of admin privileges is using kerberos type of authentication !!

    Thanks all for this rich info 😉

  26. طبعاً الشكر واصل للأخ بشار (باحث) فهو من اقترح فكرة النقاش وساهم بشكل كبير بتوضيح فكرته بعد أن قام ببحث موسّع عن الموضوع نشر في موقع SANS الذي يعتبر من أقوى المواقع المختصة بأمن المعلومات.

    لمزيد من المعلومات يمكنكم الاطلاع على الورقة التي نشرت في سانز من هذا الرابط:
    http://www.sans.org/reading_room/whitepapers/testing/rss/passthehash_attacks_tools_and_mitigation_33283

    مرّة أخرى شكراً للأخ بشار ولجميع الأخوة الذين ساهموا باثراء هذا النقاش.

  27. هذه أول أول مرة اسمع به فيها
    و مما فهمته انك لا تحتاج لفك الهاش بالإمكان الحصول على الصلاحية فقط بهذا الهجوم ؟

  28. ربما لو قمنا بتشفير الملف الذي يحتوي على الهاش ( كما قال أبو عابد ) عندها لن يستفيد المخترق من الملف ؟؟

  29. شكرا لجهودكم بصراحه عايز إستفسر عن بوتوكول smb وكذلك عن صيغة باسوورد NTLM لأن عندى شبكة لشركة لم أستطع أن أشبك على الأنترنت لحمايتها القوية فالراوترات المستعملة فيها CISCO حتى برنامج dns_spoof غير فعال وعند استعماله (ettercap) يقوم بإعطائى بيانات عن بروتوكولات smb كالتالى

    HTTP:username:Administrator password:(NTLM) Administrator
    ….. smp:username:Administrator hash:154dss1a54dw4w54fdsf 

  30. انا اول مره اسمع بي هاذا الهجوم
    بس الي فهمته انه زي ثغرات الكوكيز الي في المواقع
    لأني افهم في المواقع اكثر من الاجهزة

  31. من خلال هذه الطريقة تمكنت من اختراق موقع إحدى الجامعات العربية التي تستخدم سكربتات متاحة(غير خاصة أو مدفوعة)وهو phpmyadmin حيث حصلت على الهاش الصعب جدا ولم أتمكن من فكه بأي طريقة , فقمت بتنزيل السكربت على اللوكال سيرفر والهدف من ذلك تخزين الكوكيز وباستخدام الأوبرا الذي يعطي إمكانية تعديل الكوكيز قمت باستبدال الهاش بهاش الموقع (واسم المستخدم root( ثم من خلال المتصفح أدخلت على اللينك رابط سكربت phpmyadmin ووجدت نفسي مديرا كالسحر , بالفعل طريقة رائعة لكن تحتاج إلى معرفة عناوين الكوكيز

  32. موضوع جميل .
    سؤال. هل يمكن استغلال طريقة pass the hash في تمرير الهاشات وتخطي عملية الاستيثاق في صفحات الويب Web forms؟

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى