מה זה Pass the Hash - להתחבר למחשב בלי לדעת את הסיסמה בכלל¶
אחת הטכניקות הראשונות שכל בודק חדירות פנימי לומד היא Pass the Hash, ולא בכדי. היא פשוטה להבנה, קלה יחסית לביצוע, והתוצאה שלה מרשימה - התחברות למחשב בלי לדעת את הסיסמה של המשתמש בכלל. בואו נבין איך זה עובד.
איך ווינדוס שומר סיסמאות בכלל¶
כדי להבין את הטכניקה, קודם צריך להבין רקע קטן. ווינדוס לא שומר סיסמאות בטקסט גלוי. במקום זה, כשמשתמש קובע סיסמה, המערכת שומרת גרסה מוצפנת שלה שנקראת האש - מחרוזת שנוצרת מהסיסמה באמצעות פונקציה מתמטית חד כיוונית. אי אפשר, תיאורטית, להפוך את ההאש בחזרה לסיסמה המקורית בקלות.
הבעיה היא בפרוטוקול האימות של ווינדוס עצמו, שנקרא NTLM. כשמשתמש מתחבר למחשב אחר ברשת, המערכת לא שולחת את הסיסמה, היא שולחת הוכחה שמבוססת על ההאש. וזו בדיוק הפרצה - אם ההאש עצמו מספיק כדי להוכיח זהות, אז מי שיש לו את ההאש, גם בלי לדעת את הסיסמה המקורית, יכול להעמיד פנים שהוא המשתמש.
אז מה זה בעצם Pass the Hash¶
Pass the Hash היא בדיוק הטכניקה הזו - במקום להזין סיסמה, תוקף לוקח האש שהוא כבר השיג (למשל מזיכרון של מחשב שכבר פרץ אליו, בעזרת כלים כמו Mimikatz), ומזין אותו ישירות לכלי חיבור כמו Impacket. המערכת שמקבלת את הבקשה לא יודעת, ולא יכולה לדעת, שההאש הוזן ישירות במקום להיגזר מהקלדת סיסמה אמיתית.
התוצאה - תוקף שהצליח לחלץ האש של משתמש אחד ממחשב אחד, יכול להשתמש בו כדי להתחבר לכל מחשב אחר ברשת שבו למשתמש הזה יש הרשאות, בלי לדעת את הסיסמה בכלל, ובלי לצטרך לפצח את ההאש.
למה זו טכניקה כל כך משמעותית¶
מה שהופך את Pass the Hash למסוכנת במיוחד היא איך היא מאפשרת תנועה רוחבית ברשת. תרחיש קלאסי - תוקף פורץ למחשב עמדת קצה בודדת, שבו התחבר פעם אחת מנהל מערכת מהרשת הכללית לצורך תמיכה טכנית. ההאש של אותו מנהל עדיין שמור בזיכרון המחשב. תוקף שמחלץ אותו יכול עכשיו להתחבר, באמצעות אותו האש בדיוק, לכל מחשב אחר שבו למנהל הזה יש הרשאות - כולל, במקרים גרועים, לבקר הדומיין עצמו.
זו הסיבה שחשבונות מנהל שמתחברים למחשבים רבים (למשל לצורך תמיכה טכנית שוטפת) הם יעד כל כך מבוקש - כל מחשב שבו הם התחברו הופך לפוטנציאל לחילוץ האש שלהם.
איך ארגונים מתגוננים מפני זה¶
מיקרוסופט הכניסה כמה שכבות הגנה לאורך השנים. Credential Guard מבודד את ההאשים בזיכרון מוגן שקשה יותר לגשת אליו. עקרון ה-Least Privilege, שמגביל אילו מחשבים חשבון מנהל מסוים מורשה להתחבר אליהם, מצמצם את ההיקף שבו האש גנוב שימושי. וניהול נכון של קבוצות מוגנות בדומיין מקטין את החשיפה של חשבונות בעלי הרשאות גבוהות.
עם זאת, ברוב הארגונים ההגנות האלה מיושמות באופן חלקי, מה שהופך את Pass the Hash לטכניקה שעדיין עובדת מצוין בבדיקות חדירות אמיתיות, גם היום.
איפה לומדים לבצע את זה נכון¶
Pass the Hash היא רק חלק אחד בשרשרת ארוכה של טכניקות תקיפת Active Directory. כדי להבין אותה לעומק צריך להבין קודם איך חילוץ האשים עובד, ואיך משתמשים בהם בכלים כמו Impacket בפועל, בסביבה מבוקרת.
בקורס בודק חדירות שלי יש פרק שלם שמוקדש לטכניקת Pass the Hash, בהמשך ישיר לפרקים על חילוץ וגניבת NTLM Hashes, עם תרגול מעשי על רשת דומיין אמיתית, בדיוק כמו שזה נראה בבדיקה אמיתית אצל לקוח.
לסיכום¶
Pass the Hash היא דוגמה מושלמת לזה שלא צריך "לפרוץ" במובן הדרמטי כדי לגרום נזק אמיתי ברשת ארגונית - מספיק להבין נכון איך פרוטוקול אימות עובד, ולנצל את זה בחוכמה. זו בדיוק סוג ההבנה שהופכת בודק חדירות ממי שמריץ כלים למי שבאמת מבין מה קורה מתחת למכסה המנוע.
בואו לדבר על טכניקות תקיפת AD נוספות בקהילה שלנו.