حملات مبتنی بر هویت؛ روش‌های اجرای حمله و راهکارهای مقابله

حملات مبتنی بر هویت (Identity-Based Attacks) به یکی از رایج‌ترین روش‌های نفوذ به سازمان‌ها تبدیل شده‌اند. مهاجمان با سوءاستفاده از اعتبارنامه‌های کاربران، حساب‌های دارای دسترسی ویژه و زیرساخت‌های احراز هویت، تلاش می‌کنند به شبکه‌های سازمانی دسترسی پیدا کرده و به‌صورت جانبی در محیط‌های مختلف گسترش یابند.

سطوح حمله و بردارهای تهدید

افشای گذرواژه‌ها، خطر فوری برای تمامی حساب‌هایی ایجاد می‌کند که از همان رمز عبور استفاده می‌کنند. مهاجمان با استفاده از بانک‌های اطلاعاتی گذرواژه‌های افشاشده، حملات Credential Stuffing را علیه درگاه‌های ورود سازمان‌ها اجرا می‌کنند؛ حملاتی که تنها به ابزارهای خودکار و فهرست اطلاعات سرقت‌شده نیاز دارند.

از سوی دیگر، حملات Brute Force با آزمون خودکار ترکیب‌های مختلف رمز عبور، حساب‌هایی را که از گذرواژه‌های ضعیف استفاده می‌کنند هدف قرار می‌دهند. اعمال سیاست قفل شدن حساب کاربری و پایش ورودهای غیرعادی از نقاط جغرافیایی مختلف، می‌تواند اثربخشی این حملات را کاهش دهد.

دور زدن احراز هویت چندعاملی

مهاجمان برای بی‌اثر کردن لایه دوم امنیت، از روش‌هایی مانند SIM Swapping استفاده می‌کنند؛ روشی که در آن پیامک‌های تأیید به سیم‌کارت تحت کنترل مهاجم منتقل می‌شود.

روش دیگر، حملات موسوم به Push Fatigue است که طی آن، تعداد زیادی درخواست تأیید برای کاربر ارسال می‌شود تا در نهایت وی برای پایان دادن به این مزاحمت، درخواست مخرب را تأیید کند.

همچنین صفحات فیشینگ می‌توانند با شبیه‌سازی فرآیند ورود، رمز عبور و کدهای یک‌بارمصرف کاربران را به‌صورت هم‌زمان سرقت کنند. استفاده از کلیدهای امنیتی FIDO2 یا احراز هویت مبتنی بر گواهی دیجیتال، در برابر این حملات مقاومت بالایی ایجاد می‌کند؛ هرچند استقرار آن‌ها نیازمند تجهیزات سخت‌افزاری و آموزش کاربران است.

حملات علیه سرویس‌های هویت

سرویس‌هایی مانند Active Directory و ارائه‌دهندگان هویت ابری، از اهداف اصلی مهاجمان هستند.

 در حمله  Kerberoasting، مهاجم با درخواست بلیت سرویس (Service Ticket)، هش گذرواژه حساب‌های سرویس را استخراج کرده و به‌صورت آفلاین اقدام به شکستن آن می‌کند.

در حمله ASREPRoasting نیز حساب‌هایی که گزینه "عدم نیاز به پیش‌احراز هویت Kerberos" برای آن‌ها فعال است، بدون نیاز به احراز هویت قابل استخراج هستند.

حمله مشهور Golden Ticket نیز با سوءاستفاده از هش حساب krbtgt، امکان تولید نامحدود توکن‌های معتبر احراز هویت را فراهم می‌کند.

چرخش دوره‌ای گذرواژه حساب‌های سرویس، مدت زمان قابل سوءاستفاده از این حساب‌ها را کاهش می‌دهد، هرچند ممکن است در زمان تغییر رمز، برخی سرویس‌ها دچار اختلال شوند.

سوءاستفاده از حساب‌های دارای دسترسی ویژه

مهاجمان پس از نفوذ اولیه، از قابلیت‌های قانونی مدیران سیستم برای افزایش سطح دسترسی استفاده می‌کنند.

سرقت توکن‌های OAuth از حافظه مرورگر یا فضای ذخیره‌سازی محلی، یکی از رایج‌ترین روش‌هاست. همچنین در حملات Pass-the-Hash  بدون اطلاع از رمز عبور واقعی، تنها با استفاده از هش NTLM امکان حرکت جانبی در شبکه‌های ویندوزی فراهم می‌شود.

راهکارهای مدیریت دسترسی ممتاز (PAM) و اعطای دسترسی موقت (Just-in-Time) می‌توانند ریسک این حملات را به میزان قابل توجهی کاهش دهند.

حملات علیه سامانه‌های هویت ابری

در محیط‌های ابری، مهاجمان از ضعف‌های موجود در سامانه‌های احراز هویت فدرال استفاده می‌کنند. جعل توکن‌های SAML امکان دور زدن فرآیند احراز هویت را فراهم می‌کند و دستکاری آدرس‌های OAuth Redirect URI نیز باعث ارسال کدهای مجوز به سرورهای تحت کنترل مهاجم می‌شود.

در چنین شرایطی، نفوذ به سامانه ورود یکپارچه (SSO) می‌تواند تمامی سامانه‌های متصل را در معرض خطر قرار دهد.

راهکارهای شناسایی حملات

شناسایی حملات هویتی نیازمند پایش مستمر رویدادهای احراز هویت، فعالیت سرویس‌های دایرکتوری و استفاده از حساب‌های دارای دسترسی ویژه است.

از مهم‌ترین شاخص‌های شناسایی می‌توان به موارد زیر اشاره کرد:

 ورود هم‌زمان یک حساب از دو موقعیت جغرافیایی دور از هم در بازه زمانی کوتاه (Impossible Travel)

چندین تلاش ناموفق ورود از یک آدرس IP

درخواست‌های غیرعادی بلیت Kerberos

افزایش ناگهانی درخواست‌های LDAP

تغییرات غیرمنتظره در عضویت گروه‌های مدیریتی

استفاده از توکن‌های OAuth از آدرس‌های IP جدید

فعالیت حساب‌های مدیریتی خارج از ساعات کاری

دیدگاه کارشناس

"نفوذ از طریق هویت همچنان یکی از رایج‌ترین مسیرهای ورود مهاجمان به سازمان‌ها محسوب می‌شود. مجرمان سایبری با هدف قرار دادن اعتبارنامه‌ها، حساب‌های ممتاز، سامانه‌های احراز هویت و زیرساخت‌های هویتی، دسترسی پایدار ایجاد کرده و در شبکه گسترش می‌یابند.

حملاتی مانند  Password Spraying، Credential Stuffing، فیشینگ، مهندسی اجتماعی، سرقت توکن و سوءاستفاده از پروتکل‌های قدیمی نظیر NTLM همچنان از متداول‌ترین روش‌های مهاجمان هستند.

سازمان‌ها برای مقابله با این تهدیدها باید احراز هویت مقاوم در برابر فیشینگ، اصل حداقل سطح دسترسی، دسترسی مدیریتی موقت، تقسیم‌بندی شبکه، مدیریت صحیح نشست‌های کاربری و پایش مداوم رفتارهای غیرعادی را در دستور کار قرار دهند.

بر اساس برآوردها، هزینه متوسط هر رخداد نفوذ ناشی از سرقت اعتبارنامه‌ها به حدود ۴.۸۸ میلیون دلار می‌رسد و در حدود ۸۰ درصد نفوذهای موفق، حملات هویتی نقطه آغاز دسترسی مهاجمان محسوب می‌شوند."

راهکارهای کاهش خطر

کارشناسان برای کاهش ریسک حملات مبتنی بر هویت، اجرای مجموعه‌ای از اقدامات امنیتی را توصیه می‌کنند:

حذف پروتکل‌های قدیمی مانند NTLM و استفاده از رمزنگاری AES در Kerberos

اعمال سیاست‌های سختگیرانه برای گذرواژه‌ها (حداقل ۱۲ کاراکتر)

استفاده از مدیر رمز عبور (Password Manager)

پیاده‌سازی احراز هویت چندعاملی مقاوم در برابر فیشینگ مانند FIDO2

الزام استفاده از MFA برای تمامی حساب‌های مدیریتی

اجرای سیاست‌های دسترسی مبتنی بر حداقل مجوز

استفاده از دسترسی مدیریتی موقت (Just-in-Time)

چرخش منظم گذرواژه حساب‌های سرویس

غیرفعال کردن قابلیت «عدم نیاز به پیش‌احراز هویت Kerberos»

تعیین زمان انقضا برای نشست‌های کاربری، به‌ویژه حساب‌های مدیریتی

بازبینی مستمر سطح دسترسی کاربران و حذف حساب‌های بلااستفاده

کارشناسان معتقدند با توجه به حرکت سازمان‌ها به سمت معماری Zero Trust، حفاظت از هویت دیجیتال به مهم‌ترین لایه دفاعی در برابر حملات سایبری تبدیل شده است.