تخلیه اعتبارنامه (Credential Dumping)

Disney+ ده میلیون کاربر را ثبت نام کرد و سهام آن در مدت کوتاهی پس از آن به رکورد بالایی رسید. اما این درخشش به سرعت محو شد، زمانی که بسیاری از این مشترکین مشتاق، شروع به شکایت از قفل شدن حساب های خود کردند. در عرض چند روز از راه اندازی، اعتبار Disney+ عدد $ 3 بود. دیزنی گفت که این سایت در واقع نقض نشده است. گفته می شود، کاربرانی که اعتبار خود را به صورت آنلاین پیدا کرده اند، احتمالا قربانی یک عمل معمول (اما به شدت بد) شده اند: استفاده از همان رمز عبور در چندین سایت که بعدا توسط یک حمله تخلیه اعتبارنامه مورد حمله قرار گرفت.

آنچه شما باید بدانید:
تخلیه اعتبارنامه به سادگی به یک حمله اشاره دارد که به جمع آوری اعتبار از یک سیستم هدفمند متکی است. حتی اگر اعتبارنامه ها ممکن است در متن ساده نباشند – آنها اغلب هش یا رمزگذاری می شوند – یک مهاجم هنوز هم می تواند داده ها را استخراج کند و آن را در سیستم های خود آفلاین کند. به همین دلیل است که این حمله به عنوان “دامپینگ” نامیده می شود. اغلب هکرها سعی می کنند رمزهای عبور را از سیستم هایی که قبلا به خطر انداخته اند سرقت کنند. در مورد حمله فرمان و کنترل فوق الذکر و حرکت جانبی از طریق یک شبکه فکر کنید. اما این مشکل زمانی تقویت می شود که کاربران همان رمز عبور را در چندین حساب از طریق سیستم های مختلف تکرار می کنند.

چگونه حمله اتفاق می افتد:
اعتبارنامه های به دست امده از این روش معمولا شامل کاربران ممتاز است که ممکن است دسترسی به اطلاعات حساس تر و عملیات سیستم را فراهم کند. هکرها اغلب منابع مختلفی را برای استخراج اعتبارنامه ها هدف قرار می دهند، از جمله حساب هایی مانند مدیر حساب های امنیتی SAM، مقامات امنیتی محلی (LSA)، NTDS از کنترل کننده های دامنه یا فایل های ترجیح سیاست گروه GPP. هنگامی که مهاجمان اعتبار معتبر را به دست می اورند، از آنها برای حرکت در سراسر یک شبکه هدف به راحتی، کشف سیستم های جدید و شناسایی دارایی های مورد علاقه استفاده می کنند.

جایی که حمله از آن می آید:
تخلیه اعتبار می تواند از هر نقطه سرچشمه گیرد و از آنجا که همه ما در بازیافت رمزهای عبور گناهکار هستیم، این اطلاعات را می توان برای حملات آینده فروخت.

references:

https://www.splunk.com