پاس در هش (Pass the Hash)
نقض بدنام بیش از 40 میلیون حساب مشتری هدف تا حدی به دلیل تکنیک حمله معروف به نام پاس در هش PtH موفقیت آمیز بود. هکرها از PtH برای دستیابی به یک توکن هش NT استفاده کردند که به آنها امکان می داد بدون رمز عبور متن ساده وارد حساب مدیر Active Directory شوند – در نتیجه به آنها امتیازات لازم را برای ایجاد یک حساب مدیریت دامنه جدید می دهند و بعداً آن را به دامنه اضافه می کنند. گروه ادمین ها این ریشه در سیستم به آنها این فرصت را داد تا اطلاعات شخصی و جزئیات کارت پرداخت را از مشتریان Target به سرقت ببرند.

آنچه باید بدانید:
PtH به مهاجم اجازه می‌دهد تا رمز عبور کاربر را با هش NTLM یا LanMan به جای رمز عبور متن ساده مرتبط، احراز هویت کند. هنگامی که هکر یک نام کاربری معتبر به همراه مقادیر هش رمز عبور خود داشته باشد، می تواند بدون مشکل وارد حساب کاربر شده و اقداماتی را در سیستم های محلی یا راه دور انجام دهد. در اصل، هش ها جایگزین رمزهای عبور اصلی می شوند که از آنها تولید شده اند.

حمله چگونه اتفاق می‌افتد:
در سیستم‌هایی که از احراز هویت NTLM استفاده می‌کنند، رمز عبور یا عبارت عبور کاربر هرگز به صورت متن واضح ارسال نمی‌شود. درعوض، در پاسخ به طرح احراز هویت چالش-پاسخ به عنوان هش ارسال می‌شود. وقتی این اتفاق می‌افتد، هش‌های رمز عبور معتبر برای حساب مورد استفاده با استفاده از تکنیک دسترسی به اعتبار ثبت می‌شوند.

محل حمله:
این نوع حمله نسبت به روش های دیگر پیچیده تر است و معمولاً توسط گروه های تهدید اجرا می شود. این مرتکبین اغلب سازماندهی شده اند، با توجه به یک سازمان یا شخص خاص و با هدف منافع سیاسی یا مالی.

:references

https://www.splunk.com