يدرك المهاجمون السيبرانيون قيمة التخفي. فيما مضى، كان المهاجمون يشبهون القراصنة، وكانوا ينفذون هجماتهم باستخدام البرامج الضارة وغيرها من الأدوات التي يسهل اكتشافها. لكن الخصوم السيبرانيين المعاصرين ليسوا بهذا الوضوح. إنهم يشبهون النينجا إلى حد كبير، حيث يختبئون خلسة في الظل، ويحاولون تجنب اكتشافهم بينما ينفذون مخططاتهم بصمت. أصبح المهاجم الحديث أكثر انضباطاً واحترافية، مما يتطلب من المدافعين تكييف أساليبهم مع هذا الواقع الجديد.
الخصوم السيبرانيين – عمل تجاري
لقد أصبحت الجرائم السيبرانية عملاً تجارياً ، و لفتت انتباه المنظمات الإجرامية. انتقلت العديد من العصابات بشكل كامل إلى الجريمة السيبرانية كمشروع تجاري. بعضها احتل مباني بأكملها تضم مئات الموظفين، وجميعهم انخرطوا في أفعال إجرامية للاستفادة مالياً من النشاط السيبراني غير القانوني. كما هي قصة فيلم The Beekeeper. ونتيجة هذا الاستغلال التجاري للجرائم السيبرانية،، تطورت الهجمات التي يستخدمها المهاجمون ذوو الدوافع المالية لتقارب بقوتها التهديدات المستمرة المتقدمة التي ترعاها الدول.
تزايد تسليط الباحثين الأمنيين والمستجيبين للحوادث الضوء على التكتيكات والتقنيات والإجراءات (TTPs) الخاصة بالتهديدات المتقدمة. وعلى التوازي، كانت الجريمة المنظمة تراقب وتتعلم وتكيف TTPs الخاصة بها للتجاوز الدفاعات. والنتيجة هي مشهد تهديد يتعلم فيه المهاجمون من بعضهم البعض. كما يواصلون هجومهم باستخدام التقنيات المتقدمة ضد مجموعة واسعة من الضحايا المحتملين.
يستثمر المهاجمون في البحث والتطوير، ويشترون نفس الأجهزة الأمنية التي يعتمد عليها ضحاياهم للدفاع عن أنفسهم. إنهم يستخدمون فرقاً مخصصة تعمل على تطوير تقنيات تساعدهم على شن هجمات تتجنب اكتشافها بواسطة كل من هذه الأدوات المختلفة. يحلل قراصنة (Black Hat) التطبيقات والمشاريع مفتوحة المصدر والتقنيات الخاصة من أجل فهم فعالية الثغرات. في الماضي، كانت هذه الأنواع من التقنيات المتقدمة متاحة فقط لمهاجمين ترعاهم الدول. ولكن الحقيقة المؤسفة هي أن هذه القدرات أصبحت الأن في متناول مجرمي الانترنت وتُستخدم ضد بيئات الشركات.
بيانات الاعتماد – الخصوم السيبرانيين
يدرك الخصموم السيبرانيون فائدة الاختباء. ويدركون أنه كلما زاد عدد البرامج الضارة التي ينشرونها كلما زادت احتمالية اكتشافهم. علماً أن هذه البرامج تتطلب منهم اختبارات مكلفة وتستغرق وقتاً طويلاً وجهداً برمجياً لتجاوز آليات الأمان الحالية. من المؤكد أن استخدام السلع والبرمجيات المستغلة و البرامج الضارة سيؤدي إلى اكتشافها. سيحدث ذلك في كل بيئة عمل باستثناء بيئات الضحايا الأقل استعداداً. للحفاظ على التخفي، يسعى المهاجمون إلى الحصول على بيانات اعتماد صالحة وإعادة استخدام بيانات الاعتماد هذه للوصول إلى الأنظمة الجديدة.
هناك العديد من الطرق المختلفة التي يمكن للمهاجم من خلالها الحصول على بيانات اعتماد صالحة. بمجرد الحصول على موطئ قدم أولي، سيقوم المهاجم بالتسلل داخل هذا النظام للحصول على أي معلومات إضافية. يبحث المهاجمون في ذاكرة التخزين المؤقت لـ ARP. ويتحققون من إدخالات السجلات و يتصفحون الشبكة ويجرون عمليات فحص الهدف لتحديد الأنظمة الإضافية التي قد يتمكنون من الاتصال بها لتوسيع هجماتهم. بمجرد تحديد الأهداف الجديدة المحتملة، سيحتاج المهاجم إلى بيانات اعتماد لينتقل بنجاح إلى تلك الأنظمة الجديدة. ولسوء الحظ، أثناء فحص نظام الضحية الأول، قد يجد المهاجم ببساطة بيانات اعتماد إضافية . على الرغم من الجهود الحثيثة التي تبذلها فرق أمن المعلومات وبرامج توعية الموظفين، لا يزال بعض المستخدمين يتركون كلمات المرور غير محمية أو مخزنة في ملفات “password.txt” ، على سطح المكتب الخاص بهم.
الخوارزميات الضعيفة
في كثير من الأحيان، فإن مطوري التطبيقات أو مسؤولي النظام هم من يجعلون مهمة المهاجمين سهلة. دائماً هناك تقارير عن انتهاكات بيانات خدمة الويب، حيث يتم اختراق قواعد بيانات أسماء المستخدمين وكلمات المرور. في العديد من هذه الانتهاكات، يتم تخزين كلمات المرور في نص عادي. أو باستخدام خوارزمية ضعيفة مثل MD5، والتي يمكن اختراقها من خلال استخدام جداول قوس قزح (A rainbow table attack) لكسر كلمات المرور بأقل وقت وجهد. لقد أصبحت المشكلة منتشرة للغاية. لذلك، فإن أفضل ممارسات إنشاء كلمات المرور تتضمن توصيات لتصفية كلمات المرور المرشحة اعتماداً على قوائم كلمات المرور المخترقة المعلن عنها. يقلل ذلك من تمكن المهاجمين مجدداً من استخدام كلمات المرور تلك داخل بيئة الضحية.
المصادقة للحماية من الخصوم السيبرانيين
لا ينبغي أبداً تخزين كلمات المرور كنص عادي plain text. بدلاً من ذلك، يجب أن تستخدم أنظمة المصادقة تمثيلاً (hashed ) لكلمة المرور مشتقاً من كلمة مرور النص العادي باستخدام خوارزمية موثوقة. يمكن لأي نظام يحتاج إلى التحقق مما إذا كان المستخدم قد أدخل كلمة المرور الصحيحة للنص العادي أن يطبق الخوارزمية المعروفة على كلمة المرور المقدمة من المستخدم ويحسب تمثيل كلمة المرور. يمكن بعد ذلك مقارنة تمثيل كلمة المرور المحسوبة بتمثيل كلمة المرور المخزنة بواسطة أداة المصادقة. وطالما أن الاثنين متطابقان، فهذا يعني أنه تم إدخال كلمة المرور الأصلية بشكل صحيح.
ومع ذلك، فإنه حتى لو تم اختراق تمثيلات كلمة المرور المخزنة لأداة المصادقة، فإن المهاجم لا يعرف كلمة المرور ذات النص العادي المرتبطة به. ولجعل هذه الأنظمة أكثر أماناً، غالباً ما تتم إضافة قيمة (salt) أو عشوائية زائفة إلى كلمة المرور قبل تطبيق الخوارزمية لحساب تمثيل كلمة المرور. يقدم ذلك حماية إضافية تجاه هجمات مثل جداول قوس قزح -على سبيل المثال-.
تقنيات مخادعة
في كثير من الأحيان، لا يحتاج مجرمو الانترنت إلى تحديد اسم المستخدم وكلمة المرور بالكامل من أجل استغلال بيانات الاعتماد الموجودة للوصول إلى الأنظمة الأخرى. في بيئات Windows، يتم استخدام تمثيل كلمة المرور بدلاً من الكلمة ذاتها أثناء عملية المصادقة. لهذا السبب، فإن الوصول إلى تمثيل كلمة المرور المجزأة هو كل ما هو مطلوب للمهاجم للاستفادة من بيانات الاعتماد هذه والوصول إلى الأنظمة البديلة عن طريق انتحال شخصية هذا المستخدم.
يُعرف أحد الأمثلة الأكثر شيوعاً لهذا النوع من الهجمات باسم “تمرير التجزئة” -PtH– . لتسهيل تجربة تسجيل الدخول الموحد، عندما يسجل المستخدم الدخول إلى نظام Windows، يتم تخزين التجزئة التي تم حسابها أثناء المصادقة في الذاكرة. عندما يحاول المستخدم الوصول إلى مورد بعيد، يستخدم Windows هذه التجزئة بشكل ملائم نيابة عن المستخدم للمصادقة على النظام البعيد دون مزيد من تفاعل المستخدم. ولسوء الحظ، يمكن للمهاجم القادر على اختراق النظام – من خلال هجوم من جانب العميل، على سبيل المثال – الاستفادة من هذه الوظيفة لطلب الوصول إلى أنظمة بعيدة أخرى باستخدام بيانات الاعتماد المخزنة في الذاكرة لحساب المستخدم الذي تم اختراقه.
التسلل إلى داخل الشبكة
إذا كان لدى المهاجمين امتيازات المسؤول ،local admin، على النظام المخترق، فيمكنهم الوصول مباشرة إلى ذاكرة هذا النظام لاستخراج بيانات الاعتماد المخزنة لأي مستخدم قام بتسجيل الدخول بشكل تفاعلي. الأداة الأكثر شهرة لإنجاز هذا النوع من الهجمات هي Mimikatz. باستخدام Mimikatz، يمكن للمهاجم استخراج تجزئات كلمة المرور أو تذاكر Kerberos للمستخدمين الذين قاموا بتسجيل الدخول حالياً.
يمكن بعد ذلك تمرير بيانات الاعتماد هذه إلى أنظمة أخرى، مما يسمح للمهاجم بانتحال شخصية هؤلاء المستخدمين. من المهم ملاحظة أنه حتى عندما تكون المصادقة متعددة العوامل قيد الاستخدام، فإن سرقة بيانات الاعتماد من المستخدمين الذين قاموا بتسجيل الدخول حالياً توفر للمهاجم بيانات الاعتماد الضرورية والكافية للتحرك أفقياً داخل البيئة. بمجرد المصادقة، لا يتم الاستعلام عن المستخدمين مرة أخرى أثناء محاولتهم الوصول إلى الأنظمة الأخرى داخل نفس الشبكة. ونتيجة لذلك، فإن الوصول إلى بيانات الاعتماد في الذاكرة مثل تذكرة Kerberos يوفر للمهاجم وسيلة لانتحال شخصية مستخدم حتى في حالة عدم وجود رموز الأجهزة أو آليات المصادقة متعددة العوامل الأخرى.
الحسابات المميزة
تعد الهجمات على بيانات الاعتماد منتشرة جداً في عالم الخصوم السيبرانيين لدرجة أنه يجب على مسؤولي الأمن أن يكونوا على دراية بالتهديدات التي تتعرض لها الشبكة في كل مرة يستخدمون فيها بيانات اعتماد المستخدمين المميزين privileged users. إذا تم اختراق نظام و وصل أحد المسؤولين إلى هذا النظام بشكل تفاعلي، فسيتم كشف بيانات الاعتماد التي استخدمها المسؤول للمهاجم.
سوف يذهب المهاجمون إلى حد التسبب في مشكلة في النظام لدفع المسؤول لتسجيل الدخول إلى النظام للتحقق من المشكلة المفترضة. سيكون لدى المهاجم نسخة قيد التشغيل من Mimikatz منتظراً في النظام وسيقوم باستخراج بيانات اعتماد المسؤول عندما يدخلها. يجب أن يكون لدى كل مؤسسة سياسات صارمة فيما يتعلق باستخدام بيانات الاعتماد المميزة. كما يجب دائماً استخدام مفهوم الامتياز الأقل بحيث يتم تقليل الأضرار الجانبية لهذا التعرض في حالة الكشف عن بيانات الاعتماد. يجب إدخال بيانات الاعتماد الأعلى فقط في محطات العمل الآمنة والمخصصة، والأنظمة التي تُستخدم فقط لمهام إدارة النظامة والتي لا تُستخدم أبدًا لتصفح الانترنت أو الوصول إلى البريد الإلكتروني أو غيرها من الأنشطة عالية المخاطر التي قد تعرض جهاز الحاسب للخطر.
خاتمة
لقد زاد المهاجمون من تعقيد تكتيكاتهم وتقنياتهم وإجراءاتهم على مدار العقد الماضي. يمتلك الأعداء المعاصرون مجموعة كبيرة من أدوات الهجوم التي يمكنهم الاختيار من بينها، بالإضافة إلى مجموعة واسعة من الدوافع لهجماتهم. إن المنظمات التي تفترض أنها صغيرة جداً أو غير مهمة بحيث لا يمكن مهاجمتها تكون مخطئة، حيث يسعى الخصوم إلى الاستفادة من كل ميزة لتعزيز حملاتهم السيبرانية.