روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اوایل دهه‌ی ۲۰۰۰، وقتی ویندوز XP روی کار آمد و گوشی‌های تاشو و آیپاد مد شدند، امنیت کامپیوتر هم تغییر مهمی کرد. در سال ۲۰۰۱، فردی به نام سر دیستیک از گروه امنیتی Cult of the Dead Cow ابزاری به نام SMBRelay ساخت. این ابزار نشان داد که هکرها می‌توانند پروتکل NTLM را دور بزنند و هش‌های رمز عبور را بدزدند. از آن زمان، ضعف‌های NTLM آشکار شد و مایکروسافت پروتکل جدیدی به نام Kerberos را معرفی کرد، اما NTLM هنوز در بسیاری از شبکه‌ها و برنامه‌های قدیمی استفاده می‌شود. مایکروسافت اعلام کرده قصد دارد NTLM را کنار بگذارد، اما هنوز حذف نشده و همین موضوع فرصت سوءاستفاده را برای هکرها فراهم می‌کند. با ما همراه باشید تا این موضوع را بررسی کنیم.

NTLM  چگونه کار می‌کند؟

NTLM یک پروتکل امنیتی است که برای احراز هویت و محافظت از داده‌ها طراحی شده است.این پروتکل کارهای زیر را می‌کند:

1. کامپیوتر کاربر اعلام می‌کند که آماده‌ی احراز هویت است.
2. سرور یک چالش می‌فرستد تا هویت کاربر را بررسی کند.
3. کامپیوتر کاربر با استفاده از رمز عبور پاسخ می‌دهد.
4. سرور پاسخ را بررسی می‌کند و اگر درست بود، دسترسی داده می‌شود.

هرچند NTLM قدیمی است و ضعف‌های شناخته‌شده دارد، هنوز در سیستم‌ها و شبکه‌های سازمانی استفاده می‌شود و هکرها از آن سوءاستفاده می‌کنند.

تهدیدهای رایج  NTLM

۱. نشت هش‌ها
گاهی هش‌های NTLM بدون اینکه کاربر کاری کند افشا می‌شوند. فقط کافی است یک فایل باز شود یا پیش‌نمایش داده شود تا سیستم به سرور هکر وصل شود و هش لو برود.

۲. وادارسازی سیستم
هکر می‌تواند کامپیوتر قربانی را مجبور کند بدون دخالت کاربر به سرور خودش وصل شود و اطلاعات احراز هویت را بدست آورد.

۳. استفاده از هش‌ها برای ورود به سیستم‌های دیگر
هکرها می‌توانند هش‌های جمع‌آوری شده را برای ورود به سایر سیستم‌ها استفاده کنند و به شبکه حرکت جانبی انجام دهند و سطح دسترسی را بالا ببرند.

۴. حملات مرد میانی
هکر می‌تواند بین کاربر و سرور قرار بگیرد، اطلاعات را شنود یا تغییر دهد و بدافزار نصب کند. یکی از معروف‌ترین روش‌ها، رله NTLM  است که بیش از دو دهه است مورد استفاده است.

نمونه حملات واقعی

BlindEagle  در آمریکای لاتین:

• گروه BlindEagle با استفاده از فایل‌های مخرب ایمیلی، بدافزار Remcos را منتشر کرد.
• کاربران فقط با کلیک ساده روی فایل، بدافزار دانلود و اجرا می‌شد و هش NTLM لو می‌رفت.
• این بدافزار حتی اطلاعات کیف پول رمزارزی قربانیان را سرقت می‌کرد.

Head Mare  علیه روسیه

• گروه هکتیویستی Head Mare از همان آسیب‌پذیری استفاده نموده و فایل ZIP مخرب را ارسال کرد.
• وقتی کاربر فایل را باز کرد، هش NTLM لو رفت و بدافزارPhantomCore نصب شد.
• گروه از ابزارهای رایگان برای حرکت در شبکه و افزایش سطح دسترسی استفاده کرد.

نشت هش‌ها در روسیه و ازبکستان

• فایل‌های دستکاری‌شده یا آرشیو ZIP باعث می‌شدند هش‌ها به سرورهای مهاجم ارسال شوند.
• هکرها با دستکاری نحوه‌ی شناسایی سیستم‌ها در ویندوز، حتی می‌توانستند توکن‌های سیستم را بدست آورند و دسترسی مدیریتی بگیرند.

راهکارهای محافظتی

1. غیرفعال یا محدود کردن NTLM

• تنها روی سیستم‌های ضروری استفاده شود.
• سیستم‌ها و برنامه‌های وابسته شناسایی و جایگزین امن ایجاد شود.

1. فعال کردن امضای پیام‌ها

• برای جلوگیری از تغییر یا بازپخش داده‌ها، پیام‌های NTLM باید امضا شوند.

1. فعال کردن حفاظت پیشرفته (EPA)

• احراز هویت NTLM به نشست امن TLS متصل شود تا هکر نتواند اطلاعات را دوباره استفاده کند.

1. نظارت و ممیزی ترافیک NTLM

• لاگ‌ها بررسی شوند تا فعالیت غیرعادی مثل شکست‌های مکرر یا آی‌پی‌های مشکوک شناسایی شود.
• ابزارهای نظارتی و SIEM برای شناسایی زودهنگام تهدیدها استفاده شود.

جمع‌بندی

NTLM هنوز در شبکه‌ها و سیستم‌های قدیمی ویندوز وجود دارد و هکرها از ضعف‌های آن سوءاستفاده می‌کنند. با حذف تدریجی  NTLM، نصب به‌روزرسانی‌ها و استفاده از راهکارهای امنیتی مدرن، می‌توان خطرات آن را کاهش داد. در غیر این صورت، NTLM  همچنان یک مسیر آسان برای نفوذ هکرها خواهد بود.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.