استفاده از حالت امن ویندوز برای نفوذ

۱۸۶۱محقق امنیتی، دوران نعیم حمله‌ای را شناسایی کرده که به نفوذ‌گران کمک می‌کند از حالت امن۱ ویندوز ۱۰ برای ربودن جزئیات ورود سوءاستفاده کند. به گفته این محقق، نفوذگران برای بهره‌برداری از این روش باید به یک رایانه دسترسی داشته باشند تا بتوانند ماشین مذکور را در حالت امن راه‌اندازی مجدد کنند. بدین ترتیب می‌توانند از کنترل‌های امنیتی کمتر در این محیط در جهت هدف تعیین شده استفاده کنند.

هنگامی‌که دستگاه در حالت امن قرار گیرد، می‌توان جزئیات ورود‌ را دزدید و یا از سایر روش‌های pass-the-hash برای نفوذ به سایر ماشین‌های شبکه شده بهره برد. برای اینکه صفحه‌ی غیرواقعی ورود را شبیه به یک صفحه راه‌اندازی عادی نشان داد و حالت امن را مخفی نگه‌داشت می‌توان از روش COM object استفاده کرد.

کاربرانی که اطلاعات ورود خود را وارد می‌کنند، گمان می‌کنند که یک راه‌اندازی مجدد ساده، اطلاعات ورود را در اختیار مهاجمان قرار داده است.

نعیم بیان می‌کند: «هنگامی‌که مهاجمان از این محیط عبور کرده و دسترسی مدیریتی محلی را بر روی ماشین ویندوزی به دست می‌آورند، می‌توانند برای عبور و دست‌کاری معیارهای امنیتی نقطه‌ی انتهایی حالت امن را از‌ راه ‌دور فعال کنند. در حالت امن، مهاجمان می‌توانند برای به دست آوردن اطلاعات، آزادانه ابزار‌ها را اجرا کرده و سپس، در حالی‌که ناشناس باقی می‌مانند به سامانه‌های متصل شده انتقال یابند. علی رغم وجود ماژول امن مجازی مایکروسافت، این بهره‌برداری در ویندوز ۱۰ نیز انجام می‌شود.»

مایکروسافت مشکل بردار حمله را حل نمی‌کند زیرا اجرای این حمله مستلزم دسترسی نفوذ‌گران به یک دستگاه ویندوزی است.

نعیم ضمن اشاره به تحقیق Fireeye که می‌گوید سال گذشته بیشتر مؤسسات سابقه‌ی فیشینگ‌های هدف‌گذاری شده را داشته‌اند، می‌گوید که دسترسی به حداقل یک دستگاه ویندوز در یک سازمان کار ساده‌ای است.

ورود به حالت امن از اعمال برخی کنترل‌های امنیتی نظیر ماژول امنیتی مجازی در ماشین میزبان جلوگیری می‌کند. این ماژول خود مسئول محدود کردن توانایی مهاجمان برای به‌کارگیری ابزار‌ها و سرقت درهم‌سازی کلمه‌های عبور است.

نعیم می‌گوید: «الگوی ضبط اطلاعات و انتقال پس از آن، می‌تواند چندین بار توسط یک مهاجم تا حصول نهایی بهره‌برداری دامنه انجام شود.»

مهاجمان می‌توانند تا زمانی‌که قربانی، دستگاه خود را راه‌اندازی مجدد کند منتظر بمانند یا با نمایش یک هشدار، به قربانی تلقین کنند که راه‌اندازی مجدد دستگاه ضروری است.

در بررسی‌های آزمایشگاهی هنگامی‌که ضدویروس‌های Microsoft، Trend Micro، McAfee ، Avira، در حالت راه‌اندازی امن غیر‌فعال شدند، Mimikatz که یک ابزار پس از بهره‌برداری است، ناشناس باقی ماند. نعیم به مدیران پیشنهاد می‌کند با تغییر منظم جزئیات ورود به مقابله با حملات pass-the-hash‌ پرداخته، برای مدیران محلی حداقل سطوح اختیارات را در نظر گرفته و ابزارهای امنیتی را استفاده کنند که توانایی اجرا در حالت امن را نیز دارند.

۱. Safe Mode

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap