Pass the hash napadi i zaštita

U današnje vrijeme, kako sve više organizacija koristi tehnologiju jednostrukog prijavljivanja (SSO) kako bi omogućile udaljeni rad i poboljšale korisničko iskustvo. Napadači su prepoznali ranjivost pohranjenih lozinki i korisničkih akreditacija zbog čega su napadi bazirani na identitetu poput Pass the hash napada češći nego ikad prije. Takvi napadi, gdje se napadači pretvaraju da su legitimni korisnici posebno su teški za otkrivanje jer većina tradicionalnih kibernetičkih rješenja ne može razlikovati pravog korisnika od napadača koji se pretvara da je legitimni korisnik. Ova tehnika napada često prethodi drugim, ozbiljnijim sigurnosnim problemima, poput krađe identiteta te napada zlonamjernim softverom ili ransomware-om, zbog čega je zaštita od takvih napada veoma bitna. U ovom radu detaljnije će biti objašnjeno što su i kako funkcioniraju Pass the hash napadi te kako ih spriječiti i kako se od njih zaštititi.

Ključne riječi: hash; ranjivost; napad; korisnik; napadač; jednostruko prijavljivanje; prevencija; zaštita

Pass the hash (PtH) je vrsta kibernetičkog napada u kojem napadač ukrade hash korisničke akreditacije (najčešće lozinke) i koristi ju kako bi prevario autentifikacijski sustav i stvorio novu autentificiranu korisničku sjednicu na istoj mreži. Za razliku od ostalih napada krađe akreditacija, kod PtH napada napadač ne treba znati ili probiti lozinku kako bi dobio pristup sustavu jer za upad u sustav koristi hash lozinke.

Nakon što napadač dobije pristup sustavu PtH napadom, cilj mu je izvući čim više informacija i akreditacija i dalje se kretati mrežom koristeći različite uređaje i račune. To čine s nadom da će povećati svoja korisničke privilegije kako bi pristupili kritičnim sustavima, poput administratorskog računa mreže.

Iako se PtH napadi mogu dogoditi na Linuxu, Unixu i drugim platformama, najčešći su na sustavima koji koriste operacijski sustav Windows. Windows je posebno ranjiv na ove napade zbog tehnologije jednostrukog prijavljivanja (engl. Single-Sign-On (SSO)) koja omogućuje korisnicima da unesu lozinku samo jednom kako bi pristupili svim resursima sustava. SSO zahtijeva da korisničke akreditacije budu pohranjene unutar sustava (engl. cached), što olakšava pristup napadačima.

Kako bismo mogli bolje razumjeti kao funkcionira PtH napad, bitno je prvo razumjeti što je hash i kako se hash koristi za identifikaciju i autentifikaciju korisnika te općenito za informacijsku sigurnost. Hash je jednosmjerna matematička funkcija koja pretvara niz znakova, tj. obični tekst (engl. plain text) u šifrirani tekst (engl. ciphertext), što je vidljivo na Slici 1.

                    Slika 1. Postupak hashiranja teksta

Hash funkcija je jednosmjerna u smislu da nije reverzibilna, tj. ne može se iskoristiti dobiveni šifrirani tekst (hash) kako bi se došlo do originalnog niza znakova (npr. lozinke). Postoji više algoritama za hashiranje, ali svi rade na istom principu. Kada se korisnik prijavljuje u sustav, pokreće se ista hash funkcija koja se koristila prilikom prvog stvaranja njegovih podataka za prijavu. Ako se rezultirajuće hash vrijednosti poklapaju, sustav autentificira korisnika. Na primjer, pretpostavimo da je korisnička lozinka “Racfor123”. Hash te lozinke, koristeći Bcrypt Hash Generator, bio bi: „$2y$10$aPakLVrCDbdrA960gh3BWOPDIVGaCohTKozVHW0KiozFF6SSpNeFa“, što je vidljivo na Slici 2.

                    Slika 2. Generiranje hasha lozinke

U ovom slučaju, što se tiče mehanizma autentifikacije, korisnikova lozinka bila bi „$2y$10$aPakLVrCDbdrA960gh3BWOPDIVGaCohTKozVHW0KiozFF6SSpNeFa“, a ne “Racfor123”.

Hashevi pružaju sigurnosne prednosti jer sprječavaju pohranu akreditacija u običnom tekstu. Lozinka “Racfor123” nikada neće biti spremljena u sustav kao „Racfor123“. Također su praktični za sustave jednostrukog prijavljivanja (SSO). Nakon što se korisnik prijavi u mrežu, SSO sustav može koristiti kombinaciju korisničkog imena i hasha lozinke za kontinuiranu autentifikaciju dok korisnici obavljaju svoj posao.

To je veoma korisno, međutim, ako napadač može pristupiti hashu, može ga iskoristiti za preuzimanje uloge korisnika u okruženju SSO-a i stvaranje autentificiranih sjednica u ime tog korisnika.

Koraci PtH napada mogu varirati ovisno o tome koju tehniku napadač odabere za kompromitiranje žrtvinog računala i koliko će mu vremena trebati da ostvari svoj cilj (npr. ako napada direktno jednog korisnika ili manju tvrtku vjerojatno će mu trebati manje vremena nego ako napada neku veliku kompaniju), ali neki koraci napada uvijek ostaju isti (Slika 3.):

                    Slika 3. Koraci Pass the hash napada

1. Napadač na neki način kompromitira računalo korisnika s niskom razinom privilegija (npr. pomoću phishinga ili malware-a).
2. Računalo sadrži hash trenutnog korisnika kao i hasheve drugih korisnika koji su se prijavili na to računalo izravno ili udaljeno. Napadač izvlači sve te hasheve iz memorije, no među njima se još uvijek ne nalazi hash domenskog administratora.
3. Napadač zatim koristi PtH za prijavu na svako drugo računalo za koje je dobio hash. To se radi automatski i naziva se napadom raspršenja hasheva (engl. hash spray attack).
4. Tim postupkom, izvlači se lista hasheva lokalnih i domenskih računa.
5. Naposlijetku, jedno od računala će imati hash računa s administratorskim ovlastima u memoriji koji će biti korišten za dobivanje pristupa bazama podataka, poslužiteljima datoteka i kontrolorima domene.

PtH napadi često su jedni od uspješnijih online napada. Jedan od razloga njihove visoke uspješnosti je taj što napadaču nije potrebno prevariti člana IT tima da kompromitira svoje akreditacije. Potrebno im je samo da pronađu način za kompromitiranje računala ili korisničkog računa unutar mreže. To se može učiniti pomoću phishinga ili na neki drugi način (npr. zaražavanjem korisnikovog računala zlonamjernim softverom).

Ako administrator sustava unese svoje akreditacije za svoj račun koji ima visoku razinu privilegija na to isto računalo, njegova lozinka će također biti pohranjena u memoriji kao hash, čak i ako se na računalo povezuje udaljeno.

Ako napadač uspije kompromitirati to računalo i pristupiti mu, bit će u mogućnosti uhvatiti hash lozinke administratora sustava. Nakon toga može taj hash iskoristiti kako bi stvorio autentificiranu sjednicu pretvarajući se da je administrator sustava bez da zna stvarnu lozinku administratora sustava.

Jednom kada to ostvari, može iskoristiti tu sjednicu kako bi pristupio bazi podataka klijenata, repozitorijima izvornog koda, poslužiteljima e-pošte ili bilo čemu drugome čemu taj administrator sustava ima pristup. Sa tolikom moći, napadač može gotovo sigurno ostvariti svoj zlonamjerni cilj.

Budući da je potencijalna šteta PtH napada povezana s razinom ovlasti kompromitiranih akreditacija, rizici mogu biti gotovo bilo što, od gubitka podataka do potpunog preuzimanja mreže i svega između toga. Neki od tih rizika uključuju akcije poput:

• Povrede podataka
• Otkrivanja osjetljivih/vlasničkih informacija
• Krađe identiteta
• Zaključavanja korisnika iz njihovih računa
• Napada ransomware-om
• Isključivanja mreže
• Preusmjeravanja mrežnog prometa na zlonamjerne stranice
• Pokretanja preuzimanja zlonamjernog softvera

U veljači 2021. godine, Centrais Eletricas Brasileiras (Eletrobras) i Companhia Paranaense de Energia (Copel), dvije velike brazilske energetske tvrtke, objavile su da su postale žrtve ransomware napada. Taj napad omogućio je prethodni PtH napad. Zlonamjerni akteri uspjeli su izvući hasheve lozinki iz Active Directory-ja (AD), točnije, iz datoteke NTDS.dit. Nakon izvlačenja hasheva, lateralno su se kretali kroz lanac korisničkih ovlasti sve dok nisu uspjeli izvući hasheve s dovoljno visokim ovlastima za izvođenje ransomware napada. Kod tvrtke Copel, napad je djelo ransomware grupe poznate kao Darkside, koja tvrdi da je ukrala više od 1.000 GB podataka, uključujući osjetljive informacije o pristupu infrastrukturi tvrtke te osobne podatke vrhovnog menadžmenta i klijenata. Oba ransomware napada poremetila su operacije tih tvrtki i prisilila ih da privremeno obustave neke od svojih sustava.

U travnju 2022., platforma ransomware-as-a-service (RaaS) nazvana Hive iskoristila je koordinirani napad koji je ciljao veliki broj korisnika Microsoft Exchange Servera, uključujući one u sektorima energetike, financijskih usluga, neprofitnih organizacija i zdravstva. Napad je iskoristio ranjivost Microsoft Exchange Servera poznatu kao ProxyShell. Iako je Microsoft brzo popravio ovu ranjivost, mnoga poduzeća nisu ažurirala svoj sustav i ostala su ranjiva. Napadači su iskoristili ProxyShell ranjivost kako bi ubacili skriptu za stražnja vrata (engl. backdoor) koja je korištena za izvršavanje zlonamjernog koda na Exchange serveru. Zatim su preuzeli kontrolu nad sustavom pomoću PtH napada, koristeći Mimikatz za izvlačenje hasha akreditacija domenskog administratora. Hive je zatim izvidio kako poslužitelj radi, prikupio podatke te izveo ransomware napad. Detalje napada otkrila je sigurnosna tvrtka Varonis koja je istraživala ransomware napad na jednog od svojih klijenata.

Najbolji način zaštite od PtH napada je upravo njihova prevencija ili barem maksimalno ublažavanje. Postoje mnogi postupci kojima to možemo postići, a možemo ih podijeliti u dvije kategorije: postupci za administratore sustava i postupci za korisnike.

Neki postupci prevencije koje mogu primijeniti administratori sustava:

• Omogućavanje Windows Defender Credential Guard-a – sigurnosni Windows alat dostupan od Windowsa 10 koji čini sustav otpornijim na PtH napade
• Korištenje Microsoft Local Administrator Password Solutions-a (LAPS) – sigurnosni Windows alat koji omogućuje da administratorski računi imaju drugačiju složenu lozinku za svako računalo na koje se prijavljuju
• Automatiziranje česte promjene lozinki za administratore sustava – mijenjanjem lozinke mijenja se i njezin hash, što automatski otežava PtH napad
• Određivanje posebno zaštićenih računala i prijavljivanje računima s administratorskim ovlastima samo na ta računala – sa što manje računala se prijavljuje računima s administratorskim ovlastima i što su sigurnija ta računala, to je manja vjerojatnost uspješnog PtH napada
• Ograničavanje broja računa sa administratorskim ovlastima – što manje administratorskih računa se upotrebljava, to je teže doći do hasha administratorskog računa
• Ne korištenje Remote Desktop Protocol-a (RDP) za upravljanje korisničkim računalima – mnoge RDP aplikacije čuvaju kopije hasheva, što povećeva rizik od PtH napada
• Onemogućavanje LAN Management (LM) hasheva – LM hashevi su slabiji od Windows NT hasheva i ranjivi na napade grubom silom (engl. brute force attacks)
• Omogućavanje obuke o svjesnosti o sigurnosti – što su zaposlenici neke tvrtke svjesniji opasnosti i sigurnosnih rizika (npr. phishinga), to je manja vjerojatnost uspješnog PtH napada (ako napadač ne može kompromitirati nijedno računalo, ne može niti izvući hash i napraviti PtH napad)
• Ograničavanje dopuštenja računa domenskih administratora – dobro za ograničavanje vrijednosti administratorskog računa koju nudi napadačima

Neki postupci prevencije koje mogu primijeniti korisnici:

• Korištenje vatrozida – štiti od nekih malicioznih poveznica
• Korištenje antivirusa – štiti od nekih virusa i nekih drugih online prijetnji
• Redovito ažuriranje operacijskog sustava – ažuriranja sustava često nude sigurnosne zakrpe koje popravljaju sigurnosne ranjivosti i pomažu smanjiti rizik od zlonamjernih kibernetičkih napada
• Redovito odjavljivanje iz uređaja i njihovo ponovno pokretanje – odjavljivanjem iz uređaja može se spriječiti da netko drugi pristupi uređaju kada korisnik nije prisutan, a ponovnim pokretanjem uređaja brišu se spremljeni hashevi iz memorije
• Redovito mijenjanje lozinki – mijenjanjem lozinke mijenja se i njezin hash što automatski otežava PtH napad
• Pozorno razmišljanje prije otvaranja poveznica i privitaka u elektroničkoj pošti – i poveznice i privitci mogu sadržavati maliciozan sadržaj kojim se može pokrenuti PtH napad
• Ne otvaranje skočnih prozora (engl. pop-up window) i/ili omogućavanje programa koji blokira skočne prozore (engl. pop-up blocker) – skočni prozori također mogu sadržavati maliciozan sadržaj
• Ozbiljno shvaćanje upozorenja preglednika da je neka stranica opasna – preglednici ponekad mogu prepoznati da neka stranica sadrži maliciozan sadržaj, dojaviti nam upozorenje i blokirati tu stranicu
• Omogućavanje Windows Defender Credential Guard-a – sigurnosni Windows alat dostupan od verzije Windows 10 koji čini sustav otpornijim na PtH napade

Pass the hash napadi poprilično su opasni iz razloga što ih je teško otkriti i zaustaviti jer koriste važeće akreditacije kako bi nanijeli štetu. Nažalost, zbog rasta popularnosti sustava koji koriste tehnologiju jednostrukog prijavljivanja (engl. Single-Sign-On) raste i popularnost ovih napada. Upravo zato je veoma važno biti svjestan postojanja tih napada i načina kako ih spriječiti, kako na strani administratora sustava, tako i na strani korisnika sustava. Srećom, danas postoje mnogi mehanizmi koji olakšavaju njihovo sprječavanje, međutim nijedan od njih ga ne može garantirati. Budući da svaki PtH napad najčešće počinje nekom metodom social engineering-a, najslabija karika sustava, naravno, još uvijek ostaje sam korisnik, tj. čovjek.

[1] Lenaerts-Bergmans, B., PASS-THE-HASH ATTACK, 24. svibnja 2023.

[2] What is a Pass-the-Hash Attack (PtH)?

[3] Bacon, M., pass the hash attack, travanj 2021.

[4] Dahan, M., What are pass the hash (PtH) attacks and how to prevent them, 28. rujna 2023.

[5] Arias, D., Hashing Passwords: One-Way Road to Security, 30. rujna 2019.

[6] Bcrypt Hash Generator

[7] Stouffer, C., What is a pass the hash attack? + How to mitigate an attack, 22. lipnja 2023.

[8] Ilacsu, I., Eletrobras, Copel energy companies hit by ransomware attacks, 5. veljače 2021.

[9] Toulas, B., Microsoft Exchange servers hacked to deploy Hive ransomware, 20. travnja 2022.

[10] Specops, Pass-the-Hash Attacks and How to Prevent them in Windows Domains, 27. rujna 2022.