حملہ آور کو آپ کے نیٹ ورک میں داخل ہونے کے لیے وقت اور حوصلہ افزائی کی ضرورت ہوتی ہے۔ لیکن ہمارا کام اسے اس کام سے روکنا ہے، یا کم از کم اس کام کو ہر ممکن حد تک مشکل بنانا ہے۔ آپ کو ایکٹو ڈائرکٹری میں کمزوریوں کی نشاندہی کرکے شروع کرنے کی ضرورت ہے (اس کے بعد AD کہا جاتا ہے) جس کا استعمال حملہ آور رسائی حاصل کرنے اور پتہ لگائے بغیر نیٹ ورک کے گرد گھومنے کے لیے کرسکتا ہے۔ آج اس مضمون میں ہم خطرے کے اشارے دیکھیں گے جو آپ کی تنظیم کے سائبر ڈیفنس میں موجود کمزوریوں کی عکاسی کرتے ہیں، مثال کے طور پر AD Varonis ڈیش بورڈ کا استعمال کرتے ہوئے۔
حملہ آور ڈومین میں کچھ کنفیگریشنز استعمال کرتے ہیں۔
حملہ آور کارپوریٹ نیٹ ورکس میں گھسنے اور مراعات کو بڑھانے کے لیے مختلف قسم کی ہوشیار تکنیکوں اور کمزوریوں کا استعمال کرتے ہیں۔ ان میں سے کچھ کمزوریاں ڈومین کنفیگریشن سیٹنگز ہیں جن کی شناخت ہوجانے کے بعد اسے آسانی سے تبدیل کیا جاسکتا ہے۔
اگر آپ (یا آپ کے سسٹم ایڈمنسٹریٹرز) نے پچھلے مہینے میں KRBTGT پاس ورڈ تبدیل نہیں کیا ہے، یا اگر کسی نے ڈیفالٹ بلٹ ان ایڈمنسٹریٹر اکاؤنٹ سے تصدیق کی ہے تو AD ڈیش بورڈ آپ کو فوری طور پر آگاہ کر دے گا۔ یہ دونوں اکاؤنٹس آپ کے نیٹ ورک تک لامحدود رسائی فراہم کرتے ہیں: حملہ آور ان تک رسائی حاصل کرنے کی کوشش کریں گے تاکہ مراعات اور رسائی کی اجازتوں میں کسی بھی پابندی کو آسانی سے نظرانداز کیا جا سکے۔ اور، نتیجے کے طور پر، وہ کسی بھی ڈیٹا تک رسائی حاصل کرتے ہیں جس میں ان کی دلچسپی ہوتی ہے۔
بلاشبہ، آپ خود ان کمزوریوں کو دریافت کر سکتے ہیں: مثال کے طور پر، اس معلومات کو جمع کرنے کے لیے پاور شیل اسکرپٹ کو چیک کرنے یا چلانے کے لیے کیلنڈر کی یاد دہانی سیٹ کریں۔
Varonis ڈیش بورڈ کو اپ ڈیٹ کیا جا رہا ہے۔ خود بخود ممکنہ کمزوریوں کو نمایاں کرنے والے کلیدی میٹرکس کی فوری مرئیت اور تجزیہ فراہم کرنے کے لیے تاکہ آپ ان سے نمٹنے کے لیے فوری کارروائی کر سکیں۔
3 کلیدی ڈومین لیول رسک انڈیکیٹرز
ذیل میں Varonis ڈیش بورڈ پر دستیاب متعدد ویجٹس ہیں، جن کے استعمال سے کارپوریٹ نیٹ ورک اور مجموعی طور پر IT انفراسٹرکچر کے تحفظ میں نمایاں اضافہ ہوگا۔
1. ڈومینز کی تعداد جن کے لیے Kerberos اکاؤنٹ کا پاس ورڈ ایک اہم مدت کے لیے تبدیل نہیں کیا گیا ہے
KRBTGT اکاؤنٹ AD میں ایک خاص اکاؤنٹ ہے جو ہر چیز پر دستخط کرتا ہے۔ . ڈومین کنٹرولر (DC) تک رسائی حاصل کرنے والے حملہ آور اس اکاؤنٹ کو بنانے کے لیے استعمال کر سکتے ہیں۔ ، جو انہیں کارپوریٹ نیٹ ورک پر تقریباً کسی بھی سسٹم تک لامحدود رسائی فراہم کرے گا۔ ہمیں ایک ایسی صورتحال کا سامنا کرنا پڑا جہاں، کامیابی کے ساتھ گولڈن ٹکٹ حاصل کرنے کے بعد، ایک حملہ آور کو دو سال تک تنظیم کے نیٹ ورک تک رسائی حاصل تھی۔ اگر آپ کی کمپنی میں KRBTGT اکاؤنٹ کا پاس ورڈ پچھلے چالیس دنوں میں تبدیل نہیں کیا گیا ہے، تو ویجیٹ آپ کو اس بارے میں مطلع کرے گا۔
چالیس دن حملہ آور کے لیے نیٹ ورک تک رسائی حاصل کرنے کے لیے کافی وقت سے زیادہ ہے۔ تاہم، اگر آپ اس پاس ورڈ کو مستقل بنیادوں پر تبدیل کرنے کے عمل کو نافذ اور معیاری بناتے ہیں، تو یہ حملہ آور کے لیے آپ کے کارپوریٹ نیٹ ورک میں گھسنا زیادہ مشکل بنا دے گا۔
یاد رکھیں کہ مائیکروسافٹ کے Kerberos پروٹوکول کے نفاذ کے مطابق، آپ کو ضروری ہے۔ KRBTGT۔
مستقبل میں، یہ AD ویجیٹ آپ کو یاد دلائے گا جب آپ کے نیٹ ورک پر موجود تمام ڈومینز کے لیے KRBTGT پاس ورڈ دوبارہ تبدیل کرنے کا وقت آئے گا۔
2. ڈومینز کی تعداد جہاں حال ہی میں بلٹ ان ایڈمنسٹریٹر اکاؤنٹ استعمال کیا گیا تھا۔
کے مطابق — سسٹم ایڈمنسٹریٹر کو دو اکاؤنٹس فراہم کیے جاتے ہیں: پہلا اکاؤنٹ روزمرہ کے استعمال کے لیے ہے، اور دوسرا منصوبہ بند انتظامی کام کے لیے ہے۔ اس کا مطلب ہے کہ کسی کو بھی ڈیفالٹ ایڈمنسٹریٹر اکاؤنٹ استعمال نہیں کرنا چاہیے۔
بلٹ ان ایڈمنسٹریٹر اکاؤنٹ اکثر سسٹم ایڈمنسٹریشن کے عمل کو آسان بنانے کے لیے استعمال ہوتا ہے۔ یہ ایک بری عادت بن سکتی ہے، جس کے نتیجے میں ہیکنگ ہوتی ہے۔ اگر آپ کی تنظیم میں ایسا ہوتا ہے، تو آپ کو اس اکاؤنٹ کے صحیح استعمال اور ممکنہ طور پر نقصان دہ رسائی کے درمیان فرق کرنے میں دشواری ہوگی۔
اگر ویجیٹ صفر کے علاوہ کچھ بھی دکھاتا ہے، تو کوئی انتظامی اکاؤنٹس کے ساتھ صحیح طریقے سے کام نہیں کر رہا ہے۔ اس صورت میں، آپ کو بلٹ ان ایڈمنسٹریٹر اکاؤنٹ تک رسائی کو درست اور محدود کرنے کے لیے اقدامات کرنے چاہئیں۔
ایک بار جب آپ نے صفر کی ویجیٹ ویلیو حاصل کر لی اور سسٹم ایڈمنسٹریٹر اس اکاؤنٹ کو اپنے کام کے لیے استعمال نہیں کریں گے، تو مستقبل میں اس میں کوئی بھی تبدیلی ممکنہ سائبر حملے کی نشاندہی کرے گی۔
3. ڈومینز کی تعداد جن کے پاس محفوظ صارفین کا گروپ نہیں ہے۔
AD کے پرانے ورژن ایک کمزور خفیہ کاری کی قسم - RC4 کی حمایت کرتے ہیں۔ ہیکرز نے کئی سال پہلے RC4 کو ہیک کیا تھا، اور اب حملہ آور کے لیے یہ ایک بہت ہی معمولی کام ہے کہ وہ کسی ایسے اکاؤنٹ کو ہیک کرے جو اب بھی RC4 استعمال کر رہا ہے۔ ونڈوز سرور 2012 میں متعارف کرائے گئے ایکٹو ڈائریکٹری کے ورژن نے ایک نئی قسم کا صارف گروپ متعارف کرایا جسے پروٹیکٹڈ یوزر گروپ کہا جاتا ہے۔ یہ اضافی سیکورٹی ٹولز فراہم کرتا ہے اور RC4 انکرپشن کا استعمال کرتے ہوئے صارف کی تصدیق کو روکتا ہے۔
یہ ویجیٹ ظاہر کرے گا کہ آیا تنظیم میں کسی ڈومین میں ایسا کوئی گروپ موجود نہیں ہے تاکہ آپ اسے ٹھیک کر سکیں، یعنی محفوظ صارفین کے ایک گروپ کو فعال کریں اور اسے بنیادی ڈھانچے کی حفاظت کے لیے استعمال کریں۔
حملہ آوروں کے لیے آسان ہدف
صارف کے اکاؤنٹس حملہ آوروں کے لیے پہلا ہدف ہیں، مراعات میں مسلسل اضافے اور ان کی سرگرمیوں کو چھپانے کے لیے ابتدائی مداخلت کی کوششوں سے۔ حملہ آور بنیادی PowerShell کمانڈز کا استعمال کرتے ہوئے آپ کے نیٹ ورک پر سادہ اہداف تلاش کرتے ہیں جن کا پتہ لگانا اکثر مشکل ہوتا ہے۔ ان میں سے زیادہ سے زیادہ آسان اہداف کو AD سے ہٹا دیں۔
حملہ آور ایسے صارفین کی تلاش کر رہے ہیں جن کی میعاد ختم نہ ہونے والے پاس ورڈز (یا جن کو پاس ورڈز کی ضرورت نہیں ہے)، ٹیکنالوجی اکاؤنٹس جو ایڈمنسٹریٹر ہیں، اور ایسے اکاؤنٹس جو میراثی RC4 انکرپشن استعمال کرتے ہیں۔
ان میں سے کوئی بھی اکاؤنٹ یا تو رسائی کے لیے معمولی ہے یا عام طور پر اس کی نگرانی نہیں کی جاتی ہے۔ حملہ آور ان اکاؤنٹس پر قبضہ کر سکتے ہیں اور آپ کے بنیادی ڈھانچے کے اندر آزادانہ طور پر منتقل ہو سکتے ہیں۔
ایک بار جب حملہ آور سیکورٹی کے دائرے میں داخل ہو جائیں گے، تو وہ ممکنہ طور پر کم از کم ایک اکاؤنٹ تک رسائی حاصل کر لیں گے۔ کیا آپ حملے کا پتہ لگانے اور اس پر مشتمل ہونے سے پہلے انہیں حساس ڈیٹا تک رسائی حاصل کرنے سے روک سکتے ہیں؟
Varonis AD ڈیش بورڈ کمزور صارف اکاؤنٹس کی نشاندہی کرے گا تاکہ آپ مسائل کو فعال طور پر حل کر سکیں۔ آپ کے نیٹ ورک میں گھسنا جتنا مشکل ہوگا، حملہ آور کو شدید نقصان پہنچانے سے پہلے آپ کو بے اثر کرنے کے امکانات اتنے ہی بہتر ہوں گے۔
صارف اکاؤنٹس کے لیے 4 کلیدی خطرے کے اشارے
ذیل میں Varonis AD ڈیش بورڈ ویجیٹس کی مثالیں ہیں جو سب سے زیادہ کمزور صارف اکاؤنٹس کو نمایاں کرتی ہیں۔
1. ایسے فعال صارفین کی تعداد جن کے پاس ورڈ کبھی ختم نہیں ہوتے
کسی بھی حملہ آور کے لیے ایسے اکاؤنٹ تک رسائی حاصل کرنا ہمیشہ ایک بڑی کامیابی ہوتی ہے۔ چونکہ پاس ورڈ کی میعاد کبھی ختم نہیں ہوتی، حملہ آور کا نیٹ ورک کے اندر مستقل قدم ہوتا ہے، جسے پھر استعمال کیا جا سکتا ہے۔ یا بنیادی ڈھانچے کے اندر نقل و حرکت۔
حملہ آوروں کے پاس لاکھوں یوزر پاس ورڈ کے امتزاج کی فہرستیں ہیں جنہیں وہ کریڈینشل اسٹفنگ حملوں میں استعمال کرتے ہیں، اور امکان یہ ہے کہ
کہ صارف کے لیے "ابدی" پاس ورڈ کا مجموعہ ان فہرستوں میں سے ایک میں ہے، صفر سے بہت زیادہ۔
غیر میعاد ختم ہونے والے پاس ورڈ والے اکاؤنٹس کا نظم کرنا آسان ہے، لیکن وہ محفوظ نہیں ہیں۔ اس ویجیٹ کو ان تمام اکاؤنٹس کو تلاش کرنے کے لیے استعمال کریں جن میں ایسے پاس ورڈ ہیں۔ اس ترتیب کو تبدیل کریں اور اپنا پاس ورڈ اپ ڈیٹ کریں۔
اس ویجیٹ کی قدر صفر پر سیٹ ہونے کے بعد، اس پاس ورڈ کے ساتھ بنائے گئے کوئی بھی نئے اکاؤنٹس ڈیش بورڈ میں ظاہر ہوں گے۔
2. SPN کے ساتھ انتظامی کھاتوں کی تعداد
SPN (Service Principal Name) سروس مثال کا منفرد شناخت کنندہ ہے۔ یہ ویجیٹ دکھاتا ہے کہ کتنے سروس اکاؤنٹس میں ایڈمنسٹریٹر کے مکمل حقوق ہیں۔ ویجیٹ کی قدر صفر ہونی چاہیے۔ انتظامی حقوق کے ساتھ SPN اس لیے ہوتا ہے کیونکہ اس طرح کے حقوق دینا سافٹ ویئر وینڈرز اور ایپلیکیشن ایڈمنسٹریٹرز کے لیے آسان ہے، لیکن اس سے سیکیورٹی کا خطرہ ہوتا ہے۔
سروس اکاؤنٹ کے انتظامی حقوق دینے سے حملہ آور کو اس اکاؤنٹ تک مکمل رسائی حاصل کرنے کی اجازت ملتی ہے جو استعمال میں نہیں ہے۔ اس کا مطلب ہے کہ SPN اکاؤنٹس تک رسائی رکھنے والے حملہ آور اپنی سرگرمیوں کی نگرانی کیے بغیر بنیادی ڈھانچے کے اندر آزادانہ طور پر کام کر سکتے ہیں۔
آپ سروس اکاؤنٹس پر اجازتیں تبدیل کر کے اس مسئلے کو حل کر سکتے ہیں۔ ایسے کھاتوں کو کم از کم استحقاق کے اصول کے ساتھ مشروط ہونا چاہیے اور انہیں صرف وہی رسائی حاصل ہونی چاہیے جو ان کے آپریشن کے لیے درحقیقت ضروری ہے۔
اس ویجیٹ کا استعمال کرتے ہوئے، آپ ان تمام SPNs کا پتہ لگا سکتے ہیں جن کے پاس انتظامی حقوق ہیں، ایسے مراعات کو ہٹا سکتے ہیں، اور پھر کم از کم مراعات یافتہ رسائی کے اسی اصول کو استعمال کرتے ہوئے SPNs کی نگرانی کر سکتے ہیں۔
نیا ظاہر ہونے والا SPN ڈیش بورڈ پر دکھایا جائے گا، اور آپ اس عمل کی نگرانی کر سکیں گے۔
3. ان صارفین کی تعداد جنہیں Kerberos کی پہلے سے تصدیق کی ضرورت نہیں ہے۔
مثالی طور پر، Kerberos AES-256 انکرپشن کا استعمال کرتے ہوئے تصدیقی ٹکٹ کو انکرپٹ کرتا ہے، جو آج تک اٹوٹ ہے۔
تاہم، Kerberos کے پرانے ورژن RC4 انکرپشن کا استعمال کرتے تھے، جسے اب منٹوں میں توڑا جا سکتا ہے۔ یہ ویجیٹ ظاہر کرتا ہے کہ کون سے صارف اکاؤنٹس اب بھی RC4 استعمال کر رہے ہیں۔ مائیکروسافٹ اب بھی پیچھے کی طرف مطابقت کے لیے RC4 کو سپورٹ کرتا ہے، لیکن اس کا مطلب یہ نہیں ہے کہ آپ اسے اپنے AD میں استعمال کریں۔
ایک بار جب آپ اس طرح کے اکاؤنٹس کی شناخت کر لیتے ہیں، تو آپ کو AD میں "Kerberos سے پہلے کی اجازت کی ضرورت نہیں ہے" کے چیک باکس کو ہٹانے کی ضرورت ہے تاکہ اکاؤنٹس کو مزید نفیس انکرپشن استعمال کرنے پر مجبور کیا جا سکے۔
Varonis AD ڈیش بورڈ کے بغیر اپنے طور پر ان اکاؤنٹس کو دریافت کرنے میں کافی وقت لگتا ہے۔ درحقیقت، ان تمام اکاؤنٹس سے آگاہ ہونا جن میں RC4 انکرپشن استعمال کرنے کے لیے ترمیم کی گئی ہے ایک اور بھی مشکل کام ہے۔
اگر ویجیٹ کی قدر بدل جاتی ہے، تو یہ غیر قانونی سرگرمی کی نشاندہی کر سکتی ہے۔
4. بغیر پاس ورڈ کے صارفین کی تعداد
حملہ آور اکاؤنٹ کی خصوصیات میں AD سے "PASSWD_NOTREQD" جھنڈا پڑھنے کے لیے بنیادی PowerShell کمانڈز استعمال کرتے ہیں۔ اس جھنڈے کا استعمال اس بات کی نشاندہی کرتا ہے کہ پاس ورڈ کے تقاضے یا پیچیدگی کے تقاضے نہیں ہیں۔
سادہ یا خالی پاس ورڈ سے اکاؤنٹ چوری کرنا کتنا آسان ہے؟ اب تصور کریں کہ ان اکاؤنٹس میں سے ایک ایڈمنسٹریٹر ہے۔
اگر ہر ایک کے لیے کھلی ہزاروں خفیہ فائلوں میں سے ایک آئندہ مالیاتی رپورٹ ہو تو کیا ہوگا؟
لازمی پاس ورڈ کی ضرورت کو نظر انداز کرنا ایک اور سسٹم ایڈمنسٹریشن شارٹ کٹ ہے جو ماضی میں اکثر استعمال ہوتا تھا، لیکن آج نہ تو قابل قبول ہے اور نہ ہی محفوظ ہے۔
ان اکاؤنٹس کے پاس ورڈز کو اپ ڈیٹ کر کے اس مسئلے کو حل کریں۔
مستقبل میں اس ویجیٹ کی نگرانی کرنے سے آپ کو پاس ورڈ کے بغیر اکاؤنٹس سے بچنے میں مدد ملے گی۔
Varonis مشکلات کو برابر کرتا ہے۔
ماضی میں، اس مضمون میں بیان کردہ میٹرکس کو جمع کرنے اور ان کا تجزیہ کرنے کے کام میں کئی گھنٹے لگتے تھے اور پاور شیل کے بارے میں گہرے علم کی ضرورت ہوتی تھی، جس کے لیے سیکیورٹی ٹیموں کو ہر ہفتے یا مہینے میں ایسے کاموں کے لیے وسائل مختص کرنے کی ضرورت ہوتی تھی۔ لیکن اس معلومات کو دستی طور پر جمع کرنے اور اس پر کارروائی کرنے سے حملہ آوروں کو ڈیٹا میں گھسنے اور چوری کرنے کا آغاز ملتا ہے۔
С آپ AD ڈیش بورڈ اور اضافی اجزاء کو تعینات کرنے، زیر بحث تمام کمزوریوں کو جمع کرنے اور بہت کچھ کرنے کے لیے ایک دن گزاریں گے۔ مستقبل میں، آپریشن کے دوران، انفراسٹرکچر کی حالت میں تبدیلی کے ساتھ مانیٹرنگ پینل خود بخود اپ ڈیٹ ہو جائے گا۔
سائبر حملوں کو انجام دینا ہمیشہ حملہ آوروں اور محافظوں کے درمیان ایک دوڑ ہوتا ہے، حملہ آور کی ڈیٹا چوری کرنے کی خواہش اس سے پہلے کہ سیکیورٹی ماہرین اس تک رسائی کو روک سکیں۔ حملہ آوروں اور ان کی غیر قانونی سرگرمیوں کا جلد پتہ لگانا، مضبوط سائبر دفاع کے ساتھ، آپ کے ڈیٹا کو محفوظ رکھنے کی کلید ہے۔
ماخذ: www.habr.com