সার্জারির সাইবার হামলার বেশিরভাগই চুরি হওয়া শংসাপত্রগুলির উপর নির্ভর করুন — হয় কর্মচারীদের এবং শেষ ব্যবহারকারীদের ভাগ করে নেওয়ার জন্য প্রতারণার মাধ্যমে, অথবা নেটওয়ার্কের ওয়ার্কস্টেশন এবং অন্যান্য সিস্টেমে ক্যাশ করা ডোমেন শংসাপত্র সংগ্রহ করে। এই চুরি হওয়া শংসাপত্রগুলি আক্রমণকারীদের পরিবেশের মধ্যে পার্শ্ববর্তীভাবে সরানোর ক্ষমতা দেয় কারণ তারা মেশিন থেকে মেশিনে পিভট করে — অন-প্রাঙ্গনে এবং ক্লাউড উভয়ই — যতক্ষণ না তারা ব্যবসা-গুরুত্বপূর্ণ সম্পদে পৌঁছায়।
মধ্যে উবার লঙ্ঘন ফিরে সেপ্টেম্বর, আক্রমণকারী একটি নির্দিষ্ট পাওয়ারশেল স্ক্রিপ্টে শংসাপত্রগুলি পাওয়া গেছে. তবে প্রচুর কম চটকদার রয়েছে, তবুও ক্ষতিকারক, আক্রমণকারীরা শংসাপত্রগুলি খুঁজে পেতে পারে যা তাদের পরিবেশে অ্যাক্সেসের অনুমতি দেবে। এর মধ্যে রয়েছে সাধারণ স্থানীয় শংসাপত্র, অনুরূপ পাসওয়ার্ড সহ স্থানীয় ব্যবহারকারী এবং নেটওয়ার্ক শেয়ারের ফাইলগুলির মধ্যে সঞ্চিত শংসাপত্র।
আমাদের গবেষণায়, আমরা প্রশ্নের মুখোমুখি হয়েছিলাম যে কোন ধরনের তথ্য একটি আপস করা মেশিন থেকে বের করা যেতে পারে — কোনো দুর্বলতাকে কাজে লাগানো ছাড়াই — পার্শ্বীয়ভাবে সরানো বা সংবেদনশীল তথ্য বের করার জন্য। আমরা এখানে ব্যবহার করা সমস্ত সরঞ্জাম আমাদের উপর উপলব্ধ GitHub সংগ্রহস্থল।
সংস্থাগুলি এসএসএইচ, এফটিপি, টেলনেট বা আরডিপি প্রোটোকল ব্যবহার করে সার্ভার এবং ডাটাবেসে প্রমাণীকরণের জন্য বিভিন্ন সরঞ্জামের উপর নির্ভর করে — এবং এই সরঞ্জামগুলির মধ্যে অনেকগুলি প্রমাণীকরণের গতি বাড়ানোর জন্য শংসাপত্র সংরক্ষণ করে। একজন আক্রমণকারী কীভাবে নন-ক্লিয়ারটেক্সট শংসাপত্রগুলি বের করতে পারে তা দেখানোর জন্য আমরা এই ধরনের তিনটি টুল- WinSCP, Robomongo এবং MobaXterm-এর দিকে তাকাই।
WinSCP: অস্পষ্ট শংসাপত্র
যখন একটি ডোমেন কন্ট্রোলার উপলব্ধ না থাকে, তখন একজন ব্যবহারকারী সফল ডোমেন লগইন করার পরে স্থানীয়ভাবে সংরক্ষিত ক্যাশড শংসাপত্রগুলি ব্যবহার করে সিস্টেম সংস্থানগুলি অ্যাক্সেস করতে পারে৷ যেহেতু ব্যবহারকারী পূর্বে অনুমোদিত ছিল, ব্যবহারকারী ডোমেন অ্যাকাউন্ট ব্যবহার করে ক্যাশে শংসাপত্রের মাধ্যমে মেশিনে লগ ইন করতে পারে এমনকি যদি অতীতে ব্যবহারকারীকে প্রমাণীকৃত ডোমেন কন্ট্রোলার উপলব্ধ না থাকে।
WinSCP SSH এর মাধ্যমে দূরবর্তী মেশিনে সংযোগ করতে ব্যবহৃত শংসাপত্রের বিবরণ সংরক্ষণ করার বিকল্প অফার করে। উইন্ডোজ রেজিস্ট্রিতে (ComputerHKEY_CURRENT_USERSOFTWAREMartin PrikrylWinSCP 2Sessions) সংরক্ষণ করার সময় শংসাপত্রগুলি অস্পষ্ট হয়ে গেলে, সেগুলি মোটেই এনক্রিপ্ট করা হয় না৷ অস্পষ্ট করতে ব্যবহৃত অ্যালগরিদম জানেন এমন যে কেউ শংসাপত্রগুলিতে অ্যাক্সেস পেতে পারেন।
যেহেতু WinSCP এর সোর্স কোড GitHub-এ উপলব্ধ, তাই আমরা অস্পষ্টতা অ্যালগরিদম খুঁজে পেতে সক্ষম হয়েছি। আমরা একটি টুল ব্যবহার করেছি যা শংসাপত্রগুলিকে অস্পষ্ট করতে একই অ্যালগরিদম প্রয়োগ করেছিল এবং আমরা স্পষ্ট পাঠ্যের মধ্যে শংসাপত্রগুলিতে অ্যাক্সেস পেয়েছি৷
সংরক্ষিত শংসাপত্রগুলি সুরক্ষিত করার জন্য একটি অস্পষ্টকরণ অ্যালগরিদম প্রয়োগ করা সর্বোত্তম অনুশীলন নয়, কারণ এটি সহজেই বিপরীত হতে পারে এবং শংসাপত্র চুরির দিকে পরিচালিত করতে পারে।
Robomongo: কোন গোপন চাবি নয়
Robomongo (বর্তমানে Robo 3T) হল একটি MongoDB ক্লায়েন্ট যা Mongo ডাটাবেস সার্ভারের সাথে সংযোগ করতে ব্যবহৃত হয়। আপনি যখন আপনার শংসাপত্রগুলি সংরক্ষণ করেন, তখন সেগুলি এনক্রিপ্ট করা হয় এবং a এ সংরক্ষিত হয় robo3t.json JSON ফাইল। শংসাপত্রগুলি এনক্রিপ্ট করতে ব্যবহৃত গোপন কীটিও স্থানীয়ভাবে সংরক্ষিত হয়, পরিষ্কার পাঠে, একটি robo3t.key ফাইল.
এর মানে হল যে একজন আক্রমণকারী যে একটি মেশিনে অ্যাক্সেস লাভ করে সে শংসাপত্রগুলি ডিক্রিপ্ট করতে ক্লিয়ারটেক্সটে সংরক্ষিত কী ব্যবহার করতে পারে।
কীভাবে পাসওয়ার্ড এনক্রিপ্ট করতে কী ব্যবহার করা হয় তা বোঝার জন্য আমরা গিটহাবে Robomongo-এর সোর্স কোড দেখেছি এবং শিখেছি যে এটি Qt থেকে SimpleCrypt lib ব্যবহার করে। যদিও Robomongo শংসাপত্রগুলিকে নিরাপদে সংরক্ষণ করতে এনক্রিপশন ব্যবহার করে, গোপন কীটি ক্লিয়ারটেক্সটে সংরক্ষিত হওয়ার বিষয়টি সর্বোত্তম অনুশীলন নয়। আক্রমণকারীরা সম্ভাব্যভাবে এটি পড়তে পারে, কারণ ওয়ার্কস্টেশনে অ্যাক্সেস সহ যেকোনো ব্যবহারকারী শংসাপত্রগুলি ডিক্রিপ্ট করতে পারে। এমনকি যদি তথ্যটি এমনভাবে এনকোড করা হয় যা মানুষ পড়তে পারে না, নির্দিষ্ট কৌশল নির্ধারণ করতে পারে কোন এনকোডিং ব্যবহার করা হচ্ছে, তারপর তথ্য ডিকোড করুন।
MobaXterm: পাসওয়ার্ড ডিক্রিপ্ট করা
MobaXterm বিভিন্ন প্রোটোকল যেমন SSH, Telnet, RDP, FTP, ইত্যাদি ব্যবহার করে দূরবর্তী মেশিনে সংযোগ করার জন্য একটি শক্তিশালী টুল। যে ব্যবহারকারী MobaXterm-এর মধ্যে শংসাপত্র সংরক্ষণ করতে চান তাদের সংবেদনশীল ডেটা সুরক্ষিত করার জন্য একটি মাস্টার পাসওয়ার্ড তৈরি করতে বলা হবে। ডিফল্টরূপে, MobaXterm শুধুমাত্র একটি নতুন কম্পিউটারে মাস্টার পাসওয়ার্ডের অনুরোধ করে।
এর মানে হল যে মাস্টার পাসওয়ার্ডটি কোথাও সংরক্ষণ করা হয়েছে, এবং MobaXterm এনক্রিপ্ট করা শংসাপত্রগুলি অ্যাক্সেস করতে এটি পুনরুদ্ধার করবে। আমরা MobaXterm দ্বারা অ্যাক্সেস করা সমস্ত রেজিস্ট্রি কী এবং ফাইলগুলিকে ম্যাপ করতে Sysinternals Suite থেকে Procmon ব্যবহার করেছি এবং আমরা Windows রেজিস্ট্রিতে (ComputerHKEY_CURRENT_USERSOFTWAREMobatekMobaXtermM) মাস্টার পাসওয়ার্ডটি সংরক্ষিত পেয়েছি৷ শংসাপত্র এবং পাসওয়ার্ড যথাক্রমে C এবং P রেজিস্ট্রি কীগুলিতে সংরক্ষিত হয়।
প্রাথমিকভাবে, আমরা মাস্টার পাসওয়ার্ড ডিক্রিপ্ট করতে পারিনি, যা DPAPI ব্যবহার করে এনক্রিপ্ট করা হয়েছিল। আমরা শেষ পর্যন্ত বের করেছি যে প্রথম 20টি DPAPI বাইট, যা DPAPI ব্যবহার করার সময় সবসময় একই থাকে, সরিয়ে দেওয়া হয়েছে। যখন আমরা প্রথম 20 বাইট যোগ করি, তখন আমরা মাস্টার পাসওয়ার্ডের SHA512 হ্যাশ পেতে DPAPI সাইফার ডিক্রিপ্ট করতে সক্ষম হয়েছিলাম। এই হ্যাশটি শংসাপত্রগুলি এনক্রিপ্ট এবং ডিক্রিপ্ট করতে ব্যবহৃত হয়।
এখানে, শংসাপত্রগুলি নিরাপদে সংরক্ষণ করতে ব্যবহৃত এনক্রিপশন কী DPAPI ব্যবহার করে সংরক্ষণ করা হয়। এর মানে হল যে শুধুমাত্র ব্যবহারকারী যারা শংসাপত্রগুলি সংরক্ষণ করেছেন তারা তাদের অ্যাক্সেস করতে পারবেন। যাইহোক, অ্যাডমিনিস্ট্রেটর অ্যাক্সেস সহ একজন ব্যবহারকারী, বা একজন আক্রমণকারী যিনি শিকারের সেশনে অ্যাক্সেস লাভ করেন, এছাড়াও মেশিনে সঞ্চিত শংসাপত্রগুলি ডিক্রিপ্ট করতে পারেন।
ঝুঁকি জানুন
বিকাশকারী, DevOps, এবং IT দূরবর্তী মেশিনের সাথে সংযোগ করতে এবং এই অ্যাক্সেসের বিবরণ পরিচালনা করতে বিভিন্ন সরঞ্জাম ব্যবহার করে। বিক্রেতাদের এই সংবেদনশীল তথ্য সবচেয়ে নিরাপদ উপায়ে সংরক্ষণ করতে হবে। যাইহোক, এনক্রিপশন সর্বদা ক্লায়েন্টের দিকে থাকে এবং একজন আক্রমণকারী শংসাপত্রগুলি ডিক্রিপ্ট করার জন্য টুল আচরণের প্রতিলিপি করতে পারে।
বরাবরের মতো, এখানে কোনো জাদু সমাধান নেই যা আমরা এখানে আলোচনা করেছি এমন প্রতিটি সমস্যার সমাধান করতে পারে। সংস্থাগুলি, তবে, তারা এখন যে পরিষেবাগুলি ব্যবহার করছে তা পরীক্ষা করে শুরু করতে পারে৷ তারা একটি সঠিক ঝুঁকি ম্যাট্রিক্স তৈরি করতে পারে এবং তারা যে ধরনের সংবেদনশীল ডেটা এবং শংসাপত্রগুলি সংরক্ষণ করছে সে সম্পর্কে আরও শক্তিশালী বোঝার মাধ্যমে ডেটা লঙ্ঘনের জন্য আরও ভালভাবে প্রস্তুত হতে পারে।
