Tasavvur qiling ayni paytda kiberjinoyatchilar korporativ tarmog'ingizga kirib, eng muhim ma'lumotlaringizni o'g'irlayapti. Ular parolingizni bilmaydi, lekin bu ularga to'siq emas. Chunki ular Pass-the-Hash texnikasidan foydalanmoqda — zamonaviy kiberhujumlarning eng xavfli va yashirin usullaridan biri.

Kiberjinoyatchilik sohasida 2023-yil ma'lumotlariga ko'ra, dunyo bo'ylab ma'lumotlar buzilishining o'rtacha narxi 4,45 million dollarni tashkil etgan. Bunday hujumlarning katta qismi aynan parol xeshlarini o'g'irlash orqali amalga oshiriladi. Shu sababli, Pass-the-Hash hujumini tushunish va undan himoyalanish bugungi raqamli dunyoda har bir tashkilot uchun majburiy zaruriyatga aylangan.

Pass-the-Hash hujumi nima?

Pass-the-Hash (PtH) — bu kiberhujum turi bo'lib, bunda kiberjinoyatchilar foydalanuvchining haqiqiy parolini bilmasdan, uning xeshlangan parol nusxasidan foydalanib tizimga kiradi. Xesh deganda, parolning maxsus algoritm orqali o'zgartirilgan raqamli ko'rinishi tushuniladi. Odatda Windows tizimlarida NTLM (New Technology LAN Manager) autentifikatsiya protokoli parolni xesh shaklida saqlaydi. Kiberjinoyatchilar mana shu xeshni qo'lga kiritib, uni bevosita autentifikatsiya uchun ishlatadi — xuddi asl parolni kiritgandek. Bu jarayon foydalanuvchi uchun butunlay ko'rinmaydi va juda tez sodir bo'ladi. Bunday hujumlar ayniqsa Active Directory muhitida va Windows tarmog'ida ishlayotgan korporativ tashkilotlarga katta xavf soladi.

Pass-the-Hash hujumi qanday ishlaydi?

Bu jarayon bir necha bosqichda amalga oshiriladi:
1-bosqich: Dastlabki kirish. Hakerlar avval fishing hujumi, zararli dastur yoki boshqa usul orqali tarmoqqa kiradi.
2-bosqich: Xeshni o'g'irlash. Tarmoqqa kirganidan so'ng, haker Mimikatz kabi maxsus vositalar yordamida Windows xotirasidan (LSASS jarayonidan) parol xeshlarini oladi.
3-bosqich: Lateral harakat. O'g'irlangan xesh yordamida tarmoqdagi boshqa kompyuter va serverlarga kiradi. Bu jarayon "lateral movement" (yonlamasiga harakat) deb ataladi.
4-bosqich: Imtiyozlarni kengaytirish. Hakerlar administrator xeshini qo'lga kiritgach, butun tarmoqni o'z nazorati ostiga oladi.

Statistikaga ko'ra, kiberxavfsizlik kompaniyasi CrowdStrike ma'lumotlariga asosan, Kiberjinoyatchilar tarmoqda o'rtacha 84 kun davomida aniqlanmasdan harakat qila oladi. Bu Pass-the-Hash kabi yashirin hujumlar uchun juda ko'p vaqt.

Kimlar xavf ostida?

Pass-the-Hash hujumiga ko'proq quyidagi tashkilotlar duchor bo'ladi:
Yirik korporatsiyalar — Murakkab tarmoq infratuzilmasi va ko'plab imtiyozli hisoblar mavjud bo'lgan joylarda hujum yuzasi kattaroq bo'ladi.
Davlat idoralari — Maxfiy ma'lumotlarni saqlayotgan tashkilotlar kiberjinoyatchilarning asosiy nishoniga aylanadi.
Moliya institutlari — Banklar va to'lov tizimlariga ega kompaniyalar moliyaviy maqsadlarda hujumga uchraydi.
Sog'liqni saqlash sohasidagi tashkilotlar — Tibbiy ma'lumotlar qimmatli va shu sababli katta xavf ostida.

2022-yilda Verizon tomonidan chop etilgan "Data Breach Investigations Report" hisobotiga ko'ra, kiberxurujlarning 82 foizi insoniy omil — jumladan, o'g'irlangan ma'lumotlar orqali amalga oshirilgan. Bu raqam Pass-the-Hash kabi hujumlarning qanchalik keng tarqalganini ko'rsatadi.

Pass-the-Hash Hujumidan qanday himoyalanish mumkin?

1. Imtiyozli kirish boshqaruvini joriy qiling (PAM)

Imtiyozli hisoblarni qattiq nazorat qilish — himoyaning birinchi qadami. Foydalanuvchilarga faqat kerakli darajada ruxsat berish kerak. "Least privilege" tamoyilini qo'llash tajovuzkorning tarmoqda harakat qilish imkoniyatini keskin kamaytiradi.

2. Multi-Faktorli Autentifikatsiyani (MFA) yoqing

MFA joriy etilsa, haker xeshni qo'lga kiritgan taqdirda ham tizimga kirish uchun ikkinchi tasdiqlash omilini talab qiladi. Bu oddiy, lekin son-sanoqsiz hujumlarni bloklagan samarali usuldir.

3. Windows Defender Credential Guard'ni faollashtiring

Microsoft tomonidan taqdim etilgan ushbu xavfsizlik xususiyati LSASS xotirasini izolyatsiya qiladi va xeshlarni o'g'irlashni deyarli imkonsiz qilib qo'yadi. Windows 10 va undan yuqori versiyalarda bu funksiyani albatta yoqing.

4. NTLM autentifikatsiyasini cheklang

Iloji boricha NTLM o'rniga Kerberos autentifikatsiya protokolidan foydalaning. Kerberos xeshlarni bevosita uzatmaydi va Pass-the-Hash hujumiga ancha chidamliroq.

5. Tarmoqni segmentatsiya qiling

Tarmoqni alohida segmentlarga bo'lish hakerlarning "lateral movement" imkoniyatini cheklaydi. Hatto xesh o'g'irlansa ham, u faqat cheklangan segmentga kirish huquqiga ega bo'ladi.

6. Muntazam monitoring va SIEM tizimlarini qo'llang

Security Information and Event Management (SIEM) tizimlari tarmoqdagi g'ayritabiiy harakatlarni real vaqtda aniqlaydi. Shubhali kirish urinishlari darhol xavfsizlik guruhiga xabar beradi.

7. Xodimlarni muntazam o'qiting va yaxshi kiberxavfsizlik mutaxassislari

Texnologiya muhim, lekin insoniy omil ham hal qiluvchi rol o'ynaydi. Xodimlaringizni fishing hujumlarini tanish, kuchli parollar ishlatish va shubhali harakatlarni xabar qilish bo'yicha muntazam o'qitish kerak. Katta korporativ kompaniyalar yaxshi kiberxavfsizlik mutaxassislarga ehtiyoj sezishi tabiiy hol. Masalan, Najot Ta'limda o'qib chiqqan mutaxassislarga :)

 

Ko'p so'raladigan savollar

1 Pass-the-Hash va Pass-the-Ticket o'rtasidagi farq nima?
Javob: Pass-the-Hash NTLM xeshlarini ishlatsa, Pass-the-Ticket Kerberos chipta (ticket) larini ishlatadi. Ikkalasi ham autentifikatsiyani chetlab o'tish uchun mo'ljallangan, lekin turli protokollardan foydalanadi.

2 Antivirus dasturlari Pass-the-Hash hujumini to'xtata oladimi?
Javob: Oddiy antivirus dasturlari bu turdagi hujumni aniqlashda yetarli emas. Buning uchun maxsus EDR (Endpoint Detection and Response) yechimlari va SIEM tizimlari talab etiladi.

3 Bu hujum faqat Windowsga xosmi?
Javob: Asosan Windows muhitida uchraydi, lekin Linux va Mac tizimlarida ham shunga o'xshash hujum vektorlari mavjud.

 

Xulosa

Pass-the-Hash hujumi — zamonaviy kibertahdidlarning xavfli va yashirin turlaridan biri. U faqat xeshlangan parol nusxasini ishlatib, butun korporativ tarmoqni nazoratsiz qoldirishi mumkin. Lekin to'g'ri strategiyalar bilan bu xavfni sezilarli darajada kamaytirish mumkin. Imtiyozli kirish boshqaruvi, MFA, Credential Guard, NTLM cheklash, tarmoq segmentatsiyasi, real vaqtli monitoring va muntazam ta'lim — mana shu yetti ustun tashkilotingizning raqamli qal'asini mustahkamlaydi.
Kiberxavfsizlik bir martalik loyiha emas, balki uzluksiz jarayon. Mutaxassislar doimiy kompaniyalarning ma'limotlarini nazorat qilib, xavfsizlik choralarini amalga oshirib borishadi. 

 

Kiberxavfsizlik kursi
78-888-9-888
Administratsiyaga bog‘lanish