العطر الجديد للفريق الأحمر: ProfileHound يطلق أثراً خفياً لأسرار النطاقات الكامنة
أداة جديدة لما بعد التصعيد تكشف ملفات تعريف مستخدمين منسية على الأجهزة المخترَقة، وتغيّر طريقة بحث مشغّلي الهجمات عن الأهداف عالية القيمة داخل شبكات Active Directory.
في العالم السري لعمليات الفريق الأحمر، يمكن لكل أثر يتركه المستخدم أن يتحول إلى منجم ذهب - أو إلى قنبلة موقوتة. والآن دخل سلاح جديد إلى ترسانة ما بعد الاستغلال: ProfileHound. إذ يعد بإضاءة الزوايا المعتمة في الأنظمة المخترَقة، وتستقطب هذه الأداة سريعاً اهتمام محترفي الأمن الهجومي بفضل نهجها الجديد في كشف الأهداف عالية القيمة داخل بيئات Active Directory.
اصطياد اللامرئي: كيف يعمل ProfileHound
تركّز عمليات BloodHound التقليدية على تحديد من هو مسجّل الدخول بنشاط إلى أي جهاز - لقطة للحاضر. لكن ماذا عن أشباح المستخدمين السابقين؟ ابتكار ProfileHound بسيط على نحو خادع: فهو ينتقل من «الجلسات النشطة» إلى «الملفات التعريفية الخاملة»، كاشفاً سطح هجوم واسعاً غالباً ما يتم تجاهله. ومن خلال تعداد دليل Users على نقاط النهاية المخترَقة، تبني الأداة علاقة جديدة - سُمّيت على نحو مناسب HasUserProfile - بين الأجهزة ومستخدمي النطاق الذين قد تظل ملفاتهم التعريفية وبيانات اعتمادهم وأسرارهم عالقة هناك.
هذا أكثر من مجرد تنقيب أثري رقمي. فقد تحتوي الملفات التعريفية الخاملة على بيانات اعتماد مخزنة مؤقتاً، وأسراراً مشفّرة بـ DPAPI، ومفاتيح SSH، ورموز مصادقة سحابية - بقايا قد تفتح الباب أمام حركة جانبية إضافية أو تصعيد امتيازات. يستخرج ProfileHound بيانات وصفية مثل معرّفات الأمان (SIDs) وتواريخ إنشاء الملف التعريفي وأوقات آخر تعديل من خلية سجل NTUSER.DAT. وتساعد هذه المعلومات الزمنية فرق الاختراق على التمييز بين الحسابات الراكدة والملفات التعريفية التي ما تزال تُدار بنشاط، ما يتيح لهم ترتيب الأولويات نحو الأهداف ذات أعلى احتمال لاحتواء معلومات حساسة.
من الاستطلاع إلى الاستغلال
يعني تكامل ProfileHound مع تنسيق OpenGraph الخاص بـ BloodHound أن المشغّلين يمكنهم سحب البيانات المجمّعة وإفلاتها، لتصوّر العلاقات فوراً وتشغيل استعلامات Cypher متقدمة لتحديد الأجهزة التي تؤوي أكثر الآثار قيمة. كما تولّد الأداة ملخصات إحصائية، فتعلّم الأجهزة ذات العدد الأكبر من الملفات التعريفية، وتسلّط الضوء على الأنظمة «المحورية»، وتُظهر الحسابات القديمة التي ربما نسيها قسم تقنية المعلومات لكن لم ينسها المهاجمون.
يتطلب التثبيت وصولاً إدارياً إلى مشاركة C$ الخاصة بالهدف، ما يؤكد أنها أداة لما بعد التصعيد - ليست لضعاف القلوب أو محدودي الامتيازات. النشر مرن، مع دعم pipx والمصدر وDocker. وبينما لا يزال ProfileHound في مرحلة تطوير مبكرة، تلمّح خارطة طريقه إلى تكامل أعمق مع السحابة، وروابط مع SCCMHunter، وتنقيب أكثر تفصيلاً للبيانات الحساسة داخل NTUSER.DAT.
لماذا يهم الأمر
بالنسبة لفرق الاختراق التي ترسم خطواتها التالية بعد تثبيت موطئ قدم، يُعد ProfileHound مضاعِف قوة. فهو يسلّط الضوء على أجهزة قد تكون بوابات لتطبيقات SaaS أو بنية تحتية سحابية أو سنوات من الأسرار المتراكمة - أصول قد تحسم نجاح أو فشل اختراق مُحاكًى. ومع استمرار لعبة القط والفأر بين المهاجمين والمدافعين، تذكّرنا أدوات مثل ProfileHound بأن أكثر الأسرار قيمة أحياناً هي تلك التي لا يتذكر أحد تنظيفها.
WIKICROOK
- Active Directory: Active Directory هو نظام مايكروسوفت لإدارة المستخدمين والأجهزة والأذونات عبر شبكات المؤسسات، مع مركزية التحكم في الوصول وضوابط الأمان.
- BloodHound: BloodHound أداة أمنية ترسم مسارات الهجوم في Active Directory، ما يمكّن المؤسسات من تحديد الثغرات في شبكاتها ومعالجتها.
- مشاركة C$: مشاركة C$ هي مشاركة شبكة مخفية في ويندوز للمسؤولين، تمنح وصولاً عن بُعد إلى جذر محرك الأقراص C: لأغراض الإدارة والصيانة.
- NTUSER.DAT: NTUSER.DAT ملف ويندوز مخفي يخزّن إعدادات وتفضيلات خاصة بالمستخدم، وهو أساسي لملفات تعريف المستخدم وغالباً ما يُحلَّل في تحقيقات الأمن السيبراني.
- DPAPI: DPAPI واجهة برمجة تطبيقات في ويندوز تقوم بتشفير وفك تشفير البيانات الحساسة، مثل كلمات المرور، باستخدام بيانات اعتماد المستخدم لحماية المعلومات من الوصول غير المصرح به.
