استخراج بيانات المستخدمين عن طريق
ملفات Veeam الاحتياطية

المقدمة

ستلخص هذه المقالة برنامج Veeam للنسخ الاحتياطي وكيف يمكنك استخراج كلمات المرور والـ Hashes من قاعدة بياناتها أو من الأجهزة التي تم نسخها احتياطيًا.



ما هو برنامج Veeam Backup & Replication؟

برنامجVeeam Backup & Replication هو تطبيق نسخ احتياطي خاص تم تطويره بواسطة شركةVeeam للبيئات الافتراضية المبنية على VMware vSphere و Nutanix AHV و .Microsoft Hyper-V hypervisors





طريقة استخراج كلمات المرور من قاعدة البيانات

يتطلب Veeam اسم المستخدم وكلمة المرور لأي جهاز تريد نسخه احتياطيًا. يجب أن يكون المستخدم الذي توفره بصلاحيات عالية على الجهاز المراد نسخه، لذلك عادةً، إذا كنت تريد نسخ أجهزة النطاق (Domain)، فستضع صلاحيات الـ Administrator. يقوم Veeam بتخزين هذه المعلومات وهي اسم المستخدم وكلمة المرور على الـ MS-SQL، ويمكنك بسهولة استخراجها إذا كان لديك صلاحية Administrator على خادم.Veeam يمكنك القيام بهذه الخطوة يدويًا أو تشغيل البرنامج veeam-creds للحصول على كلمات المرور.

ملاحظة مهمة: خادم النسخ الاحتياطي يجب ألا ينضم إلى النطاق(Domain)، لذلك عندما يتعرض النطاق للاختراق، لا يمكن إتلاف النسخ الاحتياطية الخاصة بك.

أيضًا، هذا البرنامج موجودة فيEmpire C2:

يمكنك أيضًا استخراج كلمة السر لـ vSphere بواسطة veampot.py.





استخراج كلمات المرور والـ Hashes من الأجهزة المنسوخة احتياطيا

ماذا لو وصلت إلى النسخة الاحتياطية للجهاز؟ ماذا يمكنك أن تفعل، أو ماذا لو وصلت إلى خادم النسخ الاحتياطي ووجدت عدة نسخ احتياطية للأجهزة؟

هناك العديد من الحالات التي يمكنك العثور فيها على شيء مهم مثل عندما تجد نسخة احتياطية في الملفات المشاركة SMB، أو عندما تستطيع الوصول إلى جهاز عادي وتعثر على نسخة احتياطية قديمة بداخله او إذا قمت بالوصول إلى خادم النسخ الاحتياطي.

لذلك، لو كنت تملك نسخة احتياطية كاملة للقرص. يمكنك استخراج الـ Hashes من ملف ا لـ SAM لجهاز الـ Windows أو الـ NTDS إذا كانت النسخة الاحتياطية لـ Domain Controller، ويمكنك البحث عن ملفات مهمة أو كلمات مرور.

عندما يكون لديك نسخة احتياطية صالحة، يوفر Veeam آلية استعادة عن طريق "VBK Extract" أو استيراد النسخة الاحتياطية على "Veeam Backup and Replication"، يمكنك استخراج النسخة الاحتياطية بامتدادات متعددة مثل VMDM أو VHD أو VHDX.



على سبيل المثال نملك نسخة احتياطية نود ان نستخرجها ونجعلها قرص قابل للقراءة:

يمكننا استخراج النسخة الاحتياطية بالطرق التالية.

الطريقة الأولى باستخدام VBK:

او باستخدام الاستيراد في Veeam Backup and Replication:

بعد ذلك، لدينا القرص. نستطيع ان نثبت القرص على جهاز الكمبيوتر الخاص بنا أو على جهاز افتراضي:

الآن يمكنك رؤية محتوى القرص:

أيضًا، يمكننا الوصول إلى مجلد system32\config، مما يعني أنه يمكنك استخراج الـHashes من ملف الـ SAM:

باستخدام Mimikatz، يمكننا استخراج الـHashes للنسخة الاحتياطية للجهاز:

ماذا لو تمكنت من العثور على نسخة احتياطية لـ Domain Controller؟

أيضًا، يمكنك عمل مثل الخطوات السابقة لتثبيت القرص لقراءته بعد ذلك يمكننا ان نرى مجلد الـ NTDS ومن خلاله نستطيع ان نستخرج الـHashes للنطاق كامل:

استخدمنا NTDSDumpEX لاستخراج الـHashes للنطاق، ولكن يمكنك ايضاً استخدام أدوات أخرى:

الحماية من الثغرة

يجب عليك تأمين خادم النسخ الاحتياطي. أيضًا، يجب عدم ضم خادم النسخ الاحتياطي إلى النطاق وتأمين هذا الخادم بأدوات الحماية، وتأمين مكان حفظ النسخ الاحتياطية للأجهزة والقيام بشكل دوري بالتأكد من توفر الحماية اللازمة للنسخ الاحتياطية واجراء اختبارات الاختراق للتأكد من توفر الحماية اللازمة.



خاتِمة

غطت هذه المقالة عن خطورة عدم تأمين النسخ الاحتياطية للمنظمة وكيف يمكن للمهاجمين استخراج بيانات حساسة والتي من ضمنها بيانات المستخدمين وكلمات المرور، وكيفية حماية نسخ الاحتياط وذلك باتباع أفضل الممارسات الأمنية.



المراجع

https://www.whiteoaksecurity.com/blog/2020-4-14-from-veeam-to-domain-administrator/

https://medium.com/@_sadshade/veeam-backup-penetration-getting-the-most-out-of-pentest-17e0da021238

https://github.com/sadshade/veeam-creds