Někdo může hodně ublížit, pokud získá k vašim datům stejný přístup jako vy. To je důvod, proč je tento typ útoku tak děsivý.
Pokroky v kybernetické bezpečnosti umožňují systémům sledování hrozeb odhalit neobvyklé aktivity zločinců. Aby porazili tyto nástroje, vetřelci nyní zneužívají legitimní stav a přístupová oprávnění oprávněných uživatelů ke škodlivým účelům.
Hacker může mít neomezený přístup k vašim datům, aniž by zvyšoval prach tím, že spustí útok na zlaté lístky. Přitom mají prakticky stejná přístupová práva jako vy. Pro útočníky je příliš riskantní mít takovou moc, nemyslíte? Zde je návod, jak je zastavit.
Co je útok na Golden Ticket?
Zlatá vstupenka v tomto kontextu znamená neomezený přístup. Zločinec s tiketem může komunikovat se všemi součástmi vašeho účtu, včetně vašich dat, aplikací, souborů atd. Útok zlatého lístku je neomezený přístup, který útočník získá, aby ohrozil vaši síť. Neexistuje žádný limit pro to, co mohou dělat.
Jak útok Golden Ticket funguje?
Active Directory (AD) je iniciativa společnosti Microsoft pro správu doménových sítí. Má určené centrum distribuce klíčů Kerberos (KDC), ověřovací protokol pro ověřování legitimity uživatelů. KDC zabezpečuje AD generováním a distribucí jedinečného lístku udělování lístků (TGT) oprávněným uživatelům. Tento šifrovaný lístek omezuje uživatele v provádění škodlivých aktivit v síti a omezuje jejich relaci procházení na určitou dobu, obvykle ne více než 10 hodin.
Když vytvoříte doménu v AD, automaticky získáte účet KRBTGT. Pachatelé útoků na zlaté lístky kompromitují data vašeho účtu, aby manipulovali s řadičem domény AD následujícími způsoby.
Sbírat informace
Golden ticker útočník začíná shromažďováním informací o vašem účtu, zejména jeho plně kvalifikovaný název domény (FQDN), bezpečnostní identifikátor a hash hesla. Oni mohli používat techniky phishingu ke shromažďování datnebo ještě lépe, infikovat vaše zařízení malwarem a sami jej získat. Mohou se rozhodnout pro hrubou sílu v procesu shromažďování informací.
Forge vstupenky
Aktér ohrožení může vidět vaše data aktivního adresáře, když zadá váš účet s vašimi přihlašovacími údaji, ale v tomto okamžiku nemůže provádět činnosti. Musí vygenerovat lístky, které jsou legitimní pro váš řadič domény. KDC zašifruje všechny lístky, které vygeneruje, pomocí hash hesla KRBTGT, takže podvodník musí udělat totéž buď odcizením souboru NTDS.DIT, provedením útoku DCSync nebo využitím zranitelností v koncové body.
Zachovat dlouhodobý přístup
Protože získání hash hesla KRBTGT dává zločinci neomezený přístup do vašeho systému, využívá jej na maximum. S odchodem nepospíchají, ale zůstávají v pozadí a kompromitují vaše data. Mohou se dokonce vydávat za uživatele s nejvyššími přístupovými právy, aniž by vzbudili podezření.
5 způsobů, jak zabránit útoku na Golden Ticket
Útoky na Golden ticket se řadí mezi nejnebezpečnější kybernetické útoky kvůli svobodě narušitele vykonávat různé činnosti. Jejich výskyt můžete omezit na naprosté minimum pomocí následujících opatření v oblasti kybernetické bezpečnosti.
1. Udržujte přihlašovací údaje správce soukromé
Stejně jako většina ostatních útoků závisí útok na zlatý lístek na schopnosti zločince získat citlivé přihlašovací údaje k účtu. Zabezpečte klíčová data omezením počtu lidí, kteří k nim mají přístup.
Nejcennější přihlašovací údaje jsou na účtech administrátorů. Jako správce sítě musíte omezit svá přístupová oprávnění na minimum. Váš systém je vystaven vyššímu riziku, když má více lidí přístup k administrátorským právům.
2. Identifikujte a odolejte pokusům o phishing
Zabezpečení administrátorských práv je jedním z způsoby, jak zabránit krádeži přihlašovacích údajů. Pokud toto okno zablokujete, hackeři se uchýlí k jiným metodám, jako jsou phishingové útoky. Phishing je spíše psychologický než technický, takže na jeho odhalení se musíte předem psychicky připravit.
Seznamte se s různými technikami a scénáři phishingu. A co je nejdůležitější, mějte se na pozoru před zprávami od cizích lidí, kteří hledají osobně identifikovatelné informace o vás nebo vašem účtu. Někteří zločinci nebudou vyžadovat vaše přihlašovací údaje přímo, ale pošlou vám infikované e-maily, odkazy nebo přílohy. Pokud nemůžete ručit za jakýkoli obsah, neotevírejte jej.
3. Zabezpečte Active Directory s nulovým zabezpečením důvěryhodnosti
Důležité informace, které hackeři potřebují k provedení útoků na zlaté lístky, jsou ve vašich aktivních adresářích. Bohužel se ve vašich koncových bodech mohou kdykoli objevit zranitelnosti a mohou přetrvávat, než si jich všimnete. Ale existence zranitelností nemusí nutně poškodit váš systém. Stanou se škodlivými, když je vetřelci identifikují a zneužijí.
Nemůžete ručit za to, že se uživatelé nebudou oddávat aktivitám, které ohrozí vaše data. Implementujte zabezpečení nulové důvěryhodnosti ke správě bezpečnostních rizik lidí, kteří navštíví vaši síť, bez ohledu na jejich pozici nebo status. Považujte každou osobu za hrozbu, protože její činy mohou ohrozit vaše data.
4. Pravidelně měňte heslo k účtu KRBTGT
Heslo vašeho účtu KRBTGT je zlatou vstupenkou útočníka do vaší sítě. Zabezpečení hesla vytváří bariéru mezi nimi a vaším účtem. Řekněme, že zločinec již vstoupil do vašeho systému poté, co získal váš hash hesla. Jejich životnost závisí na platnosti hesla. Pokud to změníte, nebudou moci fungovat.
Máte tendenci si neuvědomovat přítomnost zlatých útočníků ve vašem systému. Vypěstujte si zvyk pravidelně měnit heslo, i když nemáte žádné podezření na útok. Tento jediný akt odebere přístupová oprávnění neoprávněným uživatelům, kteří již mají přístup k vašemu účtu.
Společnost Microsoft výslovně doporučuje uživatelům, aby pravidelně měnili hesla k účtu KRBTGT, aby zabránili neoprávněnému přístupu zločinců.
5. Přijměte monitorování lidských hrozeb
Aktivní vyhledávání hrozeb ve vašem systému je jedním z nejúčinnějších způsobů, jak odhalit a potlačit útoky typu golden ticket. Tyto útoky jsou neinvazivní a probíhají na pozadí, takže si nemusíte být vědomi narušení, protože věci mohou na povrchu vypadat normálně.
Úspěch útoků na zlaté lístky spočívá ve schopnosti zločince jednat jako oprávněný uživatel a využít své přístupové oprávnění. To znamená, že zařízení pro automatizované sledování hrozeb nemusí detekovat jejich aktivity, protože nejsou neobvyklé. K jejich odhalení potřebujete dovednosti sledování lidských hrozeb. A to proto, že lidé mají šestý smysl k identifikaci podezřelých aktivit, i když vetřelec tvrdí, že jsou legitimní.
Zabezpečte citlivé přihlašovací údaje proti útokům na zlaté lístky
Kyberzločinci by neměli neomezený přístup k vašemu účtu v útoku zlatého lístku bez chyb z vaší strany. Pokud se vyskytnou nepředvídané zranitelnosti, můžete předem zavést opatření k jejich zmírnění.
Zabezpečení vašich základních přihlašovacích údajů, zejména hash hesla vašeho účtu KRBTGT, ponechává vetřelcům velmi omezené možnosti hacknutí vašeho účtu. Ve výchozím nastavení máte kontrolu nad svou sítí. Útočníci spoléhají na to, že vaše nedbalost v oblasti zabezpečení prosperuje. Nedávejte jim příležitost.
