Cineva poate face mult rău dacă obține acces la datele tale la fel de mult ca tine. Acesta este ceea ce face ca acest tip de atac să fie atât de înfricoșător.
Progresele în domeniul securității cibernetice permit sistemelor de monitorizare a amenințărilor să detecteze activitățile neobișnuite ale infractorilor. Pentru a depăși aceste instrumente, intrușii exploatează acum statutul legitim și privilegiile de acces ale utilizatorilor autorizați în scopuri rău intenționate.
Un hacker poate avea acces nelimitat la datele tale fără a face praf lansând un atac cu bilet de aur. Procedând astfel, ei au practic aceleași drepturi de acces ca și dumneavoastră. Este prea riscant ca atacatorii să aibă o asemenea putere, nu crezi? Iată cum să-i oprești.
Ce este un atac cu bilet de aur?
În acest context, un bilet de aur înseamnă acces nelimitat. Un criminal cu biletul poate interacționa cu toate componentele contului, inclusiv cu datele, aplicațiile, fișierele etc. Un atac cu bilet de aur este accesul nerestricționat pe care un atacator îl obține pentru a vă compromite rețeaua. Nu există limită la ceea ce pot face.
Cum funcționează un atac cu bilet de aur?
Active Directory (AD) este o inițiativă a Microsoft de a gestiona rețelele de domenii. Are un centru de distribuție a cheilor Kerberos (KDC) desemnat, un protocol de autentificare pentru verificarea legitimității utilizatorilor. KDC securizează AD prin generarea și distribuirea unui bilet unic de acordare a biletelor (TGT) către utilizatorii autorizați. Acest bilet criptat restricționează utilizatorii să efectueze activități dăunătoare în rețea și limitează sesiunea lor de navigare la un anumit timp, de obicei nu mai mult de 10 ore.
Când creați un domeniu în AD, obțineți automat un cont KRBTGT. Făptuitorii atacurilor cu bilet de aur compromit datele contului dvs. pentru a manipula controlerul de domeniu al AD în următoarele moduri.
Adună informații
Atacatorul golden ticker începe prin a culege informații despre contul dvs., în special numele de domeniu complet (FQDN), identificatorul de securitate și hash-ul parolei. Ei ar putea utilizați tehnici de phishing pentru a vă colecta datele, sau mai bine, infectați-vă dispozitivul cu programe malware și recuperați-l ei înșiși. Ei pot opta pentru forța brută în procesul de culegere a informațiilor.
Bilete Forge
Este posibil ca actorul amenințării să poată vedea datele din directorul activ atunci când vă intră în cont cu acreditările dvs. de conectare, dar nu poate efectua activități în acest moment. Trebuie să genereze bilete care sunt legitime pentru controlerul dvs. de domeniu. KDC criptează toate biletele pe care le generează cu hash-ul parolei KRBTGT, așa că impostorul trebuie să facă același lucru fie furând fișierul NTDS.DIT, efectuând un atac DCSync sau valorificând vulnerabilitățile din puncte finale.
Păstrați accesul pe termen lung
Deoarece obținerea hash-ului parolei KRBTGT oferă criminalului acces nelimitat la sistemul dvs., ei îl folosesc la maximum. Nu se grăbesc să plece, dar rămân în fundal, compromițându-ți datele. Ei pot chiar uzurpa identitatea utilizatorilor cu cele mai mari privilegii de acces fără a ridica suspiciuni.
5 moduri de a preveni un atac cu bilet de aur
Atacurile cu bilet de aur se numără printre cele mai periculoase atacuri cibernetice datorită libertății intrusului de a efectua diverse activități. Puteți reduce apariția lor la minimum cu următoarele măsuri de securitate cibernetică.
1. Păstrați acreditările de administrator private
La fel ca majoritatea celorlalte atacuri, un atac cu bilet de aur depinde de capacitatea criminalului de a recupera acreditările sensibile ale contului. Securizează datele cheie prin limitarea numărului de persoane care le pot accesa.
Cele mai valoroase acreditări sunt pe conturile utilizatorilor admin. În calitate de administrator de rețea, trebuie să vă restricționați privilegiile de acces la minimum. Sistemul dvs. este expus unui risc mai mare atunci când mai multe persoane au acces la privilegii de administrator.
2. Identificați și rezistați tentativelor de phishing
Securizarea privilegiilor de administrator este una dintre cele modalități de a preveni furtul de acreditări. Dacă blocați acea fereastră, hackerii vor recurge la alte metode, cum ar fi atacurile de tip phishing. Phishing-ul este mai mult psihologic decât tehnic, așa că trebuie să fii pregătit mental din timp pentru a-l detecta.
Familiarizați-vă cu diferite tehnici și scenarii de phishing. Cel mai important, aveți grijă la mesajele străinilor care caută informații de identificare personală despre dvs. sau despre contul dvs. Unii criminali nu vă vor solicita acreditările direct, ci vă vor trimite e-mailuri infectate, linkuri sau atașamente. Dacă nu poți garanta pentru niciun conținut, nu-l deschide.
3. Securizarea directoarelor active cu securitate zero încredere
Informațiile importante de care hackerii au nevoie pentru a executa atacuri cu bilet de aur se află în directoarele dvs. active. Din păcate, vulnerabilitățile pot apărea în punctele finale în orice moment și persistă înainte de a le observa. Dar existența vulnerabilităților nu dăunează neapărat sistemului dumneavoastră. Ele devin dăunătoare atunci când intrușii le identifică și le exploatează.
Nu puteți garanta ca utilizatorii să nu se complacă în activități care vă vor compromite datele. Implementați securitatea cu încredere zero pentru a gestiona riscurile de securitate ale persoanelor care vă vizitează rețeaua, indiferent de poziția sau statutul lor. Considerați fiecare persoană drept o amenințare, deoarece acțiunile sale vă pot pune în pericol datele.
4. Schimbați-vă parola contului KRBTGT în mod regulat
Parola contului dvs. KRBTGT este biletul de aur al atacatorului către rețeaua dvs. Securizarea parolei creează o barieră între ei și contul dvs. Să presupunem că un criminal a intrat deja în sistemul dvs. după ce v-a preluat parola hash. Durata lor de viață depinde de valabilitatea parolei. Dacă îl schimbați, nu vor putea funcționa.
Există tendința de a nu fi conștient de prezența atacatorilor de amenințări de aur în sistemul dumneavoastră. Cultivați un obicei de a vă schimba parola în mod regulat, chiar și atunci când nu aveți nicio suspiciune de atac. Acest act unic revocă privilegiile de acces ale utilizatorilor neautorizați care au deja acces la contul dvs.
Microsoft sfătuiește în mod special utilizatorii să-și schimbe parolele contului KRBTGT în mod regulat pentru a evita infractorii cu acces neautorizat.
5. Adoptă monitorizarea amenințărilor umane
Căutarea activă a amenințărilor în sistemul dvs. este una dintre cele mai eficiente modalități de a detecta și de a limita atacurile golden ticket. Aceste atacuri sunt neinvazive și rulează în fundal, așa că este posibil să nu fiți conștient de o încălcare, deoarece lucrurile pot părea normal la suprafață.
Succesul atacurilor cu bilet de aur constă în capacitatea criminalului de a acționa ca un utilizator autorizat, valorificându-și privilegiul de acces. Aceasta înseamnă că dispozitivele automate de monitorizare a amenințărilor ar putea să nu le detecteze activitățile, deoarece nu sunt neobișnuite. Aveți nevoie de abilități de monitorizare a amenințărilor umane pentru a le detecta. Și asta pentru că oamenii au al șaselea simț pentru a identifica activitățile suspecte chiar și atunci când intrusul pretinde că este legitim.
Securizarea acreditărilor sensibile împotriva atacurilor Golden Ticket
Criminalii cibernetici nu ar avea acces nelimitat la contul dvs. într-un atac cu bilet de aur fără dezavantaje din partea dvs. În măsura în care apar vulnerabilități neprevăzute, puteți introduce măsuri pentru a le atenua din timp.
Securizarea acreditărilor tale esențiale, în special hash-ul parolei contului tău KRBTGT, lasă intrușilor opțiuni foarte limitate pentru a-ți sparge contul. În mod implicit, aveți control asupra rețelei dvs. Atacatorii se bazează pe neglijența dumneavoastră în materie de securitate pentru a prospera. Nu le oferi oportunitatea.
