Някой може да причини много вреда, ако получи толкова достъп до вашите данни, колкото имате вие. Това прави този вид атака толкова страшна.
Напредъкът в киберсигурността позволява на системите за наблюдение на заплахи да откриват необичайните дейности на престъпниците. За да победят тези инструменти, нарушителите сега използват легитимния статус и привилегиите за достъп на оторизирани потребители за злонамерени цели.
Хакер може да има неограничен достъп до вашите данни, без да вдига прах, като започне атака със златен билет. При това те практически имат същите права на достъп като вас. Твърде рисковано е нападателите да имат такава власт, не мислите ли? Ето как да ги спрете.
Какво е атака със златен билет?
В този контекст златен билет означава неограничен достъп. Престъпник с билета може да взаимодейства с всички компоненти на вашия акаунт, включително вашите данни, приложения, файлове и т.н. Атаката със златен билет е неограниченият достъп, който атакуващият получава, за да компрометира вашата мрежа. Няма ограничение за това, което могат да направят.
Как работи Golden Ticket Attack?
Active Directory (AD) е инициатива на Microsoft за управление на домейн мрежи. Той има определен център за разпространение на ключове Kerberos (KDC), протокол за удостоверяване за проверка на легитимността на потребителите. KDC защитава AD чрез генериране и разпространение на уникален билет за предоставяне на билет (TGT) до оторизирани потребители. Този криптиран билет ограничава потребителите да извършват вредни дейности в мрежата и ограничава тяхната сесия на сърфиране до определено време, обикновено не повече от 10 часа.
Когато създадете домейн в AD, автоматично получавате KRBTGT акаунт. Извършителите на атаки със златен билет компрометират данните на вашия акаунт, за да манипулират домейн контролера на AD по следните начини.
Събирам информация
Нападателят на златен тикер започва със събиране на информация за вашия акаунт, особено неговото пълно име на домейн (FQDN), идентификатор за сигурност и хеш парола. Те биха могли използвайте фишинг техники, за да съберете вашите данни, или още по-добре, да заразят вашето устройство със зловреден софтуер и да го възстановят сами. Те могат да изберат груба сила в процеса на събиране на информация.
Подправете билети
Актьорът на заплахата може да успее да види данните ви в активната директория, когато влезе в акаунта ви с вашите идентификационни данни за вход, но не може да извършва дейности в този момент. Те трябва да генерират билети, които са законни за вашия домейн контролер. KDC криптира всички билети, които генерира с хеша на паролата си KRBTGT, така че самозванецът трябва да направи същото или чрез кражба на файла NTDS.DIT, извършване на DCSync атака или използване на уязвимости в крайни точки.
Запазете дългосрочен достъп
Тъй като получаването на хеша на паролата KRBTGT дава на престъпниците неограничен достъп до вашата система, те я използват максимално. Те не бързат да напуснат, но остават на заден план, компрометирайки вашите данни. Те дори могат да се представят за потребители с най-високи привилегии за достъп, без да предизвикват подозрение.
5 начина за предотвратяване на атака на Golden Ticket
Golden ticket атаките се нареждат сред най-опасните кибератаки поради свободата на нарушителя да извършва различни дейности. Можете да намалите появата им до минимум със следните мерки за киберсигурност.
1. Запазете идентификационните данни на администратора частни
Подобно на повечето други атаки, атаката със златен билет зависи от способността на престъпника да извлече чувствителни идентификационни данни на акаунта. Защитете ключови данни, като ограничите броя на хората, които имат достъп до тях.
Най-ценните идентификационни данни са в акаунтите на администраторските потребители. Като мрежов администратор трябва да ограничите до минимум правата си за достъп. Вашата система е изложена на по-висок риск, когато повече хора имат достъп до администраторски привилегии.
2. Идентифицирайте и устоявайте на опитите за фишинг
Осигуряването на администраторски привилегии е един от начини за предотвратяване на кражба на идентификационни данни. Ако блокирате този прозорец, хакерите ще прибегнат до други методи, като например фишинг атаки. Фишингът е повече психологически, отколкото технически, така че трябва да сте психически подготвени предварително, за да го откриете.
Запознайте се с различни фишинг техники и сценарии. Най-важното е, че внимавайте със съобщения от непознати, които търсят лична информация за вас или вашия акаунт. Някои престъпници няма да поискат вашите идентификационни данни директно, но ви изпращат заразени имейли, връзки или прикачени файлове. Ако не можете да гарантирате за съдържание, не го отваряйте.
3. Защитете активни директории с нулево доверие
Важната информация, от която хакерите се нуждаят, за да извършат атаки със златен билет, е във вашите активни директории. За съжаление, уязвимости могат да възникнат във вашите крайни точки по всяко време и да останат, преди да ги забележите. Но наличието на уязвимости не е задължително да навреди на вашата система. Те стават вредни, когато нарушителите ги идентифицират и използват.
Не можете да гарантирате, че потребителите няма да се отдадат на дейности, които ще компрометират вашите данни. Внедрете сигурност с нулево доверие за управление на рисковете за сигурността на хората, които посещават вашата мрежа, независимо от тяхната позиция или статус. Считайте всеки човек за заплаха, тъй като неговите действия могат да застрашат вашите данни.
4. Редовно променяйте паролата на акаунта си в KRBTGT
Паролата за вашия KRBTGT акаунт е златният билет на нападателя за вашата мрежа. Защитата на вашата парола създава бариера между тях и вашия акаунт. Да приемем, че престъпник вече е влязъл в системата ви, след като е изтеглил хеша на вашата парола. Техният живот зависи от валидността на паролата. Ако го промените, те няма да могат да работят.
Съществува тенденция да не сте наясно с присъствието на атакуващите златна заплаха във вашата система. Култивирайте навика да променяте паролата си редовно, дори когато нямате съмнения за атака. Този единичен акт отменя привилегиите за достъп на неоторизирани потребители, които вече имат достъп до вашия акаунт.
Microsoft специално съветва потребителите да променят редовно паролите на своите KRBTGT акаунти, за да предотвратят престъпници с неоторизиран достъп.
5. Приемете мониторинг на човешки заплахи
Активното търсене на заплахи във вашата система е един от най-ефективните начини за откриване и ограничаване на атаки със златен билет. Тези атаки са неинвазивни и се изпълняват във фонов режим, така че може да не сте наясно с пробив, тъй като нещата може да изглеждат нормални на повърхността.
Успехът на атаките със златен билет се крие в способността на престъпника да действа като оторизиран потребител, използвайки своите привилегии за достъп. Това означава, че автоматизираните устройства за наблюдение на заплахи може да не открият техните дейности, тъй като те не са необичайни. Имате нужда от умения за наблюдение на човешки заплахи, за да ги откриете. И това е така, защото хората имат шестото чувство за идентифициране на подозрителни дейности, дори когато натрапникът твърди, че е законен.
Защитете чувствителни идентификационни данни срещу атаки на Golden Ticket
Киберпрестъпниците не биха имали неограничен достъп до вашия акаунт при атака със златен билет без пропуски от ваша страна. Ако възникнат непредвидени уязвимости, можете да въведете мерки за тяхното смекчаване преди време.
Защитата на вашите основни идентификационни данни, особено хеша на паролата за вашия KRBTGT акаунт, оставя на нарушителите много ограничени възможности за хакване на вашия акаунт. Имате контрол над вашата мрежа по подразбиране. Нападателите разчитат на вашата небрежност към сигурността, за да процъфтяват. Не им давайте възможност.
