Co to jest atak typu Pass the Hash i jak to działa?

Wprowadzanie swoich danych uwierzytelniających za każdym razem, gdy chcesz się zalogować do systemu, może być męczące, zwłaszcza gdy logujesz się do systemu regularnie. Możesz nawet zapomnieć hasła.

Wdrożenie systemów operacyjnych, które zapewniają użytkownikom jednokrotne logowanie, pozwala uniknąć ponownego wprowadzania danych logowania za każdym razem. Ale jest z tym problem. Atakujący mogą wykorzystać Twoje dane uwierzytelniające zapisane w systemie poprzez atak typu Pass-the-Hash (PtH).

Tutaj omówimy, jak działa atak typu Pass-the-Hash i jak możesz go złagodzić.

Co to jest atak typu Pass the Hash?

Haszowanie to proces tłumaczenia ciągów znaków na kod, dzięki czemu jest on znacznie krótszy i łatwiejszy. Jest jednym z największych graczy w cyberbezpieczeństwie, który ma kluczowe znaczenie dla zapobiegania naruszeniom danych.

Administratorzy aplikacji internetowych szyfruj pliki i wiadomości aby zapobiec nieautoryzowanemu dostępowi do nich. Chociaż te pliki są poufne, haszowanie pomaga zweryfikować ich integralność. Zapobiega to uszkodzeniu plików lub zmianie ich zawartości, a następnie prezentowaniu ich jako oryginalnych plików.

Po przetłumaczeniu skrótu nie można cofnąć. Pozwala tylko wykryć, czy dwa pliki są podobne, czy nie, bez sprawdzenia ich zawartości. Zanim uzyskasz dostęp do systemu lub usługi przez sieć, musisz się uwierzytelnić, podając swoją nazwę użytkownika i hasło. Teraz te informacje są przechowywane w bazie danych do przyszłego porównania, gdy spróbujesz się zalogować ponownie.

Twoje hasła są w postaci zwykłego tekstu, co czyni je mniej bezpiecznymi. A jeśli atakujący może uzyskać dostęp do bazy danych, może ukraść Twoje hasło i uzyskać nieautoryzowany dostęp do Twojego konta. Sytuacja pogorszy się, jeśli będziesz jednym z tych użytkowników, którzy używają jednego hasła do różnych kont. Atakujący użyje skradzionego hasła, aby uzyskać dostęp do innych kont.

Jak więc w grę wchodzi hasz?

Mechanizm mieszania przekształca hasło w postaci zwykłego tekstu na dane, których nie można zmienić z powrotem na oryginalne hasło. Po zaszyfrowaniu hasła i zapisaniu go w pamięci systemu jest ono używane do potwierdzenia Twojej tożsamości przy następnym dostępie do usługi.

Hash chroni konta użytkowników przed nieautoryzowanym dostępem. Ale nie tak długo, jak cyberprzestępcy opracowali strategię zbierania haszu. Luka bezpieczeństwa wykryta podczas logowania jednokrotnego (SSO) ustąpiła miejsca atakowi typu Pass-the-Hash. Po raz pierwszy pojawił się w 1997 roku i istnieje od 24 lat.

Atak typu Pass-the-Hash jest podobny do sztuczek atakujących użyj do kradzieży haseł użytkowników. Jest to jeden z najczęstszych, ale niedocenianych ataków, jeśli chodzi o kradzież i użycie danych uwierzytelniających użytkownika.

Dzięki technice Pass-the-Hash atakujący nie muszą łamać skrótu. Można go ponownie wykorzystać lub przekazać do serwera uwierzytelniającego. Skróty haseł pozostają statyczne z sesji na sesję, dopóki nie zostaną zmienione. Z tego powodu atakujący wykorzystują protokoły uwierzytelniania systemów operacyjnych, aby ukraść zaszyfrowane hasła.

Jak działa atak typu Pass the Hash?

Ataki typu pass-the-hash są najczęściej spotykane w systemach Windows, chociaż mogą się zdarzyć w innych systemach operacyjnych, takich jak Linux i UNIX. Hakerzy zawsze szukają luk w tych systemach, aby dostać się do swoich ofiar.

Luka w systemie Windows polega na uwierzytelnianiu NTLM, które implementuje funkcję pojedynczego logowania (SSO). Umożliwia użytkownikom jednokrotne wprowadzenie haseł i dostęp do dowolnej funkcji, którą chcą.

Oto jak to działa:

Kiedy po raz pierwszy rejestrujesz się w systemie Windows, szyfruje on Twoje hasło i przechowuje je w pamięci systemu. Jest to szansa dla atakujących na wykorzystanie zaszyfrowanego hasła. Mogą mieć fizyczny dostęp do twojego systemu, usuwać jego aktywną pamięć lub infekować go złośliwym oprogramowaniem i innymi technikami.

Narzędzia takie jak Metasploit, Gsecdump i Mimikatz służą do wyodrębniania zaszyfrowanych danych uwierzytelniających z pamięci systemu. Po wykonaniu tej czynności osoby atakujące ponownie wykorzystują Twoje dane uwierzytelniające, aby zalogować się jako Ty i uzyskać dostęp do każdej aplikacji, do której masz prawa.

Jeśli znajomy lub kolega zalogował się do twojego systemu, haker może w równym stopniu zebrać jego hash. Pamiętaj, jest to technika ruchu bocznego. Najgorszym scenariuszem jest uzyskanie przez hakera dostępu do systemów kontroli, które obsługują całą organizację lub infrastrukturę IT. Będąc w środku, mogą ukraść poufne informacje, zmodyfikować rekordy lub zainstalować złośliwe oprogramowanie.

Jak złagodzić atak pass the hasz

Oto coś, co powinieneś wiedzieć o ataku Pass-the-Hash. To nie jest błąd, ale funkcja. Protokół jednokrotnego logowania zaimplementowany za pomocą skrótu ma oszczędzić użytkownikom kłopotów z koniecznością ponownego wprowadzania haseł. Tak więc hakerzy wykorzystują teraz funkcję Windows SSO, protokół komunikacyjny systemów Linux i Unix do złośliwych zamiarów.

Możesz zmniejszyć swoje szanse na stanie się ofiarą takich ataków, stosując te skuteczne rozwiązania.

1. Włącz ochronę poświadczeń Windows Defender

Windows Defender Credential Guard to funkcja bezpieczeństwa dostępna w systemach Windows 10 i nowszych. Chroni poufne informacje przechowywane w systemie. Usługa podsystemu urzędu zabezpieczeń lokalnych (LSASS) wymusza zasady zabezpieczeń w systemie Windows.

2. Implementuj model zabezpieczeń o najmniejszych uprawnieniach

Oto rzecz: jeśli jesteś właścicielem firmy i zatrudniasz ludzi, ogranicz ich prawa dostępu tylko do zasobów i plików niezbędnych do wykonywania ich zadań w systemie sieciowym.

Wyeliminuj niepotrzebne prawa administratora i nadaj uprawnienia tylko zaufanym aplikacjom. Ograniczy to zdolność hakera do rozszerzenia swojego dostępu i uprawnień.

3. Uruchom ponownie systemy po wylogowaniu

Pamiętaj, że celem jest zminimalizowanie ryzyka stania się ofiarą ataku typu Pass-the-Hash. Ponieważ system przechowuje skrót hasła w swojej pamięci, ponowne uruchomienie komputera po wylogowaniu spowoduje usunięcie skrótu z pamięci systemu.

4. Zainstaluj oprogramowanie chroniące przed złośliwym oprogramowaniem

Cyberprzestępcy wykonują świetną robotę wykorzystując złośliwe oprogramowanie do włamywania się do sieci. Zautomatyzowane narzędzia, takie jak oprogramowanie chroniące przed złośliwym oprogramowaniem, przydają się w obronie przed tymi cyberatakami. Narzędzia te wykrywają zainfekowane lub złośliwe pliki w systemie i neutralizują je, zanim zaatakują.

Instalując oprogramowanie anty-malware na swoich urządzeniach, zabezpieczasz swój system przed złośliwym oprogramowaniem. Możesz także użyć platform malware jako usługi, aby uzyskać niestandardowe rozwiązania w zakresie złośliwego oprogramowania.

5. Zaktualizuj swoje systemy operacyjne

Po co trzymać się starszej wersji systemu operacyjnego z mniejszymi zabezpieczeniami, skoro można ją zaktualizować?

Najnowsze systemy operacyjne zwykle zapewniają znacznie lepsze wrażenia użytkownika i mają bardziej niezawodne zabezpieczenia. Na przykład system Windows 10 w wersji 1703 ma wiele funkcji zabezpieczeń, które chronią użytkowników w sieciach.

Zastosuj skuteczne podejście, aby przejść atak haszowy

Ataki typu pass-the-hash zawsze będą miały wpływ na systemy operacyjne obsługujące jednokrotne logowanie. Podczas gdy funkcja skrótu próbuje chronić Twoje hasło, ataki omijają zabezpieczenia, aby ukraść zaszyfrowane hasła za pomocą kilku narzędzi.

Weź odpowiedzialność za ochronę swoich poświadczeń, uaktualniając do najnowszych systemów operacyjnych, nadawanie uprawnień tylko zaufanym aplikacjom i instalowanie oprogramowania anty-malware na twoim komputer. Cyberprzestępcy mogą przekazać hash tylko wtedy, gdy jest dla nich autostrada. Twoim obowiązkiem jest zamknięcie wszystkich luk w Twojej sieci.

Co to jest złośliwe oprogramowanie Emotet i jak to działa?

W przeciwieństwie do większości złośliwego oprogramowania, Emotet leci pod radarem i pracuje w milczeniu, aby zwabić ofiary. Dowiedz się, jak to działa i co możesz zrobić, aby się chronić.

Czytaj dalej

O autorze