Ktoś może wyrządzić wiele szkód, jeśli uzyska taki sam dostęp do twoich danych, jak ty. Właśnie dlatego ten rodzaj ataku jest tak przerażający.
Postępy w cyberbezpieczeństwie umożliwiają systemom monitorowania zagrożeń wykrywanie nietypowych działań przestępców. Aby pokonać te narzędzia, intruzi wykorzystują teraz legalny status i uprawnienia dostępu autoryzowanych użytkowników do złośliwych celów.
Haker może mieć nieograniczony dostęp do twoich danych bez wzbijania kurzu, przeprowadzając atak złotego biletu. W ten sposób mają praktycznie takie same prawa dostępu jak Ty. Posiadanie takiej mocy jest zbyt ryzykowne dla atakujących, nie sądzisz? Oto jak ich powstrzymać.
Co to jest atak Golden Ticket?
W tym kontekście złoty bilet oznacza nieograniczony dostęp. Przestępca posiadający bilet może wchodzić w interakcje ze wszystkimi składnikami konta, w tym z danymi, aplikacjami, plikami itp. Atak ze złotym biletem to nieograniczony dostęp, który osoba atakująca uzyskuje w celu skompromitowania Twojej sieci. Nie ma ograniczeń co do tego, co mogą zrobić.
Jak działa atak Golden Ticket?
Active Directory (AD) to inicjatywa firmy Microsoft mająca na celu zarządzanie sieciami domen. Ma wyznaczone centrum dystrybucji kluczy Kerberos (KDC), protokół uwierzytelniania do weryfikacji legitymacji użytkowników. KDC zabezpiecza AD, generując i dystrybuując unikalny bilet przyznający bilet (TGT) do autoryzowanych użytkowników. Ten zaszyfrowany bilet uniemożliwia użytkownikom wykonywanie szkodliwych działań w sieci i ogranicza ich sesję przeglądania do określonego czasu, zwykle nie dłuższego niż 10 godzin.
Kiedy tworzysz domenę w AD, automatycznie otrzymujesz konto KRBTGT. Sprawcy ataków typu „złoty bilet” narażają dane Twojego konta, aby manipulować kontrolerem domeny AD w następujący sposób.
Zbierać informacje
Atakujący złotym paskiem zaczyna od zebrania informacji o Twoim koncie, w szczególności jego w pełni kwalifikowanej nazwy domeny (FQDN), identyfikatora bezpieczeństwa i skrótu hasła. Mogliby używać technik phishingowych do zbierania danychlub jeszcze lepiej, zainfekować twoje urządzenie złośliwym oprogramowaniem i odzyskać je samodzielnie. Mogą zdecydować się na brutalną siłę w procesie zbierania informacji.
Wykuwaj bilety
Atak cyberprzestępczy może zobaczyć Twoje dane Active Directory, gdy wejdzie na Twoje konto z Twoimi poświadczeniami logowania, ale w tym momencie nie może wykonywać żadnych czynności. Muszą generować bilety, które są legalne dla twojego kontrolera domeny. KDC szyfruje wszystkie generowane bilety za pomocą skrótu hasła KRBTGT, więc oszust musi zrobić to samo albo kradnąc plik NTDS.DIT, przeprowadzając atak DCSync, albo wykorzystując luki w punkty końcowe.
Zachowaj długoterminowy dostęp
Ponieważ uzyskanie skrótu hasła KRBTGT daje przestępcy nieograniczony dostęp do twojego systemu, wykorzystują go do maksimum. Nie spieszą się z wyjściem, ale pozostają w tle, narażając Twoje dane. Mogą nawet podszywać się pod użytkowników z najwyższymi uprawnieniami dostępu bez wzbudzania podejrzeń.
5 sposobów zapobiegania atakowi złotego biletu
Ataki ze złotym biletem należą do najniebezpieczniejszych cyberataków ze względu na swobodę intruza w wykonywaniu różnych czynności. Możesz ograniczyć ich występowanie do minimum, stosując następujące środki bezpieczeństwa cybernetycznego.
1. Zachowaj poufność poświadczeń administratora
Podobnie jak większość innych ataków, atak złotego biletu zależy od zdolności przestępcy do odzyskania poufnych danych uwierzytelniających konto. Zabezpiecz kluczowe dane, ograniczając liczbę osób, które mogą uzyskać do nich dostęp.
Najcenniejsze poświadczenia znajdują się na kontach administratorów. Jako administrator sieci musisz ograniczyć swoje uprawnienia dostępu do minimum. Twój system jest bardziej zagrożony, gdy więcej osób ma dostęp do uprawnień administratora.
2. Identyfikuj próby phishingu i opieraj się im
Zabezpieczanie uprawnień administratora jest jednym z nich sposoby zapobiegania kradzieży danych uwierzytelniających. Jeśli zablokujesz to okno, hakerzy uciekną się do innych metod, takich jak ataki phishingowe. Wyłudzanie informacji ma charakter bardziej psychologiczny niż techniczny, dlatego musisz wcześniej przygotować się mentalnie, aby go wykryć.
Zapoznaj się z różnymi technikami i scenariuszami phishingu. Co najważniejsze, uważaj na wiadomości od nieznajomych, którzy chcą uzyskać informacje umożliwiające identyfikację Ciebie lub Twojego konta. Niektórzy przestępcy nie żądają bezpośrednio twoich danych uwierzytelniających, ale wysyłają zainfekowane wiadomości e-mail, linki lub załączniki. Jeśli nie możesz ręczyć za jakąkolwiek treść, nie otwieraj jej.
3. Bezpieczne usługi Active Directory z zabezpieczeniami o zerowym zaufaniu
Ważne informacje potrzebne hakerom do przeprowadzania ataków ze złotym biletem znajdują się w Twoich aktywnych katalogach. Niestety luki w zabezpieczeniach punktów końcowych mogą pojawić się w dowolnym momencie i utrzymywać się, zanim je zauważysz. Ale istnienie luk niekoniecznie szkodzi twojemu systemowi. Stają się szkodliwe, gdy intruzi je zidentyfikują i wykorzystają.
Nie możesz ręczyć za użytkowników, aby nie angażowali się w działania, które narażają Twoje dane. Zaimplementuj zabezpieczenia o zerowym zaufaniu do zarządzania zagrożeniami bezpieczeństwa osób, które odwiedzają Twoją sieć, niezależnie od ich pozycji lub statusu. Traktuj każdą osobę jako zagrożenie, ponieważ jej działania mogą zagrozić Twoim danym.
4. Regularnie zmieniaj hasło do konta KRBTGT
Twoje hasło do konta KRBTGT to złoty bilet atakującego do Twojej sieci. Zabezpieczenie hasła tworzy barierę między nimi a Twoim kontem. Załóżmy, że przestępca już wszedł do twojego systemu po odzyskaniu skrótu hasła. Ich żywotność zależy od ważności hasła. Jeśli to zmienisz, nie będą mogły działać.
Istnieje tendencja do bycia nieświadomym obecności złocistych hakerów w twoim systemie. Pielęgnuj nawyk regularnej zmiany hasła, nawet jeśli nie masz podejrzeń o atak. Ta pojedyncza czynność odbiera uprawnienia dostępu nieautoryzowanym użytkownikom, którzy już mają dostęp do Twojego konta.
Firma Microsoft szczególnie zaleca użytkownikom regularną zmianę haseł do kont KRBTGT w celu odstraszania przestępców z nieautoryzowanym dostępem.
5. Wprowadź monitorowanie zagrożeń dla ludzi
Aktywne wyszukiwanie zagrożeń w systemie jest jednym z najskuteczniejszych sposobów wykrywania i powstrzymywania ataków typu „złoty bilet”. Ataki te są nieinwazyjne i działają w tle, więc możesz nie być świadomy naruszenia, ponieważ na pierwszy rzut oka wszystko może wyglądać normalnie.
Sukces ataków typu „złoty bilet” polega na zdolności przestępcy do zachowywania się jak autoryzowany użytkownik, wykorzystując swoje uprawnienia dostępu. Oznacza to, że automatyczne urządzenia monitorujące zagrożenia mogą nie wykrywać ich działań, ponieważ nie są one niczym niezwykłym. Aby je wykryć, potrzebujesz umiejętności monitorowania zagrożeń ze strony ludzi. A to dlatego, że ludzie mają szósty zmysł, który rozpoznaje podejrzane działania, nawet jeśli intruz twierdzi, że jest legalny.
Zabezpiecz wrażliwe dane uwierzytelniające przed atakami Golden Ticket
Cyberprzestępcy nie mieliby nieograniczonego dostępu do Twojego konta w ataku złotego biletu bez uchybień z Twojej strony. Jeśli pojawią się nieprzewidziane luki w zabezpieczeniach, możesz zawczasu wprowadzić środki w celu ich złagodzenia.
Zabezpieczenie podstawowych danych uwierzytelniających, zwłaszcza skrótu hasła do konta KRBTGT, pozostawia intruzom bardzo ograniczone możliwości włamania się na konto. Domyślnie masz kontrolę nad swoją siecią. Atakujący polegają na zaniedbaniach w zakresie bezpieczeństwa, aby się rozwijać. Nie dawaj im szansy.