Niekto môže narobiť veľa škody, ak získa rovnaký prístup k vašim údajom ako vy. To je dôvod, prečo je tento typ útoku taký desivý.
Pokroky v kybernetickej bezpečnosti umožňujú systémom monitorovania hrozieb odhaliť nezvyčajné aktivity zločincov. Aby porazili tieto nástroje, útočníci teraz využívajú legitímny stav a prístupové oprávnenia autorizovaných používateľov na škodlivé účely.
Hacker môže mať neobmedzený prístup k vašim údajom bez zvyšovania prachu spustením útoku na zlaté lístky. Pritom majú prakticky rovnaké prístupové práva ako vy. Pre útočníkov je príliš riskantné mať takú silu, nemyslíte? Tu je návod, ako ich zastaviť.
Čo je útok na zlatý lístok?
Zlatý lístok v tomto kontexte znamená neobmedzený prístup. Zločinec s lístkom môže interagovať so všetkými komponentmi vášho účtu vrátane vašich údajov, aplikácií, súborov atď. Útok zlatého lístka je neobmedzený prístup, ktorý útočník získa, aby ohrozil vašu sieť. Neexistuje žiadny limit na to, čo môžu robiť.
Ako funguje útok na zlatý lístok?
Active Directory (AD) je iniciatíva spoločnosti Microsoft na správu doménových sietí. Má určené centrum distribúcie kľúčov Kerberos (KDC), autentifikačný protokol na overenie legitimity používateľov. KDC zabezpečuje AD vygenerovaním a distribúciou jedinečného lístka na udelenie lístka (TGT) oprávneným používateľom. Tento šifrovaný lístok obmedzuje používateľov vo vykonávaní škodlivých aktivít v sieti a obmedzuje ich reláciu prehliadania na konkrétny čas, zvyčajne nie viac ako 10 hodín.
Keď vytvoríte doménu v AD, automaticky získate účet KRBTGT. Páchatelia útokov na zlaté lístky kompromitujú údaje vášho účtu, aby manipulovali s radičom domény AD nasledujúcimi spôsobmi.
Získať informácie
Zlatý ticker útočník začína zhromažďovaním informácií o vašom účte, najmä jeho plne kvalifikovaného názvu domény (FQDN), bezpečnostného identifikátora a hash hesla. Mohli na zhromažďovanie údajov použite techniky phishingu, alebo ešte lepšie, infikovať vaše zariadenie malvérom a sami ho získať. Môžu sa rozhodnúť pre hrubú silu v procese zhromažďovania informácií.
Forge vstupenky
Aktér hrozby môže vidieť vaše údaje aktívneho adresára, keď vstúpi do vášho účtu s vašimi prihlasovacími povereniami, ale v tomto bode nemôže vykonávať aktivity. Musia vygenerovať lístky, ktoré sú legitímne pre váš radič domény. KDC zašifruje všetky lístky, ktoré vygeneruje, pomocou hash hesla KRBTGT, takže podvodník musí urobiť to isté buď ukradnutím súboru NTDS.DIT, vykonaním útoku DCSync alebo využitím zraniteľností v koncové body.
Zachovajte si dlhodobý prístup
Keďže získanie hash hesla KRBTGT dáva zločincovi neobmedzený prístup do vášho systému, využívajú ho na maximum. S odchodom sa neponáhľajú, ale zostávajú v pozadí a ohrozujú vaše údaje. Môžu sa dokonca vydávať za používateľov s najvyššími prístupovými oprávneniami bez toho, aby vyvolali podozrenie.
5 spôsobov, ako zabrániť útoku na zlatý lístok
Útoky na Golden ticket patria medzi najnebezpečnejšie kybernetické útoky vzhľadom na slobodu votrelca vykonávať rôzne činnosti. Ich výskyt môžete obmedziť na minimum pomocou nasledujúcich opatrení v oblasti kybernetickej bezpečnosti.
1. Udržujte poverenia správcu súkromné
Rovnako ako väčšina iných útokov, aj útok na zlatý lístok závisí od schopnosti zločinca získať citlivé prihlasovacie údaje účtu. Zabezpečte kľúčové údaje obmedzením počtu ľudí, ktorí k nim majú prístup.
Najcennejšie prihlasovacie údaje sú na účtoch správcov. Ako správca siete musíte obmedziť svoje prístupové práva na minimum. Váš systém je vystavený vyššiemu riziku, keď má viac ľudí prístup k oprávneniam správcu.
2. Identifikujte a odolajte pokusom o phishing
Zabezpečenie práv správcu je jedným z spôsoby, ako zabrániť krádeži poverení. Ak toto okno zablokujete, hackeri sa uchýlia k iným metódam, ako sú phishingové útoky. Phishing je viac psychologický ako technický, takže na jeho odhalenie sa musíte vopred psychicky pripraviť.
Oboznámte sa s rôznymi technikami a scenármi phishingu. A čo je najdôležitejšie, dávajte si pozor na správy od neznámych ľudí, ktorí hľadajú informácie o vás alebo vašom účte, ktoré by vás mohli osobne identifikovať. Niektorí zločinci nebudú požadovať vaše poverenia priamo, ale pošlú vám infikované e-maily, odkazy alebo prílohy. Ak nemôžete ručiť za žiadny obsah, neotvárajte ho.
3. Zabezpečte aktívne adresáre s nulovou dôveryhodnosťou
Dôležité informácie, ktoré hackeri potrebujú na vykonanie útokov na zlaté lístky, sú vo vašich aktívnych adresároch. Bohužiaľ, zraniteľné miesta sa môžu kedykoľvek objaviť vo vašich koncových bodoch a môžu pretrvávať, kým si ich všimnete. Existencia zraniteľností však nemusí nevyhnutne poškodiť váš systém. Stávajú sa škodlivými, keď ich votrelci identifikujú a využívajú.
Nemôžete ručiť za používateľov, že sa nebudú oddávať činnostiam, ktoré ohrozia vaše údaje. Implementujte zabezpečenie nulovej dôveryhodnosti na riadenie bezpečnostných rizík ľudí, ktorí navštívia vašu sieť, bez ohľadu na ich pozíciu alebo stav. Zvážte každú osobu ako hrozbu, pretože jej činy môžu ohroziť vaše údaje.
4. Pravidelne si meňte heslo účtu KRBTGT
Heslo vášho účtu KRBTGT je zlatou vstupenkou útočníka do vašej siete. Zabezpečenie hesla vytvára bariéru medzi nimi a vaším účtom. Povedzme, že zločinec už vstúpil do vášho systému po získaní vášho hash hesla. Ich životnosť závisí od platnosti hesla. Ak ho zmeníte, nebudú môcť fungovať.
Existuje tendencia, že si neuvedomujete prítomnosť útočníkov so zlatou hrozbou vo vašom systéme. Vypestujte si zvyk pravidelne meniť heslo, aj keď nemáte podozrenie na útok. Tento jediný úkon ruší prístupové práva neoprávneným používateľom, ktorí už majú prístup k vášmu účtu.
Spoločnosť Microsoft špecificky odporúča používateľom, aby pravidelne menili svoje heslá účtu KRBTGT, aby zabránili neoprávnenému prístupu zločincov.
5. Prijať monitorovanie ľudských hrozieb
Aktívne vyhľadávanie hrozieb vo vašom systéme je jedným z najefektívnejších spôsobov, ako odhaliť a zadržať útoky na zlaté lístky. Tieto útoky sú neinvazívne a prebiehajú na pozadí, takže si nemusíte byť vedomí porušenia, pretože veci môžu na povrchu vyzerať normálne.
Úspech útokov na zlaté lístky spočíva v schopnosti zločinca konať ako autorizovaný používateľ a využiť svoje prístupové privilégium. To znamená, že zariadenia na automatické monitorovanie hrozieb nemusia zistiť ich aktivity, pretože nie sú nezvyčajné. Na ich odhalenie potrebujete schopnosti monitorovania ľudských hrozieb. A to preto, že ľudia majú šiesty zmysel na identifikáciu podozrivých aktivít, aj keď votrelec tvrdí, že sú legitímne.
Zabezpečte citlivé prihlasovacie údaje proti útokom na zlaté lístky
Kyberzločinci by nemali neobmedzený prístup k vášmu účtu pri útoku na zlatý tiket bez chýb z vašej strany. Ak sa objavia nepredvídané zraniteľnosti, môžete vopred zaviesť opatrenia na ich zmiernenie.
Zabezpečenie vašich základných prihlasovacích údajov, najmä hash hesla vášho účtu KRBTGT, ponecháva votrelcom veľmi obmedzené možnosti hacknutia vášho účtu. V predvolenom nastavení máte kontrolu nad svojou sieťou. Útočníci sa spoliehajú na to, že vaša nedbalosť v oblasti bezpečnosti prekvitá. Nedajte im príležitosť.
