Κάποιος μπορεί να κάνει πολύ κακό αν αποκτήσει τόση πρόσβαση στα δεδομένα σας όσο εσείς. Αυτό είναι που κάνει αυτό το είδος επίθεσης τόσο τρομακτικό.
Οι εξελίξεις στην ασφάλεια στον κυβερνοχώρο επιτρέπουν στα συστήματα παρακολούθησης απειλών να ανιχνεύουν τις ασυνήθιστες δραστηριότητες των εγκληματιών. Για να νικήσουν αυτά τα εργαλεία, οι εισβολείς εκμεταλλεύονται τώρα τη νόμιμη κατάσταση και τα προνόμια πρόσβασης εξουσιοδοτημένων χρηστών για κακόβουλους σκοπούς.
Ένας χάκερ μπορεί να έχει απεριόριστη πρόσβαση στα δεδομένα σας χωρίς να σηκώσει σκόνη εξαπολύοντας μια χρυσή επίθεση εισιτηρίων. Με αυτόν τον τρόπο, έχουν πρακτικά τα ίδια δικαιώματα πρόσβασης με εσάς. Είναι πολύ επικίνδυνο για τους επιτιθέμενους να έχουν τέτοια δύναμη, δεν νομίζετε; Δείτε πώς να τους σταματήσετε.
Τι είναι το Golden Ticket Attack;
Σε αυτό το πλαίσιο, ένα χρυσό εισιτήριο σημαίνει απεριόριστη πρόσβαση. Ένας εγκληματίας με το εισιτήριο μπορεί να αλληλεπιδράσει με όλα τα στοιχεία του λογαριασμού σας, συμπεριλαμβανομένων των δεδομένων, των εφαρμογών, των αρχείων σας κ.λπ. Μια επίθεση χρυσού εισιτηρίου είναι η απεριόριστη πρόσβαση που αποκτά ένας εισβολέας για να παραβιάσει το δίκτυό σας. Δεν υπάρχει όριο στο τι μπορούν να κάνουν.
Πώς λειτουργεί μια επίθεση Golden Ticket;
Το Active Directory (AD) είναι μια πρωτοβουλία της Microsoft για τη διαχείριση δικτύων τομέα. Διαθέτει ένα καθορισμένο κέντρο διανομής κλειδιών Kerberos (KDC), ένα πρωτόκολλο ελέγχου ταυτότητας για την επαλήθευση της νομιμότητας των χρηστών. Το KDC διασφαλίζει το AD δημιουργώντας και διανέμοντας ένα μοναδικό εισιτήριο χορήγησης εισιτηρίων (TGT) σε εξουσιοδοτημένους χρήστες. Αυτό το κρυπτογραφημένο εισιτήριο περιορίζει τους χρήστες από την εκτέλεση επιβλαβών δραστηριοτήτων στο δίκτυο και περιορίζει τη συνεδρία περιήγησής τους σε συγκεκριμένο χρόνο, συνήθως όχι περισσότερο από 10 ώρες.
Όταν δημιουργείτε έναν τομέα στο AD, λαμβάνετε αυτόματα έναν λογαριασμό KRBTGT. Οι δράστες επιθέσεων golden ticket παραβιάζουν τα δεδομένα του λογαριασμού σας για να χειραγωγήσουν τον ελεγκτή τομέα του AD με τους ακόλουθους τρόπους.
Συγκεντρώστε πληροφορίες
Ο εισβολέας Golden Ticker ξεκινά συλλέγοντας πληροφορίες σχετικά με τον λογαριασμό σας, ειδικά το πλήρως πιστοποιημένο όνομα τομέα του (FQDN), το αναγνωριστικό ασφαλείας και τον κατακερματισμό του κωδικού πρόσβασης. Μπορούσαν χρησιμοποιήστε τεχνικές phishing για τη συλλογή των δεδομένων σας, ή ακόμα καλύτερα, μολύνουν τη συσκευή σας με κακόβουλο λογισμικό και το ανακτούν οι ίδιοι. Μπορεί να επιλέξουν την ωμή βία στη διαδικασία συλλογής πληροφοριών.
Σφυρηλατήστε εισιτήρια
Ο παράγοντας απειλής μπορεί να μπορεί να δει τα δεδομένα του ενεργού καταλόγου σας όταν εισάγει τον λογαριασμό σας με τα διαπιστευτήρια σύνδεσής σας, αλλά δεν μπορεί να εκτελέσει δραστηριότητες σε αυτό το σημείο. Πρέπει να δημιουργήσουν εισιτήρια που είναι νόμιμα για τον ελεγκτή τομέα σας. Το KDC κρυπτογραφεί όλα τα εισιτήρια που δημιουργεί με τον κατακερματισμό του κωδικού πρόσβασης KRBTGT, επομένως ο απατεώνας πρέπει να κάνει το ίδιο είτε κλέβοντας το αρχείο NTDS.DIT, πραγματοποιώντας μια επίθεση DCSync ή αξιοποιώντας τρωτά σημεία στο καταληκτικά σημεία.
Διατηρήστε τη μακροπρόθεσμη πρόσβαση
Εφόσον η απόκτηση του κατακερματισμού κωδικού πρόσβασης KRBTGT δίνει στον εγκληματία απεριόριστη πρόσβαση στο σύστημά σας, τον χρησιμοποιεί στο μέγιστο. Δεν βιάζονται να φύγουν, αλλά παραμένουν στο παρασκήνιο, θέτοντας σε κίνδυνο τα δεδομένα σας. Μπορούν ακόμη και να υποδύονται χρήστες με τα υψηλότερα προνόμια πρόσβασης χωρίς να προκαλούν υποψίες.
5 τρόποι για να αποτρέψετε μια επίθεση Golden Ticket
Οι επιθέσεις με χρυσό εισιτήριο κατατάσσονται στις πιο επικίνδυνες κυβερνοεπιθέσεις λόγω της ελευθερίας του εισβολέα να εκτελεί διάφορες δραστηριότητες. Μπορείτε να μειώσετε την εμφάνισή τους στο ελάχιστο με τα ακόλουθα μέτρα κυβερνοασφάλειας.
1. Διατηρήστε τα διαπιστευτήρια διαχειριστή απόρρητα
Όπως οι περισσότερες άλλες επιθέσεις, μια επίθεση με χρυσό εισιτήριο εξαρτάται από την ικανότητα του εγκληματία να ανακτά ευαίσθητα διαπιστευτήρια λογαριασμού. Ασφαλίστε βασικά δεδομένα περιορίζοντας τον αριθμό των ατόμων που έχουν πρόσβαση σε αυτά.
Τα πιο πολύτιμα διαπιστευτήρια βρίσκονται σε λογαριασμούς διαχειριστών χρηστών. Ως διαχειριστής δικτύου, πρέπει να περιορίσετε στο ελάχιστο τα προνόμια πρόσβασής σας. Το σύστημά σας διατρέχει υψηλότερο κίνδυνο όταν περισσότερα άτομα έχουν πρόσβαση σε δικαιώματα διαχειριστή.
2. Προσδιορίστε και αντισταθείτε στις απόπειρες ψαρέματος
Η εξασφάλιση των προνομίων διαχειριστή είναι ένα από τα τρόποι αποτροπής κλοπής διαπιστευτηρίων. Εάν αποκλείσετε αυτό το παράθυρο, οι χάκερ θα καταφύγουν σε άλλες μεθόδους, όπως επιθέσεις phishing. Το phishing είναι περισσότερο ψυχολογικό παρά τεχνικό, επομένως πρέπει να είστε ψυχικά προετοιμασμένοι εκ των προτέρων για να το εντοπίσετε.
Εξοικειωθείτε με διαφορετικές τεχνικές και σενάρια phishing. Το πιο σημαντικό, να είστε προσεκτικοί με μηνύματα από αγνώστους που αναζητούν προσωπικά αναγνωρίσιμες πληροφορίες για εσάς ή τον λογαριασμό σας. Ορισμένοι εγκληματίες δεν θα ζητήσουν απευθείας τα διαπιστευτήριά σας, αλλά σας στέλνουν μολυσμένα μηνύματα ηλεκτρονικού ταχυδρομείου, συνδέσμους ή συνημμένα. Εάν δεν μπορείτε να εγγυηθείτε για οποιοδήποτε περιεχόμενο, μην το ανοίξετε.
3. Ασφαλίστε Active Directories με ασφάλεια μηδενικής εμπιστοσύνης
Οι σημαντικές πληροφορίες που χρειάζονται οι χάκερ για να εκτελέσουν επιθέσεις χρυσού εισιτηρίου βρίσκονται στους ενεργούς καταλόγους σας. Δυστυχώς, τα τρωτά σημεία μπορεί να προκύψουν στα τελικά σημεία σας ανά πάσα στιγμή και να παραμείνουν προτού τα παρατηρήσετε. Αλλά η ύπαρξη τρωτών σημείων δεν βλάπτει απαραίτητα το σύστημά σας. Γίνονται επιβλαβείς όταν οι εισβολείς τους αναγνωρίζουν και τους εκμεταλλεύονται.
Δεν μπορείτε να εγγυηθείτε στους χρήστες ότι δεν θα επιδοθούν σε δραστηριότητες που θα θέσουν σε κίνδυνο τα δεδομένα σας. Εφαρμόστε ασφάλεια μηδενικής εμπιστοσύνης για να διαχειριστείτε τους κινδύνους ασφαλείας των ατόμων που επισκέπτονται το δίκτυό σας ανεξάρτητα από τη θέση ή την κατάστασή τους. Θεωρήστε κάθε άτομο ως απειλή, καθώς οι ενέργειές του μπορούν να θέσουν σε κίνδυνο τα δεδομένα σας.
4. Αλλάζετε τακτικά τον κωδικό πρόσβασης του λογαριασμού σας KRBTGT
Ο κωδικός πρόσβασης του λογαριασμού σας KRBTGT είναι το χρυσό εισιτήριο του εισβολέα στο δίκτυό σας. Η διασφάλιση του κωδικού πρόσβασής σας δημιουργεί ένα εμπόδιο μεταξύ αυτών και του λογαριασμού σας. Ας υποθέσουμε ότι ένας εγκληματίας έχει ήδη εισέλθει στο σύστημά σας μετά την ανάκτηση του κατακερματισμού του κωδικού πρόσβασής σας. Η διάρκεια ζωής τους εξαρτάται από την εγκυρότητα του κωδικού πρόσβασης. Εάν το αλλάξετε, δεν θα μπορούν να λειτουργήσουν.
Υπάρχει μια τάση να αγνοείτε την παρουσία εισβολέων χρυσής απειλής στο σύστημά σας. Καλλιεργήστε τη συνήθεια να αλλάζετε τον κωδικό πρόσβασής σας τακτικά ακόμα και όταν δεν έχετε καμία υποψία για επίθεση. Αυτή η ενιαία πράξη ανακαλεί τα δικαιώματα πρόσβασης μη εξουσιοδοτημένων χρηστών που έχουν ήδη πρόσβαση στον λογαριασμό σας.
Η Microsoft συμβουλεύει συγκεκριμένα τους χρήστες να αλλάζουν τακτικά τους κωδικούς πρόσβασης του λογαριασμού KRBTGT για να αποτρέπουν εγκληματίες με μη εξουσιοδοτημένη πρόσβαση.
5. Υιοθετήστε την Παρακολούθηση Ανθρώπινων Απειλών
Η ενεργή αναζήτηση απειλών στο σύστημά σας είναι ένας από τους πιο αποτελεσματικούς τρόπους για τον εντοπισμό και τον περιορισμό επιθέσεων χρυσού εισιτηρίου. Αυτές οι επιθέσεις είναι μη επεμβατικές και εκτελούνται στο παρασκήνιο, επομένως ενδέχεται να μην γνωρίζετε κάποια παραβίαση, καθώς τα πράγματα μπορεί να φαίνονται φυσιολογικά στην επιφάνεια.
Η επιτυχία των επιθέσεων χρυσού εισιτηρίου έγκειται στην ικανότητα του εγκληματία να ενεργεί σαν εξουσιοδοτημένος χρήστης, αξιοποιώντας το προνόμιο πρόσβασής του. Αυτό σημαίνει ότι οι αυτοματοποιημένες συσκευές παρακολούθησης απειλών ενδέχεται να μην ανιχνεύουν τις δραστηριότητές τους επειδή δεν είναι ασυνήθιστες. Χρειάζεστε δεξιότητες παρακολούθησης ανθρώπινων απειλών για να τις εντοπίσετε. Και αυτό γιατί οι άνθρωποι έχουν την έκτη αίσθηση για να αναγνωρίζουν ύποπτες δραστηριότητες ακόμα και όταν ο εισβολέας ισχυρίζεται ότι είναι νόμιμος.
Ασφαλίστε ευαίσθητα διαπιστευτήρια ενάντια στις επιθέσεις Golden Ticket
Οι εγκληματίες του κυβερνοχώρου δεν θα είχαν απεριόριστη πρόσβαση στον λογαριασμό σας σε μια χρυσή επίθεση εισιτηρίων χωρίς λάθη από την πλευρά σας. Όσο και αν προκύψουν απρόβλεπτες ευπάθειες, μπορείτε να ενσταλάξετε μέτρα για τον μετριασμό τους εκ των προτέρων.
Η διασφάλιση των βασικών διαπιστευτηρίων σας, ειδικά του κατακερματισμού του κωδικού πρόσβασης του λογαριασμού σας KRBTGT, αφήνει στους εισβολείς πολύ περιορισμένες επιλογές για να παραβιάσουν τον λογαριασμό σας. Έχετε τον έλεγχο του δικτύου σας από προεπιλογή. Οι εισβολείς βασίζονται στην αμέλειά σας για την ασφάλεια για να ευδοκιμήσουν. Μην τους δίνετε την ευκαιρία.
