Kas yra „Pass the Hash Attack“ ir kaip tai veikia?

Kredencialų įvedimas kiekvieną kartą, kai norite prisijungti prie sistemos, gali būti varginantis, ypač kai prie sistemos prisijungiate reguliariai. Jūs netgi galite pamiršti savo slaptažodžius.

Įdiegę operacines sistemas, kurios vartotojams suteikia vieno prisijungimo patirtį, neleidžia kiekvieną kartą iš naujo įvesti savo prisijungimo duomenų. Tačiau yra problema. Užpuolikai gali išnaudoti jūsų sistemoje išsaugotus kredencialus per „Pass-the-Hash“ ataką (PtH).

Čia aptarsime, kaip veikia „Pass-the-Hash“ ataka ir kaip galite ją sušvelninti.

Kas yra „Pass the Hash Attack“?

Maišos keitimas yra simbolių eilučių vertimo į kodą procesas, todėl jis tampa daug trumpesnis ir lengvesnis. Tai vienas didžiausių kibernetinio saugumo žaidėjų, kuris yra labai svarbus siekiant užkirsti kelią duomenų pažeidimams.

Žiniatinklio programų administratoriai šifruoti failus ir pranešimus kad būtų išvengta neteisėtos prieigos prie jų. Nors šie failai yra konfidencialūs, maišos naudojimas padeda patikrinti jų vientisumą. Tai neleidžia niekam sugadinti failų ar pakeisti jų turinio ir tada pateikti juos kaip originalius failus.

Po vertimo maišos negalima atšaukti. Tai leidžia tik nustatyti, ar du failai yra panašūs, ar ne, nenustačius jų turinio. Prieš prisijungdami prie sistemos ar paslaugos per tinklą, turite patvirtinti savo tapatybę pateikdami savo vartotojo vardą ir slaptažodį. Dabar ši informacija saugoma duomenų bazėje, kad ją būtų galima palyginti ateityje, kai bandysite prisijungti dar kartą.

Jūsų slaptažodžiai pateikiami aiškiu tekstu, todėl jie yra mažiau saugūs. Ir jei užpuolikas gali pasiekti duomenų bazę, jis gali pavogti jūsų slaptažodį ir gauti neteisėtą prieigą prie jūsų paskyros. Padėtis pablogės, jei esate vienas iš tų vartotojų, kurie naudoja vieną slaptažodį skirtingoms paskyroms. Užpuolikas naudos pavogtą slaptažodį, kad pasiektų kitas jūsų paskyras.

Taigi, kaip čia veikia maiša?

Maišos mechanizmas paverčia jūsų aiškų tekstinį slaptažodį duomenimis, kurių negalima pakeisti į pradinį slaptažodį. Kai jūsų slaptažodis yra maišomas ir išsaugomas sistemos atmintyje, jis naudojamas jūsų tapatybei įrodyti, kai kitą kartą norėsite pasiekti paslaugą.

Maiša apsaugo vartotojų paskyras nuo neteisėtos prieigos. Tačiau ne taip ilgai, kol kibernetiniai nusikaltėliai sukūrė maišos surinkimo strategiją. Vieno prisijungimo (SSO) aptiktas saugos pažeidžiamumas užleido vietą „Pass-the-Hash“ atakai. Pirmą kartą jis pasirodė 1997 m. ir gyvuoja jau 24 metus.

„Pass-the-Hash“ ataka yra panaši į užpuolikų triukus naudoti pavogti vartotojų slaptažodžius. Tai viena iš labiausiai paplitusių, tačiau neįvertintų atakų, kai kalbama apie vartotojo kredencialų vagystę ir naudojimą.

Naudojant Pass-the-Hash techniką, užpuolikams nereikia nulaužti maišos. Jį galima naudoti pakartotinai arba perduoti autentifikavimo serveriui. Slaptažodžių maišos lieka statinės nuo seanso iki seanso tol, kol jos nepakeičiamos. Dėl šios priežasties užpuolikai naudojasi operacinių sistemų autentifikavimo protokolais, kad pavogtų maišos slaptažodžius.

Kaip veikia maišos atakos pašalinimas?

„Pass-the-Hash“ atakos dažniausiai pasitaiko „Windows“ sistemose, nors jos gali įvykti ir kitose operacinėse sistemose, tokiose kaip „Linux“ ir „UNIX“. Įsilaužėliai visada ieško šiose sistemose spragų, kad galėtų užklupti savo aukas.

„Windows“ pažeidžiamumas slypi jos NTLM autentifikavime, kuris įgyvendina vieno prisijungimo (SSO) funkciją. Tai leidžia vartotojams vieną kartą įvesti savo slaptažodžius ir pasiekti bet kurią pageidaujamą funkciją.

Štai kaip tai veikia:

Kai pirmą kartą prisiregistruojate „Windows“ sistemoje, ji sumaišo jūsų slaptažodį ir išsaugo jį sistemos atmintyje. Tai yra galimybė užpuolikams išnaudoti jūsų maišos slaptažodį. Jie gali turėti fizinę prieigą prie jūsų sistemos, išnaikinti jos aktyviąją atmintį arba užkrėsti kenkėjiška programa ir kitais būdais.

Tokie įrankiai kaip Metasploit, Gsecdump ir Mimikatz naudojami maišos kredencialams iš sistemos atminties išimti. Tai padarę, užpuolikai pakartotinai naudoja jūsų kredencialus, kad prisijungtų kaip jūs ir pasiektų visas programas, į kurias turite teises.

Jei draugas ar kolega prisijungė prie jūsų sistemos, įsilaužėlis taip pat gali surinkti jų maišą. Atminkite, kad tai šoninio judėjimo technika. Blogiausias scenarijus – įsilaužėlis gauna prieigą prie valdymo sistemų, kurios valdo visą organizaciją arba IT infrastruktūrą. Patekę į vidų, jie gali pavogti neskelbtiną informaciją, modifikuoti įrašus arba įdiegti kenkėjiškas programas.

Kaip sušvelninti maišos ataką

Štai ką turėtumėte žinoti apie „Pass-the-Hash“ ataką. Tai ne klaida, o funkcija. Vieno prisijungimo protokolas, įdiegtas naudojant maišą, yra skirtas apsaugoti vartotojus nuo problemų, susijusių su slaptažodžių įvedimu iš naujo. Taigi, įsilaužėliai dabar naudojasi „Windows SSO“ funkcija, „Linux“ ir „Unix“ sistemų komunikacijos protokolu, siekdami piktų kėslų.

Laikydamiesi šių veiksmingų sprendimų, galite sumažinti savo tikimybę tapti tokių išpuolių auka.

1. Įgalinkite „Windows Defender“ kredencialų apsaugą

„Windows Defender“ kredencialų apsauga yra saugos funkcija, kuri pateikiama su „Windows 10“ ir naujesnėmis sistemomis. Tai apsaugo sistemoje saugomą slaptą informaciją. Vietinės saugos institucijos posistemio tarnyba (LSASS) užtikrina saugos politiką Windows sistemoje.

2. Įdiekite mažiausiai privilegijų saugos modelį

Štai toks dalykas: jei esate įmonės savininkas ir jums dirba žmonės, apribokite jų prieigos teises iki tik išteklių ir failų, reikalingų jų darbams tinklo sistemoje atlikti.

Pašalinkite nereikalingas administratoriaus teises ir suteikite teises tik patikimoms programoms. Tai sumažins įsilaužėlių galimybes išplėsti savo prieigą ir leidimus.

3. Iš naujo paleiskite sistemas atsijungę

Atminkite, kad tikslas yra sumažinti riziką tapti „Pass-the-Hash“ atakos auka. Kadangi sistema saugo slaptažodžio maišą savo atmintyje, iš naujo paleidus kompiuterį po atsijungimo maiša bus pašalinta iš sistemos atminties.

4. Įdiekite AntiMalware programinę įrangą

Kibernetiniai nusikaltėliai puikiai atlieka savo darbą, naudodami kenkėjiškas programas, kad pakenktų tinklams. Automatiniai įrankiai, pvz., apsaugos nuo kenkėjiškų programų programinė įranga, yra naudingi siekiant apsisaugoti nuo šių kibernetinių atakų. Šie įrankiai aptinka užkrėstus ar kenkėjiškus failus jūsų sistemoje ir neutralizuoja juos prieš patekdami į juos.

Diegdami savo įrenginiuose programinę įrangą nuo kenkėjiškų programų, jūs apsaugote savo sistemą nuo kenkėjiškų programų. Norėdami gauti, taip pat galite naudoti kenkėjiškų programų kaip paslaugos platformas pritaikyti kenkėjiškų programų sprendimai.

5. Atnaujinkite savo operacines sistemas

Kodėl verta rinktis senesnę operacinės sistemos versiją su mažiau sauga, kai galite ją atnaujinti?

Naujausios operacinės sistemos paprastai teikia daug geresnę vartotojo patirtį ir turi tvirtesnę apsaugą. Pavyzdžiui, „Windows 10“ 1703 versija turi keletą saugos funkcijų, kurios apsaugo vartotojus visuose tinkluose.

Laikykitės veiksmingo požiūrio į maišos ataką

„Pass-the-Hash“ atakos visada paveiks operacines sistemas, kurios palaiko vieną prisijungimą. Nors maišos funkcija bando apsaugoti jūsų slaptažodį, atakos apeina apsaugą, kad pavogtų maišos slaptažodžius naudodami kelis įrankius.

Prisiimkite atsakomybę už savo kredencialų apsaugą atnaujindami į naujausias operacines sistemas, suteikiant leidimus tik patikimoms programoms ir įdiegiant programinę įrangą nuo kenkėjiškų programų kompiuteris. Kibernetiniai nusikaltėliai gali pereiti maišą tik tada, kai jiems yra greitkelis. Jūs esate atsakingi už visas tinklo spragas.

Kas yra Emotet kenkėjiška programa ir kaip ji veikia?

Skirtingai nuo daugelio kenkėjiškų programų, Emotet skrenda po radaru ir tyliai privilioja aukas. Sužinokite, kaip tai veikia ir ką galite padaryti, kad apsisaugotumėte.

Skaitykite toliau

Apie autorių