Kas yra aukso bilietų ataka? Neleiskite įsilaužėliams turėti visiškos prieigos prie jūsų duomenų

Kibernetinio saugumo pažanga leidžia grėsmių stebėjimo sistemoms aptikti neįprastą nusikaltėlių veiklą. Siekdami įveikti šiuos įrankius, įsibrovėliai dabar piktybiniais tikslais išnaudoja teisėtą įgaliotų vartotojų statusą ir prieigos teises.

Įsilaužėlis gali turėti neribotą prieigą prie jūsų duomenų, nekeldamas dulkių, pradėdamas auksinio bilieto ataką. Tai darydami jie praktiškai turi tokias pačias prieigos teises kaip ir jūs. Per daug rizikinga užpuolikams turėti tokią galią, ar nemanote? Štai kaip juos sustabdyti.

Kas yra aukso bilietų ataka?

Šiame kontekste auksinis bilietas reiškia neribotą prieigą. Bilietą turintis nusikaltėlis gali sąveikauti su visais jūsų paskyros komponentais, įskaitant duomenis, programas, failus ir kt. Auksinio bilieto ataka yra neribota prieiga, kurią užpuolikas įgyja siekdamas pažeisti jūsų tinklą. Nėra jokių apribojimų, ką jie gali padaryti.

Kaip veikia auksinio bilieto ataka?

Active Directory (AD) yra Microsoft iniciatyva, skirta valdyti domenų tinklus. Jame yra paskirtas Kerberos raktų paskirstymo centras (KDC), autentifikavimo protokolas, skirtas vartotojų teisėtumui patikrinti. KDC apsaugo AD generuodamas ir platindamas unikalų bilietą suteikiantį bilietą (TGT) įgaliotiems vartotojams. Šis užšifruotas bilietas apriboja naudotojus nuo žalingos veiklos tinkle ir apriboja jų naršymo seansą iki tam tikro laiko, paprastai ne ilgiau kaip 10 valandų.

Kai sukuriate domeną AD, automatiškai gaunate KRBTGT paskyrą. Auksinių bilietų atakų vykdytojai pažeidžia jūsų paskyros duomenis, kad manipuliuotų AD domeno valdikliu šiais būdais.

Rinkti informaciją

„Golden Ticker“ užpuolikas pradeda rinkdamas informaciją apie jūsų paskyrą, ypač jos visiškai kvalifikuotą domeno pavadinimą (FQDN), saugos identifikatorių ir slaptažodžio maišą. Jie galėtų naudoti sukčiavimo būdus savo duomenims rinkti, arba dar geriau, užkrėskite savo įrenginį kenkėjiška programa ir patys ją nuskaitykite. Jie gali pasirinkti žiaurią jėgą informacijos rinkimo procese.

Forge Bilietai

Grėsmės veikėjas gali matyti jūsų aktyvaus katalogo duomenis, kai įeina į paskyrą su jūsų prisijungimo kredencialais, tačiau šiuo metu jis negali atlikti veiklos. Jie turi sugeneruoti bilietus, kurie yra teisėti jūsų domeno valdikliui. KDC užšifruoja visus sugeneruotus bilietus naudodamas KRBTGT slaptažodžio maišą, todėl apgavikas turi daryti tą patį pavogti NTDS.DIT ​​failą, sulaikyti DCSync ataką arba panaudoti pažeidžiamumą galutiniai taškai.

Išsaugokite ilgalaikę prieigą

Kadangi KRBTGT slaptažodžio maišos gavimas nusikaltėliui suteikia neribotą prieigą prie jūsų sistemos, jie ja naudojasi maksimaliai. Jie neskuba išeiti, bet lieka fone, pažeisdami jūsų duomenis. Jie netgi gali apsimesti naudotojais, turinčiais didžiausias prieigos teises, nesukeldami įtarimo.

5 būdai, kaip išvengti auksinio bilietų atakos

Auksinių bilietų atakos priskiriamos prie pavojingiausių kibernetinių atakų dėl įsibrovėlio laisvės atlikti įvairią veiklą. Galite sumažinti jų atsiradimą iki minimumo, naudodami toliau nurodytas kibernetinio saugumo priemones.

1. Laikykite administratoriaus kredencialus privačius

Kaip ir dauguma kitų atakų, auksinio bilieto ataka priklauso nuo nusikaltėlio sugebėjimo gauti slaptus paskyros kredencialus. Apsaugokite pagrindinius duomenis apribodami žmonių, galinčių juos pasiekti, skaičių.

Vertingiausi kredencialai yra administratoriaus paskyrose. Kaip tinklo administratorius turite iki minimumo apriboti savo prieigos teises. Jūsų sistemai kyla didesnė rizika, kai daugiau žmonių turi prieigą prie administratoriaus teisių.

2. Nustatykite sukčiavimo bandymus ir atsispirkite jiems

Administratoriaus teisių apsauga yra viena iš būdus, kaip užkirsti kelią kredencialų vagystei. Jei užblokuosite šį langą, įsilaužėliai imsis kitų metodų, pvz., sukčiavimo atakų. Sukčiavimas yra labiau psichologinis nei techninis, todėl turite iš anksto psichiškai pasiruošti, kad jį aptiktumėte.

Susipažinkite su įvairiais sukčiavimo būdais ir scenarijais. Svarbiausia, būkite atsargūs dėl pranešimų iš nepažįstamų žmonių, kurie ieško asmenį identifikuojančios informacijos apie jus arba jūsų paskyrą. Kai kurie nusikaltėliai neprašys jūsų kredencialų tiesiogiai, bet siunčia jums užkrėstus el. laiškus, nuorodas ar priedus. Jei negalite garantuoti jokio turinio, neatidarykite jo.

3. Apsaugokite aktyvius katalogus su nulinio pasitikėjimo saugumu

Svarbi informacija, kurios įsilaužėliams reikia norint įvykdyti auksinių bilietų atakas, yra jūsų aktyviuose kataloguose. Deja, bet kuriuo metu gali atsirasti pažeidžiamumų jūsų galutiniuose taškuose, kurie gali išlikti, kol juos nepastebėsite. Tačiau pažeidžiamumų buvimas nebūtinai kenkia jūsų sistemai. Jie tampa kenksmingi, kai įsibrovėliai juos atpažįsta ir išnaudoja.

Negalite garantuoti, kad vartotojai neužsiims veikla, kuri pakenks jūsų duomenims. Įdiekite nulinio pasitikėjimo saugumą valdyti žmonių, kurie lankosi jūsų tinkle, saugumo riziką, nepaisant jų padėties ar būsenos. Kiekvieną asmenį vertinkite kaip grėsmę, nes jo veiksmai gali kelti pavojų jūsų duomenims.

4. Reguliariai keiskite savo KRBTGT paskyros slaptažodį

Jūsų KRBTGT paskyros slaptažodis yra auksinis užpuoliko bilietas į jūsų tinklą. Apsaugojus slaptažodį sukuriama kliūtis tarp jų ir jūsų paskyros. Tarkime, kad nusikaltėlis jau pateko į jūsų sistemą, gavęs slaptažodžio maišą. Jų tarnavimo laikas priklauso nuo slaptažodžio galiojimo. Jei jį pakeisite, jie negalės veikti.

Yra tendencija, kad jūs nežinote apie auksinės grėsmės užpuolikų buvimą jūsų sistemoje. Ugdykite įprotį reguliariai keisti slaptažodį net tada, kai neįtariate, kad yra ataka. Šiuo vieninteliu veiksmu panaikinamos prieigos teisės neteisėtiems naudotojams, kurie jau turi prieigą prie jūsų paskyros.

„Microsoft“ ypač pataria vartotojams reguliariai keisti KRBTGT paskyros slaptažodžius, kad būtų išvengta neteisėtos prieigos nusikaltėlių.

5. Priimkite grėsmių žmonėms stebėjimą

Aktyvus grėsmių ieškojimas sistemoje yra vienas efektyviausių būdų aptikti ir sulaikyti auksinių bilietų atakas. Šios atakos yra neinvazinės ir vykdomos fone, todėl galite nežinoti apie pažeidimą, nes viskas gali atrodyti normaliai.

Auksinių bilietų atakų sėkmė priklauso nuo nusikaltėlio sugebėjimo veikti kaip įgaliotas vartotojas, pasinaudodamas savo prieigos privilegija. Tai reiškia, kad automatiniai grėsmių stebėjimo įrenginiai gali neaptikti jų veiklos, nes ji nėra neįprasta. Norėdami juos aptikti, jums reikia žmonių grėsmių stebėjimo įgūdžių. Taip yra todėl, kad žmonės turi šeštąjį pojūtį, kad atpažintų įtartiną veiklą net tada, kai įsibrovėlis teigia esantis teisėtas.

Apsaugokite jautrius įgaliojimus nuo auksinių bilietų atakų

Kibernetiniai nusikaltėliai neturės neribotos prieigos prie jūsų paskyros per auksinio bilieto ataką be jūsų klaidų. Jei atsiranda nenumatytų pažeidžiamumų, galite iš anksto įdiegti priemones, skirtas jas sumažinti.

Apsaugodami pagrindinius kredencialus, ypač KRBTGT paskyros slaptažodžio maišą, įsibrovėliai turi labai ribotas galimybes įsilaužti į jūsų paskyrą. Pagal numatytuosius nustatymus galite valdyti savo tinklą. Užpuolikai pasikliauja jūsų saugumo aplaidumu, kad klestėtų. Neduokite jiems galimybės.