Kas ir jaucējuzbrukuma izturēšana un kā tas darbojas?

Akreditācijas datu ievadīšana katru reizi, kad vēlaties pieteikties sistēmā, var būt nogurdinoši, īpaši, ja sistēmā piesakāties regulāri. Jūs pat varat aizmirst savas paroles.

Ieviešot operētājsistēmas, kas lietotājiem nodrošina vienreizēju pierakstīšanos, jūs katru reizi neievadāt savu pieteikšanās informāciju. Taču ar to ir kāda problēma. Uzbrucēji var izmantot jūsu sistēmā saglabātos akreditācijas datus, izmantojot Pass-the-Hash uzbrukumu (PtH).

Šeit mēs apspriedīsim, kā darbojas Pass-the-Hash uzbrukums un kā jūs varat to mazināt.

Kas ir izturēt jaucējuzbrukumu?

Jaukšana ir process, kurā rakstzīmju virknes tiek pārvērstas kodā, padarot to daudz īsāku un vienkāršāku. Tas ir viens no lielākajiem spēlētājiem kiberdrošībā, kam ir izšķiroša nozīme datu pārkāpumu novēršanā.

Tīmekļa lietojumprogrammu administratori šifrēt failus un ziņas lai novērstu nesankcionētu piekļuvi tiem. Lai gan šie faili ir konfidenciāli, jaukšana palīdz pārbaudīt to integritāti. Tas neļauj nevienam sabojāt failus vai mainīt to saturu un pēc tam tos parādīt kā oriģinālos failus.

Jaucējkodu pēc tulkošanas nevar atsaukt. Tas tikai ļauj noteikt, vai divi faili ir līdzīgi, nenoskaidrojot to saturu. Pirms piekļūstat sistēmai vai pakalpojumam tīklā, jums ir jāveic autentifikācija, uzrādot savu lietotājvārdu un paroli. Tagad šī informācija tiek saglabāta datu bāzē turpmākai salīdzināšanai, kad mēģināsit pieteikties vēlreiz.

Jūsu paroles ir skaidrā tekstā, kas padara tās mazāk drošas. Un, ja uzbrucējs var piekļūt datu bāzei, viņš var nozagt jūsu paroli un iegūt nesankcionētu piekļuvi jūsu kontam. Situācija pasliktināsies, ja esat viens no tiem lietotājiem, kuri dažādiem kontiem izmanto vienu paroli. Uzbrucējs izmantos nozagto paroli, lai piekļūtu citiem jūsu kontiem.

Tātad, kā šeit tiek izmantots hash?

Jaukšanas mehānisms pārveido jūsu skaidrā teksta paroli datos, kurus nevar mainīt atpakaļ uz sākotnējo paroli. Pēc tam, kad jūsu parole ir sajaukta un saglabāta sistēmas atmiņā, tā tiek izmantota, lai pierādītu jūsu identitāti nākamreiz, kad vēlaties piekļūt pakalpojumam.

Hash aizsargā lietotāju kontus no nesankcionētas piekļuves. Bet ne tik ilgi, kamēr kibernoziedznieki ir izstrādājuši stratēģiju, lai iegūtu hash. Vienotajā pierakstīšanā (SSO) konstatētā drošības ievainojamība ir devusi vietu Pass-the-Hash uzbrukumam. Pirmo reizi tas parādījās 1997. gadā un pastāv jau 24 gadus.

Pass-the-Hash uzbrukums ir līdzīgs triku uzbrucējiem izmantot, lai nozagtu lietotāju paroles. Tas ir viens no visizplatītākajiem, taču nepietiekami novērtētajiem uzbrukumiem, kad runa ir par lietotāja akreditācijas datu zādzību un izmantošanu.

Izmantojot Pass-the-Hash tehniku, uzbrucējiem nav nepieciešams uzlauzt hash. To var izmantot atkārtoti vai nodot autentifikācijas serverim. Paroļu jaucējkodi paliek statiski no sesijas uz sesiju, līdz tie tiek mainīti. Šī iemesla dēļ uzbrucēji meklē operētājsistēmu autentifikācijas protokolus, lai nozagtu jauktās paroles.

Kā darbojas jaucējuzbrukuma izturēšana?

Pass-the-Hash uzbrukumi ir visizplatītākie Windows sistēmās, lai gan tie var notikt arī citās operētājsistēmās, piemēram, Linux un UNIX. Hakeri vienmēr meklē nepilnības šajās sistēmās, lai uzķertu savus upurus.

Windows ievainojamība slēpjas tās NTLM autentifikācijā, kas īsteno vienreizējās pierakstīšanās (SSO) funkciju. Tas ļauj lietotājiem vienreiz ievadīt paroles un piekļūt jebkurai funkcijai, ko viņi vēlas.

Lūk, kā tas darbojas:

Kad pirmo reizi reģistrējaties Windows sistēmā, tā sajauc jūsu paroli un saglabā to sistēmas atmiņā. Šī ir iespēja uzbrucējiem izmantot jūsu jaukto paroli. Viņiem var būt fiziska piekļuve jūsu sistēmai, viņi var izmest tās aktīvo atmiņu vai inficēt to ar ļaunprātīgu programmatūru un citām metodēm.

Jaukto akreditācijas datu iegūšanai no sistēmas atmiņas tiek izmantoti tādi rīki kā Metasploit, Gsecdump un Mimikatz. Pēc tam uzbrucēji atkārtoti izmanto jūsu akreditācijas datus, lai pieteiktos kā jūs un piekļūtu visām lietojumprogrammām, uz kurām jums ir tiesības.

Ja draugs vai kolēģis ir pieteicies jūsu sistēmā, hakeris var iegūt arī viņu jaucējkodu. Atcerieties, ka tā ir sānu kustību tehnika. Sliktākais scenārijs ir tāda, ka hakeris iegūst piekļuvi kontroles sistēmām, kas pārvalda visu organizāciju vai IT infrastruktūru. Nokļūstot iekšā, viņi var nozagt sensitīvu informāciju, modificēt ierakstus vai instalēt ļaunprātīgu programmatūru.

Kā mazināt jaukšanas uzbrukumu

Šeit ir kaut kas, kas jums jāzina par Pass-the-Hash uzbrukumu. Tā nav kļūda, bet gan funkcija. Vienotās pierakstīšanās protokols, kas ieviests ar jaucējkodu, ir glābt lietotājus no problēmām, kas saistītas ar paroles atkārtotu ievadīšanu. Tātad, hakeri tagad ļaunprātīgiem nolūkiem izmanto Windows SSO funkciju, Linux un Unix sistēmu sakaru protokolu.

Jūs varat samazināt savas iespējas kļūt par šādu uzbrukumu upuriem, ievērojot šos efektīvos risinājumus.

1. Iespējot Windows Defender Credential Guard

Windows Defender Credential Guard ir drošības līdzeklis, kas tiek nodrošināts ar Windows 10 un jaunākām sistēmām. Tas aizsargā sistēmā saglabāto sensitīvo informāciju. Vietējās drošības iestādes apakšsistēmas pakalpojums (LSASS) ievieš drošības politiku Windows sistēmā.

2. Ieviesiet vismazāko privilēģiju drošības modeli

Lūk, ja esat uzņēmuma īpašnieks un jūsu labā strādā cilvēki, ierobežojiet viņu piekļuves tiesības tikai resursiem un failiem, kas nepieciešami viņu darbu veikšanai tīkla sistēmā.

Likvidējiet nevajadzīgās administratora tiesības un piešķiriet privilēģijas tikai uzticamām lietojumprogrammām. Tas samazinās hakeru iespējas paplašināt piekļuvi un atļaujas.

3. Atsāknējiet sistēmas pēc atteikšanās

Atcerieties, ka mērķis ir samazināt risku kļūt par Pass-the-Hash uzbrukuma upuri. Tā kā sistēma saglabā paroles jaucējkodu savā atmiņā, datora atsāknēšana pēc atteikšanās noņems jaucējkodu no sistēmas atmiņas.

4. Instalējiet programmatūru pret ļaunprātīgu programmatūru

Kibernoziedznieki veic lielisku darbu, izmantojot ļaunprātīgu programmatūru, lai apdraudētu tīklus. Automatizēti rīki, piemēram, ļaunprātīgas programmatūras novēršanas programmatūra, ir noderīgi, lai nodrošinātu aizsardzību pret šiem kiberuzbrukumiem. Šie rīki atklāj inficētus vai ļaunprātīgus failus jūsu sistēmā un neitralizē tos, pirms tie tiek aktivizēti.

Instalējot savās ierīcēs programmatūru pret ļaunprātīgu programmatūru, jūs aizsargājat savu sistēmu pret ļaunprātīgu programmatūru. Lai iegūtu, varat arī izmantot ļaunprātīgas programmatūras kā pakalpojuma platformas pielāgotus ļaunprātīgas programmatūras risinājumus.

5. Atjauniniet savas operētājsistēmas

Kāpēc pieturēties pie vecākas operētājsistēmas versijas ar mazāku drošību, ja to var atjaunināt?

Jaunākās operētājsistēmas parasti nodrošina daudz labāku lietotāja pieredzi, un tām ir spēcīgāka aizsardzība. Piemēram, Windows 10 versijai 1703 ir vairāki drošības līdzekļi, kas aizsargā lietotājus dažādos tīklos.

Izmantojiet efektīvu pieeju jaucējuzbrukuma pārvarēšanai

Pass-the-Hash uzbrukumi vienmēr ietekmēs operētājsistēmas, kas atbalsta vienu pierakstīšanos. Kamēr jaucējfunkcija mēģina aizsargāt jūsu paroli, uzbrukumi apiet drošību, lai nozagtu jauktās paroles, izmantojot vairākus rīkus.

Uzņemieties atbildību par savu akreditācijas datu aizsardzību, jauninot uz jaunākajām operētājsistēmām, atļauju piešķiršana tikai uzticamām lietojumprogrammām un ļaunprātīgas programmatūras novēršanas programmatūras instalēšana jūsu ierīcē dators. Kibernoziedznieki var šķērsot jaucējkrānu tikai tad, ja viņiem ir pieejama automaģistrāle. Jūsu pienākums ir novērst visas nepilnības savā tīklā.

Kas ir Emotet ļaunprātīga programmatūra un kā tā darbojas?

Atšķirībā no vairuma ļaunprātīgas programmatūras, Emotet lido zem radara un darbojas klusi, lai pievilinātu upurus. Uzziniet, kā tas darbojas un ko varat darīt, lai sevi aizsargātu.

Lasiet Tālāk

Par autoru