Kāds var nodarīt lielu ļaunumu, ja iegūs tikpat lielu piekļuvi jūsu datiem kā jūs. Tieši tāpēc šāda veida uzbrukumi ir tik biedējoši.
Kiberdrošības sasniegumi ļauj draudu uzraudzības sistēmām atklāt neparastas noziedznieku darbības. Lai pārspētu šos rīkus, iebrucēji tagad ļaunprātīgos nolūkos izmanto pilnvaroto lietotāju likumīgo statusu un piekļuves privilēģijas.
Hakeris var iegūt neierobežotu piekļuvi jūsu datiem, neradot putekļus, uzsākot zelta biļešu uzbrukumu. To darot, viņiem praktiski ir tādas pašas piekļuves tiesības kā jums. Tas ir pārāk riskanti, lai uzbrucējiem būtu tāda vara, vai ne? Lūk, kā tos apturēt.
Kas ir zelta biļešu uzbrukums?
Šajā kontekstā zelta biļete nozīmē neierobežotu piekļuvi. Noziedznieks ar biļeti var mijiedarboties ar visiem jūsu konta komponentiem, tostarp datiem, lietojumprogrammām, failiem utt. Zelta biļetes uzbrukums ir neierobežota piekļuve, ko uzbrucējs iegūst, lai apdraudētu jūsu tīklu. Nav ierobežojumu tam, ko viņi var darīt.
Kā darbojas zelta biļetes uzbrukums?
Active Directory (AD) ir Microsoft iniciatīva domēnu tīklu pārvaldībai. Tam ir norādīts Kerberos atslēgu izplatīšanas centrs (KDC), autentifikācijas protokols lietotāju leģitimitātes pārbaudei. KDC nodrošina AD, ģenerējot un izplatot autorizētiem lietotājiem unikālu biļešu piešķiršanas biļeti (TGT). Šī šifrētā biļete ierobežo lietotājus veikt kaitīgas darbības tīklā un ierobežo viņu pārlūkošanas sesiju līdz noteiktam laikam, parasti ne vairāk kā 10 stundas.
Izveidojot domēnu pakalpojumā AD, jūs automātiski saņemat KRBTGT kontu. Zelta biļešu uzbrukumu veicēji apdraud jūsu konta datus, lai manipulētu ar AD domēna kontrolleri tālāk norādītajos veidos.
Ievākt informāciju
Zelta svārsts uzbrucējs vispirms apkopo informāciju par jūsu kontu, jo īpaši tā pilnībā kvalificēto domēna nosaukumu (FQDN), drošības identifikatoru un paroles jaucējkodu. Viņi varētu izmantot pikšķerēšanas metodes, lai apkopotu savus datusvai, vēl labāk, inficējiet ierīci ar ļaunprātīgu programmatūru un izgūstiet to paši. Viņi informācijas vākšanas procesā var izvēlēties brutālu spēku.
Forge Biļetes
Iespējams, draudu izpildītājs varēs redzēt jūsu aktīvos direktoriju datus, kad viņš ievadīs jūsu kontu ar jūsu pieteikšanās akreditācijas datiem, taču viņš pašlaik nevar veikt darbības. Viņiem ir jāģenerē biļetes, kas ir likumīgas jūsu domēna kontrollerim. KDC šifrē visas ģenerētās biļetes ar savu KRBTGT paroles jaucējkrānu, tāpēc viltniekam ir jādara tas pats vai nu nozogot failu NTDS.DIT, izraisot DCSync uzbrukumu vai izmantojot ievainojamības galapunktiem.
Saglabājiet ilgtermiņa piekļuvi
Tā kā KRBTGT paroles jaucējkoda iegūšana nodrošina noziedzniekam neierobežotu piekļuvi jūsu sistēmai, viņi to izmanto maksimāli. Viņi nesteidzas doties prom, bet paliek fonā, apdraudot jūsu datus. Viņi pat var uzdoties par lietotājiem ar visaugstākajām piekļuves privilēģijām, neradot aizdomas.
5 veidi, kā novērst zelta biļešu uzbrukumu
Zelta biļešu uzbrukumi ierindojas starp bīstamākajiem kiberuzbrukumiem, pateicoties iebrucēja brīvībai veikt dažādas darbības. Varat samazināt to rašanos līdz minimumam, izmantojot tālāk norādītos kiberdrošības pasākumus.
1. Saglabājiet administratora akreditācijas datus privātus
Tāpat kā vairums citu uzbrukumu, zelta biļetes uzbrukums ir atkarīgs no noziedznieka spējas izgūt sensitīvus konta akreditācijas datus. Nodrošiniet galvenos datus, ierobežojot to personu skaitu, kuras tiem var piekļūt.
Visvērtīgākie akreditācijas dati ir administratora lietotāju kontos. Kā tīkla administratoram jums ir jāierobežo piekļuves privilēģijas līdz minimumam. Jūsu sistēma ir pakļauta lielākam riskam, ja vairāk cilvēku var piekļūt administratora privilēģijām.
2. Identificējiet pikšķerēšanas mēģinājumus un pretoties tiem
Administratora privilēģiju nodrošināšana ir viena no veidi, kā novērst akreditācijas datu zādzību. Ja bloķēsit šo logu, hakeri izmantos citas metodes, piemēram, pikšķerēšanas uzbrukumus. Pikšķerēšana ir vairāk psiholoģiska, nevis tehniska, tāpēc jums jau iepriekš ir jābūt garīgi sagatavotam, lai to atklātu.
Iepazīstieties ar dažādām pikšķerēšanas metodēm un scenārijiem. Vissvarīgākais — esiet piesardzīgs pret ziņojumiem no svešiniekiem, kuri meklē personu identificējošu informāciju par jums vai jūsu kontu. Daži noziedznieki nepieprasīs jūsu akreditācijas datus tieši, bet nosūtīs jums inficētus e-pastus, saites vai pielikumus. Ja nevarat galvot par saturu, neatveriet to.
3. Nodrošiniet aktīvos direktorijus ar nulles uzticamības drošību
Svarīgā informācija, kas hakeriem nepieciešama, lai veiktu zelta biļešu uzbrukumus, ir jūsu aktīvajos direktorijos. Diemžēl jūsu galapunktos jebkurā laikā var rasties ievainojamības, un tās var uzkavēties, pirms tās pamanāt. Taču ievainojamību esamība ne vienmēr kaitē jūsu sistēmai. Tie kļūst kaitīgi, kad iebrucēji tos identificē un izmanto.
Jūs nevarat galvot, ka lietotāji neveiks darbības, kas apdraud jūsu datus. Ieviesiet nulles uzticības drošību lai pārvaldītu to cilvēku drošības riskus, kuri apmeklē jūsu tīklu neatkarīgi no viņu amata vai statusa. Uztveriet katru personu kā draudu, jo viņa darbības var apdraudēt jūsu datus.
4. Regulāri mainiet sava KRBTGT konta paroli
Jūsu KRBTGT konta parole ir uzbrucēja zelta biļete uz jūsu tīklu. Paroles aizsardzība rada barjeru starp viņiem un jūsu kontu. Pieņemsim, ka noziedznieks jau ir iekļuvis jūsu sistēmā pēc jūsu paroles jaucējkoda izgūšanas. To kalpošanas laiks ir atkarīgs no paroles derīguma. Ja to mainīsit, viņi nevarēs darboties.
Pastāv tendence, ka jūs nezināt par zelta draudu uzbrucēju klātbūtni jūsu sistēmā. Izkopiet ieradumu regulāri mainīt paroli pat tad, ja jums nav aizdomas par uzbrukumu. Šis vienīgais akts atceļ piekļuves privilēģijas neautorizētiem lietotājiem, kuriem jau ir piekļuve jūsu kontam.
Microsoft īpaši iesaka lietotājiem regulāri mainīt KRBTGT konta paroles, lai atvairītu noziedzniekus ar nesankcionētu piekļuvi.
5. Pieņemt cilvēku apdraudējuma uzraudzību
Aktīva draudu meklēšana savā sistēmā ir viens no efektīvākajiem veidiem, kā atklāt un ierobežot zelta biļešu uzbrukumus. Šie uzbrukumi ir neinvazīvi un notiek fonā, tāpēc jūs, iespējams, nezināt par pārkāpumu, jo viss var izskatīties normāli.
Zelta biļešu uzbrukumu panākumi ir saistīti ar noziedznieka spēju rīkoties kā autorizētam lietotājam, izmantojot savas piekļuves privilēģijas. Tas nozīmē, ka automatizētās draudu uzraudzības ierīces var neatklāt to darbības, jo tās nav nekas neparasts. Lai tos atklātu, jums ir nepieciešamas cilvēku draudu uzraudzības prasmes. Un tas ir tāpēc, ka cilvēkiem ir sestā maņa, lai identificētu aizdomīgas darbības pat tad, ja iebrucējs apgalvo, ka tās ir likumīgas.
Nodrošiniet sensitīvus akreditācijas datus pret zelta biļešu uzbrukumiem
Kibernoziedzniekiem nebūtu neierobežotas piekļuves jūsu kontam zelta biļešu uzbrukumā bez jūsu kļūdām. Ja rodas neparedzētas ievainojamības, varat jau laikus ieviest pasākumus, lai tās mazinātu.
Svarīgo akreditācijas datu, īpaši KRBTGT konta paroles jaukšanas, nodrošināšana iebrucējiem atstāj ļoti ierobežotas iespējas uzlauzt jūsu kontu. Pēc noklusējuma jūs kontrolējat savu tīklu. Uzbrucēji paļaujas uz jūsu nolaidību drošības jomā, lai attīstītos. Nedod viņiem iespēju.