Что такое Pass the Hash Attack и как она работает?

Вводить свои учетные данные каждый раз, когда вы хотите войти в систему, может быть утомительно, особенно если вы входите в систему регулярно. Вы можете даже забыть свои пароли.

Внедрение операционных систем, обеспечивающих единый вход для пользователей, избавляет вас от необходимости каждый раз повторно вводить данные для входа. Но есть проблема с этим. Злоумышленники могут использовать ваши учетные данные, сохраненные в системе, с помощью атаки Pass-the-Hash (PtH).

Здесь мы обсудим, как работает атака Pass-the-Hash и как ее можно смягчить.

Что такое Pass the Hash Attack?

Хэширование — это процесс преобразования строк символов в код, что делает его намного короче и проще. Это один из крупных игроков в области кибербезопасности, который имеет решающее значение для предотвращения утечки данных.

Администраторы веб-приложений шифровать файлы и сообщения для предотвращения несанкционированного доступа к ним. Хотя эти файлы хранятся в тайне, хеширование помогает проверить их целостность. Это предотвращает повреждение файлов или изменение их содержимого, а затем представление их как исходных файлов.

Хэш не может быть реверсирован после перевода. Это позволяет вам только определить, похожи ли два файла или нет, без выяснения их содержимого. Прежде чем получить доступ к системе или службе по сети, вы должны пройти аутентификацию, указав свое имя пользователя и пароль. Теперь эта информация сохраняется в базе данных для последующего сравнения при повторной попытке входа в систему.

Ваши пароли представлены открытым текстом, что делает их менее безопасными. И если злоумышленник может получить доступ к базе данных, он может украсть ваш пароль и получить несанкционированный доступ к вашей учетной записи. Ситуация ухудшится, если вы один из тех пользователей, которые используют один пароль для разных учетных записей. Злоумышленник будет использовать украденный пароль для доступа к другим вашим учетным записям.

Итак, как же здесь играет роль хэш?

Механизм хеширования преобразует ваш открытый текстовый пароль в данные, которые нельзя изменить обратно на исходный пароль. После того, как ваш пароль будет хеширован и сохранен в памяти системы, он будет использоваться для подтверждения вашей личности в следующий раз, когда вы захотите получить доступ к услуге.

Хэш защищает учетные записи пользователей от несанкционированного доступа. Но не так долго, как киберпреступники разработали стратегию сбора хэша. Уязвимость системы безопасности, обнаруженная в системе единого входа (SSO), уступила место атаке Pass-the-Hash. Впервые он появился в 1997 году и существует уже 24 года.

Атака Pass-the-Hash похожа на уловки злоумышленников использовать для кражи паролей пользователей. Это одна из самых распространенных, но недооцененных атак, когда речь идет о краже и использовании учетных данных пользователя.

При использовании метода Pass-the-Hash злоумышленникам не нужно взламывать хэш. Его можно использовать повторно или передать на сервер аутентификации. Хэши паролей остаются неизменными от сеанса к сеансу, пока они не будут изменены. По этой причине злоумышленники используют протоколы аутентификации операционных систем для кражи хешированных паролей.

Как работает Pass the Hash Attack?

Атаки Pass-the-Hash наиболее распространены в системах Windows, хотя они могут происходить и в других операционных системах, таких как Linux и UNIX. Хакеры всегда ищут лазейки в этих системах, чтобы добраться до своих жертв.

Уязвимость Windows заключается в ее аутентификации NTLM, которая реализует функцию единого входа (SSO). Это позволяет пользователям вводить свои пароли один раз и получать доступ к любой функции, которую они хотят.

Вот как это работает:

Когда вы впервые регистрируетесь в системе Windows, она хэширует ваш пароль и сохраняет его в памяти системы. Это возможность для злоумышленников использовать ваш хешированный пароль. Они могут иметь физический доступ к вашей системе, удалять ее активную память или заражать ее вредоносными программами и другими способами.

Такие инструменты, как Metasploit, Gsecdump и Mimikatz, используются для извлечения хешированных учетных данных из памяти системы. Сделав это, злоумышленники повторно используют ваши учетные данные, чтобы войти в систему от вашего имени и получить доступ ко всем приложениям, на которые у вас есть права.

Если друг или коллега зашел в вашу систему, хакер также может получить их хэш. Помните, что это техника бокового движения. В худшем случае хакер получает доступ к системам управления, на которых работает вся организация или ИТ-инфраструктура. Оказавшись внутри, они могут украсть конфиденциальную информацию, изменить записи или установить вредоносное ПО.

Как смягчить Pass the Hash Attack

Вот что вам следует знать об атаке Pass-the-Hash. Это не баг, а фича. Протокол единого входа, реализованный с помощью хэша, избавляет пользователей от необходимости повторно вводить свои пароли. Таким образом, хакеры теперь используют функцию Windows SSO, коммуникационный протокол систем Linux и Unix, для злонамеренных действий.

Вы можете уменьшить свои шансы стать жертвой таких атак, следуя этим эффективным решениям.

1. Включить Credential Guard в Защитнике Windows

Credential Guard в Защитнике Windows — это функция безопасности, которая входит в состав систем Windows 10 и более поздних версий. Он защищает конфиденциальную информацию, хранящуюся в системе. Служба подсистемы локального органа безопасности (LSASS) обеспечивает соблюдение политики безопасности в системе Windows.

2. Внедрите модель безопасности с наименьшими привилегиями

Вот в чем дело: если вы владелец бизнеса и на вас работают люди, ограничьте их права доступа только к ресурсам и файлам, необходимым для выполнения их работы в сетевой системе.

Устраните ненужные права администратора и предоставляйте права только доверенным приложениям. Это уменьшит возможность хакера расширить свой доступ и разрешения.

3. Перезагрузите системы после выхода из системы

Помните, что цель состоит в том, чтобы свести к минимуму риск стать жертвой атаки Pass-the-Hash. Поскольку система хранит хэш пароля в своей памяти, перезагрузка компьютера после выхода из системы удалит хэш из памяти системы.

4. Установите программное обеспечение для защиты от вредоносных программ

Киберпреступники отлично справляются с использованием вредоносных программ для компрометации сетей. Автоматизированные инструменты, такие как программное обеспечение для защиты от вредоносных программ, пригодятся для защиты от этих кибератак. Эти инструменты обнаруживают зараженные или вредоносные файлы в вашей системе и нейтрализуют их до того, как они нанесут удар.

Устанавливая антивирусное программное обеспечение на свои устройства, вы защищаете свою систему от вредоносных программ. Вы также можете использовать платформы «вредоносное ПО как услуга», чтобы получить индивидуальные вредоносные решения.

5. Обновите свои операционные системы

Зачем использовать более старую версию операционной системы с меньшей безопасностью, если ее можно обновить?

Новейшие операционные системы обычно обеспечивают гораздо лучший пользовательский интерфейс и имеют более надежную защиту. Например, Windows 10 версии 1703 имеет несколько функций безопасности, которые защищают пользователей в сети.

Примите эффективный подход к атаке Pass the Hash

Атаки Pass-the-Hash всегда затрагивают операционные системы, поддерживающие единый вход. В то время как хеш-функция пытается защитить ваш пароль, атаки обходят систему безопасности, чтобы украсть хешированные пароли с помощью нескольких инструментов.

Возьмите на себя ответственность за защиту своих учетных данных путем обновления до новейших операционных систем, предоставление разрешений только доверенным приложениям и установка программного обеспечения для защиты от вредоносных программ на вашем компьютер. Киберпреступники могут передать хеш только тогда, когда для них есть автострада. Вы несете ответственность за закрытие всех лазеек в вашей сети.

Что такое вредоносное ПО Emotet и как оно работает?

В отличие от большинства вредоносных программ, Emotet остается незамеченным и работает в тишине, чтобы заманить жертв. Узнайте, как это работает и что вы можете сделать, чтобы защитить себя.

Читать дальше

Об авторе