Кто-то может причинить много вреда, если получит такой же доступ к вашим данным, как и вы. Вот что делает этот тип атаки таким страшным.
Достижения в области кибербезопасности позволяют системам мониторинга угроз выявлять необычные действия преступников. Чтобы обойти эти инструменты, злоумышленники теперь используют законный статус и права доступа авторизованных пользователей в злонамеренных целях.
Хакер может иметь неограниченный доступ к вашим данным, не поднимая пыли, запустив атаку с золотым билетом. При этом они имеют практически такие же права доступа, как и вы. Слишком рискованно для злоумышленников иметь такую силу, не так ли? Вот как их остановить.
Что такое атака с золотым билетом?
В этом контексте золотой билет означает неограниченный доступ. Преступник с билетом может взаимодействовать со всеми компонентами вашей учетной записи, включая ваши данные, приложения, файлы и т. д. Атака с золотым билетом — это неограниченный доступ, который злоумышленник получает для взлома вашей сети. Нет предела тому, что они могут сделать.
Как работает атака с золотым билетом?
Active Directory (AD) — это инициатива Microsoft по управлению доменными сетями. Он имеет назначенный центр распространения ключей Kerberos (KDC), протокол аутентификации для проверки легитимности пользователей. KDC защищает AD, создавая и распространяя уникальный билет на предоставление билетов (TGT) авторизованным пользователям. Этот зашифрованный билет запрещает пользователям выполнять вредоносные действия в сети и ограничивает их сеанс просмотра определенным временем, обычно не более 10 часов.
Когда вы создаете домен в AD, вы автоматически получаете учетную запись KRBTGT. Злоумышленники атак с золотым билетом компрометируют данные вашей учетной записи, чтобы манипулировать контроллером домена AD следующими способами.
Собирать информацию
Злоумышленник с золотым тикером начинает со сбора информации о вашей учетной записи, особенно о ее полном доменном имени (FQDN), идентификаторе безопасности и хэше пароля. Они могли использовать методы фишинга для сбора ваших данных, или, что еще лучше, заразить свое устройство вредоносным ПО и извлечь его самостоятельно. Они могут выбрать грубую силу в процессе сбора информации.
Подделать билеты
Злоумышленник может увидеть ваши данные Active Directory, когда он войдет в вашу учетную запись с вашими учетными данными, но в этот момент он не может выполнять какие-либо действия. Они должны генерировать билеты, которые легальны для вашего контроллера домена. KDC шифрует все генерируемые им билеты с помощью хэша пароля KRBTGT, поэтому самозванец должен сделать то же самое. либо путем кражи файла NTDS.DIT, осуществления атаки DCSync или использования уязвимостей в конечные точки.
Сохранить долгосрочный доступ
Поскольку получение хэша пароля KRBTGT дает злоумышленникам неограниченный доступ к вашей системе, они используют его по максимуму. Они не спешат уходить, а остаются в тени, компрометируя ваши данные. Они даже могут выдавать себя за пользователей с наивысшими привилегиями доступа, не вызывая подозрений.
5 способов предотвратить атаку «золотого билета»
Атаки с использованием «золотых билетов» относятся к наиболее опасным кибератакам из-за свободы злоумышленника выполнять различные действия. Вы можете свести их появление к минимуму с помощью следующих мер кибербезопасности.
1. Держите учетные данные администратора в секрете
Как и большинство других атак, атака с золотым билетом зависит от способности преступника получить конфиденциальные учетные данные. Защитите ключевые данные, ограничив количество людей, которые могут получить к ним доступ.
Наиболее ценные учетные данные находятся в учетных записях пользователей-администраторов. Как сетевому администратору, вам необходимо максимально ограничить свои права доступа. Ваша система подвергается более высокому риску, когда больше людей имеют доступ к привилегиям администратора.
2. Выявление и противодействие попыткам фишинга
Обеспечение прав администратора является одним из способы предотвратить кражу учетных данных. Если вы заблокируете это окно, хакеры прибегнут к другим методам, таким как фишинговые атаки. Фишинг больше психологический, чем технический, поэтому нужно заранее морально подготовиться к его обнаружению.
Ознакомьтесь с различными методами и сценариями фишинга. Самое главное, будьте осторожны с сообщениями от незнакомцев, которые запрашивают личную информацию о вас или вашей учетной записи. Некоторые преступники не запрашивают ваши учетные данные напрямую, а отправляют вам зараженные электронные письма, ссылки или вложения. Если вы не можете поручиться за какой-либо контент, не открывайте его.
3. Защитите Active Directory с помощью Zero Trust Security
Важная информация, необходимая хакерам для выполнения атак с золотым билетом, находится в ваших активных каталогах. К сожалению, уязвимости могут возникнуть в ваших конечных точках в любое время и проявиться до того, как вы их заметите. Но наличие уязвимостей не обязательно вредит вашей системе. Они становятся опасными, когда злоумышленники идентифицируют и используют их.
Вы не можете поручиться за то, чтобы пользователи не занимались действиями, которые могут поставить под угрозу ваши данные. Реализовать безопасность с нулевым доверием для управления рисками безопасности людей, которые посещают вашу сеть, независимо от их положения или статуса. Рассматривайте каждого человека как угрозу, поскольку его действия могут поставить под угрозу ваши данные.
4. Регулярно меняйте пароль своей учетной записи KRBTGT
Пароль вашей учетной записи KRBTGT — это золотой билет злоумышленника в вашу сеть. Защита вашего пароля создает барьер между ними и вашей учетной записью. Допустим, преступник уже вошел в вашу систему после получения хэша вашего пароля. Срок их жизни зависит от действительности пароля. Если вы измените его, они не смогут работать.
Вы склонны не знать о присутствии злоумышленников в вашей системе. Выработайте привычку регулярно менять пароль, даже если вы не подозреваете о нападении. Это единственное действие отменяет права доступа неавторизованных пользователей, которые уже имеют доступ к вашей учетной записи.
Microsoft специально рекомендует пользователям регулярно менять пароли своих учетных записей KRBTGT, чтобы предотвратить несанкционированный доступ злоумышленников.
5. Внедрите мониторинг человеческих угроз
Активный поиск угроз в вашей системе — один из наиболее эффективных способов обнаружения и сдерживания атак с использованием «золотого билета». Эти атаки неинвазивны и выполняются в фоновом режиме, поэтому вы можете не знать о взломе, поскольку на первый взгляд все может выглядеть нормально.
Успех атак с золотым билетом заключается в способности преступника действовать как авторизованный пользователь, используя свои привилегии доступа. Это означает, что автоматические устройства мониторинга угроз могут не обнаруживать их действия, потому что они не являются чем-то необычным. Для их обнаружения вам необходимы навыки мониторинга человеческих угроз. И это потому, что у людей есть шестое чувство, чтобы идентифицировать подозрительные действия, даже когда злоумышленник утверждает, что он законный.
Защитите конфиденциальные учетные данные от атак Golden Ticket
Киберпреступники не имели бы неограниченного доступа к вашей учетной записи при атаке с золотым билетом без упущений с вашей стороны. При возникновении непредвиденных уязвимостей вы можете заранее принять меры для их смягчения.
Защита ваших основных учетных данных, особенно хэша пароля учетной записи KRBTGT, оставляет злоумышленникам очень ограниченные возможности для взлома вашей учетной записи. По умолчанию у вас есть контроль над вашей сетью. Злоумышленники полагаются на ваше пренебрежение безопасностью, чтобы преуспеть. Не давайте им возможности.