Noen kan gjøre mye skade hvis de får så mye tilgang til dataene dine som du har. Det er det som gjør denne typen angrep så skummelt.
Fremskritt innen cybersikkerhet gjør det mulig for trusselovervåkingssystemer å oppdage uvanlige aktiviteter til kriminelle. For å slå disse verktøyene utnytter inntrengere nå den legitime statusen og tilgangsprivilegiene til autoriserte brukere til ondsinnede formål.
En hacker kan ha ubegrenset tilgang til dataene dine uten å få opp støv ved å starte et gyllent billettangrep. Ved å gjøre det har de praktisk talt samme tilgangsrettigheter som deg. Det er for risikabelt for angripere å ha slik makt, synes du ikke? Slik stopper du dem.
Hva er et Golden Ticket Attack?
I denne sammenheng betyr en gylden billett ubegrenset tilgang. En kriminell med billetten kan samhandle med alle kontokomponentene dine, inkludert data, applikasjoner, filer osv. Et gullbillettangrep er den ubegrensede tilgangen en angriper får for å kompromittere nettverket ditt. Det er ingen grenser for hva de kan gjøre.
Hvordan fungerer et Golden Ticket Attack?
Active Directory (AD) er et initiativ fra Microsoft for å administrere domenenettverk. Den har et utpekt Kerberos nøkkeldistribusjonssenter (KDC), en autentiseringsprotokoll for å verifisere brukernes legitimitet. KDC sikrer AD ved å generere og distribuere en unik billetttildelingsbillett (TGT) til autoriserte brukere. Denne krypterte billetten begrenser brukere fra å utføre skadelige aktiviteter på nettverket og begrenser deres nettlesingsøkt til et bestemt tidspunkt, vanligvis ikke mer enn 10 timer.
Når du oppretter et domene i AD, får du automatisk en KRBTGT-konto. Gjerningsmenn av golden ticket-angrep kompromitterer kontodataene dine for å manipulere ADs domenekontroller på følgende måter.
Samle informasjon
Den gyldne ticker-angriperen begynner med å samle informasjon om kontoen din, spesielt dets fullt kvalifiserte domenenavn (FQDN), sikkerhetsidentifikator og passordhash. De kunne bruke phishing-teknikker for å samle inn dataene dine, eller enda bedre, infisere enheten din med skadelig programvare og hente den selv. De kan velge brute force i informasjonsinnhentingsprosessen.
Forge billetter
Trusselaktøren kan kanskje se dine aktive katalogdata når de går inn på kontoen din med påloggingsinformasjonen din, men de kan ikke utføre aktiviteter på dette tidspunktet. De må generere billetter som er legitime for domenekontrolleren din. KDC krypterer alle billettene den genererer med sin KRBTGT-passordhash, så bedrageren må gjøre det samme enten ved å stjele NTDS.DIT-filen, utføre et DCSync-angrep eller utnytte sårbarheter i endepunkter.
Behold langsiktig tilgang
Siden innhenting av KRBTGT-passordhashen gir kriminelle ubegrenset tilgang til systemet ditt, bruker de det maksimalt. De har det ikke travelt med å forlate, men holder seg i bakgrunnen og kompromitterer dataene dine. De kan til og med utgi seg for brukere med de høyeste tilgangsrettighetene uten å vekke mistanke.
5 måter å forhindre et gullbillettangrep på
Gylne billettangrep er blant de farligste nettangrepene på grunn av inntrengerens frihet til å utføre ulike aktiviteter. Du kan redusere forekomsten av dem til det minste minimum med følgende cybersikkerhetstiltak.
1. Hold administratorlegitimasjonen privat
Som de fleste andre angrep, avhenger et gullbillettangrep av kriminellens evne til å hente sensitiv kontolegitimasjon. Sikre nøkkeldata ved å begrense antall personer som har tilgang til dem.
Den mest verdifulle legitimasjonen er på administratorbrukernes kontoer. Som nettverksadministrator må du begrense tilgangsrettighetene dine til det minste. Systemet ditt har en høyere risiko når flere personer har tilgang til administratorrettigheter.
2. Identifiser og motstå phishing-forsøk
Å sikre administratorrettigheter er en av de måter å forhindre legitimasjonstyveri. Hvis du blokkerer det vinduet, vil hackere ty til andre metoder som phishing-angrep. Phishing er mer psykologisk enn teknisk, så du må være mentalt forberedt på forhånd for å oppdage det.
Gjør deg kjent med ulike phishing-teknikker og scenarier. Viktigst av alt, vær på vakt mot meldinger fra fremmede som søker personlig identifiserbar informasjon om deg eller kontoen din. Noen kriminelle vil ikke be om legitimasjonen din direkte, men sender deg infiserte e-poster, lenker eller vedlegg. Hvis du ikke kan gå god for noe innhold, ikke åpne det.
3. Sikre Active Directorys med Zero Trust Security
Den viktige informasjonen hackere trenger for å utføre gyldne billettangrep er i dine aktive kataloger. Dessverre kan det oppstå sårbarheter i endepunktene dine når som helst og henge igjen før du legger merke til dem. Men eksistensen av sårbarheter skader ikke nødvendigvis systemet ditt. De blir skadelige når inntrengere identifiserer og utnytter dem.
Du kan ikke gå god for at brukere ikke hengir seg til aktiviteter som vil kompromittere dataene dine. Implementer null tillitssikkerhet for å håndtere sikkerhetsrisikoen til personer som besøker nettverket ditt uavhengig av posisjon eller status. Betrakt hver person som en trussel ettersom handlingene deres kan sette dataene dine i fare.
4. Endre KRBTGT-kontopassordet ditt regelmessig
KRBTGT-kontopassordet ditt er angriperens gyldne billett til nettverket ditt. Å sikre passordet ditt skaper en barriere mellom dem og kontoen din. La oss si at en kriminell allerede har kommet inn i systemet ditt etter å ha hentet passordhashen. Levetiden deres avhenger av gyldigheten til passordet. Hvis du endrer den, vil de ikke kunne fungere.
Det er en tendens til at du ikke er klar over gyldne trusselangriperes tilstedeværelse i systemet ditt. Dyrk en vane med å endre passordet ditt regelmessig selv når du ikke har mistanke om et angrep. Denne enkelthandlingen tilbakekaller tilgangsprivilegiene til uautoriserte brukere som allerede har tilgang til kontoen din.
Microsoft anbefaler spesifikt brukere å endre KRBTGT-kontopassordene sine regelmessig for å avverge kriminelle med uautorisert tilgang.
5. Vedta overvåking av menneskelig trussel
Å aktivt lete etter trusler i systemet ditt er en av de mest effektive måtene å oppdage og inneholde gyldne billettangrep. Disse angrepene er ikke-invasive og kjører i bakgrunnen, så du er kanskje ikke klar over et brudd siden ting kan se normalt ut på overflaten.
Suksessen til gyldne billettangrep ligger i den kriminelles evne til å opptre som en autorisert bruker og utnytte deres tilgangsrettigheter. Dette betyr at automatiserte trusselovervåkingsenheter kanskje ikke oppdager aktivitetene deres fordi de ikke er uvanlige. Du trenger ferdigheter for overvåking av menneskelige trusler for å oppdage dem. Og det er fordi mennesker har den sjette sansen for å identifisere mistenkelige aktiviteter selv når inntrengeren hevder å være legitim.
Sikre sensitiv legitimasjon mot gyldne billettangrep
Nettkriminelle ville ikke ha ubegrenset tilgang til kontoen din i et gyllent billettangrep uten bortfall fra din side. I den grad det oppstår uforutsette sårbarheter, kan du innføre tiltak for å redusere dem på forhånd.
Sikring av din essensielle legitimasjon, spesielt KRBTGT-kontopassordhashen, gir inntrengere svært begrensede muligheter til å hacke kontoen din. Du har kontroll over nettverket ditt som standard. Angripere er avhengige av din sikkerhetsuaktsomhet for å trives. Ikke gi dem muligheten.
