Valaki sokat árthat, ha annyi hozzáférést kap az Ön adataihoz, mint te. Ez az, ami miatt az ilyen típusú támadás olyan ijesztő.
A kiberbiztonság fejlődése lehetővé teszi a fenyegetésfigyelő rendszerek számára a bűnözők szokatlan tevékenységeinek észlelését. Ezen eszközök legyőzése érdekében a behatolók rosszindulatú célokra kihasználják a jogosult felhasználók jogos státuszát és hozzáférési jogosultságait.
Egy hacker korlátlan hozzáférést kaphat az Ön adataihoz anélkül, hogy port kavarna, ha aranyjegyes támadást indít. Ennek során gyakorlatilag ugyanazokkal a hozzáférési jogokkal rendelkeznek, mint Ön. Túl kockázatos a támadóknak ekkora ereje, nem gondolod? Így állíthatja meg őket.
Mi az a Golden Ticket Attack?
Ebben az összefüggésben az arany jegy korlátlan hozzáférést jelent. A jeggyel rendelkező bűnöző kapcsolatba léphet az Ön fiókjának összes összetevőjével, beleértve az adatait, alkalmazásait, fájljait stb. Az aranyjegyes támadás az a korlátlan hozzáférés, amelyet a támadó a hálózat feltörésére kap. Nincs határa annak, amit tehetnek.
Hogyan működik a Golden Ticket támadás?
Az Active Directory (AD) a Microsoft kezdeményezése a tartományi hálózatok kezelésére. Kijelölt Kerberos kulcselosztó központtal (KDC) rendelkezik, amely egy hitelesítési protokoll a felhasználók legitimitásának ellenőrzésére. A KDC úgy biztosítja az AD-t, hogy egyedi jegykiadó jegyet (TGT) generál és terjeszt a jogosult felhasználók számára. Ez a titkosított jegy korlátozza a felhasználókat abban, hogy káros tevékenységeket hajtsanak végre a hálózaton, és a böngészési munkamenetet egy meghatározott időre korlátozza, általában legfeljebb 10 órára.
Amikor létrehoz egy tartományt az AD-ben, automatikusan kap egy KRBTGT-fiókot. Az aranyjegyes támadások elkövetői feltörik fiókadatait, hogy a következő módokon manipulálják az AD tartományvezérlőjét.
Információgyűjtés
A golden ticker támadó azzal kezdi, hogy információkat gyűjt a fiókjáról, különösen annak teljesen minősített tartománynevéről (FQDN), biztonsági azonosítójáról és jelszókivonatáról. Ők tudnák adathalász technikákat használjon az adatok összegyűjtésére, vagy ami még jobb, megfertőzi eszközét rosszindulatú programmal, és saját maga keresi le. Választhatnak a nyers erő alkalmazására az információgyűjtési folyamat során.
Forge Jegyek
Előfordulhat, hogy a fenyegetés szereplője láthatja az Ön aktív címtáradatait, amikor belép a fiókjába az Ön bejelentkezési adataival, de jelenleg nem végezhet tevékenységeket. Olyan jegyeket kell generálniuk, amelyek legálisak a tartományvezérlőhöz. A KDC titkosítja az összes általa generált jegyet a KRBTGT jelszó-kivonatával, így a csalónak ugyanezt kell tennie vagy az NTDS.DIT fájl ellopásával, egy DCSync támadás leállításával, vagy a biztonsági rések kihasználásával végpontok.
Tartsa meg a hosszú távú hozzáférést
Mivel a KRBTGT jelszókivonat megszerzése korlátlan hozzáférést biztosít a bűnözőknek az Ön rendszeréhez, maximálisan kihasználják. Nem sietnek a távozással, hanem a háttérben maradnak, veszélyeztetve az Ön adatait. Még a legmagasabb hozzáférési jogosultságokkal rendelkező felhasználóknak is kiadhatják magukat anélkül, hogy gyanút keltenek.
5 módszer a Golden Ticket támadás megelőzésére
Az aranyjegyes támadások a legveszélyesebb kibertámadások közé tartoznak, mivel a behatoló szabadon végezhet különféle tevékenységeket. Az alábbi kiberbiztonsági intézkedésekkel a minimumra csökkentheti előfordulásukat.
1. A rendszergazdai hitelesítő adatokat tartsa privátban
A legtöbb más támadáshoz hasonlóan az aranyjegyes támadás is attól függ, hogy a bűnöző képes-e visszakeresni a bizalmas fiók hitelesítő adatait. Biztonságos kulcsfontosságú adatokat a hozzáférő személyek számának korlátozásával.
A legértékesebb hitelesítő adatok az adminisztrátorok fiókjaiban találhatók. Hálózati rendszergazdáként a minimálisra kell korlátoznia hozzáférési jogosultságait. A rendszer nagyobb kockázatnak van kitéve, ha több ember fér hozzá adminisztrátori jogosultságokhoz.
2. Azonosítsa és ellenálljon az adathalász kísérleteknek
Az adminisztrátori jogosultságok biztosítása az egyik a hitelesítő adatok ellopásának megakadályozásának módjai. Ha blokkolja ezt az ablakot, a hackerek más módszerekhez, például adathalász támadásokhoz folyamodnak. Az adathalászat inkább pszichológiai, mint technikai jellegű, ezért mentálisan előre fel kell készülnie annak észlelésére.
Ismerkedjen meg a különböző adathalászati technikákkal és forgatókönyvekkel. A legfontosabb, hogy legyen óvatos az idegenektől érkező üzenetekkel, amelyek személyazonosításra alkalmas adatokat keresnek Önről vagy fiókjáról. Egyes bűnözők nem közvetlenül kérik le az Ön hitelesítő adatait, hanem fertőzött e-maileket, linkeket vagy mellékleteket küldenek Önnek. Ha nem tud kezeskedni semmilyen tartalomért, ne nyissa meg.
3. Aktív címtárak védelme nulla megbízhatósággal
Azok a fontos információk, amelyekre a hackereknek szükségük van az aranyjegyes támadásokhoz, az Ön aktív könyvtáraiban találhatók. Sajnos a végpontokon bármikor előfordulhatnak sebezhetőségek, amelyek még azelőtt elhúzódnak, hogy észrevenné őket. De a sérülékenységek megléte nem feltétlenül károsítja a rendszert. Ártalmassá válnak, amikor a behatolók azonosítják és kihasználják őket.
Nem garantálhatja, hogy a felhasználók nem végeznek olyan tevékenységeket, amelyek veszélyeztetik az Ön adatait. Valósítson meg nulla bizalmi biztonságot a hálózatát látogató személyek biztonsági kockázatainak kezelése pozíciójuktól vagy állapotuktól függetlenül. Tekintsen minden személyt fenyegetésnek, mivel tevékenységük veszélyeztetheti az Ön adatait.
4. Rendszeresen változtassa meg KRBTGT-fiókjának jelszavát
Az Ön KRBTGT-fiókjának jelszava a támadó aranyjegye a hálózathoz. Jelszava biztonsága akadályt képez köztük és fiókja között. Tegyük fel, hogy egy bűnöző már belépett a rendszerébe, miután lekérte a jelszókivonatát. Élettartamuk a jelszó érvényességétől függ. Ha megváltoztatod, nem fognak tudni működni.
Előfordulhat, hogy nem vesz tudomást arról, hogy az arany fenyegetés támadói jelen vannak a rendszerében. Szokjon rendszeresen megváltoztatni jelszavát, még akkor is, ha nincs gyanúja támadásra. Ez az egyetlen intézkedés visszavonja azon jogosulatlan felhasználók hozzáférési jogosultságait, akik már hozzáfértek az Ön fiókjához.
A Microsoft kifejezetten azt tanácsolja a felhasználóknak, hogy rendszeresen változtassák meg a KRBTGT-fiókjuk jelszavát, hogy elkerüljék a jogosulatlan hozzáféréssel rendelkező bűnözőket.
5. Az emberi fenyegetés megfigyelésének elfogadása
A fenyegetések aktív keresése a rendszerben az egyik leghatékonyabb módja az aranyjegyes támadások észlelésének és megfékezésének. Ezek a támadások nem invazívak, és a háttérben futnak, így előfordulhat, hogy Ön nem vesz észre a jogsértést, mivel a dolgok a felszínen normálisnak tűnhetnek.
Az aranyjegyes támadások sikere abban rejlik, hogy a bűnöző képes feljogosított felhasználóként viselkedni, kihasználva hozzáférési jogosultságait. Ez azt jelenti, hogy az automatizált fenyegetésfigyelő eszközök nem észlelik tevékenységeiket, mert nem szokatlanok. Emberi fenyegetésfigyelő készségekre van szükség ezek észleléséhez. És ez azért van így, mert az embereknek van hatodik érzékük a gyanús tevékenységek azonosítására, még akkor is, ha a behatoló azt állítja, hogy jogos.
Érzékeny hitelesítő adatok védelme a Golden Ticket támadásokkal szemben
A kiberbűnözők nem férnének hozzá korlátlanul a fiókodhoz egy aranyszelvényes támadás során, anélkül, hogy az Ön részéről megszakadna. Ha előre nem látható sérülékenységek merülnek fel, intézkedéseket hozhat azok idő előtti enyhítésére.
Az alapvető hitelesítő adatok, különösen a KRBTGT-fiók jelszavának kivonatának biztosítása miatt a behatolóknak nagyon korlátozott lehetőségeik vannak a fiók feltörésére. Alapértelmezés szerint Ön rendelkezik a hálózat felett. A támadók az Ön biztonsági hanyagságára hagyatkoznak a boldogulás érdekében. Ne adj nekik lehetőséget.
