Неко може учинити много штете ако добије онолико приступа вашим подацима колико и ви. То је оно што ову врсту напада чини тако застрашујућом.
Напредак у сајбер безбедности омогућава системима за праћење претњи да открију необичне активности криминалаца. Да би победили ове алате, уљези сада искоришћавају легитимни статус и привилегије приступа овлашћених корисника у злонамерне сврхе.
Хакер може имати неограничен приступ вашим подацима без подизања прашине тако што ће покренути напад са златним тикетом. При томе, они практично имају иста права приступа као и ви. Превише је ризично да нападачи имају такву моћ, зар не? Ево како да их зауставите.
Шта је напад Златне карте?
У овом контексту, златна карта значи неограничен приступ. Криминалац са тикетом може да ступи у интеракцију са свим компонентама вашег налога, укључујући ваше податке, апликације, датотеке итд. Златни тикет напад је неограничен приступ који нападач добија да би компромитовао вашу мрежу. Нема ограничења за оно што могу да ураде.
Како функционише напад са златним тикетом?
Ацтиве Дирецтори (АД) је иницијатива Мицрософта за управљање мрежама домена. Има одређени Керберос центар за дистрибуцију кључева (КДЦ), протокол за аутентификацију за проверу легитимитета корисника. КДЦ обезбеђује АД генерисањем и дистрибуцијом јединствене карте за доделу тикета (ТГТ) овлашћеним корисницима. Ова шифрована карта ограничава кориснике да обављају штетне активности на мрежи и ограничава њихову сесију прегледања на одређено време, обично не дуже од 10 сати.
Када креирате домен у АД, аутоматски добијате КРБТГТ налог. Починиоци напада на златни тикет компромитују податке о вашем налогу да би манипулисали АД контролером домена на следеће начине.
Прикупљање информација
Нападач са златним ознакама почиње прикупљањем информација о вашем налогу, посебно његовог потпуно квалификованог имена домена (ФКДН), безбедносног идентификатора и хеш лозинке. Су могли користите пхисхинг технике за прикупљање ваших података, или још боље, заразити ваш уређај малвером и сами га преузети. Они се могу одлучити за грубу силу у процесу прикупљања информација.
Форге Тицкетс
Актер претње можда може да види ваше податке активног директоријума када уђе у ваш налог са вашим акредитивима за пријаву, али у овом тренутку не може да обавља активности. Они морају да генеришу тикете које су легитимне за ваш контролер домена. КДЦ шифрује све тикете које генерише помоћу хеш лозинке КРБТГТ, тако да варалица мора да уради исто било крађом датотеке НТДС.ДИТ, извођењем ДЦСинц напада или коришћењем рањивости у крајње тачке.
Задржите дугорочни приступ
Пошто добијање хеша лозинке КРБТГТ даје криминалцима неограничен приступ вашем систему, они га максимално користе. Не журе да оду, већ остају у позадини, угрожавајући ваше податке. Они чак могу да се лажно представљају за кориснике са највишим привилегијама приступа без изазивања сумње.
5 начина да спречите напад са златним тикетом
Златни тикет напади спадају међу најопасније сајбер нападе због слободе уљеза да обавља различите активности. Можете смањити њихову појаву на најмањи минимум следећим мерама сајбер безбедности.
1. Нека администраторске акредитиве буду приватне
Као и већина других напада, напад са златним тикетом зависи од способности криминалца да преузме осетљиве акредитиве налога. Обезбедите кључне податке ограничавањем броја људи који им могу приступити.
Највреднији акредитиви се налазе на налозима администраторских корисника. Као администратор мреже, морате да ограничите своје привилегије приступа на најмању могућу меру. Ваш систем је под већим ризиком када више људи има приступ администраторским привилегијама.
2. Идентификујте покушаје „пецања“ и одуприте се
Обезбеђивање администраторских привилегија је један од начине за спречавање крађе акредитива. Ако блокирате тај прозор, хакери ће прибегавати другим методама као што су пхисхинг напади. Пецање је више психолошко него техничко, тако да морате бити ментално спремни унапред да бисте га открили.
Упознајте се са различитим пхисхинг техникама и сценаријима. Најважније, будите опрезни са порукама странаца који траже личне информације о вама или вашем налогу. Неки криминалци неће директно тражити ваше акредитиве, већ ће вам слати заражене имејлове, везе или прилоге. Ако не можете да гарантујете за било који садржај, немојте га отварати.
3. Безбедни активни директоријуми са безбедношћу без поверења
Важне информације које су хакери потребне за извршење напада са златним тикетом налазе се у вашим активним директоријумима. Нажалост, рањивости се могу појавити на вашим крајњим тачкама у било ком тренутку и задржати се пре него што их приметите. Али постојање рањивости не мора нужно да штети вашем систему. Они постају штетни када их уљези идентификују и искористе.
Не можете јамчити за кориснике да се не упуштају у активности које ће угрозити ваше податке. Имплементирајте сигурност без поверења да управљате безбедносним ризицима људи који посећују вашу мрежу без обзира на њихов положај или статус. Сматрајте сваку особу претњом јер њене радње могу угрозити ваше податке.
4. Редовно мењајте лозинку за КРБТГТ налог
Лозинка вашег КРБТГТ налога је златна карта нападача за вашу мрежу. Заштита ваше лозинке ствара баријеру између њих и вашег налога. Рецимо да је криминалац већ ушао у ваш систем након што је преузео хеш лозинке. Њихов животни век зависи од валидности лозинке. Ако га промените, неће моћи да раде.
Постоји тенденција да нисте свесни присуства нападача златне претње у вашем систему. Негујте навику да редовно мењате лозинку чак и када не сумњате на напад. Овај јединствени акт укида привилегије приступа неовлашћеним корисницима који већ имају приступ вашем налогу.
Мицрософт посебно саветује кориснике да редовно мењају лозинке за своје КРБТГТ налоге како би спречили криминалце са неовлашћеним приступом.
5. Усвојите праћење људских претњи
Активно тражење претњи у вашем систему један је од најефикаснијих начина да се открију и обуздају напади златних тикета. Ови напади су неинвазивни и изводе се у позадини, тако да можда нисте свесни кршења јер ствари могу изгледати нормално на површини.
Успех напада са златним тикетом лежи у способности криминалца да се понаша као овлашћени корисник, користећи своју привилегију приступа. То значи да аутоматизовани уређаји за праћење претњи можда неће открити њихове активности јер нису необичне. Потребне су вам вештине праћења људских претњи да бисте их открили. А то је зато што људи имају шесто чуло да идентификују сумњиве активности чак и када уљез тврди да је легитиман.
Сигурни осетљиви акредитиви против напада на Голден Тицкет
Сајбер криминалци не би имали неограничен приступ вашем налогу у нападу са златним тикетом без пропуста са ваше стране. Колико год да се појаве непредвиђене рањивости, можете увести мере за њихово ублажавање унапред.
Обезбеђивање ваших основних акредитива, посебно хеш лозинке вашег КРБТГТ налога, оставља уљезима веома ограничене могућности да хакују ваш налог. Подразумевано имате контролу над својом мрежом. Нападачи се ослањају на ваш безбедносни немар да би напредовали. Не дајте им прилику.
