Någon kan göra mycket skada om de får så mycket tillgång till din data som du har. Det är det som gör den här typen av attack så skrämmande.
Framsteg inom cybersäkerhet gör det möjligt för hotövervakningssystem att upptäcka brottslingars ovanliga aktiviteter. För att slå dessa verktyg utnyttjar nu inkräktare den legitima statusen och åtkomstprivilegierna för auktoriserade användare i skadliga syften.
En hacker kan ha obegränsad tillgång till dina data utan att höja damm genom att starta en gyllene biljettattack. Genom att göra det har de praktiskt taget samma åtkomsträttigheter som du. Det är för riskabelt för angripare att ha sådan makt, tycker du inte? Så här stoppar du dem.
Vad är en Golden Ticket Attack?
I detta sammanhang betyder en gyllene biljett obegränsad tillgång. En brottsling med biljetten kan interagera med alla dina kontokomponenter inklusive dina data, applikationer, filer etc. En gyllene biljettattack är den obegränsade åtkomst en angripare får för att äventyra ditt nätverk. Det finns ingen gräns för vad de kan göra.
Hur fungerar en Golden Ticket Attack?
Active Directory (AD) är ett initiativ från Microsoft för att hantera domännätverk. Den har ett utsett Kerberos nyckeldistributionscenter (KDC), ett autentiseringsprotokoll för att verifiera användarnas legitimitet. KDC: n säkrar AD: n genom att generera och distribuera en unik ticket granting ticket (TGT) till auktoriserade användare. Denna krypterade biljett begränsar användare från att utföra skadliga aktiviteter på nätverket och begränsar deras surfsession till en viss tid, vanligtvis inte mer än 10 timmar.
När du skapar en domän i AD får du ett KRBTGT-konto automatiskt. Förövare av golden ticket-attacker äventyrar dina kontodata för att manipulera AD: s domänkontrollant på följande sätt.
Samla information
Den gyllene ticker-angriparen börjar med att samla information om ditt konto, särskilt dess fullt kvalificerade domännamn (FQDN), säkerhetsidentifierare och lösenordshash. De kunde använda nätfisketekniker för att samla in din data, eller ännu bättre, infektera din enhet med skadlig programvara och hämta den själva. De kan välja brute force i informationsinsamlingsprocessen.
Forge biljetter
Hotaktören kanske kan se din Active Directory-data när de går in på ditt konto med dina inloggningsuppgifter, men de kan inte utföra aktiviteter just nu. De måste generera biljetter som är legitima för din domänkontrollant. KDC krypterar alla biljetter den genererar med sin KRBTGT-lösenords-hash, så bedragaren måste göra detsamma antingen genom att stjäla filen NTDS.DIT, genomföra en DCSync-attack eller utnyttja sårbarheter i slutpunkter.
Behåll åtkomst under lång tid
Eftersom att erhålla KRBTGT-lösenordshashen ger brottslingen obegränsad tillgång till ditt system, använder de det maximalt. De har inte bråttom att lämna utan stannar i bakgrunden och äventyrar din data. De kan till och med utge sig för användare med högsta åtkomstbehörighet utan att väcka misstankar.
5 sätt att förhindra en gyllene biljettattack
Gyllene biljettattacker rankas bland de farligaste cyberattackerna på grund av inkräktarens frihet att utföra olika aktiviteter. Du kan minska deras förekomst till det absoluta minimum med följande cybersäkerhetsåtgärder.
1. Håll administratörsuppgifterna privata
Liksom de flesta andra attacker beror en gyllene biljettattack på brottslingens förmåga att hämta känsliga kontouppgifter. Säkra nyckeldata genom att begränsa antalet personer som kan komma åt dem.
De mest värdefulla referenserna finns på administratörsanvändares konton. Som nätverksadministratör måste du begränsa dina åtkomstbehörigheter till det minsta. Ditt system löper en högre risk när fler personer har tillgång till administratörsbehörigheter.
2. Identifiera och motstå nätfiskeförsök
Att säkra administratörsbehörigheter är en av de sätt att förhindra identitetsstöld. Om du blockerar det fönstret kommer hackare att ta till andra metoder som nätfiskeattacker. Nätfiske är mer psykologiskt än tekniskt, så du måste vara mentalt förberedd i förväg för att upptäcka det.
Bekanta dig med olika nätfisketekniker och scenarier. Viktigast av allt, var försiktig med meddelanden från främlingar som söker personligt identifierbar information om dig eller ditt konto. Vissa brottslingar begär inte dina inloggningsuppgifter direkt utan skickar infekterade e-postmeddelanden, länkar eller bilagor till dig. Om du inte kan garantera något innehåll, öppna det inte.
3. Säkra Active Directorys med Zero Trust Security
Den viktiga information som hackare behöver för att utföra golden ticket-attacker finns i dina aktiva kataloger. Tyvärr kan sårbarheter uppstå i dina slutpunkter när som helst och dröja kvar innan du märker dem. Men förekomsten av sårbarheter skadar inte nödvändigtvis ditt system. De blir skadliga när inkräktare identifierar och utnyttjar dem.
Du kan inte garantera att användare inte ägnar sig åt aktiviteter som äventyrar din data. Implementera noll förtroendesäkerhet för att hantera säkerhetsriskerna för personer som besöker ditt nätverk oavsett deras position eller status. Se varje person som ett hot eftersom deras handlingar kan äventyra din data.
4. Ändra ditt KRBTGT-kontolösenord regelbundet
Ditt KRBTGT-kontolösenord är angriparens gyllene biljett till ditt nätverk. Att säkra ditt lösenord skapar en barriär mellan dem och ditt konto. Låt oss säga att en brottsling redan har kommit in i ditt system efter att ha hämtat ditt lösenords-hash. Deras livslängd beror på lösenordets giltighet. Om du ändrar den kommer de inte att kunna fungera.
Det finns en tendens för dig att vara omedveten om gyllene hot angripares närvaro i ditt system. Odla en vana att ändra ditt lösenord regelbundet även när du inte har någon misstanke om en attack. Denna enda handling återkallar åtkomstprivilegierna för obehöriga användare som redan har åtkomst till ditt konto.
Microsoft rekommenderar specifikt användare att ändra sina KRBTGT-kontolösenord regelbundet för att avvärja brottslingar med obehörig åtkomst.
5. Adoptera övervakning av mänskliga hot
Att aktivt leta efter hot i ditt system är ett av de mest effektiva sätten att upptäcka och innehålla golden ticket-attacker. Dessa attacker är icke-invasiva och körs i bakgrunden, så du kanske inte är medveten om ett intrång eftersom saker och ting kan se normalt ut på ytan.
Framgången med golden ticket-attacker ligger i brottslingens förmåga att agera som en auktoriserad användare och utnyttja deras åtkomstprivilegier. Det betyder att automatiserade hotövervakningsenheter kanske inte upptäcker deras aktiviteter eftersom de inte är ovanliga. Du behöver kunskaper om övervakning av mänskliga hot för att upptäcka dem. Och det beror på att människor har det sjätte sinnet för att identifiera misstänkta aktiviteter även när inkräktaren påstår sig vara legitim.
Säkra känsliga referenser mot Golden Ticket Attacks
Cyberkriminella skulle inte ha obegränsad tillgång till ditt konto i en gyllene biljettattack utan förfallodagar från din sida. I den mån oförutsedda sårbarheter uppstår kan du införa åtgärder för att mildra dem i förväg.
Att säkra dina väsentliga referenser, särskilt ditt KRBTGT-kontolösenordshash, lämnar inkräktare med mycket begränsade möjligheter att hacka ditt konto. Du har kontroll över ditt nätverk som standard. Angripare förlitar sig på din säkerhetsvårdslöshet för att trivas. Ge dem inte möjligheten.