Hvad er a Pass the Hash Attack, og hvordan virker det?

Det kan være trættende at indtaste dine legitimationsoplysninger, hver gang du vil logge ind på et system, især når du logger ind på systemet regelmæssigt. Du kan endda glemme dine adgangskoder.

Implementering af operativsystemer, der giver brugerne en enkelt log-on-oplevelse, sparer dig for at genindtaste dine log-in detaljer hver eneste gang. Men der er et problem med det. Angribere kan udnytte dine legitimationsoplysninger, der er gemt i systemet, gennem et Pass-the-Hash-angreb (PtH).

Her vil vi diskutere, hvordan et Pass-the-Hash-angreb fungerer, og hvordan du kan afbøde det.

Hvad er et Pass the Hash Attack?

Hashing er processen med at oversætte strenge af tegn til en kode, hvilket gør det meget kortere og lettere. Det er en af ​​de store aktører inden for cybersikkerhed, som er afgørende for at forhindre databrud.

Webapplikationsadministratorer kryptere filer og meddelelser for at forhindre uautoriseret adgang til dem. Selvom disse filer holdes fortrolige, hjælper hashing med at verificere deres integritet. Det forhindrer nogen i at ødelægge filerne eller ændre deres indhold og derefter præsentere dem som de originale filer.

En hash kan ikke vendes efter oversættelse. Det giver dig kun mulighed for at opdage, om to filer ligner hinanden eller ej, uden at du er sikker på deres indhold. Før du får adgang til et system eller en tjeneste via netværket, skal du autentificere ved at præsentere dit brugernavn og din adgangskode. Nu gemmes disse oplysninger i databasen til fremtidig sammenligning, når du forsøger at logge ind igen.

Dine adgangskoder er i klartekst, hvilket gør dem mindre sikre. Og hvis en angriber kan få adgang til databasen, kan de stjæle din adgangskode og få uautoriseret adgang til din konto. Situationen vil forværres, hvis du er en af ​​de brugere, der bruger en enkelt adgangskode til forskellige konti. Angriberen vil bruge den stjålne adgangskode til at få adgang til dine andre konti.

Så hvordan kommer hashen i spil her?

Hash-mekanismen forvandler din klare tekstadgangskode til data, der ikke kan ændres tilbage til dens oprindelige adgangskode. Efter din adgangskode er hashed og gemt i systemets hukommelse, bruges den til at bevise din identitet, næste gang du vil have adgang til en tjeneste.

Hashen beskytter brugernes konti mod uautoriseret adgang. Men ikke så længe cyberkriminelle har udtænkt en strategi for at høste hashen. Sikkerhedssårbarheden, der blev opdaget i Single Sign-on (SSO), har givet plads til Pass-the-Hash-angrebet. Den dukkede første gang op i 1997 og har eksisteret i 24 år.

Et Pass-the-Hash-angreb ligner tricks-angriberne bruge til at stjæle brugeradgangskoder. Det er et af de mest almindelige, men undervurderede angreb, når det kommer til tyveri og brug af brugeroplysninger.

Med Pass-the-Hash-teknikken behøver angribere ikke at knække hashen. Det kan genbruges eller sendes til en godkendelsesserver. Adgangskodehash forbliver statisk fra session til session, indtil de ændres. Af denne grund går angribere efter autentificeringsprotokollerne for operativsystemer for at stjæle de hash-kodede adgangskoder.

Hvordan fungerer et Pass the Hash Attack?

Pass-the-Hash-angreb er mest almindelige på Windows-systemer, selvom de kan ske på andre operativsystemer som Linux og UNIX. Hackere leder altid efter smuthuller i disse systemer for at komme til deres ofre.

Windows-sårbarheden ligger i dens NTLM-godkendelse, som implementerer en enkelt log-on-funktion (SSO). Det giver brugerne mulighed for at indtaste deres adgangskoder én gang og få adgang til enhver funktion, de ønsker.

Sådan fungerer det:

Når du tilmelder dig et Windows-system for første gang, hashes din adgangskode og gemmer den i systemets hukommelse. Dette er en åbning for angribere til at udnytte din hashed adgangskode. De kan have fysisk adgang til dit system, skrotte dets aktive hukommelse eller inficere det med malware og andre teknikker.

Værktøjer som Metasploit, Gsecdump og Mimikatz bruges til at udtrække de hasherede legitimationsoplysninger fra systemets hukommelse. Når du har gjort det, genbruger angribere dine legitimationsoplysninger til at logge ind som dig og få adgang til alle de programmer, du har rettigheder til.

Hvis en ven eller kollega har logget ind på dit system, kan hackeren ligeså høste deres hash. Husk, det er en lateral bevægelsesteknik. Et worst-case scenario er, at en hacker får adgang til kontrolsystemer, der driver en hel organisation eller it-infrastruktur. Når de først er inde, kan de stjæle følsomme oplysninger, ændre optegnelser eller installere malware.

Sådan afbødes et bestået Hash-angreb

Her er noget, du bør vide om Pass-the-Hash-angrebet. Det er ikke en fejl, men en funktion. Single sign-on protokol implementeret med en hash er for at spare brugere for besværet med at skulle indtaste deres adgangskoder igen. Så hackere drager nu fordel af Windows SSO-funktionen, kommunikationsprotokollen for Linux- og Unix-systemer i ondsindet hensigt.

Du kan reducere dine chancer for at blive offer for sådanne angreb ved at følge disse effektive løsninger.

1. Aktiver Windows Defender Credential Guard

Windows Defender Credential Guard er en sikkerhedsfunktion, der følger med Windows 10-systemer og nyere. Det beskytter følsomme oplysninger, der er lagret på systemet. Local Security Authority Subsystem Service (LSASS) håndhæver sikkerhedspolitikken på Windows-systemet.

2. Implementer Least Privilege-sikkerhedsmodellen

Her er sagen: Hvis du er en virksomhedsejer og har folk, der arbejder for dig, skal du begrænse deres adgangsrettigheder til kun de ressourcer og filer, der er nødvendige for at udføre deres job i netværkssystemet.

Eliminer unødvendige administratorrettigheder og giv kun privilegier til betroede applikationer. Dette vil reducere en hackers mulighed for at udvide deres adgang og tilladelse.

3. Genstart systemer efter logning

Husk, at målet er at minimere risikoen for at blive offer for et Pass-the-Hash-angreb. Da systemet gemmer adgangskodehashen i sin hukommelse, vil genstart af computeren efter at have logget ud fjerne hashen fra systemets hukommelse.

4. Installer AntiMalware-software

Cyberkriminelle gør et fremragende stykke arbejde med at bruge malware til at kompromittere netværk. Automatiserede værktøjer såsom anti-malware-software er nyttige til at forsvare sig mod disse cyberangreb. Disse værktøjer registrerer inficerede eller ondsindede filer i dit system og neutraliserer dem, før de rammer.

Når du installerer anti-malware-software på dine enheder, sikrer du dit system mod malware. Du kan også bruge malware-as-a-service platforme til at få skræddersyede malware-løsninger.

5. Opdater dine operativsystemer

Hvorfor holde sig til en ældre version af et operativsystem med mindre sikkerhed, når du kan opdatere det?

De nyeste operativsystemer giver normalt en meget bedre brugeroplevelse og har mere robust forsvar. For eksempel har Windows 10 version 1703 flere sikkerhedsfunktioner, der beskytter brugere på tværs af netværk.

Vedtag en effektiv tilgang til at bestå Hash-angrebet

Pass-the-Hash-angreb vil altid påvirke operativsystemer, der understøtter en enkelt log-on. Mens hash-funktionen forsøger at beskytte din adgangskode, omgår angreb sikkerheden for at stjæle de hash-kodede adgangskoder med flere værktøjer.

Tag ansvar for at beskytte dine legitimationsoplysninger ved at opgradere til de nyeste operativsystemer, kun at give tilladelser til betroede applikationer og installere anti-malware-software på din computer. Cyberkriminelle kan kun passere hashen, når der er en motorvej til dem. Det er dit ansvar at lukke alle smuthuller i dit netværk.

Hvad er Emotet Malware, og hvordan virker det?

I modsætning til de fleste malware, flyver Emotet under radaren og arbejder i stilhed for at lokke ofre. Lær, hvordan det virker, og hvad du kan gøre for at beskytte dig selv.

Læs Næste

Om forfatteren