Nogen kan gøre meget skade, hvis de får lige så meget adgang til dine data, som du har. Det er det, der gør denne type angreb så skræmmende.
Fremskridt inden for cybersikkerhed gør det muligt for trusselsovervågningssystemer at opdage kriminelles usædvanlige aktiviteter. For at slå disse værktøjer udnytter ubudne gæster nu autoriserede brugeres legitime status og adgangsrettigheder til ondsindede formål.
En hacker kan få ubegrænset adgang til dine data uden at rejse støv ved at starte et gyldent billetangreb. Derved har de praktisk talt de samme adgangsrettigheder som dig. Det er for risikabelt for angribere at have en sådan magt, synes du ikke? Sådan stopper du dem.
Hvad er et Golden Ticket Attack?
I denne sammenhæng betyder en gylden billet ubegrænset adgang. En kriminel med billetten kan interagere med alle dine kontokomponenter inklusive dine data, applikationer, filer osv. Et golden ticket-angreb er den ubegrænsede adgang, en angriber får for at kompromittere dit netværk. Der er ingen grænser for, hvad de kan.
Hvordan virker et Golden Ticket Attack?
Active Directory (AD) er et initiativ fra Microsoft til at administrere domænetværk. Det har et udpeget Kerberos nøgledistributionscenter (KDC), en godkendelsesprotokol til at verificere brugernes legitimitet. KDC'en sikrer AD ved at generere og distribuere en unik billettildelingsbillet (TGT) til autoriserede brugere. Denne krypterede billet begrænser brugerne fra at udføre skadelige aktiviteter på netværket og begrænser deres browsing-session til et bestemt tidspunkt, normalt ikke mere end 10 timer.
Når du opretter et domæne i AD, får du automatisk en KRBTGT-konto. Gerningsmænd til gyldne billetangreb kompromitterer dine kontodata for at manipulere AD's domænecontroller på følgende måder.
Samle information
Den gyldne ticker-angriber begynder med at indsamle oplysninger om din konto, især dens fuldt kvalificerede domænenavn (FQDN), sikkerheds-id og adgangskode-hash. De kunne bruge phishing-teknikker til at indsamle dine data, eller endnu bedre, inficere din enhed med malware og hente den selv. De kan vælge brute force i informationsindsamlingsprocessen.
Forge billetter
Trusselsaktøren kan muligvis se dine aktive mappedata, når de kommer ind på din konto med dine loginoplysninger, men de kan ikke udføre aktiviteter på dette tidspunkt. De skal generere billetter, der er legitime for din domænecontroller. KDC krypterer alle de billetter, det genererer med sin KRBTGT-adgangskode-hash, så bedrageren skal gøre det samme enten ved at stjæle NTDS.DIT-filen, udføre et DCSync-angreb eller udnytte sårbarheder i endepunkter.
Behold langtidsadgang
Da opnåelse af KRBTGT-adgangskode-hashen giver den kriminelle ubegrænset adgang til dit system, bruger de det maksimalt. De har ikke travlt med at forlade, men forbliver i baggrunden og kompromitterer dine data. De kan endda efterligne brugere med de højeste adgangsrettigheder uden at vække mistanke.
5 måder at forhindre et gyldent billetangreb på
Gyldne billetangreb er blandt de farligste cyberangreb på grund af den ubudne gæsters frihed til at udføre forskellige aktiviteter. Du kan reducere deres forekomst til det absolutte minimum med følgende cybersikkerhedsforanstaltninger.
1. Hold administratoroplysninger private
Som de fleste andre angreb afhænger et gyldent billetangreb af forbryderens evne til at hente følsomme kontooplysninger. Sikre nøgledata ved at begrænse antallet af personer, der kan få adgang til dem.
De mest værdifulde legitimationsoplysninger er på administratorbrugeres konti. Som netværksadministrator skal du begrænse dine adgangsrettigheder til det mindste. Dit system er i en højere risiko, når flere personer har adgang til administratorrettigheder.
2. Identificer og modstå phishing-forsøg
Sikring af administratorrettigheder er en af de måder at forhindre tyveri af legitimationsoplysninger. Hvis du blokerer dette vindue, vil hackere ty til andre metoder såsom phishing-angreb. Phishing er mere psykologisk end teknisk, så du skal være mentalt forberedt på forhånd for at opdage det.
Gør dig bekendt med forskellige phishing-teknikker og scenarier. Vigtigst af alt, vær på vagt over for beskeder fra fremmede, der søger personligt identificerbare oplysninger om dig eller din konto. Nogle kriminelle vil ikke anmode om dine legitimationsoplysninger direkte, men sende dig inficerede e-mails, links eller vedhæftede filer. Hvis du ikke kan stå inde for noget indhold, skal du ikke åbne det.
3. Sikre Active Directorys med Zero Trust Security
Den vigtige information hackere har brug for for at udføre gyldne billetangreb er i dine aktive mapper. Desværre kan der til enhver tid opstå sårbarheder i dine endepunkter og blive hængende, før du bemærker dem. Men eksistensen af sårbarheder skader ikke nødvendigvis dit system. De bliver skadelige, når ubudne gæster identificerer og udnytter dem.
Du kan ikke stå inde for, at brugere ikke hengiver sig til aktiviteter, der vil kompromittere dine data. Implementer nul tillidssikkerhed at håndtere sikkerhedsrisici for personer, der besøger dit netværk, uanset deres position eller status. Betragt hver person som en trussel, da deres handlinger kan bringe dine data i fare.
4. Skift din KRBTGT-kontoadgangskode regelmæssigt
Adgangskoden til din KRBTGT-konto er angriberens gyldne billet til dit netværk. Sikring af din adgangskode skaber en barriere mellem dem og din konto. Lad os sige, at en kriminel allerede er kommet ind i dit system efter at have hentet din adgangskode-hash. Deres levetid afhænger af adgangskodens gyldighed. Hvis du ændrer det, vil de ikke kunne fungere.
Der er en tendens til, at du ikke er opmærksom på angribernes tilstedeværelse af gyldne trusler i dit system. Dyrk en vane med at ændre din adgangskode regelmæssigt, selv når du ikke har nogen mistanke om et angreb. Denne enkelt handling tilbagekalder adgangsrettighederne for uautoriserede brugere, som allerede har adgang til din konto.
Microsoft råder specifikt brugere til at ændre deres KRBTGT-kontoadgangskoder regelmæssigt for at afværge kriminelle med uautoriseret adgang.
5. Adopter overvågning af menneskelig trussel
Aktivt leder efter trusler i dit system er en af de mest effektive måder at opdage og begrænse gyldne billetangreb på. Disse angreb er ikke-invasive og kører i baggrunden, så du er muligvis ikke opmærksom på et brud, da tingene kan se normale ud på overfladen.
Succesen med gyldne billetangreb ligger i den kriminelles evne til at opføre sig som en autoriseret bruger og udnytte deres adgangsrettigheder. Det betyder, at automatiserede trusselsovervågningsenheder muligvis ikke registrerer deres aktiviteter, fordi de ikke er usædvanlige. Du har brug for menneskelige trusselsovervågningsfærdigheder for at opdage dem. Og det er fordi mennesker har den sjette sans til at identificere mistænkelige aktiviteter, selv når den ubudne gæst hævder at være legitim.
Sikre følsomme legitimationsoplysninger mod gyldne billetangreb
Cyberkriminelle ville ikke have ubegrænset adgang til din konto i et gyldent billetangreb uden bortfald fra din side. Så vidt der opstår uforudsete sårbarheder, kan du indføre foranstaltninger for at afbøde dem på forhånd.
Sikring af dine væsentlige legitimationsoplysninger, især din KRBTGT-konto adgangskode-hash, efterlader ubudne gæster med meget begrænsede muligheder for at hacke din konto. Du har som standard kontrol over dit netværk. Angribere er afhængige af din sikkerhedsforsømmelse for at trives. Giv dem ikke muligheden.