Naše data jsou více než kdy jindy ohrožena. Kybernetický zločin potřebuje pouze vaše přihlašovací údaje, aby vyhovoval všemu ve vašem počítači. Krádež pověřovacích listin je jedním z nejúčinnějších útoků a zanechává další důsledky v malých, středních i velkých sítích. V této příručce vysvětlujeme operační schéma a opatření, která lze ve většině případů zabránit.
Co je to krádež pověření?
Krádež pověřovacích listin je považována za jednu z moderních technik hackování. Spočívá v extrakci ověřovacích údajů jednoho nebo více uživatelů. Zahrnují uživatele a hesla, která se používají pro vstup do počítačů obětí. Jakmile kybernetický zločinec přiřadí tyto přihlašovací údaje, bude mít možnost přístupu k obsahu kompromitovaných počítačů, takže to může udělat tolikrát, kolikrát chce.
Nejenže budete moci počítat s různými soubory a daty typickými pro počítače obětí, ale budete také moci komunikovat s ostatními a provádět stejné nebo různé typy útoků. Krádež pověření je u kybernetického zločince velmi flexibilní, protože může převzít více uživatelů a hesel uložených v jednom počítači. Každé z těchto pověření zase poskytne přístup k jiným počítačům ve stejné síti a že také obsahuje několik pověření, která mohou být upravena.
Jak jste si možná všimli, jedná se o útok, který může v síti zanechat velké následky. Za několik minut může být narušena celá síť. V důsledku toho jsou vystavena všechna data nalezená v každém z připojených počítačů. Celá tato katastrofa se může stát, jen proto, že se člověku podaří otevřít „legitimní“ e-mail, ale ve skutečnosti je Phishing .
Mějte na paměti, že tento útok se může jevit jako nevinný útok, ale je to brána, která vede k závažnějším útokům, jako je ransomware. Nazvala se i varianta phishingu Spear Phishing je distribuce škodlivých e-mailů konkrétním lidem v síti nebo organizaci. Obsah těchto zpráv může být snadno matoucí, protože kyberzločinci mají na starosti úplné studium obětí.
Nebezpečí přihlášení jednou
Podnikové sítě jsou hlavními oběťmi krádeží pověření. Více než cokoli jiného, protože většina z nich umožňuje, aby uživatel zadal uživatelské jméno a heslo pouze jednou. Uvedené pověření jsou uloženy v paměti a umožňují přístup k velké části síťových prostředků. Je dokonce možné mít přístup ke všemu, co je potřeba k provozu.
Krádež pověřovacích listin v akci
Kybernetický zločin má zelené světlo k provedení tohoto typu útoku, když má přístup k počítači na nejnižší úrovni. Můžete tedy provádět kód a provádět různé sady pokynů, například extrahování pověření uložených v paměti. Pro tento účel existuje několik nástrojů, jako jsou gsecdump, creddump a PWDDumpX.
Odkud můžete získat přihlašovací údaje? Jedním z cílů kybernetických zločinců je Kerberos . Teoreticky je to jeden z nejbezpečnějších protokolů, protože byl navržen speciálně pro bezpečné ověřování. Dělá to prostřednictvím systému lístků, který poskytuje oprávnění uživatelům i službám. Krádež pověření však narušuje vaše schopnosti tím, že vstřikuje odcizené vstupenky Kerberos, aby získal legitimní přístup.
Dalším velmi častým a dobře známým cílem je SAM (Bezpečnost Správce účtů) . Ve španělštině to znamená Správa bezpečnostních účtů . Skládá se ze souboru, který funguje jako databáze. Slouží k ověření uživatelů na místní i vzdálené úrovni. Takové ověření je možné křížením pověření zadaných osobou s tím, co existuje v souboru SAM.
Velkým problémem SAM je to, že pokud lze tento „hlavní“ soubor nalézt, pověření lze dešifrovat. Takže ve velmi krátké době se můžete spolehnout na stovky tisíc uživatelů a hesel, která ohrožují jejich odpovídající počítače a související služby.
Krádež pověření z řadiče domény v síti
- NTDS . Toto je doména, ve které služba Active Directory ukládá všechny informace týkající se uživatelů, kteří patří do domény, za účelem ověření pověření: uživatelské jméno a heslo.
- Soubory předvoleb zásad skupiny . Jedná se o nástroj operačního systému Windows. Umožňuje implementovat zásady domény, které obsahují přihlašovací údaje, a usnadňuje jejich správu. Tyto zásady jsou obvykle uloženy na místě zvaném SYSVOL . Pokud k němu má přístup někdo se zlými úmysly, může k obsahu přistupovat a dešifrovat ho.
Nyní existují řadiče domény, které podporují Volání API . Kyberzločinci používají techniku zvanou DCSync , což napodobuje funkce a funkce tohoto typu řadiče domény. Tím se dosáhne toho, že původní ovladač odešle hashe odpovídající pověřením a provede tak útoky, které má na mysli.
Jak zabránit krádeži pověření
Odborníci v tomto odvětví souhlasí s tím, že vyhnout se takovým útokům se zdá být prakticky nemožné. Doporučenou akcí, která minimalizuje šance na útok, však není vygenerování tolika uživatelů s oprávněními správce. Jinými slovy, měla by existovat pouze ta nezbytná.
Také hromadné přijetí multifaktorová autentizace je doporučeno. Tímto způsobem je snazší a efektivnější zaručit, že osoba, která se přihlašuje, je skutečně uživatel a že to není uživatel se zlými úmysly. Tento typ implementace také pomáhá uživatelům uvědomit si důležitost řádné správy pověření, a co je nejdůležitější, že by neměli být sdíleni s ostatními.
Na druhé straně, Blogy společnosti Cisco doporučuje následující akce:
- Sledování přístupu ke službám, jako je LSASS (Service Subsystem Service of Local Security Authority) a databáze jako SAM (správce bezpečnostních účtů) .
- Podívejte se na příkazové řádky, které odpovídají argumentům typickým pro krádež pověření.
- V případě řadičů domény:
- Všechny protokoly by měly být monitorovány na podezřelou aktivitu v neobvyklých časech.
- Ověřte, zda existují neočekávaná připojení přicházející z adres IP, která nejsou přiřazena k žádným z řadičů domény.
Krádež pověření je jedním z nejnebezpečnějších útoků, ruce dolů. V každém případě je možné tomu zabránit do značné míry již od nejdůležitější úrovně. To znamená koncový uživatel. Vezměme tato doporučení v úvahu a chráníme vždy, na čem nám nejvíce záleží: naše data .
