Unsere Daten sind mehr denn je gefährdet. Ein Cyberkrimineller benötigt nur Ihre Anmeldeinformationen, um alles auf Ihrem Computer anzupassen. Diebstahl von Anmeldeinformationen ist einer der effektivsten Angriffe und führt zu mehr Konsequenzen sowohl in kleinen, mittleren als auch in großen Netzwerken. In diesem Handbuch erklären wir das Betriebsschema und welche Maßnahmen ergriffen werden können, um sie in den meisten Fällen zu verhindern.
Was ist Berechtigungsdiebstahl?
Der Diebstahl von Anmeldeinformationen gilt als eine der modernen Hacking-Techniken. Es besteht aus der Extraktion der Authentifizierungsdaten eines oder mehrerer Benutzer. Dazu gehören die Benutzer und Passwörter, mit denen die Computer der Opfer eingegeben werden. Sobald der Cyberkriminelle diese Anmeldeinformationen verwendet, hat er die Möglichkeit, auf den Inhalt der kompromittierten Computer zuzugreifen, sodass er dies so oft tun kann, wie er möchte.
Sie können sich nicht nur auf die verschiedenen Dateien und Daten verlassen, die für die Computer der Opfer typisch sind, sondern auch mit anderen kommunizieren, um dieselben oder unterschiedliche Arten von Angriffen auszuführen. Der Diebstahl von Anmeldeinformationen ist für Cyberkriminelle sehr flexibel, da er mehrere Benutzer und Kennwörter übernehmen kann, die auf einem einzigen Computer gespeichert sind. Jeder dieser Anmeldeinformationen bietet wiederum Zugriff auf andere Computer im selben Netzwerk und enthält auch mehrere Anmeldeinformationen, die verwendet werden können.
Wie Sie vielleicht bemerkt haben, handelt es sich um einen Angriff, der große Konsequenzen für ein Netzwerk haben kann. In wenigen Minuten kann ein gesamtes Netzwerk kompromittiert werden. Folglich werden alle Daten, die in jedem der angeschlossenen Computer gefunden wurden, verfügbar gemacht. All diese Katastrophen können nur passieren, weil es einer Person gelingt, ein „legitimes“ zu eröffnen. E-Mail, aber in der Tat ist es Phishing .
Denken Sie daran, dass letzteres wie ein unschuldiger Angriff erscheint. Es ist jedoch das Gateway, das zu schwereren Angriffen wie Ransomware führt. Sogar eine Variante von Phishing heißt Speer-Phishing ist die Verteilung bösartiger E-Mails an bestimmte Personen innerhalb eines Netzwerks oder einer Organisation. Der Inhalt dieser Nachrichten kann leicht verwirrend sein, da die Cyberkriminellen dafür verantwortlich sind, die Opfer vollständig zu untersuchen.
Die Gefahr einer einmaligen Anmeldung
Unternehmensnetzwerke sind die Hauptopfer von Diebstahl von Anmeldeinformationen. Vor allem, weil die meisten von ihnen die Eingabe des Benutzernamens und des Passworts durch die Person nur einmal erlauben. Die angegebenen Anmeldeinformationen werden im Speicher gespeichert und ermöglichen den Zugriff auf einen großen Teil der Netzwerkressourcen. Es ist sogar möglich, bereits Zugriff auf alles zu haben, was für den Betrieb benötigt wird.
Diebstahl von Anmeldeinformationen in Aktion
Der Cyberkriminelle hat grünes Licht, um diese Art von Angriff auszuführen, wenn er Zugriff auf einen Computer auf der untersten Ebene hat. So können Sie Code ausführen und verschiedene Befehlssätze ausführen, z. B. das Extrahieren von im Speicher gespeicherten Anmeldeinformationen. Zu diesem Zweck gibt es verschiedene Tools wie gsecdump, creddump und PWDDumpX.
Woher können Sie nun Anmeldeinformationen erhalten? Eines der Ziele der Cyberkriminellen ist in Kerberos . Theoretisch ist es eines der sichersten Protokolle, da es speziell für die sichere Authentifizierung entwickelt wurde. Dies geschieht über ein Ticketsystem, das Benutzern und Diensten Berechtigungen bietet. Der Diebstahl von Anmeldeinformationen verletzt jedoch Ihre Fähigkeiten, indem gestohlene Kerberos-Tickets injiziert werden, um legitimen Zugriff zu erhalten.
Ein weiteres sehr verbreitetes und bekanntes Ziel ist SAM (Sicherheit Account Manager) . Auf Spanisch bedeutet es Verwaltung von Sicherheitskonten . Es besteht aus einer Datei, die als Datenbank fungiert. Dies wird verwendet, um Benutzer sowohl lokal als auch remote zu authentifizieren. Eine solche Authentifizierung ist möglich, indem die von der Person eingegebenen Anmeldeinformationen mit den in der SAM-Datei vorhandenen Daten gekreuzt werden.
Das große Problem bei SAM ist, dass die Anmeldeinformationen entschlüsselt werden können, wenn diese „Master“ -Datei gefunden wird. In kürzester Zeit können Sie sich also auf Hunderttausende von Benutzern und Kennwörtern verlassen, die die entsprechenden Computer und zugehörigen Dienste gefährden.
Diebstahl von Anmeldeinformationen von einem Domänencontroller in einem Netzwerk
- NTDS . In dieser Domäne speichert der Active Directory-Dienst alle Informationen zu den Benutzern, die zur Domäne gehören, um die Anmeldeinformationen zu überprüfen: Benutzername und Kennwort.
- Gruppenrichtlinieneinstellungsdateien . Es ist ein Tool des Windows-Betriebssystems. Es ermöglicht die Implementierung von Domänenrichtlinien, die Anmeldeinformationen enthalten, und erleichtert deren Verwaltung. Diese Richtlinien werden normalerweise an einem Ort namens gespeichert SYSVOL . Wenn jemand mit böswilliger Absicht Zugriff darauf hat, kann er auf den Inhalt zugreifen und ihn entschlüsseln.
Jetzt gibt es Domänencontroller, die dies unterstützen API-Aufrufe . Cyberkriminelle verwenden eine Technik namens DCSync , der die Merkmale und Funktionen dieses Typs von Domänencontrollern nachahmt. Auf diese Weise wird erreicht, dass der ursprüngliche Controller die den Anmeldeinformationen entsprechenden Hashes sendet und somit die beabsichtigten Angriffe ausführt.
So verhindern Sie den Diebstahl von Anmeldeinformationen
Fachleute der Branche sind sich einig, dass die Vermeidung solcher Angriffe praktisch unmöglich erscheint. Eine empfohlene Aktion, die die Wahrscheinlichkeit eines Angriffs minimiert, besteht jedoch darin, nicht so viele Benutzer mit Administratorrechten zu generieren. Mit anderen Worten, es sollten nur die notwendigen existieren.
Auch die Massenadoption von Multi-Faktor-Authentifizierung ist empfohlen. Auf diese Weise ist es einfacher und effizienter sicherzustellen, dass die Person, die sich anmeldet, wirklich der Benutzer ist und dass es sich nicht um einen böswilligen Benutzer handelt. Diese Art der Implementierung hilft Benutzern auch, sich der Bedeutung der ordnungsgemäßen Verwaltung von Anmeldeinformationen bewusst zu werden und vor allem, dass sie nicht mit anderen geteilt werden sollten.
Auf der anderen Seite, Cisco-Blogs empfiehlt die folgenden Maßnahmen:
- Überwachung des Zugangs zu Diensten wie LSASS (Subsystem Service der lokalen Sicherheitsbehörde) und Datenbanken wie SAM (Sicherheitskontenmanager) .
- Sehen Sie sich Befehlszeilen an, die Argumenten entsprechen, die für den Diebstahl von Anmeldeinformationen typisch sind.
- Im Fall von Domänencontrollern:
- Alle Protokolle sollten zu ungewöhnlichen Zeiten auf verdächtige Aktivitäten überwacht werden.
- Überprüfen Sie, ob unerwartete Verbindungen von IP-Adressen stammen, die keinem der Domänencontroller zugewiesen sind.
Der Diebstahl von Anmeldeinformationen ist zweifellos einer der gefährlichsten Angriffe. In jedem Fall ist es möglich, dies bereits von der wesentlichsten Ebene weitgehend zu verhindern. Das heißt, der Endbenutzer. Lassen Sie uns diese Empfehlungen berücksichtigen und schützen, was für uns jederzeit am wichtigsten ist: unsere Daten .
