Qualcuno può fare molto male se ottiene tanto accesso ai tuoi dati quanto te. Questo è ciò che rende questo tipo di attacco così spaventoso.
I progressi nella sicurezza informatica consentono ai sistemi di monitoraggio delle minacce di rilevare le attività insolite dei criminali. Per battere questi strumenti, gli intrusi ora sfruttano lo stato legittimo ei privilegi di accesso degli utenti autorizzati per scopi dannosi.
Un hacker può avere accesso illimitato ai tuoi dati senza alzare polvere lanciando un attacco golden ticket. In tal modo, hanno praticamente gli stessi diritti di accesso di te. È troppo rischioso per gli aggressori avere un tale potere, non credi? Ecco come fermarli.
Che cos'è un attacco con biglietto d'oro?
In questo contesto, un biglietto d'oro significa accesso illimitato. Un criminale con il ticket può interagire con tutti i componenti del tuo account inclusi dati, applicazioni, file, ecc. Un attacco golden ticket è l'accesso illimitato che un utente malintenzionato ottiene per compromettere la tua rete. Non c'è limite a quello che possono fare.
Come funziona un attacco con biglietto d'oro?
Active Directory (AD) è un'iniziativa di Microsoft per gestire le reti di dominio. Ha un centro di distribuzione delle chiavi Kerberos (KDC) designato, un protocollo di autenticazione per verificare la legittimità degli utenti. Il KDC protegge l'AD generando e distribuendo un TGT (Ticket Granting Ticket) univoco agli utenti autorizzati. Questo ticket crittografato impedisce agli utenti di eseguire attività dannose sulla rete e limita la loro sessione di navigazione a un tempo specifico, in genere non più di 10 ore.
Quando crei un dominio in AD, ottieni automaticamente un account KRBTGT. Gli autori di attacchi golden ticket compromettono i dati del tuo account per manipolare il controller di dominio di AD nei seguenti modi.
Raccogliere informazioni
L'attaccante del golden ticker inizia raccogliendo informazioni sul tuo account, in particolare il nome di dominio completo (FQDN), l'identificatore di sicurezza e l'hash della password. Potevano utilizzare tecniche di phishing per raccogliere i tuoi dati, o meglio ancora, infettare il tuo dispositivo con malware e recuperarlo da soli. Possono optare per la forza bruta nel processo di raccolta delle informazioni.
Forgia biglietti
L'autore della minaccia potrebbe essere in grado di vedere i tuoi dati di Active Directory quando accede al tuo account con le tue credenziali di accesso, ma a questo punto non può eseguire attività. Devono generare ticket legittimi per il tuo controller di dominio. Il KDC crittografa tutti i ticket che genera con il suo hash della password KRBTGT, quindi l'impostore deve fare lo stesso rubando il file NTDS.DIT, sferrando un attacco DCSync o sfruttando le vulnerabilità nel file punti finali.
Mantieni l'accesso a lungo termine
Poiché ottenere l'hash della password KRBTGT dà al criminale un accesso illimitato al tuo sistema, lo usano al massimo. Non hanno fretta di andarsene ma restano in disparte, compromettendo i tuoi dati. Possono persino impersonare gli utenti con i privilegi di accesso più elevati senza destare sospetti.
5 modi per prevenire un attacco di biglietto d'oro
Gli attacchi Golden Ticket si collocano tra gli attacchi informatici più pericolosi a causa della libertà dell'intruso di svolgere varie attività. Puoi ridurre il loro verificarsi al minimo indispensabile con le seguenti misure di sicurezza informatica.
1. Mantieni private le credenziali di amministratore
Come la maggior parte degli altri attacchi, un attacco golden ticket dipende dalla capacità del criminale di recuperare le credenziali sensibili dell'account. Proteggi i dati chiave limitando il numero di persone che possono accedervi.
Le credenziali più preziose si trovano sugli account degli utenti amministratori. In qualità di amministratore di rete, devi limitare al minimo i tuoi privilegi di accesso. Il tuo sistema è a rischio maggiore quando più persone hanno accesso ai privilegi di amministratore.
2. Identificare e resistere ai tentativi di phishing
Garantire i privilegi di amministratore è uno dei modi per prevenire il furto di credenziali. Se blocchi quella finestra, gli hacker ricorreranno ad altri metodi come gli attacchi di phishing. Il phishing è più psicologico che tecnico, quindi devi essere mentalmente preparato in anticipo per rilevarlo.
Acquisisci familiarità con diverse tecniche e scenari di phishing. Ancora più importante, fai attenzione ai messaggi di estranei che cercano informazioni di identificazione personale su di te o sul tuo account. Alcuni criminali non richiedono direttamente le tue credenziali, ma ti inviano e-mail, collegamenti o allegati infetti. Se non puoi garantire alcun contenuto, non aprirlo.
3. Proteggi le Active Directory con la sicurezza Zero Trust
Le informazioni importanti di cui gli hacker hanno bisogno per eseguire attacchi golden ticket si trovano nelle tue directory attive. Sfortunatamente, le vulnerabilità possono sorgere nei tuoi endpoint in qualsiasi momento e persistere prima che tu le noti. Ma l'esistenza di vulnerabilità non danneggia necessariamente il tuo sistema. Diventano dannosi quando gli intrusi li identificano e li sfruttano.
Non puoi garantire che gli utenti non si dedichino ad attività che comprometteranno i tuoi dati. Implementa la sicurezza zero trust per gestire i rischi per la sicurezza delle persone che visitano la tua rete indipendentemente dalla loro posizione o stato. Considera ogni persona come una minaccia poiché le sue azioni possono mettere in pericolo i tuoi dati.
4. Cambia regolarmente la password del tuo account KRBTGT
La password del tuo account KRBTGT è il biglietto d'oro dell'attaccante per la tua rete. Proteggere la tua password crea una barriera tra loro e il tuo account. Supponiamo che un criminale sia già entrato nel tuo sistema dopo aver recuperato l'hash della tua password. La loro durata dipende dalla validità della password. Se lo cambi, non saranno in grado di funzionare.
C'è la tendenza a non essere a conoscenza della presenza di aggressori di minacce d'oro nel tuo sistema. Coltiva l'abitudine di cambiare regolarmente la tua password anche quando non hai il sospetto di un attacco. Questo atto unico revoca i privilegi di accesso degli utenti non autorizzati che hanno già accesso al tuo account.
Microsoft consiglia specificamente agli utenti di modificare regolarmente le password degli account KRBTGT per scongiurare i criminali con accesso non autorizzato.
5. Adottare il monitoraggio delle minacce umane
La ricerca attiva di minacce nel sistema è uno dei modi più efficaci per rilevare e contenere gli attacchi golden ticket. Questi attacchi non sono invasivi e vengono eseguiti in background, quindi potresti non essere a conoscenza di una violazione poiché le cose potrebbero sembrare normali in superficie.
Il successo dei golden ticket attack risiede nella capacità del criminale di agire come un utente autorizzato, sfruttando i propri privilegi di accesso. Ciò significa che i dispositivi di monitoraggio automatico delle minacce potrebbero non rilevare le loro attività perché non sono insolite. Hai bisogno di capacità di monitoraggio delle minacce umane per rilevarle. E questo perché gli esseri umani hanno il sesto senso per identificare attività sospette anche quando l'intruso afferma di essere legittimo.
Proteggi le credenziali sensibili contro gli attacchi Golden Ticket
I criminali informatici non avrebbero accesso illimitato al tuo account in un attacco golden ticket senza errori da parte tua. Nella misura in cui sorgono vulnerabilità impreviste, è possibile instillare misure per mitigarle in anticipo.
Proteggere le tue credenziali essenziali, in particolare l'hash della password del tuo account KRBTGT, lascia agli intrusi opzioni molto limitate per hackerare il tuo account. Hai il controllo sulla tua rete per impostazione predefinita. Gli aggressori fanno affidamento sulla tua negligenza nella sicurezza per prosperare. Non dare loro l'opportunità.
