Alguém pode causar muitos danos se obtiver tanto acesso aos seus dados quanto você. É isso que torna esse tipo de ataque tão assustador.
Os avanços na segurança cibernética permitem que os sistemas de monitoramento de ameaças detectem atividades incomuns de criminosos. Para vencer essas ferramentas, os invasores agora exploram o status legítimo e os privilégios de acesso de usuários autorizados para fins maliciosos.
Um hacker pode ter acesso ilimitado aos seus dados sem levantar poeira ao lançar um ataque de bilhete dourado. Ao fazer isso, eles praticamente têm os mesmos direitos de acesso que você. É muito arriscado para os invasores terem tanto poder, você não acha? Veja como pará-los.
O que é um ataque de bilhete dourado?
Neste contexto, um bilhete dourado significa acesso ilimitado. Um criminoso com o ticket pode interagir com todos os componentes da sua conta, incluindo seus dados, aplicativos, arquivos, etc. Um ataque de ticket dourado é o acesso irrestrito que um invasor obtém para comprometer sua rede. Não há limite para o que eles podem fazer.
Como funciona um ataque de bilhete dourado?
Active Directory (AD) é uma iniciativa da Microsoft para gerenciar redes de domínio. Ele possui um centro de distribuição de chaves Kerberos designado (KDC), um protocolo de autenticação para verificar a legitimidade dos usuários. O KDC protege o AD gerando e distribuindo um tíquete de concessão de tíquete exclusivo (TGT) para usuários autorizados. Esse tíquete criptografado restringe os usuários de realizar atividades prejudiciais na rede e limita sua sessão de navegação a um horário específico, geralmente não mais que 10 horas.
Ao criar um domínio no AD, você obtém uma conta KRBTGT automaticamente. Os perpetradores de ataques de ticket dourado comprometem os dados da sua conta para manipular o controlador de domínio do AD das seguintes maneiras.
Juntar informação
O atacante do golden ticker começa coletando informações sobre sua conta, especialmente seu nome de domínio totalmente qualificado (FQDN), identificador de segurança e hash de senha. Eles poderiam usar técnicas de phishing para coletar seus dados, ou melhor ainda, infectar seu dispositivo com malware e recuperá-lo por conta própria. Eles podem optar pela força bruta no processo de coleta de informações.
Forjar bilhetes
O agente da ameaça pode ver seus dados do diretório ativo quando eles entram em sua conta com suas credenciais de login, mas não podem realizar atividades neste momento. Eles precisam gerar tíquetes legítimos para seu controlador de domínio. O KDC criptografa todos os tickets que gera com seu hash de senha KRBTGT, então o impostor deve fazer o mesmo roubando o arquivo NTDS.DIT, realizando um ataque DCSync ou aproveitando vulnerabilidades no pontos de extremidade.
Manter acesso de longo prazo
Como a obtenção do hash de senha KRBTGT dá ao criminoso acesso ilimitado ao seu sistema, eles o usam ao máximo. Eles não estão com pressa de sair, mas ficam em segundo plano, comprometendo seus dados. Eles podem até representar usuários com os privilégios de acesso mais altos sem levantar suspeitas.
5 maneiras de prevenir um ataque de bilhete dourado
Os ataques de bilhete dourado estão entre os ataques cibernéticos mais perigosos devido à liberdade do intruso para realizar várias atividades. Você pode reduzir sua ocorrência ao mínimo com as seguintes medidas de segurança cibernética.
1. Manter as credenciais de administrador privadas
Como a maioria dos outros ataques, um ataque de ticket dourado depende da capacidade do criminoso de recuperar credenciais de contas confidenciais. Proteja os dados principais limitando o número de pessoas que podem acessá-los.
As credenciais mais valiosas estão nas contas dos usuários administradores. Como administrador de rede, você precisa restringir ao mínimo seus privilégios de acesso. Seu sistema corre um risco maior quando mais pessoas têm acesso a privilégios de administrador.
2. Identifique e resista às tentativas de phishing
Proteger privilégios de administrador é um dos maneiras de evitar o roubo de credenciais. Se você bloquear essa janela, os hackers recorrerão a outros métodos, como ataques de phishing. O phishing é mais psicológico do que técnico, então você precisa estar mentalmente preparado com antecedência para detectá-lo.
Familiarize-se com diferentes técnicas e cenários de phishing. Mais importante, tenha cuidado com mensagens de estranhos que buscam informações de identificação pessoal sobre você ou sua conta. Alguns criminosos não solicitam suas credenciais diretamente, mas enviam e-mails, links ou anexos infectados. Se você não pode garantir nenhum conteúdo, não o abra.
3. Diretórios ativos seguros com segurança de confiança zero
As informações importantes que os hackers precisam para executar ataques de ticket dourado estão em seus diretórios ativos. Infelizmente, as vulnerabilidades podem surgir em seus endpoints a qualquer momento e persistir antes que você as perceba. Mas a existência de vulnerabilidades não necessariamente prejudica seu sistema. Eles se tornam prejudiciais quando intrusos os identificam e os exploram.
Você não pode garantir que os usuários não se envolvam em atividades que comprometam seus dados. Implementar segurança de confiança zero para gerenciar os riscos de segurança das pessoas que visitam sua rede independentemente de sua posição ou status. Considere cada pessoa como uma ameaça, pois suas ações podem colocar seus dados em risco.
4. Altere a senha da sua conta KRBTGT regularmente
A senha da sua conta KRBTGT é o bilhete de ouro do invasor para sua rede. Proteger sua senha cria uma barreira entre eles e sua conta. Digamos que um criminoso já tenha entrado em seu sistema após recuperar o hash de sua senha. Sua vida útil depende da validade da senha. Se você alterá-lo, eles não poderão operar.
Há uma tendência de você não perceber a presença de invasores de ameaças douradas em seu sistema. Cultive o hábito de alterar sua senha regularmente, mesmo quando não houver suspeita de um ataque. Este único ato revoga os privilégios de acesso de usuários não autorizados que já tenham acesso à sua conta.
A Microsoft aconselha especificamente os usuários a alterar suas senhas de conta KRBTGT regularmente para afastar criminosos com acesso não autorizado.
5. Adote o monitoramento de ameaças humanas
Procurar ativamente por ameaças em seu sistema é uma das maneiras mais eficazes de detectar e conter ataques de senha de ouro. Esses ataques não são invasivos e são executados em segundo plano, portanto, você pode não estar ciente de uma violação, pois as coisas podem parecer normais na superfície.
O sucesso dos ataques de bilhete dourado reside na capacidade do criminoso de agir como um usuário autorizado, aproveitando seu privilégio de acesso. Isso significa que os dispositivos automatizados de monitoramento de ameaças podem não detectar suas atividades porque não são incomuns. Você precisa de habilidades de monitoramento de ameaças humanas para detectá-las. E isso porque os humanos têm o sexto sentido para identificar atividades suspeitas mesmo quando o intruso afirma ser legítimo.
Proteger credenciais confidenciais contra ataques Golden Ticket
Os cibercriminosos não teriam acesso ilimitado à sua conta em um ataque de bilhete dourado sem lapsos de sua parte. Na medida em que surgem vulnerabilidades imprevistas, você pode implementar medidas para mitigá-las com antecedência.
Proteger suas credenciais essenciais, especialmente o hash de senha da conta KRBTGT, deixa os invasores com opções muito limitadas para invadir sua conta. Você tem controle sobre sua rede por padrão. Os invasores dependem de sua negligência de segurança para prosperar. Não dê a eles a oportunidade.
