Iemand kan veel kwaad doen als hij net zoveel toegang krijgt tot uw gegevens als u. Dat maakt dit type aanval zo eng.
Door vorderingen op het gebied van cyberbeveiliging kunnen bedreigingsbewakingssystemen de ongebruikelijke activiteiten van criminelen detecteren. Om deze tools te verslaan, misbruiken indringers nu de legitieme status en toegangsrechten van geautoriseerde gebruikers voor kwaadaardige doeleinden.
Een hacker kan onbeperkt toegang krijgen tot uw gegevens zonder stof op te wekken door een golden ticket-aanval uit te voeren. Daarbij hebben ze praktisch dezelfde toegangsrechten als jij. Het is te riskant voor aanvallers om zo'n macht te hebben, vind je niet? Hier leest u hoe u ze kunt stoppen.
Wat is een Golden Ticket-aanval?
Een golden ticket betekent in deze context onbeperkte toegang. Een crimineel met het ticket kan communiceren met al uw accountcomponenten, inclusief uw gegevens, applicaties, bestanden, enz. Een golden ticket-aanval is de onbeperkte toegang die een aanvaller verkrijgt om uw netwerk binnen te dringen. Er is geen limiet aan wat ze kunnen doen.
Hoe werkt een Golden Ticket-aanval?
Active Directory (AD) is een initiatief van Microsoft om domeinnetwerken te beheren. Het heeft een aangewezen Kerberos-sleuteldistributiecentrum (KDC), een authenticatieprotocol om de legitimiteit van gebruikers te verifiëren. De KDC beveiligt de AD door een uniek ticketverlenend ticket (TGT) te genereren en te distribueren naar geautoriseerde gebruikers. Dit gecodeerde ticket zorgt ervoor dat gebruikers geen schadelijke activiteiten op het netwerk kunnen uitvoeren en beperkt hun browsersessie tot een bepaalde tijd, meestal niet meer dan 10 uur.
Wanneer u een domein aanmaakt in het AD, krijgt u automatisch een KRBGT-account. Daders van golden ticket-aanvallen compromitteren uw accountgegevens om de domeincontroller van de AD op de volgende manieren te manipuleren.
Informatie verzamelen
De golden ticker-aanvaller begint met het verzamelen van informatie over uw account, met name de volledig gekwalificeerde domeinnaam (FQDN), beveiligings-ID en wachtwoord-hash. Ze konden phishing-technieken gebruiken om uw gegevens te verzamelen, of beter nog, uw apparaat infecteren met malware en het zelf ophalen. Ze kunnen kiezen voor brute kracht bij het verzamelen van informatie.
Kaartjes vervalsen
De bedreigingsactor kan mogelijk uw Active Directory-gegevens zien wanneer hij uw account binnenkomt met uw inloggegevens, maar hij kan op dit moment geen activiteiten uitvoeren. Ze moeten tickets genereren die legitiem zijn voor uw domeincontroller. De KDC versleutelt alle tickets die het genereert met zijn KRBTGT-wachtwoordhash, dus de bedrieger moet hetzelfde doen hetzij door het NTDS.DIT-bestand te stelen, een DCSync-aanval uit te voeren of kwetsbaarheden in de eindpunten.
Behoud toegang op lange termijn
Aangezien het verkrijgen van de KRBTGT-wachtwoordhash de crimineel onbeperkte toegang tot uw systeem geeft, maken ze er maximaal gebruik van. Ze hebben geen haast om te vertrekken, maar blijven op de achtergrond en brengen uw gegevens in gevaar. Ze kunnen zich zelfs voordoen als gebruikers met de hoogste toegangsrechten zonder argwaan te wekken.
5 manieren om een Golden Ticket-aanval te voorkomen
Golden ticket-aanvallen behoren tot de gevaarlijkste cyberaanvallen vanwege de vrijheid van de indringer om verschillende activiteiten uit te voeren. U kunt het voorkomen ervan tot het minimum beperken met de volgende cyberbeveiligingsmaatregelen.
1. Houd beheerdersreferenties privé
Net als bij de meeste andere aanvallen hangt een golden ticket-aanval af van het vermogen van de crimineel om gevoelige accountreferenties op te halen. Beveilig sleutelgegevens door het aantal mensen te beperken dat er toegang toe heeft.
De meest waardevolle inloggegevens bevinden zich op de accounts van beheerders. Als netwerkbeheerder moet u uw toegangsrechten op zijn minst beperken. Uw systeem loopt een groter risico wanneer meer mensen toegang hebben tot beheerdersrechten.
2. Identificeer en weersta phishing-pogingen
Het beveiligen van beheerdersrechten is een van de manieren om identiteitsdiefstal te voorkomen. Als u dat venster blokkeert, zullen hackers hun toevlucht nemen tot andere methoden, zoals phishing-aanvallen. Phishing is meer psychologisch dan technisch, dus u moet van tevoren mentaal voorbereid zijn om het te detecteren.
Maak uzelf vertrouwd met verschillende phishingtechnieken en -scenario's. Het belangrijkste is dat u op uw hoede bent voor berichten van vreemden die op zoek zijn naar persoonlijk identificeerbare informatie over u of uw account. Sommige criminelen vragen niet rechtstreeks om uw inloggegevens, maar sturen u geïnfecteerde e-mails, links of bijlagen. Als u niet kunt instaan voor inhoud, open deze dan niet.
3. Beveilig Active Directory's met Zero Trust-beveiliging
De belangrijke informatie die hackers nodig hebben om golden ticket-aanvallen uit te voeren, bevindt zich in uw actieve mappen. Helaas kunnen er op elk moment kwetsbaarheden in uw endpoints ontstaan die blijven hangen voordat u ze opmerkt. Maar het bestaan van kwetsbaarheden is niet noodzakelijkerwijs schadelijk voor uw systeem. Ze worden schadelijk wanneer indringers ze identificeren en misbruiken.
U kunt er niet voor instaan dat gebruikers zich niet overgeven aan activiteiten die uw gegevens in gevaar brengen. Implementeer zero trust-beveiliging om de beveiligingsrisico's te beheersen van mensen die uw netwerk bezoeken, ongeacht hun positie of status. Beschouw elke persoon als een bedreiging, aangezien hun acties uw gegevens in gevaar kunnen brengen.
4. Wijzig het wachtwoord van uw KRBTGT-account regelmatig
Het wachtwoord van uw KRBGT-account is het gouden toegangsbewijs van de aanvaller voor uw netwerk. Het beveiligen van uw wachtwoord creëert een barrière tussen hen en uw account. Laten we zeggen dat een crimineel al uw systeem is binnengedrongen na het ophalen van uw wachtwoord-hash. Hun levensduur is afhankelijk van de geldigheid van het wachtwoord. Als u het wijzigt, kunnen ze niet werken.
U heeft de neiging zich niet bewust te zijn van de aanwezigheid van aanvallers met gouden bedreigingen in uw systeem. Maak er een gewoonte van om uw wachtwoord regelmatig te wijzigen, zelfs als u geen vermoeden hebt van een aanval. Deze enkele handeling trekt de toegangsrechten in van ongeautoriseerde gebruikers die al toegang hebben tot uw account.
Microsoft adviseert gebruikers specifiek om de wachtwoorden van hun KRBTGT-account regelmatig te wijzigen om criminelen met ongeoorloofde toegang af te weren.
5. Adopteer Human Threat Monitoring
Actief zoeken naar bedreigingen in uw systeem is een van de meest effectieve manieren om golden ticket-aanvallen te detecteren en in te dammen. Deze aanvallen zijn niet-invasief en worden op de achtergrond uitgevoerd, dus u bent zich mogelijk niet bewust van een inbreuk omdat de zaken er aan de oppervlakte normaal kunnen uitzien.
Het succes van golden ticket-aanvallen ligt in het vermogen van de crimineel om zich te gedragen als een geautoriseerde gebruiker en gebruik te maken van hun toegangsrechten. Dit betekent dat geautomatiseerde apparaten voor het bewaken van bedreigingen hun activiteiten mogelijk niet detecteren omdat ze niet ongebruikelijk zijn. U hebt vaardigheden voor het monitoren van menselijke bedreigingen nodig om ze te detecteren. En dat komt omdat mensen het zesde zintuig hebben om verdachte activiteiten te identificeren, zelfs als de indringer beweert legitiem te zijn.
Beveilig gevoelige inloggegevens tegen Golden Ticket-aanvallen
Zonder fouten van uw kant zouden cybercriminelen geen onbeperkte toegang tot uw account hebben bij een golden ticket-aanval. Voor zover zich onvoorziene kwetsbaarheden voordoen, kunt u maatregelen nemen om deze van tevoren te verminderen.
Door uw essentiële inloggegevens te beveiligen, met name de wachtwoordhash van uw KBTGT-account, hebben indringers zeer beperkte opties om uw account te hacken. Je hebt standaard controle over je netwerk. Aanvallers vertrouwen op uw beveiligingsnalatigheid om te gedijen. Geef ze niet de kans.