Czym jest kradzież poświadczeń?
Kradzież tożsamości jest uważana za jedną z nowoczesnych technik hakerskich. Polega na wyeksportowaniu identyfikatorów uwierzytelniania jednego lub większej liczby użytkowników. Należą do nich nazwy użytkownika i hasła używane do uzyskiwania dostępu do komputerów ofiar. Gdy cyberprzestępca przejmie te dane uwierzytelniające, będzie mógł uzyskać dostęp do zawartości zaatakowanych komputerów, co pozwoli mu robić to tyle razy, ile zechce.
Nie tylko będzie mógł polegać na różnych plikach i danych należących do komputerów ofiar, ale także będzie mógł komunikować się z innymi w celu przeprowadzenia tego samego lub innego rodzaju ataków. ten Kradzież danych uwierzytelniających jest bardzo elastyczna dla cyberprzestępcy, ponieważ może ukraść wielu użytkowników i hasła przechowywane na komputerze. Każde z tych poświadczeń daje dostęp do innych komputerów w tej samej sieci, a także zawiera wiele poświadczeń, które mogą być odpowiednie.
Jak być może zauważyłeś, jest to atak, który może mieć ogromny wpływ na sieć. W ciągu kilku minut cała sieć może zostać naruszona. W związku z tym wszystkie dane na każdym z podłączonych komputerów są ujawniane. Cała ta katastrofa może się zdarzyć tylko dlatego, że komuś uda się otworzyć „uzasadnioną” wiadomość e-mail, ale w rzeczywistości tak jest wędkarstwo elektroniczne ten
Pamiętaj, że ten ostatni może wydawać się niewinnym atakiem, jednak jest to brama, która prowadzi do poważniejszych ataków, takich jak oprogramowanie ransomware. Nawet wariant phishingowy o nazwie Wyłudzanie włóczni obejmuje dystrybucję złośliwych wiadomości e-mail do określonych osób w sieci lub organizacji. Treść tych wiadomości można łatwo wprowadzić w błąd, ponieważ cyberprzestępcy przeprowadzają pełne dochodzenie w sprawie ofiar.
Niebezpieczeństwo jednorazowego połączenia
Sieci korporacyjne są głównymi ofiarami kradzieży danych uwierzytelniających. Głównie dlatego, że większość z nich pozwala na jednokrotne wprowadzenie nazwy użytkownika i hasła. Wskazane identyfikatory są przechowywane w pamięci i umożliwiają dostęp do dużej części zasobów sieciowych. Możesz nawet uzyskać dostęp do wszystkiego, czego potrzebujesz do funkcjonowania.
Kradzież tożsamości w akcji
Cyberprzestępca ma zielone światło na przeprowadzenie tego typu ataku, gdy ma dostęp do komputera na najniższym poziomie. Możesz więc wykonać kod i wykonać różne zestawy instrukcji, takie jak wyodrębnianie poświadczeń przechowywanych w pamięci. Jest do tego wiele narzędzi, takich jak gsecdump, creddump i PWDDumpX.
Gdzie można uzyskać dane uwierzytelniające? Jeden z celów cyberprzestępców zostaje aktywowany Kerberos ten Teoretycznie jest to jeden z najbezpieczniejszych protokołów, ponieważ został specjalnie zaprojektowany do bezpiecznego uwierzytelniania. Czyni to poprzez system biletowy, który zapewnia prawa użytkownikom i usługom. Jednak kradzież Twoich danych uwierzytelniających zagraża Twoim wyborom, wprowadzając skradzione bilety Kerberos w celu uzyskania legalnego dostępu.
Innym bardzo powszechnym i dobrze znanym celem jest: SAM (menedżer konta bezpieczeństwa) ten To znaczy po hiszpańsku Zarządzanie kontem bezpieczeństwa ten Jest to plik, który działa jako baza danych. Służy do uwierzytelniania użytkowników zarówno lokalnie, jak i zdalnie. Uwierzytelnienie to jest możliwe poprzez skrzyżowanie wprowadzonych przez osobę identyfikatorów z tym, co znajduje się w pliku SAM.
Duży problem z SAM polega na tym, że jeśli możesz mieć ten „główny” plik, poświadczenia mogą zostać odszyfrowane. Dlatego w bardzo krótkim czasie możesz mieć setki tysięcy użytkowników i haseł, które zagrażają odpowiednim komputerom i powiązanym usługom.
Kradzież poświadczeń przez kontroler domeny przez sieć
- NTDS ten Jest to domena, w której Active Directory przechowuje wszystkie informacje o użytkownikach należących do domeny w celu weryfikacji poświadczeń: nazwę użytkownika i hasło.
- Pliki preferencji grup politycznych ten Jest to narzędzie systemu operacyjnego Windows. Umożliwia stosowanie zasad domeny zawierających poświadczenia, co ułatwia zarządzanie nimi. Zasady te są zwykle przechowywane w lokalizacji zwanej SYSVOL ten Jeśli atakujący ma do niego dostęp, może uzyskać dostęp do zawartości i odszyfrować ją.
Istnieją teraz kontrolery domeny, które obsługują Wywołania API ten Cyberprzestępcy używają techniki zwanej DCSync który naśladuje cechy i funkcjonalność tego typu kontrolera domeny. W ten sposób zmusza kontroler nadrzędny do wysyłania skrótów odpowiadających identyfikatorom, a tym samym do wykonywania ataków, które ma na myśli.
Jak zapobiec kradzieży danych uwierzytelniających?
Eksperci branżowi są zgodni, że uniknięcie tego rodzaju ataku wydaje się prawie niemożliwe. Jednak zalecanym działaniem i zminimalizowaniem ryzyka ataku jest nie tworzenie tylu użytkowników z uprawnieniami administratora. Oznacza to, że powinno być tylko to, co jest konieczne.
Ponadto masowa adopcja Uwierzytelnianie wieloskładnikowe zasugerował ten W ten sposób łatwiej i wydajniej jest upewnić się, że faktycznie zalogowany użytkownik jest użytkownikiem, a nie złośliwym użytkownikiem. Ten rodzaj aplikacji pomaga również użytkownikom uświadomić sobie, jak ważne jest prawidłowe zarządzanie swoimi danymi uwierzytelniającymi i, co najważniejsze, nie udostępnianie ich innym.
Po drugie, Blogi Cisco sugeruje następujące działania:
- Monitorowanie dostępu do usług takich jak m.in. LSASS (usługa podsystemu lokalnego organu bezpieczeństwa) oraz bazy danych, takie jak SAM (menedżer konta bezpieczeństwa) ten
- Spójrz na wiersze poleceń, które odpowiadają argumentom dotyczącym kradzieży poświadczeń.
- Dla kontrolerów domeny:
- Wszystkie dzienniki powinny być monitorowane pod kątem podejrzanej aktywności w nietypowych momentach.
- Sprawdź, czy nie ma nieoczekiwanych połączeń z adresów IP, które nie zostały przypisane do żadnego z kontrolerów domeny.
Kradzież tożsamości to bez wątpienia jeden z najniebezpieczniejszych ataków. W każdym razie można go w dużej mierze zapobiec na najbardziej podstawowym poziomie. Oznacza to, że użytkownik końcowy. Rozważ te zalecenia i zawsze chroń to, co dla nas najważniejsze: nasze dane ten