Злоумышленники всегда пытаются найти способы нарушить безопасность для собственной выгоды. Для этого многие нацеливаются на процесс аутентификации и сетевую безопасность. Подделывая или изменяя учетные данные для собственного использования, злоумышленники получают доступ к частной информации компании.
Одним из способов получения такой аутентификации является атака с использованием серебряного билета. Подобно атаке с золотым билетом, атака с серебряным билетом компрометирует учетные данные, используя преимущества протокола Kerberos. Предотвращение атак с использованием серебряных билетов и реагирование на них — важная мера безопасности, которую должен принять каждый бизнес.
Билет с точки зрения кибербезопасности — это номер, созданный сетевым сервером в качестве доказательства аутентификации или авторизации. Серебряный билет — это поддельный билет аутентификации, который часто создается, когда злоумышленник крадет пароль учетной записи. Атаки с серебряными билетами используют эту аутентификацию для подделки билетов службы выдачи билетов. Поддельный билет службы зашифрован и обеспечивает доступ к ресурсам конкретной службы, на которую нацелена атака с помощью серебряного билета.
Атака с серебряными билетами объединяется с другими типами атак с помощью билетов, так что это злоупотребление уязвимостью Kerberos. Это называется Kerberoasting, и он собирает хэши паролей для учетных записей пользователей Microsoft Active Directory, используя Kerberos, протокол сетевой безопасности, который аутентифицирует запросы на обслуживание с использованием криптографии с секретным ключом. Помимо серебряного билета, этой уязвимостью также пользуются атаки с золотым и бриллиантовым билетами.
Атака с помощью алмазного билета может расшифровать и повторно зашифровать подлинный билет, предоставляющий билет для использования злоумышленником. Атака с золотым билетом дает злоумышленнику полный доступ к целевому домену. Серебряные билеты более специфичны в использовании, но по-прежнему представляют собой опасный инструмент для злоумышленников.
Как работает атака с серебряным билетом?
Чтобы выполнить атаку с использованием серебряного билета, злоумышленник должен уже иметь контроль над скомпрометированной целью в системной среде. Эта первоначальная компрометация может проявляться в любой форме кибератаки или вредоносного ПО. Как только злоумышленник получает доступ, атака с серебряным билетом следует пошаговому процессу подделки учетных данных авторизации.
Шаг 1. Соберите информацию о домене и целевой локальной службе. Это включает в себя обнаружение идентификатора безопасности домена и DNS-имени службы, для которой предназначена атака.
Шаг 2. Используйте средство для получения локального хэша NTLM или хэша пароля для службы Kerberos. Хэш NTLM можно получить из локальной учетной записи службы или диспетчера учетной записи безопасности скомпрометированной системы.
Шаг 3. Получите незашифрованный пароль из хэша NTLM с помощью Kerberoasting.
Шаг 4. Подделайте службу выдачи билетов Kerberos. Это позволяет злоумышленнику аутентифицировать свою целевую службу.
Шаг 5. Используйте поддельные билеты для получения финансовой выгоды или для дальнейшего разрушения системы. Дальнейшие действия будут выполняться в зависимости от цели злоумышленника.
Как только злоумышленник получает поддельный серебряный билет, он может запускать код в качестве целевой локальной системы. Затем они могут повысить свои привилегии на локальном хосте и начать боковое перемещение в скомпрометированной среде или даже создать золотой билет. Это дает им доступ к большему, чем начальная целевая область, и является тактикой, позволяющей избежать мер по предотвращению кибербезопасности.
Предотвращение атак с серебряным билетом
Так как же предотвратить атаки с дампингом учетных данных, такие как атака с серебряным билетом? Вы можете либо помешать злоумышленникам получить информацию о пароле, либо ограничить доступ, который может предоставить поддельный билет. Чтобы предотвратить успех Kerberoasting, вы можете попросить разработчиков написать программное обеспечение для шифрования данных, хранящихся в памяти. Вы также можете создавать методы, которые очищают конфиденциальную информацию, такую как сохраненные пароли, на регулярной основе.
Если вы применяете модель минимальных привилегий пользователя для ограничения доступа администратора и ограничения количества учетных записей администратора домена, вы можете предотвратить эскалацию атак с серебряными билетами. Путем аудита и усиления учетных записей служб вы можете сделать так, чтобы пароли было труднее найти и они не распространялись по сети. Наконец, не забудьте проверить протокол Kerberos, удостоверившись, что билеты были выпущены законным распространителем ключей.
Протокол Kerberos остается одним из самых безопасных протоколов проверки с использованием криптографии, секретных ключей и сторонней авторизации. Предотвращение и реагирование на атаку с серебряным билетом Kerberos необходимо для защиты от злоумышленников.
Смягчение и реагирование на атаки с серебряным билетом
Атаки с серебряными билетами могут быть опасны, поскольку они могут привести к нарушению безопасности вашей Active Directory. Если злоумышленник получит доступ к Active Directory, он сможет обойти большинство мер кибербезопасности. То, как вы отреагируете на атаку серебряных билетов, может определить, насколько хорошо вы смягчите последствия для своего бизнеса.
После атаки с использованием серебряного билета требуется немедленный ответ от вашей команды кибербезопасности. Этот ответ должен включать в себя несколько вопросов и усиление мер безопасности на основе ответов:
- Как злоумышленник изначально получил доступ к сети? Была ли это фишинговая атака или какое-то другое нарушение безопасности?
- Какие учетные записи были атакованы злоумышленником? Соответствуют ли меры безопасности для этих учетных записей другим учетным записям в компании?
- К какой информации получил доступ злоумышленник? Каковы последствия того, что эта информация окажется в руках злоумышленника?
- Какие активы были скомпрометированы? Была ли атака ограничена изначально целевой службой или был осуществлен доступ к Active Directory?
Как только ответы на эти вопросы будут известны, группа кибербезопасности может начать принимать контрмеры. Другие способы уменьшить ущерб от атаки серебряного билета включают следующее:
- Включите проверку сертификата привилегированного атрибута Kerberos. Это может помочь в предотвращении и обнаружении серебряных билетов.
- Используйте службу паролей для создания уникальных паролей, которые являются случайными и надежными. Например, минимум 30 символов и частая смена паролей.
- Не позволяйте ни одному пользователю иметь административные привилегии за границами безопасности. Это предотвращает эскалацию атаки серебряного билета за счет выхода из первоначально целевой службы.
Принимая соответствующие меры, ваш бизнес может предотвратить большинство атак с использованием серебряных билетов и быстро реагировать на те, которые вы обнаружите.
Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.
Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.