Kaj je Pass the Hash Attack in kako deluje?

Vnašanje poverilnic vsakič, ko se želite prijaviti v sistem, je lahko naporno, še posebej, če se redno prijavljate v sistem. Morda boste celo pozabili svoja gesla.

Implementacija operacijskih sistemov, ki uporabnikom zagotavljajo izkušnjo enotne prijave, vam prihrani vsakokratno ponovno vnašanje podatkov za prijavo. Toda s tem je problem. Napadalci lahko izkoristijo vaše poverilnice, shranjene v sistemu, z napadom Pass-the-Hash (PtH).

Tukaj bomo razpravljali o tem, kako deluje napad Pass-the-Hash in kako ga lahko ublažite.

Kaj je Pass the Hash Attack?

Haširanje je proces prevajanja nizov znakov v kodo, zaradi česar je veliko krajši in lažji. Je eden od velikih akterjev na področju kibernetske varnosti, ki je ključnega pomena za preprečevanje kršitev podatkov.

Skrbniki spletnih aplikacij šifriranje datotek in sporočil preprečiti nepooblaščen dostop do njih. Čeprav so te datoteke zaupne, zgoščevanje pomaga preveriti njihovo celovitost. Preprečuje, da bi kdorkoli poškodoval datoteke ali spremenil njihovo vsebino in jih nato predstavil kot izvirne datoteke.

Po prevodu razpršitve ni mogoče obrniti. Omogoča vam le odkrivanje, ali sta si dve datoteki podobni ali ne, ne da bi preverili njihovo vsebino. Preden dostopate do sistema ali storitve prek omrežja, se morate overiti s predstavitvijo uporabniškega imena in gesla. Zdaj so te informacije shranjene v bazi podatkov za nadaljnjo primerjavo, ko se poskusite znova prijaviti.

Vaša gesla so v jasnem besedilu, zaradi česar so manj varna. In če lahko napadalec dostopa do baze podatkov, lahko ukrade vaše geslo in pridobi nepooblaščen dostop do vašega računa. Stanje se bo poslabšalo, če ste eden tistih uporabnikov, ki uporabljajo eno geslo za različne račune. Napadalec bo uporabil ukradeno geslo za dostop do vaših drugih računov.

Torej, kako pride v poštev heš?

Mehanizem zgoščevanja pretvori vaše geslo za jasno besedilo v podatke, ki jih ni mogoče spremeniti nazaj v prvotno geslo. Ko je vaše geslo zgoščeno in shranjeno v pomnilniku sistema, se uporablja za dokazovanje vaše identitete, ko boste naslednjič želeli dostopati do storitve.

Hash ščiti uporabniške račune pred nepooblaščenim dostopom. A ne tako dolgo, dokler so kibernetski kriminalci zasnovali strategijo za pridobivanje hasha. Varnostna ranljivost, odkrita pri enotni prijavi (SSO), je umaknila mesto napadu Pass-the-Hash. Prvič se je pojavil leta 1997 in obstaja že 24 let.

Napad Pass-the-Hash je podoben trikom napadalcev uporabite za krajo uporabniških gesel. To je eden najpogostejših, a podcenjenih napadov, ko gre za krajo in uporabo uporabniških poverilnic.

S tehniko Pass-the-Hash napadalcem ni treba razbiti hasha. Lahko se ponovno uporabi ali posreduje strežniku za preverjanje pristnosti. Zgoščenja gesel ostanejo statična od seje do seje, dokler se ne spremenijo. Zaradi tega napadalci posegajo po protokolih za preverjanje pristnosti operacijskih sistemov, da bi ukradli zgoščena gesla.

Kako deluje prenos Hash Attack?

Napadi Pass-the-Hash so najpogostejši v sistemih Windows, čeprav se lahko zgodijo v drugih operacijskih sistemih, kot sta Linux in UNIX. Hekerji vedno iščejo vrzeli v teh sistemih, da bi prišli do svojih žrtev.

Ranljivost sistema Windows je v njegovem preverjanju pristnosti NTLM, ki izvaja funkcijo enotne prijave (SSO). Uporabnikom omogoča, da enkrat vnesejo svoja gesla in dostopajo do katere koli funkcije, ki jo želijo.

Takole deluje:

Ko se prvič prijavite v sistem Windows, zgosti vaše geslo in ga shrani v sistemski pomnilnik. To je odprtina za napadalce, da izkoristijo vaše zgoščeno geslo. Lahko imajo fizični dostop do vašega sistema, odstranijo njegov aktivni pomnilnik ali ga okužijo z zlonamerno programsko opremo in drugimi tehnikami.

Orodja, kot so Metasploit, Gsecdump in Mimikatz, se uporabljajo za ekstrakcijo zgoščenih poverilnic iz sistemskega pomnilnika. Ko to storijo, napadalci ponovno uporabijo vaše poverilnice, da se prijavijo kot vi in ​​dostopajo do vseh aplikacij, do katerih imate pravice.

Če se je prijatelj ali kolega prijavil v vaš sistem, lahko heker enako pobere njihov hash. Ne pozabite, da je to tehnika bočnega gibanja. Najslabši scenarij je, da heker pridobi dostop do nadzornih sistemov, ki poganjajo celotno organizacijo ali infrastrukturo IT. Ko so notri, lahko ukradejo občutljive podatke, spremenijo zapise ali namestijo zlonamerno programsko opremo.

Kako ublažiti napad Hash-a pri posredovanju

Tukaj je nekaj, kar morate vedeti o napadu Pass-the-Hash. Ne gre za napako, ampak za lastnost. Protokol enotne prijave, ki je implementiran z razpršitvijo, uporabnikom prihrani težave pri ponovnem vnašanju svojih gesel. Tako hekerji zdaj izkoriščajo funkcijo Windows SSO, komunikacijski protokol sistemov Linux in Unix za zlonamerne namene.

Z upoštevanjem teh učinkovitih rešitev lahko zmanjšate svoje možnosti, da postanete žrtev takšnih napadov.

1. Omogoči Credential Guard Windows Defender

Windows Defender Credential Guard je varnostna funkcija, ki je na voljo v sistemih Windows 10 in novejših. Varuje občutljive informacije, shranjene v sistemu. Storitev podsistema lokalnega varnostnega organa (LSASS) uveljavlja varnostno politiko v sistemu Windows.

2. Izvedite varnostni model z najmanjšimi privilegiji

Tukaj je stvar: če ste lastnik podjetja in imate ljudi, ki delajo za vas, omejite njihove pravice dostopa samo na vire in datoteke, potrebne za opravljanje njihovih nalog v omrežnem sistemu.

Odpravite nepotrebne skrbniške pravice in dodelite privilegije samo zaupanja vrednim aplikacijam. To bo zmanjšalo hekerjevo sposobnost, da razširi svoj dostop in dovoljenja.

3. Po odjavi znova zaženite sisteme

Ne pozabite, da je cilj čim bolj zmanjšati tveganje, da postanete žrtev napada Pass-the-Hash. Ker sistem shrani zgoščeno geslo gesla v svoj pomnilnik, bo ponovni zagon računalnika po odjavi odstranil razpršilo iz pomnilnika sistema.

4. Namestite programsko opremo AntiMalware

Kibernetski kriminalci odlično uporabljajo zlonamerno programsko opremo za ogrožanje omrežij. Avtomatizirana orodja, kot je programska oprema za zaščito pred zlonamerno programsko opremo, so priročna za obrambo pred temi kibernetskimi napadi. Ta orodja zaznajo okužene ali zlonamerne datoteke v vašem sistemu in jih nevtralizirajo, preden napadejo.

Ko nameščate programsko opremo za zaščito pred zlonamerno programsko opremo na svoje naprave, zaščitite svoj sistem pred zlonamerno programsko opremo. Za pridobivanje lahko uporabite tudi platforme zlonamerne programske opreme kot storitve prilagojene rešitve zlonamerne programske opreme.

5. Posodobite svoje operacijske sisteme

Zakaj bi se držali starejše različice operacijskega sistema z manj varnosti, če jo lahko posodobite?

Najnovejši operacijski sistemi običajno služijo veliko boljši uporabniški izkušnji in imajo močnejšo obrambo. Na primer, Windows 10 različice 1703 ima več varnostnih funkcij, ki ščitijo uporabnike v omrežjih.

Sprejmite učinkovit pristop, da prenesete Hash napad

Napadi Pass-the-Hash bodo vedno vplivali na operacijske sisteme, ki podpirajo enotno prijavo. Medtem ko zgoščena funkcija poskuša zaščititi vaše geslo, napadi obidejo varnost in ukradejo zgoščena gesla z več orodji.

Prevzemite odgovornost za zaščito svojih poverilnic z nadgradnjo na najnovejše operacijske sisteme, podelitev dovoljenj samo zaupanja vrednim aplikacijam in namestitev programske opreme za zaščito pred zlonamerno programsko opremo računalnik. Kibernetski kriminalci lahko prenesejo hash le, če je zanje na voljo avtocesta. Vaša odgovornost je, da zaprete vse vrzeli v vašem omrežju.

Kaj je zlonamerna programska oprema Emotet in kako deluje?

Za razliko od večine zlonamerne programske opreme, Emotet leti pod radarjem in deluje v tišini, da privabi žrtve. Naučite se, kako deluje in kaj lahko storite, da se zaščitite.

Preberite Naprej

O avtorju