Атака Golden Ticket — это злонамеренная кибератака, при которой злоумышленник пытается получить практически неограниченный доступ к домену организации (устройствам, файлам, контроллерам домена и т. д.), получая доступ к пользовательским данным, хранящимся в Microsoft Active Directory (AD). Он использует уязвимости в протоколе проверки подлинности Kerberos, который используется для доступа к AD, позволяя злоумышленнику обойти обычную проверку подлинности.

Поскольку все больше компаний переходят как к облаку, так и к удаленным настройкам, поверхность атаки выходит за пределы традиционного периметра, когда сотрудники входят в системы компании, используя свои собственные устройства и сети. Это, в свою очередь, увеличило риск того, что злоумышленники смогут проникнуть в сеть и использовать атаку Golden Ticket для получения доступа.

Атаки Golden Ticket переплетаются с инструментом с открытым исходным кодом Mimikatz, который представляет собой инструмент с открытым исходным кодом, созданный в 2011 году для демонстрации недостатков Microsoft Windows. Он извлекает учетные данные, такие как имена пользователей, пароли, хэши и билеты Kerberos.

Атака Golden Ticket была названа так потому, что использует уязвимость в протоколе аутентификации Kerberos. Как и в книге и фильме «Чарли и шоколадная фабрика», откуда и произошло название, атака представляет собой «Золотой билет», дающий неограниченный доступ, но вместо хорошо охраняемой кондитерской фабрики — обойти кибербезопасность компании и получить доступ к ресурсам, файлам, компьютерам и контроллерам домена.

Как правило, аутентификация Kerberos использует центр распространения ключей для защиты и проверки личности пользователя. В этой системе цель состоит в том, чтобы устранить необходимость в нескольких запросах учетных данных для пользователя, а вместо этого проверять личность пользователя и назначать ему билет для доступа.

В центре распределения есть сервер выдачи билетов, или TGS, который подключает пользователя к сервисному серверу. База данных Kerberos содержит пароли всех проверенных пользователей. Сервер аутентификации, или AS, выполняет начальную аутентификацию пользователя. Если AS проверен, пользователь получает билет Kerberos Ticket Grant Ticket или TGT, который является доказательством аутентификации.

Для проведения атаки Golden Ticket злоумышленнику необходимо полное доменное имя, идентификатор безопасности домена, хэш пароля KRBTGT и имя пользователя учетной записи, к которой он собирается получить доступ. В приведенных ниже шагах подробно описано, как злоумышленник получает эту информацию и как он затем может провести атаку.

Шаг 1. Исследование. Злоумышленник уже должен иметь доступ к системе. Часто фишинговые письма используются для предварительного доступа к системе. Затем злоумышленники проведут расследование и соберут информацию, такую ​​как доменное имя.

Шаг 2. Украсть доступ. После того, как злоумышленник получит доступ к контроллеру домена, он украдет хэш NTLM учетной записи службы распространения ключей Active Directory (KRBTGT). Они могут использовать такие методы, как Pass-the-Hash (PtH), потому что, в отличие от других атак кражи учетных данных, эта атака не требует от злоумышленника взлома пароля.

Шаг 3. Запуск атаки. Получив пароль для KRBTGT, злоумышленник может получить TGT, который затем разрешает доступ к контроллеру домена и проверяет подлинность сервера. TGT также предоставляет злоумышленнику неограниченный доступ к ресурсам, чтобы назначать любые задачи, связанные с доменом, и позволяет им создавать билеты.

Шаг 4. Сохранение доступа. Срок действия билета может составлять до 10 лет, и этот тип атаки часто не обнаруживается. Как правило, злоумышленники устанавливают билеты так, чтобы они были действительны в течение более короткого периода времени, чтобы избежать обнаружения.

Существует несколько процессов, которые организации должны внедрить, чтобы иметь возможность обнаруживать возможную атаку Golden Ticket. После шага 2, когда злоумышленник получил доступ, он может получить учетные данные для будущих атак. Автоматизированные инструменты в сочетании с ранее обнаруженной информацией о клиентах и ​​сотрудниках используются для поиска активных учетных записей.

Когда Kerberos отправляет запрос TGT без предварительной аутентификации, он возвращает разные сообщения в зависимости от того, действительны ли учетные данные для входа. Злоумышленники пользуются этим и используют действительные учетные данные в возможных будущих атаках. Команды безопасности могут искать несколько билетов, запрошенных из одного источника, без предварительной аутентификации.

Как XDR может помочь в обнаружении атак Golden Ticket?

Решения расширенного обнаружения и реагирования (XDR) собирают данные об угрозах с помощью инструментов, используемых в стеке технологий организации, что помогает ускорить процесс поиска угроз и реагирования на них. Решения XDR могут интегрировать все обнаружение и реагирование на одну командную консоль, позволяя организации быстрее обнаруживать атаки Golden Ticket с помощью интегрированных данных об угрозах из всего стека технологий.

Для предотвращения атак Golden Ticket крайне важны несколько традиционных методов обеспечения безопасности. Атаки Golden Ticket — это атаки после эксплуатации, а это означает, что среда должна быть скомпрометирована до того, как злоумышленник выполнит атаку. Следующие передовые методы могут помочь предотвратить получение доступа злоумышленниками.

Совет 1. Защитите Active Directory

Скомпрометированная конечная точка или рабочая нагрузка могут подвергнуть все предприятие риску крупного сбоя. Применение нулевого доверия — никогда не доверяйте, всегда проверяйте — помогает защитить AD и удостоверения, а также гарантирует, что пользователи постоянно проверяются и авторизуются, прежде чем получить доступ к каким-либо данным.

В этой атаке обязательна видимость доступа пользователей, принцип наименьших привилегий (POLP) может помочь в защите AD и предотвращении атаки Golden Ticket. Эта концепция безопасности гарантирует, что пользователям предоставляются только те права доступа, которые необходимы для рабочих задач пользователя.

Используйте решение для защиты личных данных, для защиты AD организации и снижения рисков безопасности AD. Постоянный мониторинг AD ​​на предмет любого необычного поведения и создание систем, гарантирующих, что неавторизованные пользователи не получат доступ, необходимы для предотвращения атак Golden Ticket, вместо того, чтобы реагировать на атаку, когда ущерб уже нанесен.

Совет 2. Сосредоточьтесь на предотвращении кражи учетных данных

Атаки, такие как фишинговые электронные письма, являются частью шага 1 проведения атаки Golden Ticket, поэтому убедитесь, что персонал обучен тому, как обнаруживать попытки фишинга, чтобы злоумышленники не могли получить первоначальный доступ. Инструменты ИТ-гигиены помогают обеспечить безопасность всех учетных данных и регулярную смену паролей, поэтому в случае взлома системы атака будет обнаружена и остановлена.

Совет 3. Поиск угроз

Поиск угроз под руководством человека позволяет круглосуточно и без выходных отслеживать неизвестные и скрытые атаки, в которых используются украденные учетные данные и которые проводятся под видом законных пользователей. Этот тип атаки может остаться незамеченным и избежать обнаружения автоматическими инструментами безопасности.

Атака Golden Ticket может остаться незамеченной системой безопасности, и поиск угроз под руководством человека имеет решающее значение для их выявления. Используя опыт, полученный в результате ежедневных «рукопашных боев» со сложными субъектами продвинутых постоянных угроз (APT), группы по поиску угроз могут ежедневно находить и отслеживать миллионы малозаметных поисковых запросов, чтобы проверить, являются ли они законными или вредоносными, предупреждая клиентов при необходимости.

Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.