خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

حمله بلیت طلایی چیست؟ مانع از دسترسی کامل هکرها به داده های شما شوید

ارشیا یوسفی ادیب ۱۰ مرداد, ۱۴۰۲ 6 min read

اگر کسی به اندازه شما به داده های شما دسترسی پیدا کند، می تواند آسیب های زیادی وارد کند. این چیزی است که این نوع حمله را بسیار ترسناک می کند.

پیشرفت‌ها در امنیت سایبری سیستم‌های نظارت بر تهدید را قادر می‌سازد تا فعالیت‌های غیرعادی مجرمان را شناسایی کنند. برای شکست دادن این ابزارها، مزاحمان اکنون از وضعیت قانونی و امتیازات دسترسی کاربران مجاز برای اهداف مخرب سوء استفاده می کنند.

یک هکر می‌تواند با راه‌اندازی یک حمله بلیط طلایی، بدون ایجاد غبار به اطلاعات شما دسترسی نامحدودی داشته باشد. با انجام این کار، آنها عملاً از حقوق دسترسی مشابه شما برخوردارند. برای مهاجمان داشتن چنین قدرتی بسیار خطرناک است، فکر نمی کنید؟ در اینجا نحوه جلوگیری از آنها آورده شده است.

حمله بلیت طلایی چیست؟

در این زمینه، بلیط طلایی به معنای دسترسی نامحدود است. یک مجرم با بلیط می تواند با تمام اجزای حساب شما از جمله داده ها، برنامه ها، فایل ها و غیره تعامل داشته باشد. حمله بلیط طلایی دسترسی نامحدودی است که مهاجم برای به خطر انداختن شبکه شما به دست می آورد. هیچ محدودیتی برای کاری که آنها می توانند انجام دهند وجود ندارد.

حمله بلیت طلایی چگونه کار می کند؟

زن نگران که به لپ تاپ خیره شده است

Active Directory (AD) ابتکاری توسط مایکروسافت برای مدیریت شبکه های دامنه است. دارای یک مرکز توزیع کلید Kerberos (KDC) است که یک پروتکل احراز هویت برای تأیید مشروعیت کاربران است. KDC با تولید و توزیع یک بلیط اعطای بلیط منحصر به فرد (TGT) به کاربران مجاز، AD را ایمن می کند. این بلیط رمزگذاری شده کاربران را از انجام فعالیت های مضر در شبکه محدود می کند و جلسه مرور آنها را به زمان خاصی محدود می کند که معمولاً بیش از 10 ساعت نیست.

هنگامی که یک دامنه در AD ایجاد می کنید، به طور خودکار یک حساب KRBTGT دریافت می کنید. عاملان حملات بلیط طلایی اطلاعات حساب شما را به خطر می اندازند تا کنترل کننده دامنه AD را به روش های زیر دستکاری کنند.

جمع آوری اطلاعات

مهاجم طلایی با جمع آوری اطلاعات در مورد حساب شما، به ویژه نام دامنه کاملا واجد شرایط آن (FQDN)، شناسه امنیتی و هش رمز عبور شروع می شود. آنها می‌توانند از تکنیک‌های فیشینگ برای جمع‌آوری داده‌های شما استفاده کنند، یا بهتر است دستگاه شما را با بدافزار آلوده کنند و خودشان آن را بازیابی کنند. آنها ممکن است در فرآیند جمع آوری اطلاعات، زور بی رحمانه را انتخاب کنند.

مطلب مرتبط:   8 بهترین ارائه دهندگان فضای ذخیره سازی ابری رمزگذاری شده سرتاسر

جعل بلیط

عامل تهدید ممکن است بتواند داده‌های دایرکتوری فعال شما را هنگامی که با اعتبار ورود به حساب شما وارد می‌شود ببیند، اما در این مرحله نمی‌تواند فعالیت‌هایی را انجام دهد. آنها باید بلیط هایی تولید کنند که برای کنترل کننده دامنه شما مجاز باشد. KDC تمام بلیط هایی را که با هش رمز KRBTGT تولید می کند رمزگذاری می کند، بنابراین فریبکار باید همین کار را با سرقت فایل NTDS.DIT، انجام یک حمله DCSync یا استفاده از آسیب پذیری ها در نقاط پایانی انجام دهد.

دسترسی طولانی مدت را حفظ کنید

از آنجایی که به دست آوردن هش رمز KRBTGT به مجرم دسترسی نامحدود به سیستم شما می دهد، آنها حداکثر از آن استفاده می کنند. آنها عجله ای برای رفتن ندارند اما در پس زمینه می مانند و داده های شما را به خطر می اندازند. آنها حتی می توانند بدون ایجاد سوء ظن، کاربرانی را که دارای بالاترین امتیازات دسترسی هستند جعل کنند.

5 راه برای جلوگیری از حمله بلیط طلایی

حملات بلیط طلایی به دلیل آزادی مزاحم برای انجام فعالیت های مختلف، در بین خطرناک ترین حملات سایبری قرار می گیرند. با اقدامات امنیتی سایبری زیر می توانید وقوع آنها را به حداقل ممکن کاهش دهید.

1. اعتبار ادمین را خصوصی نگه دارید

مانند اکثر حملات دیگر، یک حمله بلیط طلایی به توانایی مجرم در بازیابی اطلاعات کاربری حساس حساب بستگی دارد. با محدود کردن تعداد افرادی که می‌توانند به آن‌ها دسترسی داشته باشند، داده‌های کلیدی را ایمن کنید.

با ارزش ترین اعتبارنامه ها در حساب های کاربران ادمین است. به عنوان یک مدیر شبکه، باید امتیازات دسترسی خود را به حداقل محدود کنید. زمانی که افراد بیشتری به امتیازات مدیریت دسترسی داشته باشند، سیستم شما در معرض خطر بیشتری قرار دارد.

مطلب مرتبط:   مدل کسب و کار هک: چگونه مهاجمان 20 میلیون دلار در ماه کیف می کنند

2. شناسایی و مقاومت در برابر تلاش های فیشینگ

زنی که در ماشین روی لپ تاپ کار می کند

ایمن سازی امتیازات ادمین یکی از راه های جلوگیری از سرقت اعتبار است. اگر آن پنجره را مسدود کنید، هکرها به روش های دیگری مانند حملات فیشینگ متوسل می شوند. فیشینگ بیشتر روانی است تا فنی، بنابراین برای شناسایی آن باید از قبل آمادگی ذهنی داشته باشید.

خود را با تکنیک ها و سناریوهای مختلف فیشینگ آشنا کنید. مهمتر از همه، مراقب پیام های افراد غریبه باشید که به دنبال اطلاعات شناسایی شخصی در مورد شما یا حساب شما هستند. برخی از مجرمان اعتبار شما را مستقیماً درخواست نمی‌کنند، اما ایمیل‌ها، پیوندها یا پیوست‌های آلوده را برای شما ارسال می‌کنند. اگر نمی توانید محتوایی را تضمین کنید، آن را باز نکنید.

3. اکتیو دایرکتوری ها را با امنیت Zero Trust ایمن کنید

اطلاعات مهمی که هکرها برای اجرای حملات بلیط طلایی نیاز دارند در دایرکتوری های فعال شما قرار دارد. متأسفانه، آسیب‌پذیری‌ها ممکن است در هر زمانی در نقاط پایانی شما ایجاد شوند و قبل از اینکه متوجه آنها شوید باقی بمانند. اما وجود آسیب‌پذیری‌ها لزوماً به سیستم شما آسیب نمی‌زند. زمانی که مزاحمان آنها را شناسایی و از آنها بهره برداری می کنند، مضر می شوند.

شما نمی‌توانید تضمین کنید که کاربران در فعالیت‌هایی که داده‌های شما را به خطر می‌اندازند زیاده‌روی نکنند. امنیت صفر اعتماد را برای مدیریت خطرات امنیتی افرادی که از شبکه شما بازدید می کنند بدون توجه به موقعیت یا موقعیت آنها، پیاده سازی کنید. هر فرد را به عنوان یک تهدید در نظر بگیرید زیرا اقدامات آنها می تواند داده های شما را به خطر بیندازد.

4. رمز عبور حساب KRBTGT خود را به طور منظم تغییر دهید

رمز عبور حساب KRBTGT شما بلیط طلایی مهاجم به شبکه شما است. ایمن کردن رمز عبور مانعی بین آنها و حساب شما ایجاد می کند. فرض کنید یک مجرم پس از بازیابی رمز عبور شما وارد سیستم شما شده است. طول عمر آنها به اعتبار رمز عبور بستگی دارد. اگر آن را تغییر دهید، آنها نمی توانند کار کنند.

مطلب مرتبط:   5 بهترین آنالایزر Wi-Fi برای بررسی ایمن بودن شبکه

این تمایل وجود دارد که شما از حضور مهاجمان تهدید طلایی در سیستم خود بی اطلاع باشید. عادت به تغییر منظم رمز عبور خود را حتی زمانی که شکی به حمله ندارید را در خود پرورش دهید. این اقدام واحد، امتیازات دسترسی کاربران غیرمجاز را که قبلاً به حساب شما دسترسی دارند لغو می کند.

مایکروسافت به طور خاص به کاربران توصیه می کند که رمزهای عبور حساب KRBTGT خود را به طور منظم تغییر دهند تا از مجرمان با دسترسی غیرمجاز جلوگیری کنند.

5. نظارت بر تهدیدات انسانی را اتخاذ کنید

جستجوی فعال تهدیدات در سیستم شما یکی از موثرترین راه‌ها برای شناسایی و مهار حملات بلیط طلایی است. این حملات غیرتهاجمی هستند و در پس‌زمینه اجرا می‌شوند، بنابراین ممکن است از رخنه‌ای آگاه نباشید زیرا ممکن است همه چیز در ظاهر عادی به نظر برسد.

موفقیت حملات بلیط طلایی در توانایی مجرم برای عمل کردن مانند یک کاربر مجاز و استفاده از امتیاز دسترسی آنها نهفته است. این بدان معناست که دستگاه‌های نظارت خودکار تهدید ممکن است فعالیت‌های آنها را تشخیص ندهند زیرا غیرعادی نیستند. برای شناسایی آنها به مهارت های نظارت بر تهدیدات انسانی نیاز دارید. و این به این دلیل است که انسان‌ها حس ششم را برای شناسایی فعالیت‌های مشکوک دارند، حتی زمانی که متجاوز ادعا می‌کند که قانونی است.

اعتبارنامه های حساس را در برابر حملات بلیت طلایی ایمن کنید

مجرمان سایبری دسترسی نامحدودی به حساب شما در یک حمله بلیط طلایی بدون خطا از جانب شما نخواهند داشت. تا آنجا که آسیب‌پذیری‌های پیش‌بینی‌نشده به وجود می‌آیند، می‌توانید اقداماتی را برای کاهش آن‌ها پیش از موعد ایجاد کنید.

ایمن سازی اعتبارنامه های ضروری شما، به خصوص هش رمز عبور حساب KRBTGT، گزینه های بسیار محدودی برای نفوذگران برای هک کردن حساب شما فراهم می کند. شما به طور پیش فرض روی شبکه خود کنترل دارید. مهاجمان برای پیشرفت به سهل انگاری امنیتی شما متکی هستند. به آنها فرصت ندهید

Tags: