Mandaatide sisestamine iga kord, kui soovite süsteemi sisse logida, võib olla väsitav, eriti kui logite süsteemi regulaarselt sisse. Võite isegi oma paroolid unustada.
Operatsioonisüsteemide juurutamine, mis pakuvad kasutajatele ühekordset sisselogimist, säästab teid sisselogimisandmete iga kord uuesti sisestamisest. Kuid sellega on probleem. Ründajad saavad kasutada teie süsteemi salvestatud mandaate räsi jätmise rünnaku (PtH) kaudu.
Siin arutame, kuidas Pass-the-Hashi rünnak töötab ja kuidas saate seda leevendada.
Mis on räsirünnaku läbimine?
Räsimine on märgistringide koodiks tõlkimise protsess, mis muudab selle palju lühemaks ja lihtsamaks. See on üks suuremaid küberturvalisuse tegijaid, mis on andmetega seotud rikkumiste ärahoidmisel ülioluline.
Veebirakenduste administraatorid krüptida faile ja sõnumeid et vältida volitamata juurdepääsu neile. Kuigi neid faile hoitakse konfidentsiaalsena, aitab räsimine kontrollida nende terviklikkust. See takistab kellelgi faile rikkumast või nende sisu muutmast ja seejärel esialgsete failidena esitamast.
Räsi ei saa pärast tõlkimist tagasi pöörata. See võimaldab teil ainult tuvastada, kas kaks faili on sarnased või mitte, ilma nende sisu kindlaks tegemata. Enne süsteemile või teenusele võrgu kaudu juurde pääsemist peate end autentima, esitades oma kasutajanime ja parooli. Nüüd salvestatakse see teave andmebaasi edaspidiseks võrdlemiseks, kui proovite uuesti sisse logida.
Teie paroolid on selge tekstina, mis muudab need vähem turvaliseks. Ja kui ründaja pääseb andmebaasile juurde, võib ta varastada teie parooli ja saada volitamata juurdepääsu teie kontole. Olukord halveneb, kui olete üks neist kasutajatest, kes kasutavad erinevate kontode jaoks ühte parooli. Ründaja kasutab varastatud parooli teie teistele kontodele juurdepääsuks.
Niisiis, kuidas räsi siin mängu tuleb?
Räsimehhanism muudab teie tekstiparooli andmeteks, mida ei saa tagasi algsele paroolile muuta. Pärast teie parooli räsimist ja süsteemi mällu salvestamist kasutatakse seda teie identiteedi tõendamiseks järgmisel korral, kui soovite teenusele juurde pääseda.
Räsi kaitseb kasutajate kontosid volitamata juurdepääsu eest. Kuid mitte nii kaua, kui küberkurjategijad on välja töötanud strateegia räsi kogumiseks. Ühekordses sisselogimises (SSO) tuvastatud turvahaavatavus on andnud teed Pass-the-Hash rünnakule. See ilmus esmakordselt 1997. aastal ja on olnud kasutusel 24 aastat.
Pass-the-Hash rünnak on sarnane trikkide ründajatega kasutada kasutaja paroolide varastamiseks. See on kasutaja mandaadi varguse ja kasutamise osas üks levinumaid, kuid alahinnatud rünnakuid.
Pass-the-Hash tehnikaga ei pea ründajad räsi lahti murdma. Seda saab uuesti kasutada või edastada autentimisserverisse. Parooliräsid jäävad sessioonist seanssi staatiliseks, kuni neid muudetakse. Sel põhjusel kasutavad ründajad operatsioonisüsteemide autentimisprotokolle, et varastada räsitud paroole.
Kuidas räsirünnaku läbimine töötab?
Pass-the-Hash rünnakud on kõige levinumad Windowsi süsteemides, kuigi neid võib juhtuda ka teistes operatsioonisüsteemides, nagu Linux ja UNIX. Häkkerid otsivad alati nendes süsteemides lünki, et oma ohvreid tabada.
Windowsi haavatavus seisneb selle NTLM-i autentimises, mis rakendab ühekordse sisselogimise (SSO) funktsiooni. See võimaldab kasutajatel sisestada oma paroolid üks kord ja pääseda juurde mis tahes funktsioonile, mida nad soovivad.
See toimib järgmiselt.
Kui registreerute Windowsi süsteemis esimest korda, räsib see teie parooli ja salvestab selle süsteemi mällu. See on avaus, kus ründajad saavad teie räsitud parooli ära kasutada. Neil võib olla füüsiline juurdepääs teie süsteemile, nad võivad selle aktiivse mälu välja jätta või nakatada seda pahavara ja muude tehnikatega.
Räsitud mandaatide eemaldamiseks süsteemi mälust kasutatakse selliseid tööriistu nagu Metasploit, Gsecdump ja Mimikatz. Pärast seda kasutavad ründajad uuesti teie mandaate, et teiena sisse logida ja pääseda juurde kõikidele rakendustele, mille jaoks teil on õigused.
Kui sõber või kolleeg on teie süsteemi sisse loginud, saab häkker ka nende räsi koguda. Pidage meeles, et see on külgsuunalise liikumise tehnika. Halvim stsenaarium on see, et häkker pääseb ligi kogu organisatsiooni või IT-infrastruktuuri haldavatele juhtimissüsteemidele. Sisse sattudes saavad nad varastada tundlikku teavet, muuta kirjeid või installida pahavara.
Kuidas leevendada räsirünnaku möödumist
Siin on midagi, mida peaksite Pass-the-Hashi rünnaku kohta teadma. See pole viga, vaid funktsioon. Räsi abil rakendatud ühekordse sisselogimise protokolli eesmärk on säästa kasutajaid paroolide uuesti sisestamisest. Seega kasutavad häkkerid nüüd pahatahtlike kavatsuste jaoks ära Windowsi SSO funktsiooni, Linuxi ja Unixi süsteemide sideprotokolli.
Neid tõhusaid lahendusi järgides saate vähendada oma võimalust selliste rünnakute ohvriks langeda.
1. Windows Defenderi mandaadivalve lubamine
Windows Defender Credential Guard on turvafunktsioon, mis on kaasas Windows 10 ja uuemate süsteemidega. See kaitseb süsteemi salvestatud tundlikku teavet. Kohaliku turbeasutuse alamsüsteemi teenus (LSASS) jõustab Windowsi süsteemis turbepoliitika.
2. Rakendage vähima privileegiga turvamudelit
Siin on asi: kui olete ettevõtte omanik ja teie heaks töötavad inimesed, piirake nende juurdepääsuõigusi ainult ressursside ja failidega, mis on vajalikud nende töö tegemiseks võrgusüsteemis.
Likvideerige mittevajalikud administraatoriõigused ja andke õigusi ainult usaldusväärsetele rakendustele. See vähendab häkkerite võimalusi oma juurdepääsu ja luba laiendada.
3. Taaskäivitage süsteemid pärast väljalogimist
Pidage meeles, et eesmärk on minimeerida Pass-the-Hashi rünnaku ohvriks langemise ohtu. Kuna süsteem salvestab parooliräsi oma mällu, eemaldab arvuti taaskäivitamine pärast väljalogimist räsi süsteemi mälust.
4. Installige pahavaratõrjetarkvara
Küberkurjategijad teevad võrkude ohustamiseks pahavara kasutamisega suurepärast tööd. Automatiseeritud tööriistad, nagu pahavaratõrjetarkvara, on abiks nende küberrünnakute vastu kaitsmiseks. Need tööriistad tuvastavad teie süsteemis nakatunud või pahatahtlikud failid ja neutraliseerivad need enne, kui need tabavad.
Pahavaratõrjetarkvara installimisel oma seadmetesse kaitsete oma süsteemi pahavara eest. Selle hankimiseks võite kasutada ka pahavara teenusena platvorme kohandatud pahavara lahendused.
5. Värskendage oma operatsioonisüsteeme
Miks jääda väiksema turvalisusega operatsioonisüsteemi vanemale versioonile, kui saate seda värskendada?
Uusimad operatsioonisüsteemid pakuvad tavaliselt palju paremat kasutuskogemust ja neil on tugevam kaitse. Näiteks Windows 10 versioonil 1703 on mitu turvafunktsiooni, mis kaitsevad kasutajaid võrkudes.
Kasutage räsirünnaku ületamiseks tõhusat lähenemisviisi
Räsi edastamise rünnakud mõjutavad alati operatsioonisüsteeme, mis toetavad ühtset sisselogimist. Kuigi räsifunktsioon üritab teie parooli kaitsta, lähevad rünnakud turvalisusest mööda, et varastada räsiparoolid mitme tööriistaga.
Võtke vastutus oma mandaatide kaitsmise eest, minnes üle uusimale operatsioonisüsteemile, lubade andmine ainult usaldusväärsetele rakendustele ja teie arvutisse pahavaratõrjetarkvara installimine arvuti. Küberkurjategijad saavad räsist läbida ainult siis, kui nende jaoks on olemas kiirtee. Teie kohustus on sulgeda kõik oma võrgus olevad lüngad.
Erinevalt enamikust pahavarast lendab Emotet radari all ja töötab vaikselt, et ohvreid meelitada. Siit saate teada, kuidas see toimib ja mida saate enda kaitsmiseks teha.
Loe edasi
- Turvalisus
- Küberturvalisus
- Arvuti turvalisus
Chris Odogwu on pühendunud oma kirjutamise kaudu teadmiste edasiandmisele. Kirglik kirjanik on avatud koostööle, võrgustike loomisele ja muudele ärivõimalustele. Tal on magistrikraad massikommunikatsiooni alal (avalikud suhted ja reklaam) ning bakalaureusekraad massikommunikatsiooni alal.
Liituge meie uudiskirjaga
Liituge meie uudiskirjaga tehniliste näpunäidete, arvustuste, tasuta e-raamatute ja eksklusiivsete pakkumiste saamiseks!
Tellimiseks klõpsake siin
