No entanto, mesmo com todas essas medidas, alguns malwares ainda podem contornar tudo isso. Aqui está o que você precisa saber sobre um ataque de bilhete dourado.
História do ataque do bilhete dourado
Os ataques do bilhete dourado nasceram de um lugar útil, mas desde então foram distorcidos para propósitos mais nefastos. A história deles começa com um pesquisador francês, Benjamin Delpy, que queria demonstrar as vulnerabilidades no Active Directory da Microsoft. A Delpy criou o Mimikatz, um software que ajudou os testadores de penetração a coletar grandes quantidades de dados do usuário. O Mimikatz também continha ferramentas de falsificação que permitiam contornar as medidas de criptografia.
Como funciona um ataque de bilhete dourado?
Em sua definição mais básica, um ataque de bilhete dourado permite que um hacker forje e replique os tíquetes de concessão de tíquete Kerberos, ou TGTs, de um centro de distribuição de chaves Kerberos. Os TGTs são criados pelo Kerberos para dar acesso temporário a usuários que solicitam determinados arquivos potencialmente confidenciais. Kerberos é o nome do protocolo de autenticação do Windows Active Directory. O protocolo Kerberos protege TGTs sensíveis ao tempo por meio de criptografia de hash, conhecida como KRBTGT.
A primeira etapa de um ataque de bilhete dourado envolve um ator comprometendo uma máquina na rede de destino – seja por meio de um ataque de phishing ou alguém adulterando fisicamente o dispositivo. Uma vez que o cibercriminoso tenha uma porta aberta na rede, o ataque do bilhete dourado pode começar em breve. No entanto, quatro componentes principais são necessários para um ataque de bilhete dourado eficaz. Para um criminoso experiente em tecnologia, os três primeiros itens são fáceis de obter. A peça final, no entanto, é mais difícil de conseguir.
Nome de domínio totalmente qualificado ou FQDN. O FQDN é o nome de domínio completo de um computador, host ou servidor online e ajuda a identificar sua localização virtual.
Identificador de segurança ou SID. Um SID identifica qualquer item relacionado à segurança que o Windows pode autenticar.
Os dados de identificação do usuário/conta que o hacker deseja invadir.
Um hash de senha KRBTGT, para convencer uma rede ou sistema de que o TGT fornecido é legítimo. A maior falha do sistema Kerberos é que ele assume automaticamente que qualquer TGT que tenha sido criptografado por meio da criptografia Kerberos é o negócio real, permitindo que hackers tenham acesso a qualquer coisa em uma rede.
Como os hackers enganam o sistema Kerberos?
Obter o hash de senha TGT normalmente é a parte mais complicada de um ataque Golden Ticket. Um hacker pode colocar as mãos no hash de várias maneiras. Devido à importância do hash da senha, o hacker faz um esforço extra para roubá-lo. Aqui estão alguns dos métodos que um cibercriminoso usará.
Utilizando software antigo. O software que gerou o ataque do bilhete dourado, o Mimikatz, é perfeito para coletar dados, incluindo credenciais confidenciais. Embora seja uma ferramenta útil para testes de penetração, também é usada por hackers.
Infiltrando-se em uma estação de trabalho. Nunca subestime o quão longe alguns criminosos estão dispostos a ir para alcançar seu objetivo, incluindo atos de espionagem no local de trabalho. Depois que um usuário obtém direitos de administrador, por motivos legítimos ou por interferência do escritório, ele pode acessar a unidade de disco e procurar credenciais ocultas por trás de privilégios de administrador.
Localizando o arquivo NTDS.DIT. É um banco de dados que armazena todos os hashes de senha do usuário para um domínio específico. O banco de dados é um tesouro de credenciais para determinados hackers, e uma cópia do arquivo pode ser encontrada em cada controlador de domínio.
Uma vez que o cibercriminoso finalmente tem o hash da senha, ele permite que ele acesse os arquivos criptografados que desejar – daí o termo “bilhete dourado”, que se refere à liberdade que um TGT hackeado pode fornecer.
Como se proteger de ataques de bilhete dourado
Quando se trata de se proteger de um ataque de bilhete dourado, não é tanto uma ferramenta ou software específico de segurança cibernética que você precisa usar. É mais um conjunto de comportamentos e hábitos que você precisa memorizar. Embora não haja um método concreto para interromper completamente os ataques de bilhete dourado, você pode reduzir o risco de ser alvo de várias maneiras.
Use proteção de endpoint. Ao proteger adequadamente um endpoint, você pode impedir o uso de ferramentas de coleta de dados semelhantes ao Mimikatz.
Reduza o número de usuários que podem acessar a senha KRBTGT. Naturalmente, ter um círculo de confiança menor tornará mais fácil identificar o elo fraco caso você sofra um ataque de bilhete dourado.
Aborde o comportamento anormal de TI. É importante conscientizar os outros sobre anormalidades quando se trata de TGTs. Por exemplo, a maioria dos TGTs são válidos apenas por algumas horas. Se você encontrar um TGT válido por vários dias, isso pode ser um sinal para investigar.
Atualize os usuários com conhecimentos relevantes sobre segurança cibernética. Uma parte importante do combate aos ataques de bilhete dourado é saber como se proteger do phishing por e-mail .
Realizar um ataque de bilhete dourado bem-sucedido exige que os hackers tenham muito conhecimento e pode levar vários dias ou semanas para configurar corretamente. No entanto, se você se concentrar em manter rotinas adequadas de segurança cibernética, poderá minimizar o risco de ser vítima.
