Ataques de Bilhete Dourado: Como Detectar. Um ataque de Bilhete Dourado é um ataque malicioso de cibersegurança onde um ator de ameaça tenta acessar dados do usuário armazenados no Microsoft Active Directory (AD) para obter acesso quase ilimitado ao domínio de uma organização (arquivos, dispositivos, controladores de domínio, etc.). Isso contorna a autenticação padrão ao usar falhas no protocolo de autenticação de identidade Kerberos, que os atacantes utilizam para acessar o AD.
À medida que as organizações dependem cada vez mais de medidas de segurança robustas, entender a anatomia desses ataques se torna primordial. Neste artigo, exploramos os mecanismos dos ataques de Bilhete Dourado, lançando luz sobre as técnicas empregadas pelos atacantes e fornecendo insights acionáveis sobre métodos de detecção eficazes para proteger contra essa sofisticada violação de segurança.
Ataques de Bilhete Dourado: Como Atacantes Forjam Bilhetes e Como Detectar
Os funcionários já usam seus próprios dispositivos e redes para fazer login nos sistemas da empresa, expandindo a superfície de ataque além do perímetro tradicional à medida que as empresas migram para a nuvem e adotam uma abordagem remota em primeiro lugar. Isso, por sua vez, aumentou o risco de invasores acessarem a rede e usarem um ataque de Golden Ticket para obter acesso.
História do Ataque de Golden Ticket
O termo “Golden Ticket” em cibersegurança, inspirado em “Charlie e a Fábrica de Chocolate” de Roald Dahl, simboliza um passe cobiçado. Assim como o bilhete dourado do romance concede acesso ao mundo exclusivo de Willy Wonka, um “Golden Ticket” em cibersegurança refere-se a um ticket Kerberos forjado, oferecendo acesso não autorizado.
Aqui está uma breve visão histórica:
- Desenvolvimento do Mimikatz:
-
- Benjamin Delpy criou o Mimikatz para demonstrar e abordar fraquezas de segurança nos protocolos de autenticação do Windows.
- A ferramenta chamou a atenção por sua capacidade de extrair senhas em texto simples, tickets Kerberos e outras informações sensíveis da memória.
2. Conceito de Bilhete Dourado:
-
- “Bilhete Dourado” refere-se a um bilhete Kerberos forjado que concede acesso não autorizado e persistente à rede.
- Um atacante pode se passar por qualquer usuário e acessar recursos de rede usando um Bilhete Dourado feito com Mimikatz ou ferramentas similares. Tudo isso sem precisar das credenciais do usuário.
3. Ameaças Persistentes Avançadas (APTs):
-
- Grupos de APT, conhecidos por sua natureza sofisticada e persistente, começaram a incorporar a técnica do Bilhete Dourado em suas estratégias de ataque.
- A técnica permite que os atacantes mantenham acesso de longo prazo a uma rede comprometida, tornando desafiador para os defensores detectar e mitigar a ameaça.
4. Mitigações e Defesas:
-
- À medida que a conscientização sobre o ataque Golden Ticket aumentou, organizações e profissionais de cibersegurança concentraram-se na implementação de mitigação.
- As melhores práticas incluem monitoramento regular do Active Directory para atividades incomuns, aplicação do princípio do mínimo privilégio e manutenção de sistemas e software atualizados.
Mitigações envolvem conscientização elevada e medidas de segurança. As organizações enfatizam o monitoramento do Active Directory, aplicação do princípio do mínimo privilégio e manutenção de sistemas atualizados para combater o ataque Golden Ticket. Essa técnica exemplifica o contínuo jogo de gato e rato na cibersegurança, enfatizando a necessidade de medidas de segurança inovadoras para superar ameaças em constante evolução.
Processo de Ataque de Golden Ticket
A key distribution center is typically used in Kerberos authentication to safeguard and confirm user identification. Using Kerberos authentication, it is unnecessary to ask the user for credentials repeatedly. Instead, we confirm the user’s identity and issue a ticket to them for access. The Distribution center has a ticket-granting server (TGS) to connect the user to the service server.
O banco de dados do Kerberos contém as senhas de todos os usuários verificados. O servidor de autenticação (AS) realiza a autenticação inicial do usuário. Se o AS for confirmado, o usuário recebe um Kerberos Ticket Grant Ticket (TGT), prova de autenticação.
Como os Atacantes Realizam Ataques de Golden Ticket
Um atacante precisa do nome de domínio totalmente qualificado, identificador de segurança de domínio, o hash da senha KRBTGT e o nome de usuário da conta para acessar e realizar um ataque de Golden Ticket. Os procedimentos a seguir explicam como um atacante obtém esses dados e como lançar o ataque.
Passo 1: Examinar – Na fase inicial, o atacante precisa de acesso ao sistema existente, frequentemente alcançado através de emails de phishing. Esses emails enganosos são o ponto de entrada, permitindo que os atacantes examinem e coletem informações essenciais, como o nome de domínio.
Passo 2: Adquirir Acesso – Após obter acesso bem-sucedido ao controlador de domínio, o atacante obtém o hash NTLM da Conta de Serviço de Distribuição de Chave AD (KRBTGT). Técnicas como Pass-the-Hash (PtH) são empregadas, oferecendo uma vantagem ao eliminar a necessidade de quebra de senha, ao contrário de outros métodos de roubo de credenciais.
Passo 3: Iniciar o Ataque – Munido com a senha KRBTGT, o atacante obtém um Ticket Granting Ticket (TGT), facilitando o acesso ao controlador de domínio e verificando a identidade do servidor. Os TGTs concedem ao atacante acesso irrestrito a recursos, permitindo-lhes delegar tarefas relacionadas ao domínio e gerar tickets.
Passo 4. Manter Acesso – O ticket é válido por até 10 anos, e esse ataque frequentemente passa despercebido. Geralmente, os atacantes definem as chaves para serem válidas por um período mais curto para escapar ainda mais da detecção.
Detectando Ataques de Golden Ticket
As organizações devem implementar vários procedimentos para ajudá-las a identificar possíveis ataques de Golden Ticket. Uma vez que um atacante tenha concluído o Passo 2 e adquirido acesso, eles obtêm credenciais de login para ataques subsequentes. Os atacantes utilizaram tecnologias automatizadas com dados de funcionários e clientes previamente descobertos para localizar contas ativas.
Dependendo se as credenciais de login são válidas, o Kerberos envia respostas diferentes quando recebe uma solicitação de TGT sem autenticação prévia. Os atacantes se aproveitam disso e usam credenciais legítimas em possíveis ataques no futuro. As equipes de segurança podem procurar vários tickets de uma única fonte sem pré-autenticação.
Usando Detecção e Resposta Estendida (XDR)
A Detecção e Resposta Estendida (XDR) adota uma perspectiva holística sobre as operações de segurança. Ela assimila e analisa dados de diversas fontes dentro da infraestrutura de TI de uma organização, abrangendo endpoints, redes e plataformas de nuvem.
Os dados de ameaças são recolhidos pelos sistemas XDR a partir de várias ferramentas dentro da pilha de tecnologia de uma organização, facilitando um procedimento de caça a ameaças mais rápido e de resposta. Com dados de ameaças integrados de toda a pilha tecnológica, as soluções XDR podem combinar todas as detecções e respostas num único console de comandos, permitindo que uma organização identifique um ataque Golden Ticket mais rapidamente.
Dicas para Prevenir Ataques Golden Ticket
Os ataques Golden Ticket requerem um ambiente comprometido, pois são ataques pós-exploração. As seguintes diretrizes ajudam a prevenir o acesso de intrusos.
Dica 1: Proteger o Active Directory
Proteger o Active Directory (AD) é fundamental, pois um ponto final ou carga comprometidos ameaçam significativamente toda a empresa. Implementar os princípios de Confiança Zero, enfatizando a verificação e autorização contínuas, protege o AD e as identidades dos usuários. Aplicar o princípio do menor privilégio (POLP), que melhora a segurança do AD ao alocar privilégios de acesso com base nas atividades do trabalho. É imperativo manter a visibilidade sobre o acesso do usuário.
Dica 2: Priorize a Prevenção do Roubo de Credenciais
Concentre-se em prevenir o roubo de credenciais, um precursor comum descrito no Passo 1 do processo de ataque. O treinamento da equipe para identificar e frustrar tentativas de phishing é essencial para bloquear o acesso inicial dos atacantes. A utilização de ferramentas de higiene de TI é fundamental para manter a segurança das credenciais, garantir sua proteção e impor alterações de senha. Essa abordagem proativa aumenta a probabilidade de detectar e frustrar ataques de Golden Ticket em sistemas comprometidos.
Dica 3: Adote a Caça às Ameaças
A caça às ameaças liderada por humanos desempenha um papel crucial na identificação e combate a ataques furtivos que utilizam credenciais roubadas, especialmente no caso de um ataque de Golden Ticket que pode passar despercebido pelas ferramentas de segurança automatizadas. A caça às ameaças envolve profissionais qualificados operando sob a aparência de usuários legítimos para descobrir ameaças sutis. Aproveitando a expertise adquirida a partir de encontros diários com atores de ameaças persistentes avançadas (APT), as equipes de caça às ameaças examinam milhões de ameaças potenciais diariamente, distinguindo entre pistas legítimas e maliciosas e emitindo alertas quando necessário.
Ataques de Golden Ticket: Como Detectar Conclusão
À medida que o mundo digital continua a enfrentar uma série de ameaças cibernéticas, o perigo dos ataques de Golden Ticket destaca a importância de estratégias de defesa proativas. A vigilância contra a exploração habilidosa de vulnerabilidades de autenticação não é apenas uma escolha, mas uma necessidade para proteger redes sensíveis. Ao estar à frente da curva com mecanismos robustos de detecção, as organizações fortalecem suas defesas cibernéticas e mitigam os riscos causados por essas infiltrações ocultas, garantindo um futuro digital resiliente e seguro.
Source:
https://infrasos.com/golden-ticket-attacks-how-to-detect/