Mikä on Pass the Hash Attack ja miten se toimii?

Tunnistetietojen syöttäminen aina, kun haluat kirjautua järjestelmään, voi olla väsyttävää, varsinkin kun kirjaudut järjestelmään säännöllisesti. Saatat jopa unohtaa salasanasi.

Kertakirjautumiskokemuksen tarjoavien käyttöjärjestelmien käyttöönotto säästää kirjautumistietojesi syöttämistä uudelleen joka kerta. Mutta siinä on ongelma. Hyökkääjät voivat hyödyntää järjestelmään tallennettuja tunnistetietojasi Pass-the-Hash-hyökkäyksen (PtH) kautta.

Täällä keskustelemme siitä, kuinka Pass-the-Hash-hyökkäys toimii ja kuinka voit lieventää sitä.

Mikä on Pass the Hash Attack?

Hashing on prosessi, jossa merkkijonoja muunnetaan koodiksi, mikä tekee siitä paljon lyhyemmän ja helpomman. Se on yksi suurimmista toimijoista kyberturvallisuuden alalla, joka on kriittinen tietomurtojen estämisessä.

Verkkosovellusten ylläpitäjät salata tiedostoja ja viestejä estääksesi luvattoman pääsyn niihin. Vaikka nämä tiedostot pidetään luottamuksellisina, hajautus auttaa varmistamaan niiden eheyden. Se estää ketään turmelemasta tiedostoja tai muuttamasta niiden sisältöä ja esittämästä niitä sitten alkuperäisinä tiedostoina.

Hajautusarvoa ei voi kumota kääntämisen jälkeen. Sen avulla voit vain havaita, ovatko kaksi tiedostoa samanlaisia ​​vai eivät, varmistamatta niiden sisältöä. Ennen kuin käytät järjestelmää tai palvelua verkon kautta, sinun on todennettu esittämällä käyttäjätunnuksesi ja salasanasi. Nyt nämä tiedot tallennetaan tietokantaan tulevaa vertailua varten, kun yrität kirjautua sisään uudelleen.

Salasanasi ovat selkeänä tekstinä, mikä tekee niistä vähemmän turvallisia. Ja jos hyökkääjä pääsee tietokantaan, hän voi varastaa salasanasi ja saada luvattoman pääsyn tilillesi. Tilanne pahenee, jos olet yksi niistä käyttäjistä, jotka käyttävät samaa salasanaa eri tileille. Hyökkääjä käyttää varastettua salasanaa päästäkseen muihin tileihisi.

Joten miten hash tulee esiin tässä?

Hajautusmekanismi muuttaa selkeän tekstin salasanasi tiedoiksi, joita ei voi muuttaa takaisin alkuperäiseksi salasanaksi. Kun salasanasi on tiivistetty ja tallennettu järjestelmän muistiin, sitä käytetään henkilöllisyytesi todistamiseen, kun seuraavan kerran haluat käyttää palvelua.

Hajautus suojaa käyttäjien tilejä luvattomalta käytöltä. Mutta ei niin kauan, kun kyberrikolliset ovat kehittäneet strategian hashin keräämiseksi. Kertakirjautumisessa (SSO) havaittu tietoturvahaavoittuvuus on antanut tilaa Pass-the-Hash-hyökkäykselle. Se ilmestyi ensimmäisen kerran vuonna 1997 ja on ollut olemassa 24 vuotta.

Pass-the-Hash-hyökkäys on samanlainen kuin temppuhyökkääjät käyttää käyttäjien salasanojen varastamiseen. Se on yksi yleisimmistä mutta aliarvostetuista hyökkäyksistä, kun kyse on käyttäjän tunnistetietojen varkauksista ja käytöstä.

Pass-the-Hash -tekniikan avulla hyökkääjien ei tarvitse murtaa hashia. Sitä voidaan käyttää uudelleen tai siirtää todennuspalvelimelle. Salasanatiivisteet pysyvät staattisina istunnosta toiseen, kunnes niitä muutetaan. Tästä syystä hyökkääjät etsivät käyttöjärjestelmien todennusprotokollia varastaakseen tiivistettyjä salasanoja.

Miten hash-hyökkäyksen ohittaminen toimii?

Pass-the-Hash-hyökkäykset ovat yleisimpiä Windows-järjestelmissä, vaikka niitä voi tapahtua muissa käyttöjärjestelmissä, kuten Linuxissa ja UNIXissa. Hakkerit etsivät aina porsaanreikiä näistä järjestelmistä päästäkseen uhriensa puoleen.

Windowsin haavoittuvuus piilee sen NTLM-todennuksessa, joka toteuttaa SSO (Single Sign-on) -toiminnon. Sen avulla käyttäjät voivat syöttää salasanansa kerran ja käyttää mitä tahansa haluamaansa ominaisuutta.

Näin se toimii:

Kun kirjaudut Windows-järjestelmään ensimmäistä kertaa, se tiivistää salasanasi ja tallentaa sen järjestelmän muistiin. Tämä on aukko, jossa hyökkääjät voivat hyödyntää hajautettua salasanaasi. Heillä voi olla fyysinen pääsy järjestelmääsi, he voivat tuhota sen aktiivisen muistin tai tartuttaa sen haittaohjelmilla ja muilla tekniikoilla.

Työkaluja, kuten Metasploit, Gsecdump ja Mimikatz, käytetään hajautettujen tunnistetietojen purkamiseen järjestelmän muistista. Tämän jälkeen hyökkääjät käyttävät tunnistetietojasi kirjautuakseen sisään sinun nimelläsi ja käyttääkseen kaikkia sovelluksia, joihin sinulla on oikeudet.

Jos ystäväsi tai kollegasi on kirjautunut järjestelmääsi, hakkeri voi samalla kerätä hajautustuloksensa. Muista, että se on sivuttaisliiketekniikka. Pahimmassa tapauksessa hakkeri pääsee käsiksi koko organisaatiota tai IT-infrastruktuuria ylläpitäviin ohjausjärjestelmiin. Sisään päästyään he voivat varastaa arkaluonteisia tietoja, muokata tietueita tai asentaa haittaohjelmia.

Kuinka lieventää hajautushyökkäystä

Tässä on jotain, mitä sinun pitäisi tietää Pass-the-Hash-hyökkäyksestä. Se ei ole bugi vaan ominaisuus. Hajautusmenetelmällä toteutettu kertakirjautumisprotokolla säästää käyttäjiä salasanojen uudelleen syöttämiseltä. Joten hakkerit hyödyntävät nyt Windows SSO -ominaisuutta, Linux- ja Unix-järjestelmien viestintäprotokollaa pahantahtoisissa tarkoituksissa.

Voit vähentää mahdollisuuksiasi joutua tällaisten hyökkäysten uhriksi noudattamalla näitä tehokkaita ratkaisuja.

1. Ota Windows Defender Credential Guard käyttöön

Windows Defender Credential Guard on suojausominaisuus, joka tulee Windows 10:n ja sitä uudempien järjestelmien mukana. Se suojaa järjestelmään tallennetut arkaluontoiset tiedot. Local Security Authority Subsystem Service (LSASS) valvoo suojauskäytäntöä Windows-järjestelmässä.

2. Ota käyttöön vähiten etuoikeus -turvamalli

Tässä on asia: jos olet yrityksen omistaja ja sinulla on ihmisiä, jotka työskentelevät sinulle, rajoita heidän käyttöoikeutensa vain resursseihin ja tiedostoihin, jotka ovat tarpeen heidän työnsä suorittamiseksi verkkojärjestelmässä.

Poista tarpeettomat järjestelmänvalvojan oikeudet ja myönnä oikeudet vain luotetuille sovelluksille. Tämä vähentää hakkerin mahdollisuuksia laajentaa pääsyään ja käyttöoikeuksiaan.

3. Käynnistä järjestelmät uudelleen uloskirjautumisen jälkeen

Muista, että tavoitteena on minimoida riski joutua Pass-the-Hash-hyökkäyksen uhriksi. Koska järjestelmä tallentaa salasanan tiivisteen muistiinsa, tietokoneen uudelleenkäynnistys uloskirjautumisen jälkeen poistaa hajautuksen järjestelmän muistista.

4. Asenna haittaohjelmien torjuntaohjelmisto

Kyberrikolliset tekevät erinomaista työtä käyttämällä haittaohjelmia verkkojen vaarantamiseen. Automaattiset työkalut, kuten haittaohjelmien torjuntaohjelmistot, ovat hyödyllisiä suojautuessa näitä kyberhyökkäyksiä vastaan. Nämä työkalut havaitsevat tartunnan saaneet tai haitalliset tiedostot järjestelmässäsi ja neutraloivat ne ennen kuin ne iskevät.

Kun asennat haittaohjelmien torjuntaohjelmistoa laitteillesi, suojaat järjestelmäsi haittaohjelmilta. Voit myös käyttää haittaohjelmia palveluna -alustoja hankkiaksesi räätälöityjä haittaohjelmaratkaisuja.

5. Päivitä käyttöjärjestelmäsi

Miksi pitää kiinni käyttöjärjestelmän vanhemmasta versiosta, jonka suojaus on pienempi, kun sen voi päivittää?

Uusimmat käyttöjärjestelmät tarjoavat yleensä paljon parempaa käyttökokemusta ja niillä on vahvempi suojaus. Esimerkiksi Windows 10 -versiossa 1703 on useita suojausominaisuuksia, jotka suojaavat käyttäjiä eri verkoissa.

Käytä tehokasta lähestymistapaa hash-hyökkäyksen ohittamiseksi

Pass-the-Hash -hyökkäykset vaikuttavat aina käyttöjärjestelmiin, jotka tukevat kertakirjautumista. Hajautustoiminto yrittää suojata salasanaasi, mutta hyökkäykset ohittavat suojauksen ja varastavat hajautetut salasanat useilla työkaluilla.

Ota vastuu valtuustietojesi suojaamisesta päivittämällä uusimpiin käyttöjärjestelmiin, lupien myöntäminen vain luotetuille sovelluksille ja haittaohjelmien torjuntaohjelmiston asentaminen tietokoneellesi tietokone. Kyberrikolliset voivat ohittaa hashin vain, kun heille on olemassa moottoritie. Sinun vastuullasi on sulkea kaikki verkon porsaanreiät.

Mikä on Emotet-haittaohjelma ja miten se toimii?

Toisin kuin useimmat haittaohjelmat, Emotet lentää tutkan alla ja toimii hiljaa houkutellakseen uhreja. Opi kuinka se toimii ja mitä voit tehdä suojellaksesi itseäsi.

Lue Seuraava

Kirjailijasta