Alguien puede hacer mucho daño si obtiene tanto acceso a sus datos como usted. Eso es lo que hace que este tipo de ataque sea tan aterrador.
Los avances en ciberseguridad permiten que los sistemas de monitoreo de amenazas detecten las actividades inusuales de los delincuentes. Para vencer a estas herramientas, los intrusos ahora explotan el estado legítimo y los privilegios de acceso de los usuarios autorizados con fines maliciosos.
Un pirata informático puede tener acceso ilimitado a sus datos sin levantar polvo al lanzar un ataque de boleto dorado. Al hacerlo, prácticamente tienen los mismos derechos de acceso que usted. Es demasiado arriesgado que los atacantes tengan tal poder, ¿no crees? He aquí cómo detenerlos.
¿Qué es un ataque de boleto dorado?
En este contexto, un boleto dorado significa acceso ilimitado. Un delincuente con el ticket puede interactuar con todos los componentes de su cuenta, incluidos sus datos, aplicaciones, archivos, etc. Un ataque de ticket dorado es el acceso sin restricciones que obtiene un atacante para comprometer su red. No hay límite para lo que pueden hacer.
¿Cómo funciona un ataque de boleto dorado?
Active Directory (AD) es una iniciativa de Microsoft para administrar redes de dominio. Tiene un centro de distribución de claves Kerberos designado (KDC), un protocolo de autenticación para verificar la legitimidad de los usuarios. El KDC protege el AD generando y distribuyendo un ticket único que otorga un ticket (TGT) a los usuarios autorizados. Este ticket encriptado evita que los usuarios realicen actividades dañinas en la red y limita su sesión de navegación a un tiempo específico, generalmente no más de 10 horas.
Cuando crea un dominio en AD, obtiene una cuenta KRBTGT automáticamente. Los perpetradores de ataques de boletos dorados comprometen los datos de su cuenta para manipular el controlador de dominio de AD de las siguientes maneras.
Recopilar información
El atacante golden ticker comienza recopilando información sobre su cuenta, especialmente su nombre de dominio completo (FQDN), identificador de seguridad y hash de contraseña. Ellos podrían utilizar técnicas de phishing para recopilar sus datos, o mejor aún, infectar su dispositivo con malware y recuperarlo ellos mismos. Pueden optar por la fuerza bruta en el proceso de recopilación de información.
Forjar entradas
El actor de amenazas puede ver los datos de su directorio activo cuando ingresa a su cuenta con sus credenciales de inicio de sesión, pero no puede realizar actividades en este momento. Necesitan generar tickets que sean legítimos para su controlador de dominio. El KDC encripta todos los tickets que genera con su hash de contraseña KRBTGT, por lo que el impostor debe hacer lo mismo ya sea robando el archivo NTDS.DIT, realizando un ataque DCSync o aprovechando vulnerabilidades en el puntos finales
Conservar el acceso a largo plazo
Dado que obtener el hash de contraseña KRBTGT le da al criminal acceso ilimitado a su sistema, lo usan al máximo. No tienen prisa por irse, sino que permanecen en segundo plano, lo que compromete sus datos. Incluso pueden hacerse pasar por usuarios con los privilegios de acceso más altos sin levantar sospechas.
5 formas de prevenir un ataque de boleto dorado
Los ataques con billetes dorados se encuentran entre los ataques cibernéticos más peligrosos debido a la libertad del intruso para realizar diversas actividades. Puede reducir su ocurrencia al mínimo con las siguientes medidas de ciberseguridad.
1. Mantener privadas las credenciales de administrador
Como la mayoría de los otros ataques, un ataque de boleto dorado depende de la capacidad del delincuente para recuperar las credenciales confidenciales de la cuenta. Proteja los datos clave limitando el número de personas que pueden acceder a ellos.
Las credenciales más valiosas están en las cuentas de los usuarios administradores. Como administrador de red, debe restringir sus privilegios de acceso al mínimo. Su sistema corre un mayor riesgo cuando más personas tienen acceso a los privilegios de administrador.
2. Identifique y resista los intentos de phishing
Asegurar los privilegios de administrador es uno de los maneras de prevenir el robo de credenciales. Si bloquea esa ventana, los piratas informáticos recurrirán a otros métodos, como los ataques de phishing. El phishing es más psicológico que técnico, por lo que debe estar mentalmente preparado con anticipación para detectarlo.
Familiarícese con las diferentes técnicas y escenarios de phishing. Lo que es más importante, tenga cuidado con los mensajes de extraños que buscan información de identificación personal sobre usted o su cuenta. Algunos delincuentes no solicitarán sus credenciales directamente, sino que le enviarán correos electrónicos, enlaces o archivos adjuntos infectados. Si no puede garantizar ningún contenido, no lo abra.
3. Directorios activos seguros con seguridad Zero Trust
La información importante que los piratas informáticos necesitan para ejecutar ataques de boletos dorados se encuentra en sus directorios activos. Desafortunadamente, las vulnerabilidades pueden surgir en sus endpoints en cualquier momento y persistir antes de que las note. Pero la existencia de vulnerabilidades no necesariamente daña su sistema. Se vuelven dañinos cuando los intrusos los identifican y explotan.
No puede garantizar que los usuarios no realicen actividades que comprometan sus datos. Implementar seguridad de confianza cero para gestionar los riesgos de seguridad de las personas que visitan su red independientemente de su posición o estado. Considere a cada persona como una amenaza ya que sus acciones pueden poner en peligro sus datos.
4. Cambie la contraseña de su cuenta KRBTGT regularmente
La contraseña de su cuenta KRBTGT es el boleto dorado del atacante a su red. Asegurar su contraseña crea una barrera entre ellos y su cuenta. Digamos que un delincuente ya ingresó a su sistema después de recuperar el hash de su contraseña. Su vida útil depende de la validez de la contraseña. Si lo cambia, no podrán operar.
Hay una tendencia a que usted no se dé cuenta de la presencia de atacantes de amenazas doradas en su sistema. Cultive el hábito de cambiar su contraseña con regularidad, incluso cuando no tenga sospechas de un ataque. Este único acto revoca los privilegios de acceso de usuarios no autorizados que ya tienen acceso a su cuenta.
Microsoft recomienda específicamente a los usuarios que cambien las contraseñas de sus cuentas KRBTGT con regularidad para protegerse de los delincuentes con acceso no autorizado.
5. Adopte el monitoreo de amenazas humanas
La búsqueda activa de amenazas en su sistema es una de las formas más efectivas de detectar y contener ataques de boleto dorado. Estos ataques no son invasivos y se ejecutan en segundo plano, por lo que es posible que no se dé cuenta de una infracción, ya que las cosas pueden parecer normales en la superficie.
El éxito de los ataques con boleto dorado radica en la capacidad del delincuente para actuar como un usuario autorizado, aprovechando su privilegio de acceso. Esto significa que los dispositivos automatizados de monitoreo de amenazas pueden no detectar sus actividades porque no son inusuales. Necesita habilidades de monitoreo de amenazas humanas para detectarlas. Y eso se debe a que los humanos tienen un sexto sentido para identificar actividades sospechosas incluso cuando el intruso afirma ser legítimo.
Credenciales confidenciales seguras contra ataques de boletos dorados
Los ciberdelincuentes no tendrían acceso ilimitado a su cuenta en un ataque de boleto dorado sin fallas de su parte. En la medida en que surjan vulnerabilidades imprevistas, puede implementar medidas para mitigarlas con anticipación.
Asegurar sus credenciales esenciales, especialmente el hash de la contraseña de su cuenta KRBTGT, deja a los intrusos con opciones muy limitadas para piratear su cuenta. Tienes control sobre tu red por defecto. Los atacantes confían en su negligencia de seguridad para prosperar. No les des la oportunidad.
