Атака с передачей хэша – это тип кибератак, который в последнее время привлекает к себе большое внимание в цифровой среде. В ходе атаки типа pass-the-hash (PtH) хакеры используют хэшированные пароли или хэшированные учетные данные пользователей для получения несанкционированного доступа к системам. Атаки PtH стали серьезной проблемой, поскольку они позволяют киберзлоумышленникам получать несанкционированный доступ к системам и чувствительной или конфиденциальной информации. Крайне важно понимать механизм атак PtH и принимать соответствующие превентивные меры для защиты от них. Для тех, кто не знаком с атаками типа pass-the-hash и хэшированными паролями, следуйте этому руководству, чтобы узнать больше о том, как работают атаки типа pass-the-hash, включая реальные примеры и предлагаемые меры по защите от PhH-атак.
Понимание атак типа “передача хэша” (PtH)
Атака по хэшу (PtH) происходит, когда злоумышленник крадет хэш учетных данных пользователя или хэш пароля и использует его, чтобы обмануть систему аутентификации для создания новой аутентифицированной сессии в той же сети. Получив доступ ко всей атакуемой поверхности или системам, киберзлоумышленник может выполнять различные вредоносные действия, компрометировать конфиденциальные данные или даже повысить свои привилегии в системе.
Но что именно означает хэш пароля? Хеш пароля – это зашифрованная версия вашего пароля. Когда вы устанавливаете системный пароль, операционная система вычисляет хэш пароля по математической формуле. Вместо того чтобы хранить фактический пароль, система хранит хэш пароля. Таким образом, при использовании технологии pass-the-hash кибервзломщику не нужно знать реальный пароль пользователя, ему достаточно сохранить хэш пароля, чтобы взломать его и получить несанкционированный доступ к любой учетной записи пользователя. Таким образом, для хакера доступ к хэшу пароля эквивалентен доступу к реальному паролю пользователя.
Как работают атаки с передачей хэша
Атаки типа “передача хэша” используют уязвимости в привилегированных учетных записях, позволяя получить несанкционированный доступ к критически важным системам и потенциально скомпрометировать всю сетевую инфраструктуру. Вот пошаговый процесс, которому следуют киберзлоумышленники для проведения атак типа pass-the-hash.
- Сначала хакер использует вредоносное ПО или методы социальной инженерии, например фишинг, чтобы получить доступ к учетной записи или устройству пользователя.
- Получив доступ к учетной записи, хакеры используют различные специализированные инструменты и техники для сканирования активной памяти, что позволяет получить данные, которые приводят их к хэшам паролей.
- После успешного подбора хэша пароля хакеры передают его от одного логина к другому, используя технологию единого входа, создавая аутентифицированные сессии, выдавая себя за легитимных пользователей и создавая латеральное движение по сети.
- При таком боковом перемещении хакеры продолжают красть хэши по всей сети в надежде найти и использовать хэши учетных записей пользователей с большими привилегиями в бизнес-сети.
- Доступ к хэшу паролей учетной записи привилегированного пользователя и административный доступ открывают хакерам доступ к гораздо большему количеству конфиденциальной информации и файлов, а также к сети и ее данным.
- Найдя нужные данные, хакеры совершают вредоносные кибератаки, такие как кража личных данных, вымогательство или другие виды утечки информации.
Основные компоненты атак типа Pass-the-Hash
Атаки типа Pass-the-hash предполагают перехват хэшированных учетных данных вместо кражи паролей в открытом виде. Чтобы понять, как защититься от атак PtH, важно знать их ключевые компоненты и способы их использования. Вот ключевые компоненты атак типа pass-the-hash:
- Хеширование паролей: Для получения несанкционированного доступа к сетям или системам киберзлоумышленники крадут или перехватывают хэшированные версии паролей вместо того, чтобы красть пароли в открытом виде. Эти хэши представляют собой строки символов фиксированной длины, хранящиеся в системах, которые уникальны по отношению к оригинальному паролю.
- Инструменты для сброса учетных данных: Атаки также используют такие инструменты, как Mimikatz и другие, которые могут извлекать хэши паролей или пароли в открытом тексте из процесса LSASS (Local Security Authority Subsystem Service), чтобы сбросить эти учетные данные из памяти взломанных систем.
- Pass-the-Ticket (PtT) и Pass-the-Key (PtK): Подобно PtH-атакам, киберзлоумышленники также используют Pass-the-Key (PtK) или Pass-the-Ticket (PtT) для использования билетов Kerberos или ключевого материала для получения несанкционированного доступа вместо хэшей паролей.
- Латеральное перемещение: После извлечения хэшированных учетных данных киберзлоумышленники используют их для последующего перемещения по сети. Это позволяет им получать доступ к различным системам или повышать привилегии, чтобы получить доступ к более важной информации.
- Методы уклонения от защиты: Киберзлоумышленники используют несколько приемов для уклонения от обнаружения, например, обнаруживают журналы, отключают инструменты безопасности или используют осторожные методы перемещения в сети.
- Преодоление хэша: В некоторых случаях злоумышленники манипулируют оригинальным хэшем пароля или заменяют его на новый, используя технику overpass-the-hash, в результате чего пароль взломанной учетной записи меняется.
Общие векторы атак на передачу хэша
Привилегированные учетные записи, например с правами администратора домена или администратора, становятся основными целями для атак PtH. Вот некоторые из распространенных векторов атак, которые злоумышленники используют для получения несанкционированного доступа к системам и проведения атак типа pass-the-hash:
Слабые протоколы аутентификации
Слабые протоколы аутентификации по умолчанию или отсутствие многофакторной аутентификации (MFA) часто подвержены атакам типа “передай хэш”. Киберзлоумышленники используют уязвимости этих протоколов для извлечения и неправомерного использования хэшей паролей и, в конечном счете, для компрометации конкретной учетной записи.
Устаревшие механизмы аутентификации
Более того, киберзлоумышленники также используют устаревшие механизмы аутентификации, в которых отсутствуют надежные протоколы аутентификации. Поскольку такие протоколы не всегда защищают хэши паролей, злоумышленникам становится гораздо проще и удобнее извлекать их для несанкционированного доступа.
Операционные системы Windows
Среды Windows, особенно использующие Active Directory, уязвимы к атакам типа “передай хэш”. Из-за широкого распространения операционных систем Windows в корпоративных средах и их слабых механизмов аутентификации, ОС Windows является распространенной целью атак PtH.
Инсайдерские угрозы
Вредоносные инсайдеры, имеющие привилегированный доступ к сетям и системам, представляют собой серьезную угрозу для бизнеса и выступают в качестве распространенных векторов атак на различные системы кибербезопасности, включая атаки типа Pass-the-hash. Эти инсайдеры злоупотребляют своими привилегиями для извлечения хэшей паролей, чтобы либо самим совершать атаки PtH, либо помогать другим атакам.
Небезопасные сетевые каналы связи
В тех случаях, когда сетевой канал связи недостаточно защищен или зашифрован, злоумышленникам становится проще подслушивать коммуникации, определять и извлекать хэшированные пароли, а также проводить PtH-атаки.
Реальные примеры атак по методу Pass-the-Hash
Атаки с передачей хэша имеют серьезные последствия для бизнеса – от юридических обязательств до нарушения нормативных требований. Организации могут усилить защиту от атак и защитить конфиденциальную информацию, поняв реальные примеры и последствия. Вот несколько реальных примеров атак типа pass-the-hash:
Атака команды Diaxin: “Взлом данных о пациентах”
Группа вымогателей данных, известная как The Diaxin Team, в 2022 году похитила более 40 Гб данных из больницы Фитцгиббон в Маршалле, штат Мичиган, используя атаку типа pass-the-hash. Похищенные данные включали в себя конфиденциальную информацию о пациентах, такую как имена, номера социального страхования, даты рождения и важные медицинские записи. Больница подтвердила, что атака затронула более 112 000 пациентов.
Атака на Electrobas и Copel: “The Utility Company Ransomware”.
В феврале 2021 года бразильские электроэнергетические компании Centrais Electricas Brasileiras (Electrobas) и Companhia Paranaense de Energia (Copel) сообщили о том, что стали жертвами атак с использованием вымогательского ПО, в основе которых лежала атака типа pass-the-hash. Вредоносные агенты взломали Active Directory (AD), в частности файл NTDS.dit, и извлекли из него хэши паролей. Это позволило им продвигаться по цепочке разрешений пользователей, пока они не смогли извлечь хэши с правами, достаточными для проведения атак с выкупом.
Атака на темы Windows: “Вредоносный пакет тем для Windows”
В сентябре 2020 года исследователь безопасности обнаружил, что злоумышленники распространяют вредоносные пакеты тем для Windows 10, которые позволяют осуществлять атаки типа pass-the-hash. Эти пакеты тем предлагают возможности настройки звуков, обоев, цветов и многого другого.
При нажатии на пакет тем для Windows пользователь попадает на страницу или ресурс, требующий доступа к хэшу пароля, что позволяет хакерам перехватить учетные данные пользователя. Такие PtH-атаки оказывают значительное влияние на организации и предприятия из-за несанкционированного доступа и компрометации учетных данных, что приводит к репутационному ущербу, нарушению нормативных требований, потере доверия клиентов и конкурентных преимуществ в отрасли. Поэтому защита от таких атак имеет первостепенное значение.
Лучшие методы предотвращения атак типа Pass-the-Hash
Для предотвращения атак типа pass-the-hash требуется многоуровневый подход к безопасности, включающий в себя не только технические меры, но и информирование и обучение пользователей. Внедряя эти лучшие практики, организации могут значительно снизить риск атак PtH и обеспечить целостность и безопасность своих систем и данных.
Лучшие практики по предотвращению атак типа Pass-the-Hash для пользователей
Для предотвращения атак типа pass-the-hash очень важно применять лучшие практики и меры безопасности. Ниже приведены основные рекомендации по снижению риска атак типа pass-the-hash для пользователей:
- Регулярно выходите из системы и перезагружайте компьютер: Выход из системы сразу после завершения работы – одна из важнейших мер безопасности, позволяющая предотвратить доступ к устройству посторонних. В то же время перезагрузка устройства время от времени необходима для очистки сохраненных хэшей, которые хакеры могут легко подсмотреть во время атаки.
- Не переходите по подозрительным ссылкам: Атаки с передачей хэша часто начинаются с других типов фишинговых атак. Поэтому крайне важно с осторожностью относиться к получаемым ссылкам и вложениям электронной почты, особенно если вы получаете их от неизвестных отправителей или с адресов электронной почты. Эти ссылки или вложения могут содержать вредоносное ПО, которое заразит или скомпрометирует ваше устройство, если вы нажмете или загрузите их.
- Используйте брандмауэр: Все основные операционные системы поставляются со встроенными базовыми брандмауэрами для фильтрации несанкционированного сетевого трафика. Однако для критически важных сред этого недостаточно, и лучшим выбором будет установка брандмауэра.
- Регулярно меняйте пароли: Частая ротация паролей может значительно предотвратить риск атак PtH, так как она минимизирует окно или время действия хэша пароля. Новый пароль требует нового хэша пароля, в результате чего старый хэш пароля становится недействительным.
- Включите блокировщик всплывающих окон: Всплывающие окна могут перенаправлять вас на небезопасные или вредоносные сайты, часто содержащие вредоносное ПО. Такие сайты, зараженные вредоносным ПО, способствуют PtH-атакам. Поэтому, включив блокировщик всплывающих окон, вы можете ограничить вероятность случайного нажатия на вредоносные и опасные ссылки.
- Обновляйте операционную систему: Обновление операционной системы – это хорошая практика безопасности, которая помогает предотвратить риски и уязвимости, поскольку последнее обновление ОС содержит последние исправления безопасности.
Лучшие методы предотвращения атак типа Pass-the-Hash для системных администраторов
Предотвращение атак PtH очень важно для обеспечения безопасности вашей системы. Вот несколько лучших практик, которым должны следовать системные администраторы, чтобы снизить риск атак PtH.
- Отключите хэширование Lan Management (LM): Windows хранит пароли с помощью хэшей Windows NT и LM. Поскольку хэш LM слабее, чем хэш Windows NT, по мнению Windows, и уязвим для атак методом грубой силы, их отключение крайне важно, чтобы избежать риска атак PtH.
- Включите Defender Windows Credential Guard: Windows Defender Credential Guard – это инструмент безопасности, предоставляемый в Windows 10 и выше для защиты от атак PtH.
- Избегайте использования протокола удаленного рабочего стола (RDP) для управления рабочими станциями пользователей: Некоторые приложения RDP хранят копии хэшей ваших паролей, что увеличивает площадь атак PtH. Поэтому использование консольного инструмента, позволяющего подключаться к удаленным компьютерам, гораздо безопаснее, чем использование RDP.
- Ограничьте количество учетных записей с правами администратора: Для извлечения хэшей из службы Local Security Authority Subsystem Service (LSASS) злоумышленникам требуются права администратора. Поэтому очень важно ограничить количество учетных записей с правами администратора, чтобы затруднить злоумышленникам проведение PtH-атак в сети вашей компании.
- Пользователь Microsoft Local Administrator Password Solution (LAPS): LAPS – это инструмент безопасности Windows, который при включении гарантирует, что учетная запись локального администратора будет создавать и использовать разные сложные пароли для каждого нового компьютера, на который она входит. Это ограничивает риски и шансы киберзлоумышленников на латеральное перемещение, обеспечивая защиту от PtH-атак.
- Автоматизируйте смену паролей для системных администраторов: Автоматизация частой смены паролей для администраторских учетных данных может значительно затруднить проведение атак PtH злоумышленниками, ограничив их время для нанесения потенциального серьезного ущерба, если им удастся извлечь хэш пароля администратора.
Стратегии эффективного противодействия атакам типа Pass-the-Hash
Чтобы защитить свою организацию от атак PtH, необходимо внедрить эффективные стратегии защиты. Вот некоторые стратегии, которые следует рассмотреть:
Планирование реагирования на инциденты
В случае атак PtH очень важно иметь план реагирования на инциденты, который включает процедуры идентификации атаки, обнаружения и сохранения доказательств, уведомления вышестоящих органов и заинтересованных сторон, а также восстановления данных и систем. Таким образом, наличие назначенной и обученной группы реагирования на инциденты, а также надежной системы резервного копирования и восстановления данных позволит свести к минимуму последствия атак PtH и обеспечить безопасность бизнеса.
Регулярные оценки и аудиты безопасности
Регулярные аудиты безопасности помогают предприятиям и организациям выявлять лазейки и уязвимости, которые создают условия для атак PtH. Эти оценки и аудиты могут включать проверку устаревшего программного обеспечения и микропрограмм, слабых паролей, незащищенных приложений и систем.
Обучение и информированность
Обучение по вопросам безопасности – важный шаг для каждой компании и организации, позволяющий противостоять атакам типа pass-the-hash и другим атакам кибербезопасности. Этот курс помогает обучить пользователей и сотрудников профилактическим мерам, методам защиты паролей, выявлению подозрительных действий, внедрению политики надежных паролей и методам обеспечения кибербезопасности для эффективного управления рисками, такими как атаки PtH.
Управление привилегированным доступом (PAM)
Решения для управления привилегированным доступом помогают ограничить подверженность хэш-атакам путем контроля и мониторинга доступа к привилегированным учетным записям. Внедряя гранулярный контроль доступа, организации могут гарантировать, что только авторизованные пользователи имеют доступ к критическим системам и информации.
Предотвращение атак типа Pass-the-Hash
Атаки с передачей хэша сложно обнаружить или отследить по сравнению с другими типами кибератак, такими как фишинг и ransomware. Эти атаки предполагают использование хэша подлинного пароля для получения несанкционированного доступа к сети компании и потенциального нанесения ущерба. Организациям и органам безопасности важно серьезно относиться к PtH-атакам и тратить время и усилия на понимание их механизма и потенциальных последствий, а также на внедрение эффективных мер безопасности для предотвращения и смягчения последствий этих атак. Таким образом, для защиты от атак PtH и укрепления безопасности вашей организации следует применять вышеупомянутые методы обеспечения безопасности.
