Przegląd producentów kolektorów danych
Uchwyty montażowe – rodzaje i zastosowanie
Przegląd producentów kolektorów danych
Uchwyty montażowe – rodzaje i zastosowanie
Pokaż wszystko

Atak Golden Ticket czyli game over dla firm.

Ostatnia aktualizacja 2024-02-19

Zablokowane komputery, urządzenia na produkcji, całkowity paraliż firmy, a na koniec żądanie okupu w zamian za odblokowanie systemu — takie mogą być skutki cybernetycznego ataku Golden Ticket. Jakie są konsekwencje włamania hakerów i czy można się przed nim skutecznie chronić?

Ataków cyberprzestępców jest coraz więcej

W ostatnim czasie ataki hakerów przy wykorzystaniu oprogramowania ransomware (często zero day) przeprowadzane na prywatne przedsiębiorstwa przybrały na sile. Może to niepokoić nie tylko z powodu zwiększenia się skali, ale również zmiany charakteru tego procederu. Wcześniej przestępcy chętniej planowali ataki na instytucje finansowe czy rządowe. Obecnie coraz częściej ofiarami stają się firmy telekomunikacyjne, a także transportowe, produkcyjne czy handlowe działające w różnych branżach. Jak przyznaje Mike Sentonas z CrowdStrike, w 2021 roku zmienił się również sposób wymuszania okupu – częściej przyjmował formę podwójnego haraczu. – W zeszłym roku byliśmy świadkami rozwoju modelu oprogramowania ransomware z podwójnym wymuszeniem, w którym cyberprzestępcy żądali jednego okupu za zwrot danych i dodatkowego okupu, aby zapobiec wyciekowi lub sprzedaży danych – podkreśla. [1]
W grupie włamań śledzonych w 2021 roku przez Falcon OverWatch aż 75% ​motywowanych było finansami, 24% to włamania sponsorowane przez państwo, a 1% przypisywano haktywizmowi. [2]
Tymczasem dla wielu przedsiębiorców tego typu zagrożenie jest zupełnym novum. Firmy nie dostrzegają ryzyka, a co za tym idzie, nie wdrażają odpowiednich procedur bezpieczeństwa. A to sprawia, że stają się łatwym kąskiem dla cybernetycznych przestępców.

Konsekwencjami braku zabezpieczeń jest włamanie do sieci firmowej, które może skończyć się blokadą wszystkich systemów i całkowitym paraliżem firmy. Tak stało się na początku roku 2021 w firmie transportowej PEKAES i latem 2021 roku w austriackiej mleczarni, gdzie przestępcy zmienili wszystkie hasła zatrzymując całkowicie produkcję zakładu. [3] [4]
Ten typ ataku, w którym przejęta zostanie całkowita kontrola nad systemami i funkcjonowaniem firmy określa się nazwą Golden Ticket.

Czym jest atak Golden Ticket?

Pod tą dość “luksusowo” brzmiącą nazwą skrywa się jeden z najgroźniejszych ataków hakerskich, który wykorzystuje lukę w protokole uwierzytelniania sieciowego Microsoftu (protokół Kerberos). Nazwa ataku nawiązuje do popularnej książki dla dzieci Roalda Dahla “Charlie i fabryka czekolady”. W książce mały chłopiec Charlie Bucket, znajduje w batoniku złoty bilet, który okazuje się przepustką do strzeżonej fabryki słodyczy Willy’ego Wonki. W przypadku cybernetycznego ataku tym złotym biletem są sfałszowane unikatowe identyfikatory (ang. ticket-granting ticket – TGT) w protokole Kerberos (protokół uwierzytelniania i autoryzacji w sieci komputerowej), które otwierają furtkę do przejęcia uprawnień administratora całej domeny (Enterprise Admin).

W książce Charlie wraz z innymi dziećmi przygląda się procesowi produkcji czekolady i słodyczy, wszystko jednak dzieje się pod pilnym okiem pracowników fabryki, w tym słynnego Willy’ego Wonki. W rzeczywistym świecie nie jest już tak bajkowo. Haker po uzyskaniu dostępu do całej domeny ma nieograniczoną władzę i kontrolę nad całym środowiskiem Windows. Może zrobić wszystko, włącznie z zablokowaniem systemu i zniszczeniem danych.
Nie trzeba chyba dodawać, co to oznacza dla właściciela prężnie działającego przedsiębiorstwa czy zakładu produkcyjnego. Przysłowiowy “game over”.

Zobacz też: Network Traffic Analysis – czy jest odpowiedzią na Zero Day?

Jaki jest mechanizm ataku Golden Ticket?

Zacznijmy od tego, że ofiarą ataku Golden Ticket padają systemy pracujące w środowisku Windows i na oprogramowaniu Microsoftu. Dotyczy on konkretnej usługi Microsoftu – Active Directory, z której korzysta wiele firm.
Active Directory to usługa katalogowa (hierarchiczna baza danych), która w uproszczeniu pozwala na zarządzanie użytkownikami i uprawnieniami, aplikacjami, grupami i innymi zasobami firmy. [5] Podstawowym elementem jej struktury jest domena tj. grupa połączonych sieciowo komputerów, w skład której wchodzi serwer (kontroler domeny) i stacje robocze – klienci współdzielący bazę katalogową. Dane o użytkownikach sieci i ich uprawnieniach przechowuje właśnie kontroler domeny (PDC – Primary Domain Controller).

Wszystkie komputery w organizacji, które mają zainstalowany Windows, komunikują się i wymieniają informacje z kontrolerem domeny. Służy do tego protokół Lightweight Directory Access Protocol (LDAP). Pozwala on administratorowi na przydzielanie określonego punktu poziomu uprawnień do grup bądź dla:

  • wybranych użytkowników;
  • zasobów sieciowych;
  • zasobów dyskowych ;
  • zasobów plikowych;
  • zasobów aplikacyjnych.

W trakcie ataku Golden Ticket haker przy pomocy sfałszowanych identyfikatorów (ang. ticket-granting ticket – TGT) generuje tajne klucze TGS (ang. Ticket Granting Service) dla dowolnego konta w Active Directory i w ten sposób uzyskuje nieograniczony dostęp do całej domeny Active Directory organizacji. Przejmuje najwyższe uprawnienia administratora to znaczy, że przejmuje dostęp do wszystkich komputerów, serwerów, plików, aplikacji, organizacji pracujących w środowisku Windows, w tym kontrolerów domeny (DC).

Po przejęciu tych uprawnień zmienia hasło dotychczasowego administratora. “Stary” administrator nie ma możliwości zalogowania się już na dane konto i ewentualną zmianę uprawnień. Nie jest w stanie powstrzymać ataku i przeszkodzić hakerowi. Jedyne, co może zrobić, to wyjąć kabel z serwera i wyłączyć internet, aby atakujący nie miał możliwości penetrowania dalej struktury sieci. W praktyce jednak na to jest już zdecydowanie za późno.

Cyberprzestępca ma za to nieograniczone możliwości. Może bezkarnie penetrować zasoby firmy. Z najwyższym poziomem uprawnień ma dostęp do wszystkich komputerów, plików aplikacji, które pracują pod systemem Windows. Nikt nie przeszkodzi mu w wysłaniu do każdego urządzenia zawirusowanego pliku i jego zdalnej “detonacji” (np. gdy firma nie zapłaci tzw. haraczu). W efekcie wszystkie elementy systemu, które stoją na Windowsie, są zawirusowane i tracimy do nich dostęp. Pracownicy nie mogą nic zrobić na komputerze. Nie można wystawiać faktur, nie można drukować, nie można wysłać i odebrać e-mail, a w efekcie końcowym unieruchomiona jest część bądź cała firma.

Skutkiem ataku Golden Ticket jest całkowita blokada systemu.

Golden ticket i wymuszenie okupu

Warto uzmysłowić sobie, że atak Golden Ticket bardzo często przygotowywany jest przez wiele miesięcy i bierze w nim udział zorganizowana grupa przestępcza specjalizująca się w tego typu działaniach. Jej głównym celem jest wymuszenie okupu tzw. haraczu.
W większości przypadków po ataku hakerskim nawiązywany jest kontakt, podczas którego przestępcy podają określoną kwotę za klucz do zaszyfrowanych danych. Nie jest to jednak regułą. Ataki Golden Ticket, które prowadzone są np. przeciwko konkurencji, zazwyczaj mają na celu po prostu unieruchomienie firmy, a zlecającemu atak nie zawsze zależy na tym, aby firma szybko wznowiła działalność. Firma zostaje nie tylko unieruchomiona, ale także skompromitowana na rynku.

Czy firmy płacą haracz? Bywa z tym różnie. Warto pamiętać, że nikt oficjalnie nie przyzna się do tego, że taki okup hakerowi zapłacił. Ponadto, nawet płacąc haracz, nie mamy gwarancji, że uzyskamy klucz od przestępcy.

Co stanie się, gdy tego okupu nie zapłacimy? W tym momencie atakujący naciska “enter” i uaktywnia oprogramowanie ransomware. Zaczyna szyfrować dyski i robi to w sposób szybki, skuteczny i globalny. Paraliżuje po kolei wszystkie urządzenia, które są wpięte do domeny Microsoftu. Przestają działać podstawowe usługi. Użytkownicy nie mogą się zalogować, wydrukować, nie mogą wprowadzić danych do CRM-u. W przypadku gdy cały system przedsiębiorca oparty był na usługach Microsoftu to prawdziwy Game Over.

Co można zrobić po ataku Golden Ticket?

Po ataku i zaszyfrowaniu wszystkich informacji firma jest sparaliżowana. W takiej sytuacji najlepszym rozwiązaniem jest zatrudnienie specjalistów zewnętrznych. W większości przypadków nie jest to zadanie dla firmowego zespołu IT, który ma w tym momencie wiele innych rzeczy na głowie i nie dysponuje czasem, a niekiedy również kompetencjami do prowadzenia tego typu akcji.

Firma zewnętrzna to taki lekarz, który przychodzi do pacjenta i musi zdiagnozować chorobę. Sprawdza, w jaki sposób dostał się haker, ocenia wielkość strat, wytycza wraz z działem IT priorytetowe funkcje i usługi, które muszą zostać uruchomione najszybciej i zaczyna stawiać systemy na nowo. W wielu przypadkach odbudowa całego systemu może trwać nawet kilka miesięcy i wiąże się z ogromnymi kosztami.

Przeczytaj również: Jak uzasadnić budżet na modernizację WLAN/LAN przed zarządem? Poradnik dla kierowników IT

Co zrobić, żeby uchronić się przed atakami Golden Ticket?

Zmieniaj cyklicznie hasło KRBTGT — również w szczególnych okolicznościach.

Najprostszą metodą jest regularna zmiana hasła do konta KRBTGT. To domyślne konto dla usługi Centrum dystrybucji kluczy (KDC). Sam Microsoft zaleca regularną aktualizację haseł co najmniej co 180 dni. Najlepiej robić to zawsze, wtedy gdy osoba, która potencjalnie miała dostęp do konta i generowania kluczy, opuszcza przedsiębiorstwo.

Ogranicz liczbę kont, które mogą logować się do kontrolera domeny.

Ograniczyć liczbę administratorów domeny do minimum. Jeżeli w systemie znajdują się nadprogramowe konta z dostępem natychmiast zbadaj je i usuń niepotrzebne uprawnienia.

Ogranicz ryzyko kradzieży uprzywilejowanych danych.

Nie pozwalaj też administratorom logować się do konta administracyjnego na komputerach użytkowników końcowych. Nie nadawaj użytkownikom końcowym uprawnień administratora na ich stacjach roboczych.

Zaimplementuj uwierzytelnianie wieloskładnikowe (MFA)

Zaimplementuj uwierzytelnianie wieloskładnikowe MFA we wszystkich zewnętrznych punktach uwierzytelniania i do wszystkich wewnętrznych systemów krytycznych.

Monitoruj swoje środowisko IT weryfikuj podejrzaną aktywność

Trzeba być przygotowanym na to, że firma i systemy w niej działające są potencjalnie cały czas narażone na atak. Z tego powodu zespół IT powinien być wyczulony na nietypowe zachowania i ruchy w sieci. Lampka kontrolna powinna się zapalić, wtedy gdy:

  • wygenerowano bilety TGT o długim okresie ważności;
  • wystąpił błąd replikacji usługi Active Directory;
  • pojawiły się nietypowe zmiany w uprawnieniach.

Przeczytaj również: Jak uzasadniać przełożonym budżet na IT?

Przeprowadź audyt bezpieczeństwa

W ramach działań zapobiegawczych rekomendowane jest też m.in przeprowadzenie gruntownego audytu bezpieczeństwa infrastruktury sprzętowej IT i audytu bezpieczeństwa aplikacji, które pomogą w wykryciu ewentualnych luk w systemach.

Atak Golden Ticket potrafi w kilka sekund zniszczyć wszystko, co zostało wypracowane w przedsiębiorstwie i skutecznie sparaliżować jego działanie. Z tego względu warto zawczasu podjąć odpowiednie kroki, by poprawić bezpieczeństwo i uniknąć w przyszłości kosztownej odbudowy systemu.

Szukasz dostawcy rozwiązań w zakresie cyberbezpieczeństwa?

Skontaktuj się ze mną pod numerem +48 515 135 478 lub mailowo pod adresem pt@sebitu.pl. Sprawdzimy aktualny stan bezpieczeństwa twojej infrastruktury IT i poznasz rekomendacje celem zminimalizowania ryzyka ataku celowanego na twoje przedsiębiorstwo.


Przypisy

  1. 2022 cybersecurity predictions from CrowdStrike, https://securitybrief.co.nz/story/2022-cybersecurity-predictions-from-crowdstrike [dostęp 31.01.2022r]
  2. CrowdStrike threat report: Breakout time decreased 67% in 2021, https://www.techtarget.com/searchsecurity/news/252506395/CrowdStrike-threat-report-Breakout-time-decreased-67-in-2021 [dostęp 31.01.2022r]
  3. PEKAES zhakowany. Sprawcy publikują 65 GB danych z włamania, https://www.dobreprogramy.pl/pekaes-zhakowany-sprawcy-publikuja-65-gb-danych-z-wlamania,6628601517708929a [dostęp 31.01.2022r]
  4. Austria – atak hakerski na mleczarnię sparaliżował dystrybucję, https://www.topagrar.pl/articles/bydlo-mleczne/austria-atak-hakerski-na-mleczarnie-sparalizowal-dystrybucje/ [dostęp 31.01.2022r]
  5. Uwierzytelnianie LDAP za pomocą Azure Active Directory, https://docs.microsoft.com/pl-pl/azure/active-directory/fundamentals/auth-ldap [dostęp 31.01.2022r]

Piotr Tamulewicz - avatar.
Piotr Tamulewicz, doradca ds. rozwiązań IT w SEBITU.