Vượt qua cuộc tấn công băm là gì và nó hoạt động như thế nào?
Nhập thông tin đăng nhập của bạn mỗi khi bạn muốn đăng nhập vào hệ thống có thể khá mệt mỏi, đặc biệt là khi bạn đăng nhập vào hệ thống thường xuyên. Bạn thậm chí có thể quên mật khẩu của mình.
Việc triển khai các hệ điều hành cung cấp trải nghiệm đăng nhập một lần cho người dùng giúp bạn không phải nhập lại chi tiết đăng nhập của mình mỗi lần. Nhưng có một vấn đề với nó. Những kẻ tấn công có thể khai thác thông tin đăng nhập của bạn được lưu trong hệ thống thông qua một cuộc tấn công Pass-the-Hash (PtH).
Ở đây, chúng ta sẽ thảo luận về cách thức hoạt động của một cuộc tấn công Pass-the-Hash và cách bạn có thể giảm thiểu nó.
Mục Lục
Vượt qua cuộc tấn công băm là gì?
Hashing là quá trình dịch các chuỗi ký tự thành mã, làm cho nó ngắn hơn và dễ dàng hơn nhiều. Đây là một trong những người chơi lớn trong lĩnh vực an ninh mạng, rất quan trọng để ngăn chặn vi phạm dữ liệu.
Quản trị viên ứng dụng web mã hóa các tệp và tin nhắn để ngăn chặn truy cập trái phép vào chúng. Mặc dù các tệp này được giữ bí mật, nhưng việc băm giúp xác minh tính toàn vẹn của chúng. Nó ngăn không cho bất kỳ ai làm hỏng tệp hoặc thay đổi nội dung của chúng và sau đó trình bày chúng dưới dạng tệp gốc.
Không thể đảo ngược hàm băm sau khi dịch. Nó chỉ cho phép bạn phát hiện xem hai tệp có giống nhau hay không mà không cần xác định nội dung của chúng. Trước khi truy cập hệ thống hoặc dịch vụ qua mạng, bạn phải xác thực bằng cách xuất trình tên người dùng và mật khẩu của mình. Bây giờ, thông tin này được lưu trữ trong cơ sở dữ liệu để so sánh trong tương lai khi bạn cố gắng đăng nhập lại.
Mật khẩu của bạn ở dạng văn bản rõ ràng, điều này làm cho chúng kém an toàn hơn. Và nếu kẻ tấn công có thể truy cập cơ sở dữ liệu, chúng có thể đánh cắp mật khẩu của bạn và truy cập trái phép vào tài khoản của bạn. Tình hình sẽ tồi tệ hơn nếu bạn là một trong những người dùng sử dụng một mật khẩu duy nhất cho các tài khoản khác nhau. Kẻ tấn công sẽ sử dụng mật khẩu bị đánh cắp để truy cập vào các tài khoản khác của bạn.
Vì vậy, làm thế nào để băm phát huy tác dụng ở đây?
Cơ chế băm biến mật khẩu văn bản rõ ràng của bạn thành dữ liệu không thể thay đổi về mật khẩu ban đầu. Sau khi mật khẩu của bạn được băm và lưu trong bộ nhớ của hệ thống, nó sẽ được sử dụng để chứng minh danh tính của bạn vào lần tiếp theo bạn muốn truy cập vào một dịch vụ.
Hàm băm bảo vệ tài khoản của người dùng khỏi bị truy cập trái phép. Nhưng không lâu như vậy tội phạm mạng đã nghĩ ra một chiến lược để khai thác hàm băm. Lỗ hổng bảo mật được phát hiện trong đăng nhập một lần (SSO) đã nhường chỗ cho cuộc tấn công Pass-the-Hash. Nó xuất hiện lần đầu tiên vào năm 1997 và đã tồn tại được 24 năm.
Một cuộc tấn công Pass-the-Hash tương tự như các thủ thuật mà kẻ tấn công sử dụng để đánh cắp mật khẩu của người dùng. Đây là một trong những cuộc tấn công phổ biến nhất nhưng được đánh giá thấp khi nói đến việc sử dụng và đánh cắp thông tin xác thực của người dùng.
Với kỹ thuật Pass-the-Hash, những kẻ tấn công không cần bẻ khóa hash. Nó có thể được sử dụng lại hoặc chuyển đến máy chủ xác thực. Hàm băm mật khẩu vẫn tĩnh từ phiên này sang phiên khác cho đến khi chúng được thay đổi. Vì lý do này, những kẻ tấn công truy lùng các giao thức xác thực của hệ điều hành để đánh cắp mật khẩu đã băm.
Làm thế nào để vượt qua cuộc tấn công băm hoạt động?
Các cuộc tấn công Pass-the-Hash phổ biến nhất trên hệ thống Windows mặc dù chúng có thể xảy ra trên các hệ điều hành khác như Linux và UNIX. Tin tặc luôn tìm kẽ hở trong các hệ thống này để tiếp cận nạn nhân của chúng.
Lỗ hổng của Windows nằm trong xác thực NTLM của nó, thực hiện chức năng đăng nhập một lần (SSO). Nó cho phép người dùng nhập mật khẩu của họ một lần và truy cập bất kỳ tính năng nào họ muốn.
Đây là cách nó hoạt động:
Khi bạn đăng ký trên hệ thống Windows lần đầu tiên, nó sẽ băm mật khẩu của bạn và lưu trữ trong bộ nhớ của hệ thống. Đây là một sơ hở để những kẻ tấn công khai thác mật khẩu đã băm của bạn. Họ có thể có quyền truy cập vật lý vào hệ thống của bạn, loại bỏ bộ nhớ hoạt động của nó hoặc lây nhiễm phần mềm độc hại và các kỹ thuật khác vào hệ thống của bạn.
Các công cụ như Metasploit, Gsecdump và Mimikatz được sử dụng để trích xuất thông tin xác thực đã băm từ bộ nhớ của hệ thống. Sau khi làm điều đó, những kẻ tấn công sử dụng lại thông tin đăng nhập của bạn để đăng nhập với tư cách là bạn và truy cập vào mọi ứng dụng bạn có quyền.
Nếu một người bạn hoặc đồng nghiệp đã đăng nhập vào hệ thống của bạn, thì tin tặc có thể thu hoạch băm của họ một cách bình đẳng. Hãy nhớ rằng, nó là một kỹ thuật di chuyển ngang. Tình huống xấu nhất là tin tặc giành được quyền truy cập vào các hệ thống điều khiển điều hành toàn bộ tổ chức hoặc cơ sở hạ tầng CNTT. Khi vào bên trong, chúng có thể đánh cắp thông tin nhạy cảm, sửa đổi hồ sơ hoặc cài đặt phần mềm độc hại.
Làm thế nào để giảm nhẹ cuộc tấn công bằng băm
Dưới đây là một số điều bạn nên biết về cuộc tấn công Pass-the-Hash. Nó không phải là một lỗi mà là một tính năng. Giao thức đăng nhập một lần được triển khai với hàm băm là để giúp người dùng đỡ gặp rắc rối khi phải nhập lại mật khẩu của họ. Vì vậy, hiện nay tin tặc lợi dụng tính năng Windows SSO, giao thức truyền thông của hệ thống Linux và Unix cho mục đích xấu.
Bạn có thể giảm nguy cơ trở thành nạn nhân của các cuộc tấn công như vậy bằng cách làm theo các giải pháp hiệu quả sau.
1. Bật Bảo vệ thông tin đăng nhập của Bộ bảo vệ Windows
Windows Defender Credential Guard là một tính năng bảo mật đi kèm với hệ thống Windows 10 trở lên. Nó bảo vệ thông tin nhạy cảm được lưu trữ trên hệ thống. Dịch vụ Hệ thống con của Cơ quan Bảo mật Cục bộ (LSASS) thực thi chính sách bảo mật trên hệ thống Windows.
2. Triển khai Mô hình Bảo mật Đặc quyền Ít nhất
Đây là vấn đề: nếu bạn là chủ doanh nghiệp và có những người làm việc cho bạn, hãy giới hạn quyền truy cập của họ ở chỉ các tài nguyên và tệp cần thiết để thực hiện công việc của họ trong hệ thống mạng.
Loại bỏ các quyền quản trị không cần thiết và chỉ cấp đặc quyền cho các ứng dụng đáng tin cậy. Điều này sẽ làm giảm khả năng của hacker trong việc mở rộng quyền truy cập và quyền của họ.
3. Khởi động lại hệ thống sau khi đăng xuất
Hãy nhớ rằng, mục tiêu là giảm thiểu nguy cơ trở thành nạn nhân của một cuộc tấn công Pass-the-Hash. Vì hệ thống lưu trữ băm mật khẩu trong bộ nhớ của nó, việc khởi động lại máy tính của bạn sau khi đăng xuất sẽ xóa băm khỏi bộ nhớ của hệ thống.
4. Cài đặt phần mềm AntiMalware
Tội phạm mạng thực hiện rất tốt việc sử dụng phần mềm độc hại để xâm nhập mạng. Các công cụ tự động như phần mềm chống phần mềm độc hại rất hữu ích trong việc thiết lập biện pháp phòng thủ chống lại các cuộc tấn công mạng này. Các công cụ này phát hiện các tệp bị nhiễm hoặc độc hại trong hệ thống của bạn và vô hiệu hóa chúng trước khi chúng tấn công.
Khi cài đặt phần mềm chống phần mềm độc hại trên thiết bị của mình, bạn đã bảo mật hệ thống của mình khỏi phần mềm độc hại. Bạn cũng có thể sử dụng nền tảng phần mềm độc hại dưới dạng dịch vụ để nhận các giải pháp phần mềm độc hại tùy chỉnh.
5. Cập nhật hệ điều hành của bạn
Tại sao phải sử dụng phiên bản cũ hơn của hệ điều hành kém bảo mật hơn khi bạn có thể cập nhật nó?
Các hệ điều hành mới nhất thường mang lại trải nghiệm người dùng tốt hơn nhiều và có khả năng bảo vệ mạnh mẽ hơn. Ví dụ: Windows 10 phiên bản 1703 có nhiều tính năng bảo mật bảo vệ người dùng trên các mạng.
Áp dụng một phương pháp tiếp cận hiệu quả để vượt qua cuộc tấn công băm
Các cuộc tấn công Pass-the-Hash sẽ luôn ảnh hưởng đến các hệ điều hành hỗ trợ một lần đăng nhập. Trong khi hàm băm cố gắng bảo vệ mật khẩu của bạn, các cuộc tấn công sẽ vượt qua bảo mật để lấy cắp mật khẩu đã băm bằng một số công cụ.
Chịu trách nhiệm bảo vệ thông tin đăng nhập của bạn bằng cách nâng cấp lên hệ điều hành mới nhất, chỉ cấp quyền cho các ứng dụng đáng tin cậy và cài đặt phần mềm chống phần mềm độc hại trên máy tính của bạn. Tội phạm mạng chỉ có thể vượt qua hàm băm khi có đường cao tốc cho chúng. Bạn có trách nhiệm đóng tất cả các lỗ hổng trong mạng của mình.
Đọc tiếp
Thông tin về các Tác giả
