Seseorang dapat melakukan banyak kerugian jika mereka mendapatkan akses ke data Anda sebanyak yang Anda miliki. Itulah yang membuat jenis serangan ini begitu menakutkan.
Kemajuan dalam keamanan siber memungkinkan sistem pemantauan ancaman untuk mendeteksi aktivitas kriminal yang tidak biasa. Untuk mengalahkan alat ini, penyusup kini mengeksploitasi status sah dan hak akses pengguna resmi untuk tujuan jahat.
Seorang peretas dapat memiliki akses tak terbatas ke data Anda tanpa menimbulkan debu dengan meluncurkan serangan tiket emas. Dengan demikian, mereka praktis memiliki hak akses yang sama seperti Anda. Terlalu berisiko bagi penyerang untuk memiliki kekuatan seperti itu, bukan begitu? Inilah cara menghentikan mereka.
Apa Itu Serangan Tiket Emas?
Dalam konteks ini, tiket emas berarti akses tanpa batas. Penjahat dengan tiket dapat berinteraksi dengan semua komponen akun Anda termasuk data, aplikasi, file, dll. Serangan tiket emas adalah akses tidak terbatas yang diperoleh penyerang untuk menyusupi jaringan Anda. Tidak ada batasan untuk apa yang bisa mereka lakukan.
Bagaimana Cara Kerja Serangan Tiket Emas?
Active Directory (AD) adalah inisiatif Microsoft untuk mengelola jaringan domain. Ini memiliki pusat distribusi kunci Kerberos (KDC) yang ditunjuk, sebuah protokol otentikasi untuk memverifikasi legitimasi pengguna. KDC mengamankan AD dengan membuat dan mendistribusikan tiket pemberian tiket unik (TGT) kepada pengguna yang berwenang. Tiket terenkripsi ini membatasi pengguna untuk melakukan aktivitas berbahaya di jaringan dan membatasi sesi penjelajahan mereka ke waktu tertentu, biasanya tidak lebih dari 10 jam.
Saat Anda membuat domain di AD, Anda mendapatkan akun KRBTGT secara otomatis. Pelaku serangan tiket emas mengkompromikan data akun Anda untuk memanipulasi pengontrol domain AD dengan cara berikut.
Mengumpulkan informasi
Penyerang ticker emas memulai dengan mengumpulkan informasi tentang akun Anda, terutama nama domain yang memenuhi syarat (FQDN), pengidentifikasi keamanan, dan hash kata sandi. Mereka bisa menggunakan teknik phishing untuk mengumpulkan data Anda, atau lebih baik lagi, menginfeksi perangkat Anda dengan malware dan memulihkannya sendiri. Mereka mungkin memilih kekerasan dalam proses pengumpulan informasi.
Menempa Tiket
Pelaku ancaman mungkin dapat melihat data direktori aktif Anda saat mereka memasuki akun Anda dengan kredensial login Anda, tetapi mereka tidak dapat melakukan aktivitas saat ini. Mereka perlu membuat tiket yang sah untuk pengontrol domain Anda. KDC mengenkripsi semua tiket yang dihasilkannya dengan hash kata sandi KRBTGT, sehingga penipu harus melakukan hal yang sama baik dengan mencuri file NTDS.DIT, melakukan serangan DCSync, atau memanfaatkan kerentanan di titik akhir.
Pertahankan Akses Jangka Panjang
Karena mendapatkan hash kata sandi KRBTGT memberikan penjahat akses tak terbatas ke sistem Anda, mereka menggunakannya secara maksimal. Mereka tidak terburu-buru untuk pergi tetapi tetap berada di latar belakang, membahayakan data Anda. Mereka bahkan dapat menyamar sebagai pengguna dengan hak akses tertinggi tanpa menimbulkan kecurigaan.
5 Cara Mencegah Serangan Tiket Emas
Serangan tiket emas berada di antara serangan dunia maya paling berbahaya karena kebebasan penyusup untuk melakukan berbagai aktivitas. Anda dapat mengurangi kemunculannya seminimal mungkin dengan langkah-langkah keamanan siber berikut.
1. Jaga Kredensial Admin Tetap Pribadi
Seperti kebanyakan serangan lainnya, serangan tiket emas bergantung pada kemampuan penjahat untuk mengambil kredensial akun yang sensitif. Amankan data kunci dengan membatasi jumlah orang yang dapat mengaksesnya.
Kredensial paling berharga ada di akun pengguna admin. Sebagai administrator jaringan, Anda perlu membatasi hak akses Anda seminimal mungkin. Sistem Anda berada pada risiko yang lebih tinggi ketika lebih banyak orang memiliki akses ke hak istimewa admin.
2. Identifikasi dan Tolak Upaya Phishing
Mengamankan hak istimewa admin adalah salah satunya cara untuk mencegah pencurian kredensial. Jika Anda memblokir jendela itu, peretas akan menggunakan metode lain seperti serangan phishing. Phishing lebih bersifat psikologis daripada teknis, jadi Anda harus siap secara mental sebelumnya untuk mendeteksinya.
Kenali diri Anda dengan berbagai teknik dan skenario phishing. Yang terpenting, berhati-hatilah terhadap pesan dari orang asing yang mencari informasi pengenal pribadi tentang Anda atau akun Anda. Beberapa penjahat tidak akan meminta kredensial Anda secara langsung tetapi mengirimi Anda email, tautan, atau lampiran yang terinfeksi. Jika Anda tidak dapat menjamin konten apa pun, jangan membukanya.
3. Amankan Direktori Aktif Dengan Zero Trust Security
Informasi penting yang dibutuhkan peretas untuk mengeksekusi serangan tiket emas ada di direktori aktif Anda. Sayangnya, kerentanan dapat muncul di titik akhir Anda kapan saja dan bertahan sebelum Anda menyadarinya. Namun keberadaan kerentanan tidak serta merta membahayakan sistem Anda. Mereka menjadi berbahaya ketika penyusup mengidentifikasi dan mengeksploitasi mereka.
Anda tidak dapat menjamin pengguna untuk tidak terlibat dalam aktivitas yang akan membahayakan data Anda. Terapkan keamanan tanpa kepercayaan untuk mengelola risiko keamanan orang yang mengunjungi jaringan Anda terlepas dari posisi atau status mereka. Anggap setiap orang sebagai ancaman karena tindakan mereka dapat membahayakan data Anda.
4. Ganti Password Akun KRBTGT Anda Secara Rutin
Kata sandi akun KRBTGT Anda adalah tiket emas penyerang ke jaringan Anda. Mengamankan kata sandi Anda menciptakan penghalang antara mereka dan akun Anda. Katakanlah penjahat telah memasuki sistem Anda setelah mengambil hash kata sandi Anda. Umur mereka tergantung pada validitas kata sandi. Jika Anda mengubahnya, mereka tidak akan dapat beroperasi.
Ada kecenderungan bagi Anda untuk tidak menyadari kehadiran penyerang ancaman emas di sistem Anda. Kembangkan kebiasaan mengubah kata sandi Anda secara teratur bahkan ketika Anda tidak curiga akan adanya serangan. Tindakan tunggal ini mencabut hak akses pengguna tidak sah yang telah memiliki akses ke akun Anda.
Microsoft secara khusus menyarankan pengguna untuk mengubah kata sandi akun KRBTGT mereka secara teratur untuk menangkal penjahat dengan akses tidak sah.
5. Mengadopsi Pemantauan Ancaman Manusia
Mencari ancaman secara aktif di sistem Anda adalah salah satu cara paling efektif untuk mendeteksi dan menahan serangan tiket emas. Serangan ini bersifat non-invasif dan berjalan di latar belakang, jadi Anda mungkin tidak mengetahui adanya pelanggaran karena semuanya mungkin terlihat normal di permukaan.
Keberhasilan serangan tiket emas terletak pada kemampuan penjahat untuk bertindak seperti pengguna resmi, memanfaatkan hak akses mereka. Ini berarti perangkat pemantau ancaman otomatis mungkin tidak mendeteksi aktivitasnya karena tidak biasa. Anda memerlukan keterampilan pemantauan ancaman manusia untuk mendeteksinya. Dan itu karena manusia memiliki indra keenam untuk mengidentifikasi aktivitas yang mencurigakan bahkan ketika penyusup mengaku sah.
Amankan Kredensial Sensitif Terhadap Serangan Tiket Emas
Penjahat dunia maya tidak akan memiliki akses tak terbatas ke akun Anda dalam serangan tiket emas tanpa penyimpangan dari pihak Anda. Sebanyak kerentanan tak terduga muncul, Anda dapat menerapkan langkah-langkah untuk menguranginya sebelumnya.
Mengamankan kredensial penting Anda, terutama hash kata sandi akun KRBTGT Anda, membuat penyusup memiliki opsi yang sangat terbatas untuk meretas akun Anda. Anda memiliki kendali atas jaringan Anda secara default. Penyerang mengandalkan kelalaian keamanan Anda untuk berkembang. Jangan beri mereka kesempatan.