Qual e a técnica comum usada por criminosos para roubar credenciais ou comprometer computadores?

Na maioria das vezes, as ameaças da segurança cibernética não empregam técnicas e ferramentas avançadas para se intrometer e estabelecer uma posição nas redes. Frequentemente, eles disfarçam operações maliciosas imitando as atividades de usuários legítimos, deixando pouca ou nenhum traço.

Combinar ações maliciosas com atividades do dia a dia ajuda os invasores a se manterem discretos e não serem detectados por um período mais longo. Por exemplo, qual é a maneira mais rápida e comum de acessar um computador? Fazendo login. Por mais óbvio que isso possa parecer, é importante notar o motivo por trás de roubar e usar credenciais legítimas para obter acesso e como isso é uma técnica amplamente usada para comprometer servidores e navegar sob o radar.

Formas diferentes de ameaçar agentes e roubar credenciais dos servidores

Além da força bruta típica, phishing ou ataques por cima do ombro (olhar por cima do ombro de um usuário digitando uma senha), existem outras maneiras de roubar credenciais. Por exemplo, os invasores podem roubar ou descartar credenciais dos locais em que estão armazenadas.

Vamos dar uma olhada em algumas das técnicas que os invasores usam:

Roubando credenciais de LSASS:  Essa tática relativamente antiga aproveita uma falha no LSASS (Local Security Authority Subsystem Service) em sistemas Windows. O LSASS armazena credenciais para que os usuários não tenham que fazer login repetidamente toda vez que quiserem acessar algum recurso. Um invasor pode roubar essas credenciais de texto simples da memória seguindo estas três etapas:

1. Criação de um despejo de memória a partir do processo LSASS

2. Copiar e filtrar o despejo de memória por meio de uma unidade USB ou carregá-lo em uma unidade na nuvem.

3. Usando ferramentas gratuitas de despejo de credenciais (como Mimikatz) para despejar credenciais da memória

Também existe um protocolo legado, WDDigest, que é usado para autenticar usuários no Windows. Mas quando a chave de registro abaixo é habilitada, o LSASS mantém uma cópia de texto simples da senha do usuário conectado em sua memória.

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest must be set to ‘1’ ].

Os invasores geralmente modificam a chave de registro acima para permitir o armazenamento de senhas de texto não criptografado prontas para uso no LSASS.

Você pode evitar tais ataques ao LSASS executando-o como um processo protegido.

Para ativar o LSASS no modo protegido, a chave de registro precisa ser atualizada para 1:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL

Depois de habilitar o modo protegido, todas as tentativas de extração de credencial no LSASS serão malsucedidas.

No entanto, como mencionamos anteriormente, as credenciais são armazenadas em áreas diferentes em um sistema Windows, o que significa mais oportunidades para um invasor.

Roubando credenciais do cache de domínio

O Windows também armazena as informações de logon dos usuários localmente para que eles possam fazer logon no sistema mesmo se o servidor de autenticação estiver inacessível. Isso é conhecido como Domain Cache Credential (DCC), MSCACHE ou MSCASH hash. Por padrão, os últimos 10 hashes de usuários são armazenados no registro do Windows.

Eles podem ser extraídos de arquivos específicos armazenados no registro. Os invasores podem roubá-los e depois extraí-los para obter senhas em texto simples.

Banco de dados de domínio do Active Directory

Ao roubar o arquivo NTDS.dit, o banco de dados do Active Directory, um invasor pode extrair uma cópia do hash de senha de cada usuário e pode agir como qualquer usuário no domínio. Porém, como o arquivo NTDS.dit está sempre em uso, ele não pode ser copiado ou movido. Portanto, os invasores recorrem ao método de cópia de sombra (Volume Shadow Copy VSS) para roubar o conteúdo do arquivo. 

Extração de senhas da área de transferência

No cenário ideal, onde você protegeu todos os servidores de tentativas de despejo de credenciais, os criminosos utilizam a área de transferência para extrair senhas, porque há uma boa chance de que seus usuários tenham copiado nomes de usuário e senhas de um local seguro (como um cofre de senha) para insira-os em uma tela de login.

Gravando pressionamentos de tecla para extrair credenciais

Os invasores frequentemente posicionam os keyloggers estrategicamente nos scripts de logon das políticas de grupo ou no registro. Eles podem até criar uma tarefa agendada para registrar os pressionamentos de tecla e extrair informações inseridas por seus usuários. Além de credenciais, este keylogger também pode capturar informações de identificação pessoal (PII), como informações de cartão de crédito, senhas, números de previdência social e muito mais.

Ataques de roubo de credenciais são mais rápidos e mais devastadores em comparação com outros, porque uma vez que os agentes podem roubar as credenciais dos usuários em seu domínio, eles podem efetivamente representar qualquer usuário, mesmo seus usuários privilegiados.

Existem vários locais que devem ser monitorados em todos os seus endpoints para detectar tentativas de roubo de credenciais. Por exemplo, os sistemas Windows também armazenam credenciais criptografadas para navegadores populares como o Google Chrome no caminho –AppData\Local\Google\Chrome\User Data\Default\Login Data. Ferramentas de código aberto gratuitas na Internet podem ser usadas para extrair credenciais confidenciais deste local.

Visite nossa página de segurança de TI para aprender mais sobre como se prevenir contra técnicas de ataque como as citadas. Através de uma solução abrangente, você consegue detectar e mitigar tentativas de despejo de credenciais em sua rede facilmente, protegendo seu domínio e seus usuários.

Confira o ManageEngine Log360 e proteja-se hoje mesmo!

Qual e a técnica comum usada por criminosos para roubar credenciais ou comprometer computadores?

Como funciona o phishing?

O que e phishing de um exemplo?

O que significa o termo phishing?