jueves, 16 de abril de 2020

¿Es posible protegerse por completo del robo de credenciales?

¿Es posible protegerse por completo del robo de credenciales?

Más que nunca, nuestros datos están en riesgo. Un cibercriminal tan sólo necesita de tus credenciales para apropiarse de todo lo que contenga tu ordenador. El robo de credenciales es uno de los ataques más eficaces y que más secuelas deja tanto en redes pequeñas, medianas como las más grandes. En esta guía te explicamos el esquema de funcionamiento y qué acciones se pueden tomar para prevenirlas en la mayoría de los casos.


¿Qué es el robo de credenciales?



El robo de credenciales es considerado como una de las técnicas modernas de hacking. Consiste en la extracción de las credenciales de autenticación de uno o más usuarios. Los mismos incluyen a los usuarios y contraseñas que se utilizan para ingresar a los ordenadores de las víctimas. Una vez que el cibercriminal se apropia esas credenciales, tendrá posibilidad de acceder al contenido de los ordenadores comprometidos, por lo que podrá hacer esto las veces que quiera.

No sólo podrá contar con los archivos y datos varios propios de los ordenadores de las víctimas, también podrá comunicarse con los demás para poder realizar el mismo o distintos tipos de ataques. El robo de credenciales es muy flexible con el cibercriminal, debido a que podría apropiarse de múltiples usuarios y contraseñas que se encuentren almacenados en un sólo ordenador. A su vez, cada una de esas credenciales proveerá acceso a otros ordenadores de la misma red y que éste, contenga también varias credenciales de las cuales se puede apropiar.

Tal y como habrás notado, es un ataque que puede dejar grandes secuelas en una red. En unos pocos minutos, una red en su totalidad puede verse comprometida. En consecuencia, todos los datos que se encuentran en cada uno de los ordenadores conectados se encuentran expuestos. Toda esta catástrofe se puede dar, tan sólo gracias a que una persona logre abrir un correo electrónico «legítimo», pero que en realidad sea phishing.

Ten presente que esto último puede parecer un ataque inocente, sin embargo, es la puerta de entrada que da lugar a ataques más severos como el ransomware. Incluso, una variante del phishing que se denomina Spear Phishing consiste en la distribución de correos electrónicos maliciosos a personas específicas dentro de una red, o bien, una organización. El contenido de estos mensajes puede generar confusiones con facilidad porque los cibercriminales se encargan de estudiar a las víctimas por completo.

El peligro de iniciar sesión una sola vez

El peligro de iniciar sesión una sola vez

Las redes corporativas son las principales víctimas del robo de credenciales. Más que nada porque la mayoría de estas, permiten que el usuario y la contraseña sea ingresada por la persona una sola vez. Las credenciales indicadas se almacenan en memoria y éstas permiten el acceso a buena parte de los recursos de la red. Incluso, es posible tener ya acceso a todo lo que se necesita para operar.

Robo de credenciales en acción

El cibercriminal tiene el semáforo en verde para llevar a cabo este tipo de ataques cuando tiene acceso a un ordenador al más bajo nivel. Por lo que podrá ejecutar código y ejecutar diversos conjuntos de instrucciones como el caso de la extracción de credenciales almacenadas en la memoria. Existen varias herramientas para este propósito como gsecdump, creddump y PWDDumpX.

Ahora bien, ¿de dónde puede extraer credenciales? Una de los objetivos de los cibercriminales está en Kerberos. Teóricamente, es uno de los protocolos más seguros ya que fue diseñado específicamente para la autenticación segura. Lo hace mediante un sistema de tickets que provee permisos tanto a los usuarios como los servicios. Sin embargo, el robo de credenciales vulnera sus capacidades mediante la inyección de tickets Kerberos robados para así ganar acceso legítimo.


Otro objetivo muy común y conocido es la SAM (Security Accounts Manager). En español, significa Gestión de Cuentas de Seguridad. Consiste en un archivo que funciona como una base de datos. Este se utiliza para autenticar usuarios tanto de manera local como remota. Dicha autenticación es posible mediante el cruce de las credenciales ingresadas por la persona con lo que existe en el archivo SAM.

El gran problema de SAM es que, si se logra contar con ese archivo «maestro», las credenciales se pueden descifrar. Por lo que en muy poco tiempo se pueden contar con cientos de miles de usuarios y contraseñas que permitirán comprometer a sus correspondientes ordenadores y servicios asociados.

Robo de credenciales de un controlador de dominio de una red

  • NTDS. Este es el dominio en donde el servicio de Active Directory almacena toda la información relacionada a los usuarios que pertenecen al dominio, con el objetivo de verificar las credenciales: usuario y contraseña.
  • Group Policy Preference files. Es una herramienta propia del sistema operativo Windows. Permite implementar políticas de dominio que incluyan a las credenciales, facilitando su administración. Dichas políticas acostumbran a almacenarse en un lugar denominada SYSVOL. Si alguna persona con intenciones maliciosas tiene acceso a la misma, puede acceder y descifrar el contenido.
Ahora bien, existen controladores de dominio que soportan las llamadas a las API. Los cibercriminales utilizan una técnica denominada DCSync, la cual imita las características y funcionalidades de este tipo de controlador de dominio. Así, logra que el controlador original envíe los hashes correspondientes a las credenciales y así, realizar los ataques que tenga pensado.

Cómo prevenir el robo de credenciales

Profesionales del sector están de acuerdo de que evitar este tipo de ataques parece prácticamente imposible. Sin embargo, una acción que se recomienda y reduce al mínimo las posibilidades de ataque es que no se generen tantos usuarios con privilegios de administrador. Es decir, solamente deben existir los necesarios.

Así también, se recomienda la adopción masiva de la autenticación multi-factor. De esta manera, es más fácil y eficaz garantizar que quien está iniciando sesión sea realmente el usuario, y que no se trate de un usuario malicioso. Este tipo de implementación también ayuda a los usuarios a ganar conciencia respecto a la importancia de gestionar adecuadamente las credenciales, y lo más importante: que no deben compartirlas con otras personas.

Por otro lado, Cisco Blogs recomienda las siguientes acciones:
  • Monitorización de acceso a servicios como LSASS (Local Security Authority Subsystem Service) y bases de datos como SAM (Security Accounts Manager).
  • Echar un vistazo a líneas de comandos que corresponden a argumentos que son propio del robo de credenciales.
  • Para el caso de los controladores de dominio:
    • Se deben monitorizar todos los logs en búsqueda de actividades sospechosas en horarios poco usuales.
    • Verificar si existen conexiones inesperadas que provengan de direcciones IP que no están asignadas a alguno de los controladores de dominio.
El robo de credenciales es uno de los ataques más peligrosos, sin duda. De todas formas, es posible prevenirla en gran medida ya desde el nivel más esencial. Es decir, el usuario final. Tomemos en cuenta estas recomendaciones y protejamos lo que más nos importa en todo momento: nuestros datos.







Fuente: Redeszone.net

No hay comentarios:

Publicar un comentario