Honeyhashes e honeytickets : detecção de ataques pass-the-hash e pass-the-ticket em redes de domínio active directory do Windows

Abstract

O furto de credenciais é considerado ser uma peça em uma cadeia de eventos que englobam ataques a redes de computadores e sistemas operacionais, sendo a evasão de dados ou incidentes parte de um escopo maior no processo de verificação e resposta a incidentes. Apesar de ataques do tipo Passthe- Hash serem conhecidos no ambiente de Redes Windows há algum tempo, a detecção desses tipos de técnicas ainda constitui um desafio em ambientes onde o processo de autenticação conta com sistemas distribuídos em redes heterogêneas e amplas. De forma a auxiliar no combate e detalhamento deste tipo de problema de segurança em redes, este trabalho estudou as medidas protetivas contra esses ataques e três linhas de detecção. As linhas de detecção foram classificadas em detecção de eventos, detecção de anomalias e detecção de honeytokens. São propostos três elementos que podem auxiliar no confronto ao problema. O primeiro elemento é uma Kill Chain para ataques Pass-the-Hash e Pass-the-Ticket que visa mostrar e explicar a anatomia desses ataques. O segundo é uma classificação para as abordagens de tratamento desses ataques como medida para organizar as diferentes formas como o problema é encarado. O último trata-se de uma arquitetura para servir de base para a implementação de uma ferramenta de detecção. Esse terceiro componente possui fim de ajudar no processo de detecção de intrusão em redes com as características mencionadas.