Từ Ngữ Hacker: Credential Dumping Là Gì?

Mặc dù ngành công nghiệp an ninh mạng thường nói về việc ngăn chặn “xâm nhập,” mạng máy tính ở một số cách ít giống một lâu đài hơn và nhiều giống một cơ thể con người hơn. Và những hacker tài năng giống như vi khuẩn: họ thường xâm nhập qua một lỗ hoặc lỗ nào khác. Khi đã bên trong, điều quan trọng là liệu họ có thể phát triển và nhân bản nhiễm trùng của mình—và những cơ quan cần thiết mà họ có thể tiếp cận—điều này quyết định xem kết quả là một cơn hắt hơi hay một cuộc chiếm đóng toàn diện.

Trong nhiều hoạt động hacker hiện đại, sự khác biệt đến từ một kỹ thuật được biết đến là “credential dumping.” Thuật ngữ này ám chỉ bất kỳ phương tiện nào để rút, hoặc “dumping,” thông tin xác thực người dùng như tên người dùng và mật khẩu từ máy tính của nạn nhân, để chúng có thể được sử dụng để tái nhập máy tính đó bất cứ khi nào và tiếp cận các máy tính khác trên mạng. Thường xuyên, credential dumping thu thập nhiều mật khẩu từ một máy tính duy nhất, mỗi cái có thể mang lại hacker quyền truy cập vào các máy tính khác trên mạng, chúng trong quay chứa mật khẩu riêng của chúng có thể được rút ra, biến một bước nhảy duy nhất thành một chuỗi xâm nhập kết nối. Và điều này đã làm cho kỹ thuật này ít nhất cũng quan trọng với công việc của hacker—và nguy hiểm đối với các mạng nhạy cảm—như bất kỳ email lừa đảo hoặc tệp đính kèm nhiễm trùng nào đã để hacker tìm thấy cổng vào mạng ban đầu.

Credential dumping chủ yếu có thể thực hiện được bởi vì các hệ điều hành đã lâu đã cố gắng giữ cho người dùng không phải liên tục nhập mật khẩu của họ. Thay vào đó, sau khi người dùng được yêu cầu nhập mật khẩu một lần, mật khẩu của họ được lưu trữ trong bộ nhớ, nơi mà nó có thể được gọi lên bởi hệ điều hành để mượt mà chứng minh danh tính của người dùng đến các dịch vụ khác trên mạng.

Tuy nhiên, kết quả là một khi một hacker đã có khả năng chạy mã trên máy tính của nạn nhân, anh ta thường có thể khai thác mật khẩu của người dùng từ bộ nhớ máy tính, cùng với bất kỳ mật khẩu nào của người dùng khác có thể lưu trữ ở đó. Trong những trường hợp khác, hacker có thể đánh cắp một tệp từ đĩa máy tính được gọi là Quản trị viên Tài khoản Bảo mật, hoặc SAM, chứa một danh sách các mật khẩu đã được băm của mạng. Nếu mật khẩu quá đơn giản hoặc nếu quá trình băm yếu, chúng thường có thể được giải mã một cách dễ dàng.

Amit Serper, một nhà nghiên cứu cho công ty an ninh Cybereason và một hacker tình báo Israel trước đây, so sánh credential dumping với một tên trộm ngấm qua cửa sổ mở, nhưng một khi đã bên trong, anh ta lại tìm thấy một chiếc chìa khóa dự phòng cho ngôi nhà của nạn nhân—cùng với chìa khóa cho chiếc xe và văn phòng của nạn nhân. “Bạn đã vào lần đó, nhưng nếu bạn muốn quay lại, bạn phải có chìa khóa cho ngôi nhà,” Serper nói. "Một khi bạn có những chiếc chìa khóa đó, bạn có thể làm bất cứ điều gì bạn muốn.”

Trong một số trường hợp, Serper cho biết, anh ấy đã thấy những hacker can thiệp vào cài đặt trên máy tính để làm nản chí người dùng cho đến khi họ gọi hỗ trợ kỹ thuật, điều này dẫn đến một quản trị viên đăng nhập vào máy của họ. Hacker sau đó có thể đánh cắp những thông tin xác thực quản trị nhiều giá trị hơn từ bộ nhớ và sử dụng chúng để gây rối nơi khác trên mạng.

Credential dumping đóng vai trò quan trọng đối với các hoạt động hacker hiện đại, Serper nói, anh ấy thấy trong các phân tích của các mạng nạn nhân rằng nó thường xuyên xuất hiện ngay cả trước những bước cơ bản khác mà hacker thực hiện sau khi đã tiếp cận một máy tính duy nhất, như cài đặt malware bền vững sẽ tồn tại nếu người dùng khởi động lại máy. “Trong mọi cuộc xâm nhập lớn bạn đang nhìn vào ngày nay, thông tin đăng nhập đang bị rò rỉ,” Serper nói. “Đó là điều đầu tiên xảy ra. Họ chỉ cần vào, sau đó họ rò rỉ mật khẩu.”

Cho đến nay, công cụ phổ biến nhất để rò rỉ thông tin đăng nhập được tạo ra vào năm 2012 bởi một nhà nghiên cứu an ninh người Pháp tên là Benjamin Delpy và được biết đến với tên gọi là Mimikatz. Delpy, người làm việc cho một cơ quan chính phủ Pháp, viết nó để cải thiện kỹ năng lập trình C++ của mình và cũng làm một minh họa cho điều anh ấy nhìn thấy như là một sự bất cẩn về an ninh trong Windows mà anh ấy muốn chứng minh cho Microsoft.

Kể từ đó, Mimikatz đã trở thành công cụ rò rỉ thông tin đăng nhập số một cho bất kỳ hacker nào mong muốn mở rộng quyền truy cập trên mạng. Dmitri Alperovitch, giám đốc công nghệ của công ty an ninh Crowdstrike, gọi nó là “AK-47 của an ninh mạng." Một số hacker tinh vi cũng xây dựng các công cụ rò rỉ thông tin đăng nhập riêng của họ. Thường xuyên họ sửa đổi hoặc tùy chỉnh Mimikatz, đó là điều đã xảy ra với những hacker Trung Quốc có vẻ đã tiết lộ tháng trước khi họ nhắm tới ít nhất 10 nhà cung cấp điện thoại toàn cầu trong một chiến dịch gián điệp.

Ngoài ra, ngoại trừ loại gián điệp đó, rò rỉ thông tin đăng nhập đã trở thành một công cụ chính cho những hacker muốn lan truyền nhiễm trùng của họ đến toàn bộ mạng với mục tiêu phá hủy hoặc giữ nhưng máy tính càng nhiều càng tốt. Mimikatz, ví dụ, đã phục vụ như một thành phần trong một loạt các sự cố làm tê liệt, từ cuộc tấn công ransomware LockerGoga vào công ty nhôm Norsk Hydro đến con giun NotPetya, một phần của phần mềm độc hại phá hủy được phát hành bởi hacker nhà nước Nga trở thành cuộc tấn công mạng tốn kém nhất trong lịch sử. "Mọi khi chúng ta nghe tin trên báo rằng ransomware đã làm tê liệt một tổ chức toàn bộ, đó là điều đã xảy ra," nói Rob Graham, người sáng lập Errata Security. "Đây là cách nó lan truyền qua toàn bộ miền: Nó nhận thông tin đăng nhập và sử dụng cơ chế này để lan truyền từ một máy tính sang máy tính khác."

Nguy hiểm của việc rò rỉ thông tin đăng nhập, Graham cảnh báo, là nó có thể biến ngay cả một máy tính bị quên với lỗ hổng chưa được vá thành loại thảm họa trên mạng. "Không phải những hệ thống mà mọi người biết đến mà bạn cần phải lo lắng, những hệ thống đó đã được vá. Đó là những hệ thống bạn không biết đến," ông nói. "Một điểm chân trên những hệ thống không quan trọng này có thể lan truyền đến phần còn lại của mạng của bạn."

Trong khi việc ngăn chặn hacker từ việc bao giờ cũng chiếm đóng một điểm chân là một công việc không thể, Graham nói rằng người quản trị hệ thống nên giới hạn cẩn thận số lượng người dùng có đặc quyền quản trị để ngăn chặn hacker truy cập vào thông tin đăng nhập mạnh mẽ. Quản trị viên nên cẩn trọng khi đăng nhập vào các máy tính mà họ nghi ngờ có thể bị hacker chiếm đóng. Và Amit Serper của Cybereason lưu ý rằng xác thực hai yếu tố có thể giúp ích, giới hạn việc sử dụng mật khẩu bị đánh cắp vì bất kỳ ai cố gắng sử dụng chúng sẽ cần yếu tố xác thực thứ hai, như một mã một lần hoặc một Yubikey.

"Có yếu tố thứ hai là cách tốt nhất để chống lại rò rỉ thông tin đăng nhập," Serper nói. "Làm thế nào khác bạn có thể bảo vệ bản thân nếu ai đó có chìa khóa chính của ngôi nhà bạn?"

• Apollo 11: Nhiệm vụ (không kiểm soát)
• Cách đơn giản Apple và Google để kẻ quấy rối theo dõi nạn nhân
• Thông báo đang làm chúng ta căng thẳng. Chúng ta đã điều này như thế nào?
• Giấc mơ du lịch của một bé trai để thấy các thiết bị xây dựng
• Làm cách nào chín người xây dựng một đế chế Airbnb bất hợp pháp 5 triệu đô la
• 🏃🏽‍♀️ Muốn có những công cụ tốt nhất để trở nên khỏe mạnh? Kiểm tra lựa chọn của đội Gear của chúng tôi cho các bộ theo dõi tình trạng sức khỏe tốt nhất, đồ chạy bộ (bao gồm giày dép và tất), và tai nghe tốt nhất.
• 📩 Nhận thêm những thông tin nội bộ của chúng tôi với bản tin hàng tuần Backchannel của chúng tôi