Honeyhashes e honeytickets : detecção de ataques pass-the-hash e pass-the-ticket em redes de domínio active directory do Windows
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2016. === Submitted by Fernanda Percia França (fernandafranca@bce.unb.br) on 2017-02-13T18:28:53Z No. of bitstreams: 1 2016_FábioLuizdaRochaMoraes.pdf: 24179168 bytes, checksum: 2ae20c3e76...
Main Author: | |
---|---|
Other Authors: | |
Language: | Portuguese |
Published: |
2017
|
Subjects: | |
Online Access: | http://repositorio.unb.br/handle/10482/22807 |
id |
ndltd-IBICT-oai-repositorio.unb.br-10482-22807 |
---|---|
record_format |
oai_dc |
collection |
NDLTD |
language |
Portuguese |
sources |
NDLTD |
topic |
Segurança em redes de computadores - arquitetura Redes de computadores Autenticidade |
spellingShingle |
Segurança em redes de computadores - arquitetura Redes de computadores Autenticidade Moraes, Fabio Luiz da Rocha Honeyhashes e honeytickets : detecção de ataques pass-the-hash e pass-the-ticket em redes de domínio active directory do Windows |
description |
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2016. === Submitted by Fernanda Percia França (fernandafranca@bce.unb.br) on 2017-02-13T18:28:53Z
No. of bitstreams: 1
2016_FábioLuizdaRochaMoraes.pdf: 24179168 bytes, checksum: 2ae20c3e7673e0d2e0b18006c464c371 (MD5) === Approved for entry into archive by Raquel Viana(raquelviana@bce.unb.br) on 2017-03-06T21:09:28Z (GMT) No. of bitstreams: 1
2016_FábioLuizdaRochaMoraes.pdf: 24179168 bytes, checksum: 2ae20c3e7673e0d2e0b18006c464c371 (MD5) === Made available in DSpace on 2017-03-06T21:09:28Z (GMT). No. of bitstreams: 1
2016_FábioLuizdaRochaMoraes.pdf: 24179168 bytes, checksum: 2ae20c3e7673e0d2e0b18006c464c371 (MD5) === O furto de credenciais é considerado ser uma peça em uma cadeia de eventos que englobam ataques a redes de computadores e sistemas operacionais, sendo a evasão de dados ou incidentes parte de um escopo maior no processo de verificação e resposta a incidentes. Apesar de ataques do tipo Passthe- Hash serem conhecidos no ambiente de Redes Windows há algum tempo, a detecção desses tipos de técnicas ainda constitui um desafio em ambientes onde o processo de autenticação conta com sistemas distribuídos em redes heterogêneas e amplas. De forma a auxiliar no combate e detalhamento deste tipo de problema de segurança em redes, este trabalho estudou as medidas protetivas contra esses ataques e três linhas de detecção. As linhas de detecção foram classificadas em detecção de eventos, detecção de anomalias e detecção de honeytokens. São propostos três elementos que podem auxiliar no confronto ao problema. O primeiro elemento é uma Kill Chain para ataques Pass-the-Hash e Pass-the-Ticket que visa mostrar e explicar a anatomia desses ataques. O segundo é uma classificação para as abordagens de tratamento desses ataques como medida para organizar as diferentes formas como o problema é encarado. O último trata-se de uma arquitetura para servir de base para a implementação de uma ferramenta de detecção. Esse terceiro componente possui fim de ajudar no processo de detecção de intrusão em redes com as características mencionadas. === Credential theft is considered to be a piece in a chain of events that cover attacks to computer networks and operating systems, being data leaks or incidents part of a bigger scope in the process of verification and response to incidents. In spite of Pass-the-Hash and Pass-the-Ticket attacks are long known in the Windows Network environment, the detection of such techniques still constitutes a challenge in environments where the authentication process counts with distributed systems in wide and heterogeneous networks. In order to aid the combating and detailing with this kind of network security problem, this work studied the protective measures against these attacks and three lines of detection. The lines of detection were classified in event detection, anomaly detection and honeytoken detection. Three elements that can help in the confrontation to this matter were proposed. The first element is a Kill Chain for Pass-the-Hash and Pass-the-Ticket attacks, that aims to show and explain the anatomy of these attacks. The second is a classification to the approaches in dealing with the issue as a mean to organize the different ways the problem is treated. The last is about an architecture to serve as a base for the implementation of a detection tool. This third component has an end to help the process of intrusion detection in networks with the mentioned characteristics. |
author2 |
Albuquerque, Robson de Oliveira |
author_facet |
Albuquerque, Robson de Oliveira Moraes, Fabio Luiz da Rocha |
author |
Moraes, Fabio Luiz da Rocha |
author_sort |
Moraes, Fabio Luiz da Rocha |
title |
Honeyhashes e honeytickets : detecção de ataques pass-the-hash e pass-the-ticket em redes de domínio active directory do Windows |
title_short |
Honeyhashes e honeytickets : detecção de ataques pass-the-hash e pass-the-ticket em redes de domínio active directory do Windows |
title_full |
Honeyhashes e honeytickets : detecção de ataques pass-the-hash e pass-the-ticket em redes de domínio active directory do Windows |
title_fullStr |
Honeyhashes e honeytickets : detecção de ataques pass-the-hash e pass-the-ticket em redes de domínio active directory do Windows |
title_full_unstemmed |
Honeyhashes e honeytickets : detecção de ataques pass-the-hash e pass-the-ticket em redes de domínio active directory do Windows |
title_sort |
honeyhashes e honeytickets : detecção de ataques pass-the-hash e pass-the-ticket em redes de domínio active directory do windows |
publishDate |
2017 |
url |
http://repositorio.unb.br/handle/10482/22807 |
work_keys_str_mv |
AT moraesfabioluizdarocha honeyhashesehoneyticketsdeteccaodeataquespassthehashepasstheticketemredesdedominioactivedirectorydowindows AT moraesfabioluizdarocha honyehasheshoneyticketsdetectingpassthehashandpasstheticketattacksinwindowsactivedirectorydomainnetworks |
_version_ |
1718740711479705600 |
spelling |
ndltd-IBICT-oai-repositorio.unb.br-10482-228072018-09-23T06:26:21Z Honeyhashes e honeytickets : detecção de ataques pass-the-hash e pass-the-ticket em redes de domínio active directory do Windows Honyehashes & honeytickets : detecting pass-the-hash and pass-theticket attacks in Windows active directory domain networks Moraes, Fabio Luiz da Rocha Albuquerque, Robson de Oliveira Deus, Flávio Elias Gomes de Segurança em redes de computadores - arquitetura Redes de computadores Autenticidade Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2016. Submitted by Fernanda Percia França (fernandafranca@bce.unb.br) on 2017-02-13T18:28:53Z No. of bitstreams: 1 2016_FábioLuizdaRochaMoraes.pdf: 24179168 bytes, checksum: 2ae20c3e7673e0d2e0b18006c464c371 (MD5) Approved for entry into archive by Raquel Viana(raquelviana@bce.unb.br) on 2017-03-06T21:09:28Z (GMT) No. of bitstreams: 1 2016_FábioLuizdaRochaMoraes.pdf: 24179168 bytes, checksum: 2ae20c3e7673e0d2e0b18006c464c371 (MD5) Made available in DSpace on 2017-03-06T21:09:28Z (GMT). No. of bitstreams: 1 2016_FábioLuizdaRochaMoraes.pdf: 24179168 bytes, checksum: 2ae20c3e7673e0d2e0b18006c464c371 (MD5) O furto de credenciais é considerado ser uma peça em uma cadeia de eventos que englobam ataques a redes de computadores e sistemas operacionais, sendo a evasão de dados ou incidentes parte de um escopo maior no processo de verificação e resposta a incidentes. Apesar de ataques do tipo Passthe- Hash serem conhecidos no ambiente de Redes Windows há algum tempo, a detecção desses tipos de técnicas ainda constitui um desafio em ambientes onde o processo de autenticação conta com sistemas distribuídos em redes heterogêneas e amplas. De forma a auxiliar no combate e detalhamento deste tipo de problema de segurança em redes, este trabalho estudou as medidas protetivas contra esses ataques e três linhas de detecção. As linhas de detecção foram classificadas em detecção de eventos, detecção de anomalias e detecção de honeytokens. São propostos três elementos que podem auxiliar no confronto ao problema. O primeiro elemento é uma Kill Chain para ataques Pass-the-Hash e Pass-the-Ticket que visa mostrar e explicar a anatomia desses ataques. O segundo é uma classificação para as abordagens de tratamento desses ataques como medida para organizar as diferentes formas como o problema é encarado. O último trata-se de uma arquitetura para servir de base para a implementação de uma ferramenta de detecção. Esse terceiro componente possui fim de ajudar no processo de detecção de intrusão em redes com as características mencionadas. Credential theft is considered to be a piece in a chain of events that cover attacks to computer networks and operating systems, being data leaks or incidents part of a bigger scope in the process of verification and response to incidents. In spite of Pass-the-Hash and Pass-the-Ticket attacks are long known in the Windows Network environment, the detection of such techniques still constitutes a challenge in environments where the authentication process counts with distributed systems in wide and heterogeneous networks. In order to aid the combating and detailing with this kind of network security problem, this work studied the protective measures against these attacks and three lines of detection. The lines of detection were classified in event detection, anomaly detection and honeytoken detection. Three elements that can help in the confrontation to this matter were proposed. The first element is a Kill Chain for Pass-the-Hash and Pass-the-Ticket attacks, that aims to show and explain the anatomy of these attacks. The second is a classification to the approaches in dealing with the issue as a mean to organize the different ways the problem is treated. The last is about an architecture to serve as a base for the implementation of a detection tool. This third component has an end to help the process of intrusion detection in networks with the mentioned characteristics. 2017-03-06T21:09:28Z 2017-03-06T21:09:28Z 2017-03-06T21:09:28Z 2016-12-16 info:eu-repo/semantics/publishedVersion info:eu-repo/semantics/masterThesis MORAES, Fabio Luiz da Rocha. Honeyhashes e honeytickets: detecção de ataques pass-the-hash e pass-the-ticket em redes de domínio active directory do Windows. 2016. xxiii, 86 f., il. Dissertação (Mestrado em Engenharia Elétrica)—Universidade de Brasília, Brasília, 2016. http://repositorio.unb.br/handle/10482/22807 por A concessão da licença deste item refere-se ao termo de autorização impresso assinado pelo autor com as seguintes condições: Na qualidade de titular dos direitos de autor da publicação, autorizo a Universidade de Brasília e o IBICT a disponibilizar por meio dos sites www.bce.unb.br, www.ibict.br, http://hercules.vtls.com/cgi-bin/ndltd/chameleon?lng=pt&skin=ndltd sem ressarcimento dos direitos autorais, de acordo com a Lei nº 9610/98, o texto integral da obra disponibilizada, conforme permissões assinaladas, para fins de leitura, impressão e/ou download, a título de divulgação da produção científica brasileira, a partir desta data. info:eu-repo/semantics/openAccess reponame:Repositório Institucional da UnB instname:Universidade de Brasília instacron:UNB |