Il credential dumping è un tipo di attacco informatico in cui un computer viene violato e i nomi utente e le password vengono ottenuti dall'aggressore. Questo può essere dannoso se accade al tuo personal computer, ma può essere assolutamente devastante se un utente malintenzionato è in grado di eseguire il dumping delle credenziali su un computer che fa parte di una rete più ampia.
Questa tecnica di hacking viene implementata dopo che un computer è stato violato dall'aggressore. I nomi utente e le password sono estremamente preziosi per i criminali informatici e possono essere utilizzati per acquisire informazioni sensibili, nonché per ottenere l'accesso all'amministratore e ad altre credenziali di account privilegiati e ad altri computer su una rete.
Dopo aver ottenuto l'accesso a un computer, un hacker eseguirà il dumping delle credenziali ottenendo l'accesso alla cache delle password archiviate nella memoria del computer. Per comodità dell'utente, i sistemi operativi e i browser hanno la possibilità di salvare nomi utente e password e quindi inserire automaticamente le informazioni di accesso ai siti e ai programmi che frequenti. Sfortunatamente, questa comodità ha un costo e può rendere le tue informazioni più vulnerabili al furto e al dumping delle credenziali.
Mimikatz
Uno degli strumenti più comuni utilizzati per eseguire il credit dumping è Mimikatz. Questo pezzo di codice è stato creato da Benjamin Delphy nel 2007 per dimostrare un difetto nel sistema di sicurezza di Windows. Il suo codice ha avuto successo e ha convinto Windows a correggere il difetto e Mimikatz ha continuato a essere utilizzato per i test di penetrazione e sicurezza. Purtroppo, le buone intenzioni del codice Mimikatz sono state sfruttate ed è ora uno strumento popolare per gli hacker.
Come evitare il dumping delle credenziali
- Limita e monitora l'uso delle password di amministratore.
- Limita il riutilizzo delle credenziali.
- Implementa l'autenticazione a più fattori.
- Utilizza un gestore di password con una password complessa e non salvata.
- Implementa hash e crittografia forti.
- Monitorare NTLM, elenchi di controllo di accesso e lsass.exe.