Учетные записи, подверженные риску кражи учетных данных
В ходе атак для кражи учетных данных злоумышленник изначально получает доступ к компьютеру в сети с наивысшими привилегиями (root, администратор или SYSTEM, в зависимости от используемой операционной системы), а затем использует доступные средства для кражи учетных данных из сеансов других выполнивших вход учетных записей. В зависимости от конфигурации системы эти учетные данные могут быть получены в виде хэшей, билетов или даже незашифрованных паролей. Если какие-либо из собранных учетных данных предназначены для локальных учетных записей, которые, скорее всего, существуют на других компьютерах в сети (например, учетные записи администратора в Windows или корневых учетных записях в OSX, UNIX или Linux), злоумышленник предоставляет учетные данные другим компьютерам в сети для распространения компрометации на дополнительные компьютеры и пытается получить учетные данные двух конкретных типов учетных записей:
Привилегированные учетные записи домена с широкими и глубокими привилегиями (т. е. учетными записями, имеющими права администратора на многих компьютерах и в Active Directory). Эти учетные записи могут не быть членами любой из групп с высоким уровнем привилегий в Active Directory, но они, возможно, были предоставлены права администратора на многих серверах и рабочих станциях в домене или лесу, что делает их эффективными как члены привилегированных групп в Active Directory. В большинстве случаев учетные записи, которым предоставлен высокий уровень привилегий в широких полосах инфраструктуры Windows, являются учетными записями служб, поэтому учетные записи служб всегда должны оцениваться для широкого и глубокого уровня привилегий.
Учетные записи домена "Очень важный человек" (VIP). В контексте этого документа ip-адрес является любой учетной записью, которая имеет доступ к информации, которую злоумышленник хочет (интеллектуальная собственность и другая конфиденциальная информация), или любую учетную запись, которую можно использовать для предоставления злоумышленнику доступа к этой информации. Примеры этих учетных записей пользователей:
Руководители, чьи учетные записи имеют доступ к конфиденциальной корпоративной информации
Учетные записи сотрудников службы технической поддержки, ответственных за обслуживание компьютеров и приложений, используемых руководителями
Учетные записи юридических сотрудников, имеющих доступ к документам о ставке и контракте организации, независимо от того, являются ли документы для собственной организации или клиентских организаций.
Планировщики продуктов, имеющие доступ к планам и спецификациям продуктов в конвейере разработки компании, независимо от типов продуктов, которые компания делает
Исследователи, учетные записи которых используются для доступа к данным исследования, формулировкам продуктов или другим исследованиям, интересующим злоумышленника
Так как учетные записи с высоким уровнем привилегий в Active Directory можно использовать для распространения компрометации и управления виртуальными IP-адресами или доступом к данным, наиболее полезными учетными записями для атак кражи учетных данных являются учетные записи, которые являются членами групп администраторов предприятия, администраторов домена и администраторов в Active Directory.
Так как контроллеры домена являются репозиториями для базы данных AD DS и контроллеров домена имеют полный доступ ко всем данным в Active Directory, контроллеры домена также предназначены для компрометации, будь то параллельно с атаками кражи учетных данных, или после того, как одна или несколько учетных записей Active Directory с высоким уровнем привилегий были скомпрометированы. Несмотря на то, что многочисленные публикации (и многие злоумышленники) сосредоточены на членстве в группах администраторов домена при описании атак сквозного хэша и других атак на кражу учетных данных (как описано в разделе "Уменьшение поверхности атаки Active Directory"), учетная запись, которая является членом любой из перечисленных здесь групп, можно использовать для компрометации всей установки AD DS.
Примечание.
Подробные сведения о атаках с использованием хэша и других атак на кражу учетных данных см . в статье "Устранение атак с использованием хэш-хэша " (PTH) и других методов кражи учетных данных, перечисленных в приложении M: Ссылки на документы и рекомендуемое чтение. Дополнительные сведения о атаках с помощью определенных злоумышленников, которые иногда называются "расширенными постоянными угрозами" (APTs), см. в разделе "Определяемые злоумышленники и целевые атаки".
Действия, повышающие вероятность компрометации
Так как целевой объект кражи учетных данных обычно является высоко привилегированными учетными записями домена и виртуальными IP-адресами, важно учитывать действия, которые повышают вероятность успешного кражи учетных данных. Хотя злоумышленники также выбирают мишенью высшее руководство, если у руководителей нет высоких привилегий в системе или домене, кража учетных данных требует других типов атак, например социальный инжиниринг. Или злоумышленник должен сначала получить привилегированный доступ к системе, в которой кэшируются учетные данные ВИРТУАЛЬНЫх IP-адресов. Из-за этого действия, которые повышают вероятность кражи учетных данных, описанных здесь, сосредоточены в первую очередь на предотвращении приобретения высоко привилегированных административных учетных данных. Эти действия являются общими механизмами, с помощью которых злоумышленники могут компрометировать системы для получения привилегированных учетных данных.
Вход на незащищенные компьютеры с привилегированными учетными записями
Главная причина успеха атак для кражи учетных данных — вход на незащищенные компьютеры учетными записями, которые имеют большие привилегии в окружении. Эти входы могут быть результатом различных неправильных конфигураций, описанных здесь.
Отсутствие отдельных административных учетных данных
Хотя это относительно редко, при оценке различных установок AD DS, мы обнаружили, что ИТ-сотрудники используют одну учетную запись для всей своей работы. Учетная запись является членом по крайней мере одной из самых привилегированных групп в Active Directory и является той же учетной записью, которую сотрудники используют для входа на рабочие станции утром, проверки электронной почты, просмотра сайтов Интернета и скачивания содержимого на свои компьютеры. Когда пользователи выполняются с учетными записями, которым предоставлены права и разрешения локального администратора, они предоставляют локальный компьютер для полного компрометации. Если эти учетные записи также являются членами наиболее привилегированных групп в Active Directory, они предоставляют весь лес для компрометации, что делает его тривиально простым для злоумышленника, чтобы получить полный контроль над средой Active Directory и Windows.
Аналогичным образом, в некоторых средах мы обнаружили, что те же имена пользователей и пароли используются для корневых учетных записей на компьютерах, отличных от Windows, которые используются в среде Windows, что позволяет злоумышленникам распространять компрометацию из систем UNIX или Linux в системы Windows и наоборот.
Вход в скомпрометированные рабочие станции или серверы-члены с привилегированными учетными записями
Если учетная запись домена с высоким уровнем привилегий используется для интерактивного входа на скомпрометированную рабочую станцию или сервер-член, то скомпрометированный компьютер может собирать учетные данные из любой учетной записи, которая входит в систему.
Незащищенные административные рабочие станции
Во многих организациях ИТ-специалисты используют несколько учетных записей. Одна учетная запись используется для входа на рабочую станцию сотрудника, и так как это ИТ-сотрудники, они часто имеют права локального администратора на рабочих станциях. В некоторых случаях UAC включено, чтобы пользователь по крайней мере получил маркер разделенного доступа при входе в систему и должен повысить уровень, если требуются привилегии. Когда эти пользователи выполняют действия по обслуживанию, они обычно используют локально установленные средства управления и предоставляют учетные данные для учетных записей, привилегированных к домену, выбрав параметр "Запуск от имени администратора" или указав учетные данные при появлении запроса. Хотя эта конфигурация может показаться подходящей, она предоставляет среду для компрометации, так как:
- Учетная запись обычного пользователя, которую сотрудник использует для входа на рабочую станцию, имеет права локального администратора, компьютер уязвим к атакам загрузки , в которых пользователь убежден установить вредоносные программы.
- Вредоносные программы устанавливаются в контексте учетной записи администратора, компьютер теперь можно использовать для записи нажатий клавиш, содержимого буфера обмена, снимков экрана и учетных данных резидента памяти, любой из которых может привести к воздействию учетных данных мощной учетной записи домена.
Проблемы в этом сценарии являются двумя способами. Во-первых, хотя отдельные учетные записи используются для локального администрирования домена, компьютер незащищен и не защищает учетные записи от кражи. Во-вторых, обычная учетная запись пользователя и учетная запись администратора были предоставлены чрезмерные права и разрешения.
Просмотр Интернета с помощью учетной записи с высоким уровнем привилегий
Пользователи, которые входят в систему на компьютерах с учетными записями, которые являются членами локальной группы администраторов на компьютере или членами привилегированных групп в Active Directory, а затем просматривают Интернет (или скомпрометированную интрасетю), предоставляют локальный компьютер и каталог для компрометации.
Доступ к вредоносному веб-сайту с браузером, работающим с правами администратора, может позволить злоумышленнику внести вредоносный код на локальный компьютер в контекст привилегированного пользователя. Если у пользователя есть права локального администратора на компьютере, злоумышленники могут обмануть пользователя в скачивании вредоносного кода или открытии вложений электронной почты, использующих уязвимости приложений, и использовать права пользователя для извлечения локальных кэшированных учетных данных для всех активных пользователей на компьютере. Если у пользователя есть права администратора в каталоге по членству в группах "Администраторы предприятия", "Администраторы домена" или "Администраторы" в Active Directory, злоумышленник может извлечь учетные данные домена и использовать их для компрометации всего домена или леса AD DS, не требуя компрометации любого другого компьютера в лесу.
Настройка локальных привилегированных учетных записей с одинаковыми учетными данными в системах
Настройка одного имени учетной записи локального администратора и пароля на многих или всех компьютерах позволяет использовать учетные данные, украденные из базы данных SAM на одном компьютере, для компрометации всех остальных компьютеров, использующих те же учетные данные. Как минимум, следует использовать разные пароли для учетных записей локальных администраторов в каждой системе, присоединенной к домену. Учетные записи локального администратора также могут быть уникальными именами, но использование разных паролей для привилегированных локальных учетных записей каждой системы достаточно, чтобы гарантировать, что учетные данные нельзя использовать в других системах.
Чрезмерное заполнение и чрезмерное использование привилегированных групп домена
Предоставление членства в группах EA, DA или BA в домене создает целевой объект для злоумышленников. Чем больше число членов этих групп, тем больше вероятность того, что привилегированный пользователь может случайно использовать учетные данные и предоставлять им атаки кражи учетных данных. Каждая рабочая станция или сервер, в которую входит привилегированный пользователь домена, представляет возможный механизм, с помощью которого учетные данные привилегированного пользователя могут быть собраны и использованы для компрометации домена и леса AD DS.
Плохо защищенные контроллеры домена
Контроллеры домена размещают реплику базы данных AD DS домена. В случае контроллеров домена только для чтения локальная реплика базы данных содержит учетные данные только для подмножества учетных записей в каталоге, ни одна из которых не являются привилегированными учетными записями домена по умолчанию. На контроллерах домена чтения и записи каждый контроллер домена поддерживает полную реплику базы данных AD DS, включая учетные данные не только для привилегированных пользователей, таких как администраторы домена, но и привилегированные учетные записи, такие как учетные записи контроллера домена или учетная запись домена Krbtgtt, которая является учетной записью, связанной со службой KDC на контроллерах домена. Если на контроллерах домена установлены дополнительные приложения, не необходимые для функциональных возможностей контроллеров домена, или если контроллеры домена не строго исправлены и защищены, злоумышленники могут компрометировать их с помощью непатшированных уязвимостей или использовать другие векторы атак для установки вредоносного программного обеспечения непосредственно на них.
Повышение привилегий и распространение
Независимо от используемых методов атаки Active Directory всегда предназначен для атак среды Windows, так как в конечном счете он управляет доступом к любым нужным злоумышленникам. Это не означает, что весь каталог предназначен, однако. Определенные учетные записи, серверы и компоненты инфраструктуры обычно являются основными целями атак на Active Directory. Эти учетные записи описаны следующим образом.
Постоянные привилегированные учетные записи
Так как введение Active Directory, можно было использовать высоко привилегированные учетные записи для создания леса Active Directory, а затем делегировать права и разрешения, необходимые для выполнения ежедневного администрирования менее привилегированных учетных записей. Членство в группах администраторов предприятия, администраторов домена или администраторов в Active Directory требуется только временно и редко в среде, реализующей подходы к ежедневному администрированию.
Постоянные привилегированные учетные записи — это учетные записи, которые были помещены в привилегированные группы и слева от дня до дня. Если ваша организация помещает пять учетных записей в группу администраторов домена для домена, эти пять учетных записей могут быть нацелены на 24 часа в день, семь дней в неделю. Однако фактическое использование учетных записей с правами администратора домена обычно предназначено только для конкретной конфигурации на уровне домена и в течение короткого периода времени.
Учетные записи ВИРТУАЛЬНЫХ IP-адресов
Часто пропущенный целевой объект в нарушениях Active Directory является учетными записями "очень важных лиц" (или IP-адресов) в организации. Привилегированные учетные записи предназначены, так как эти учетные записи могут предоставлять доступ злоумышленникам, что позволяет им компрометировать или даже уничтожать целевые системы, как описано ранее в этом разделе.
Учетные записи Active Directory с привилегированным доступом
Учетные записи Active Directory с привилегированным подключением — это учетные записи домена, которые не были сделаны членами любой из групп, имеющих наивысший уровень привилегий в Active Directory, но вместо этого были предоставлены высокий уровень привилегий на многих серверах и рабочих станциях в среде. Эти учетные записи чаще всего являются учетными записями на основе домена, настроенными для запуска служб в системах, присоединенных к домену, как правило, для приложений, работающих в больших разделах инфраструктуры. Хотя эти учетные записи не имеют привилегий в Active Directory, если им предоставлен высокий уровень привилегий для большого количества систем, их можно использовать для компрометации или даже уничтожения больших сегментов инфраструктуры, что и для достижения того же эффекта, что и компрометация привилегированной учетной записи Active Directory.