Bu il kəşf edilib istənilən domen istifadəçisinə domen administratoru hüquqlarını əldə etməyə və Active Directory (AD) və digər əlaqəli hostları güzəştə getməyə imkan verir. Bu gün sizə bu hücumun necə işlədiyini və onu necə aşkar edəcəyinizi söyləyəcəyik.
Bu hücum necə işləyir:
- Təcavüzkar Exchange-dən push bildiriş funksiyasına abunə olmaq üçün aktiv poçt qutusu olan istənilən domen istifadəçisinin hesabını ələ keçirir.
- Təcavüzkar Exchange serverini aldatmaq üçün NTLM relesindən istifadə edir: nəticədə Exchange serveri HTTP üzərindən NTLM metodundan istifadə edərək təhlükə altında olan istifadəçinin kompüterinə qoşulur, bundan sonra təcavüzkar Exchange hesabı etimadnamələri ilə LDAP vasitəsilə domen nəzarətçisinə autentifikasiya etmək üçün istifadə edir.
- Təcavüzkar öz imtiyazlarını artırmaq üçün bu Exchange hesabı etimadnaməsini istifadə edir. Bu son addım lazımi icazə dəyişikliyini etmək üçün artıq qanuni girişi olan düşmən administrator tərəfindən də həyata keçirilə bilər. Bu fəaliyyəti aşkar etmək üçün qayda yaratmaqla siz bu və buna bənzər hücumlardan qorunacaqsınız.
Sonradan təcavüzkar, məsələn, domendəki bütün istifadəçilərin parollarını əldə etmək üçün DCSync proqramını işə sala bilər. Bu, ona müxtəlif növ hücumları həyata keçirməyə imkan verəcək - qızıl bilet hücumlarından tutmuş hash ötürülməsinə qədər.
Varonis tədqiqat qrupu bu hücum vektorunu təfərrüatlı şəkildə tədqiq etmiş və müştərilərimizə onu aşkar etmək və eyni zamanda onların artıq təhlükəyə məruz qalıb-qalmadığını yoxlamaq üçün bələdçi hazırlamışdır.
Domen İmtiyazlarının Artırılmasının Aşkarlanması
В Obyektdə xüsusi icazələrə edilən dəyişiklikləri izləmək üçün fərdi qayda yaradın. O, domendə maraq obyektinə hüquq və icazələr əlavə edərkən işə salınacaq:
- Qayda adını göstərin
- Kateqoriyanı "İmtiyazların yüksəldilməsi" olaraq təyin edin
- Resurs növünü "Bütün resurs növləri" olaraq təyin edin
- Fayl Serveri = DirectoryServices
- Maraqlandığınız domeni, məsələn, adı ilə göstərin
- AD obyektinə icazələr əlavə etmək üçün filtr əlavə edin
- Və "Uşaq obyektlərdə axtarış" seçimini seçimsiz qoymağı unutmayın.
İndi hesabat: bir domen obyektinə hüquqlarda dəyişikliklərin aşkarlanması
AD obyektində icazələrə edilən dəyişikliklər olduqca nadirdir, ona görə də bu xəbərdarlığa səbəb olan hər şey araşdırılmalı və araşdırılmalıdır. Qaydanın özünü döyüşə başlamazdan əvvəl hesabatın görünüşünü və məzmununu yoxlamaq da yaxşı olardı.
Bu hesabat həmçinin bu hücuma məruz qaldığınızı da göstərəcək:
Qayda aktivləşdirildikdən sonra siz DatAlert veb interfeysindən istifadə edərək bütün digər imtiyazların yüksəldilməsi hadisələrini araşdıra bilərsiniz:
Bu qaydanı konfiqurasiya etdikdən sonra siz bu və oxşar növ təhlükəsizlik zəifliklərinə nəzarət edə və qoruya, AD kataloq xidmətləri obyektləri ilə hadisələri araşdıra və bu kritik zəifliyə həssas olub-olmadığınızı müəyyən edə bilərsiniz.
Mənbə: www.habr.com