Alles, was ein Angreifer braucht, ist Zeit und Motivation, um in Ihr Netzwerk einzudringen. Aber unsere Aufgabe ist es, ihn daran zu hindern oder ihm diese Aufgabe zumindest so schwer wie möglich zu machen. Sie müssen damit beginnen, Schwachstellen im Active Directory (im Folgenden als AD bezeichnet) zu identifizieren, die ein Angreifer nutzen kann, um sich unbemerkt Zugang zu verschaffen und sich im Netzwerk zu bewegen. Heute betrachten wir in diesem Artikel Risikoindikatoren, die bestehende Schwachstellen in der Cyberabwehr Ihres Unternehmens widerspiegeln, am Beispiel des AD Varonis-Dashboards.
Angreifer nutzen bestimmte Konfigurationen in der Domäne
Angreifer nutzen eine Vielzahl cleverer Techniken und Schwachstellen, um in Unternehmensnetzwerke einzudringen und Privilegien auszuweiten. Bei einigen dieser Schwachstellen handelt es sich um Domänenkonfigurationseinstellungen, die nach ihrer Identifizierung leicht geändert werden können.
Das AD-Dashboard benachrichtigt Sie sofort, wenn Sie (oder Ihre Systemadministratoren) das KRBTGT-Passwort im letzten Monat nicht geändert haben oder wenn sich jemand mit dem standardmäßig integrierten Administratorkonto authentifiziert hat. Diese beiden Konten ermöglichen uneingeschränkten Zugriff auf Ihr Netzwerk: Angreifer werden versuchen, sich Zugang zu ihnen zu verschaffen, um eventuelle Einschränkungen bei Privilegien und Zugriffsberechtigungen einfach zu umgehen. Und dadurch erhalten sie Zugriff auf alle Daten, die sie interessieren.
Natürlich können Sie diese Schwachstellen selbst entdecken: Richten Sie beispielsweise eine Kalendererinnerung ein, um diese Informationen zu überprüfen, oder führen Sie ein PowerShell-Skript aus, um diese Informationen zu sammeln.
Das Varonis-Dashboard wird aktualisiert automatisch Bereitstellung einer schnellen Sichtbarkeit und Analyse wichtiger Kennzahlen, die potenzielle Schwachstellen aufzeigen, sodass Sie sofort Maßnahmen zur Behebung dieser Schwachstellen ergreifen können.
3 wichtige Risikoindikatoren auf Domänenebene
Nachfolgend finden Sie eine Reihe von Widgets, die im Varonis-Dashboard verfügbar sind und deren Verwendung den Schutz des Unternehmensnetzwerks und der gesamten IT-Infrastruktur erheblich verbessern wird.
1. Anzahl der Domänen, für die das Kerberos-Kontokennwort über einen längeren Zeitraum nicht geändert wurde
Das KRBTGT-Konto ist ein spezielles Konto in AD, das alles signiert . Angreifer, die Zugriff auf einen Domänencontroller (DC) erhalten, können dieses Konto zum Erstellen verwenden , wodurch sie uneingeschränkten Zugriff auf nahezu jedes System im Unternehmensnetzwerk erhalten. Wir sind auf eine Situation gestoßen, in der ein Angreifer nach dem erfolgreichen Erhalt eines Golden Tickets zwei Jahre lang Zugriff auf das Netzwerk der Organisation hatte. Wenn das Passwort des KRBTGT-Kontos in Ihrem Unternehmen in den letzten vierzig Tagen nicht geändert wurde, benachrichtigt Sie das Widget darüber.
Vierzig Tage sind für einen Angreifer mehr als genug Zeit, um sich Zugang zum Netzwerk zu verschaffen. Wenn Sie jedoch die regelmäßige Änderung dieses Passworts durchsetzen und standardisieren, wird es für einen Angreifer deutlich schwieriger, in Ihr Unternehmensnetzwerk einzudringen.
Denken Sie daran, dass Sie gemäß der Implementierung des Kerberos-Protokolls durch Microsoft Folgendes tun müssen KRBTGT.
Dieses AD-Widget erinnert Sie in Zukunft daran, wann es Zeit ist, das KRBTGT-Passwort für alle Domänen in Ihrem Netzwerk erneut zu ändern.
2. Anzahl der Domänen, in denen das integrierte Administratorkonto kürzlich verwendet wurde
Согласно — Systemadministratoren stehen zwei Konten zur Verfügung: Das erste ist ein Konto für den täglichen Gebrauch und das zweite ist für geplante Verwaltungsarbeiten vorgesehen. Das bedeutet, dass niemand das Standardadministratorkonto verwenden sollte.
Das integrierte Administratorkonto wird häufig verwendet, um den Systemverwaltungsprozess zu vereinfachen. Dies kann zu einer schlechten Angewohnheit werden und zum Hacken führen. Wenn dies in Ihrer Organisation geschieht, werden Sie Schwierigkeiten haben, zwischen der ordnungsgemäßen Nutzung dieses Kontos und einem potenziell böswilligen Zugriff zu unterscheiden.
Wenn das Widget etwas anderes als Null anzeigt, arbeitet jemand nicht ordnungsgemäß mit Administratorkonten. In diesem Fall müssen Sie Maßnahmen ergreifen, um den Zugriff auf das integrierte Administratorkonto zu korrigieren und einzuschränken.
Sobald Sie einen Widget-Wert von Null erreicht haben und Systemadministratoren dieses Konto nicht mehr für ihre Arbeit verwenden, deutet jede Änderung daran künftig auf einen möglichen Cyberangriff hin.
3. Anzahl der Domänen, die keine Gruppe geschützter Benutzer haben
Ältere Versionen von AD unterstützten einen schwachen Verschlüsselungstyp – RC4. Hacker haben RC4 vor vielen Jahren gehackt, und jetzt ist es für einen Angreifer eine sehr triviale Aufgabe, ein Konto zu hacken, das immer noch RC4 verwendet. Mit der in Windows Server 2012 eingeführten Version von Active Directory wurde ein neuer Benutzergruppentyp namens „Protected Users Group“ eingeführt. Es bietet zusätzliche Sicherheitstools und verhindert die Benutzerauthentifizierung mithilfe der RC4-Verschlüsselung.
Dieses Widget zeigt an, ob in einer Domäne in der Organisation eine solche Gruppe fehlt, sodass Sie das Problem beheben können, d. h. Aktivieren Sie eine Gruppe geschützter Benutzer und nutzen Sie sie zum Schutz der Infrastruktur.
Leichte Ziele für Angreifer
Benutzerkonten sind das Hauptziel für Angreifer, angefangen bei ersten Einbruchsversuchen bis hin zur kontinuierlichen Ausweitung von Berechtigungen und der Verschleierung ihrer Aktivitäten. Angreifer suchen in Ihrem Netzwerk nach einfachen Zielen, indem sie einfache PowerShell-Befehle verwenden, die oft schwer zu erkennen sind. Entfernen Sie so viele dieser einfachen Ziele wie möglich aus AD.
Angreifer suchen nach Benutzern mit nie ablaufenden Passwörtern (oder die keine Passwörter benötigen), nach Technologiekonten, die Administratoren sind, und nach Konten, die die alte RC4-Verschlüsselung verwenden.
Der Zugriff auf diese Konten ist entweder trivial oder wird im Allgemeinen nicht überwacht. Angreifer können diese Konten übernehmen und sich frei in Ihrer Infrastruktur bewegen.
Sobald Angreifer in den Sicherheitsbereich eindringen, erhalten sie wahrscheinlich Zugriff auf mindestens ein Konto. Können Sie verhindern, dass sie Zugriff auf sensible Daten erhalten, bevor der Angriff erkannt und eingedämmt wird?
Das Varonis AD-Dashboard weist auf gefährdete Benutzerkonten hin, sodass Sie Probleme proaktiv beheben können. Je schwieriger es ist, in Ihr Netzwerk einzudringen, desto größer sind Ihre Chancen, einen Angreifer zu neutralisieren, bevor er ernsthaften Schaden anrichtet.
4 wichtige Risikoindikatoren für Benutzerkonten
Nachfolgend finden Sie Beispiele für Varonis AD-Dashboard-Widgets, die die am stärksten gefährdeten Benutzerkonten hervorheben.
1. Anzahl aktiver Benutzer mit nie ablaufenden Passwörtern
Für einen Angreifer ist es immer ein großer Erfolg, sich Zugang zu einem solchen Konto zu verschaffen. Da das Passwort nie abläuft, hat der Angreifer einen dauerhaften Zugriff auf das Netzwerk, den er dann nutzen kann oder Bewegungen innerhalb der Infrastruktur.
Angreifer verfügen über Listen mit Millionen von Benutzer-Passwort-Kombinationen, die sie bei Credential-Stuffing-Angriffen verwenden, und die Wahrscheinlichkeit ist hoch
dass die Kombination für den Benutzer mit dem „ewigen“ Passwort in einer dieser Listen viel größer als Null ist.
Konten mit nicht ablaufenden Passwörtern sind einfach zu verwalten, aber nicht sicher. Verwenden Sie dieses Widget, um alle Konten zu finden, die über solche Passwörter verfügen. Ändern Sie diese Einstellung und aktualisieren Sie Ihr Passwort.
Sobald der Wert dieses Widgets auf Null gesetzt ist, werden alle neuen Konten, die mit diesem Passwort erstellt wurden, im Dashboard angezeigt.
2. Anzahl der Administratorkonten mit SPN
SPN (Service Principal Name) ist eine eindeutige Kennung einer Dienstinstanz. Dieses Widget zeigt an, wie viele Dienstkonten über vollständige Administratorrechte verfügen. Der Wert im Widget muss Null sein. SPN mit Administratorrechten kommt vor, weil die Gewährung solcher Rechte für Softwareanbieter und Anwendungsadministratoren praktisch ist, aber ein Sicherheitsrisiko darstellt.
Durch die Gewährung von Administratorrechten an das Dienstkonto erhält ein Angreifer vollen Zugriff auf ein Konto, das nicht verwendet wird. Dies bedeutet, dass Angreifer mit Zugriff auf SPN-Konten frei innerhalb der Infrastruktur agieren können, ohne dass ihre Aktivitäten überwacht werden.
Sie können dieses Problem beheben, indem Sie die Berechtigungen für Dienstkonten ändern. Solche Konten sollten dem Grundsatz der geringsten Rechte unterliegen und nur den Zugriff haben, der für ihren Betrieb tatsächlich notwendig ist.
Mit diesem Widget können Sie alle SPNs erkennen, die über Administratorrechte verfügen, diese Berechtigungen entfernen und dann SPNs nach dem gleichen Prinzip des Zugriffs mit den geringsten Privilegien überwachen.
Der neu erscheinende SPN wird im Dashboard angezeigt und Sie können diesen Vorgang überwachen.
3. Anzahl der Benutzer, die keine Kerberos-Vorauthentifizierung benötigen
Idealerweise verschlüsselt Kerberos das Authentifizierungsticket mit der bis heute unknackbaren AES-256-Verschlüsselung.
Allerdings verwendeten ältere Versionen von Kerberos die RC4-Verschlüsselung, die jetzt innerhalb von Minuten gebrochen werden kann. Dieses Widget zeigt an, welche Benutzerkonten noch RC4 verwenden. Microsoft unterstützt weiterhin RC4 aus Gründen der Abwärtskompatibilität, aber das bedeutet nicht, dass Sie es in Ihrem AD verwenden sollten.
Sobald Sie solche Konten identifiziert haben, müssen Sie in AD das Kontrollkästchen „Keine Kerberos-Vorautorisierung erforderlich“ deaktivieren, um die Konten zu zwingen, eine ausgefeiltere Verschlüsselung zu verwenden.
Das selbstständige Erkennen dieser Konten ohne das Varonis AD-Dashboard nimmt viel Zeit in Anspruch. In Wirklichkeit ist es sogar noch schwieriger, alle Konten zu kennen, die für die Verwendung der RC4-Verschlüsselung konfiguriert sind.
Wenn sich der Wert im Widget ändert, kann dies auf eine illegale Aktivität hinweisen.
4. Anzahl Benutzer ohne Passwort
Angreifer verwenden grundlegende PowerShell-Befehle, um das „PASSWD_NOTREQD“-Flag von AD in den Kontoeigenschaften auszulesen. Die Verwendung dieses Flags gibt an, dass keine Kennwortanforderungen oder Komplexitätsanforderungen bestehen.
Wie einfach ist es, ein Konto mit einem einfachen oder leeren Passwort zu stehlen? Stellen Sie sich nun vor, dass eines dieser Konten ein Administrator ist.
Was wäre, wenn es sich bei einer der Tausenden vertraulichen Dateien, die für jedermann zugänglich sind, um einen bevorstehenden Finanzbericht handelt?
Das Ignorieren der obligatorischen Passwortanforderung ist eine weitere Abkürzung für die Systemadministration, die in der Vergangenheit häufig verwendet wurde, heute jedoch weder akzeptabel noch sicher ist.
Beheben Sie dieses Problem, indem Sie die Passwörter für diese Konten aktualisieren.
Durch die zukünftige Überwachung dieses Widgets können Sie Konten ohne Passwort vermeiden.
Varonis gleicht die Chancen aus
In der Vergangenheit dauerte das Sammeln und Analysieren der in diesem Artikel beschriebenen Metriken viele Stunden und erforderte umfassende Kenntnisse von PowerShell, sodass Sicherheitsteams jede Woche oder jeden Monat Ressourcen für solche Aufgaben bereitstellen mussten. Aber die manuelle Erfassung und Verarbeitung dieser Informationen verschafft Angreifern einen Vorsprung, um Daten zu infiltrieren und zu stehlen.
С Sie werden einen Tag damit verbringen, das AD-Dashboard und zusätzliche Komponenten bereitzustellen, alle besprochenen Schwachstellen zu sammeln und vieles mehr. Zukünftig wird das Überwachungspanel während des Betriebs automatisch aktualisiert, wenn sich der Zustand der Infrastruktur ändert.
Die Durchführung von Cyberangriffen ist immer ein Wettlauf zwischen Angreifern und Verteidigern, bei dem es um den Wunsch des Angreifers geht, Daten zu stehlen, bevor Sicherheitsspezialisten den Zugriff darauf blockieren können. Die frühzeitige Erkennung von Angreifern und ihren illegalen Aktivitäten, gepaart mit starken Cyber-Abwehrmaßnahmen, ist der Schlüssel zum Schutz Ihrer Daten.
Source: habr.com