Dit jier ûntdutsen lit elke domeinbrûker domeinbehearderrjochten krije en Active Directory (AD) en oare ferbûne hosts kompromittearje. Hjoed sille wy jo fertelle hoe't dizze oanfal wurket en hoe't jo it kinne ûntdekke.
Hjir is hoe't dizze oanfal wurket:
- In oanfaller nimt it akkount oer fan elke domeinbrûker mei in aktive postfak om te abonnearjen op de push-notifikaasjefunksje fan Exchange
- De oanfaller brûkt NTLM-relay om de Exchange-tsjinner te ferrifeljen: as gefolch makket de Exchange-tsjinner ferbining mei de kompromittearre brûker syn komputer mei de NTLM oer HTTP-metoade, dy't de oanfaller dan brûkt om te autentisearjen foar de domeincontroller fia LDAP mei Exchange-akkountsgegevens
- De oanfaller einiget mei it brûken fan dizze Exchange-akkountsgegevens om har privileezjes te eskalearjen. Dizze lêste stap kin ek útfierd wurde troch in fijannige behearder dy't al legitime tagong hat om de nedige tastimmingswiziging te meitsjen. Troch in regel te meitsjen om dizze aktiviteit te detektearjen, wurde jo beskerme tsjin dizze en ferlykbere oanfallen.
Dêrnei koe in oanfaller bygelyks DCSync útfiere om de hashed wachtwurden fan alle brûkers yn it domein te krijen. Dit sil him tastean ferskate soarten oanfallen út te fieren - fan oanfallen fan gouden kaartsjes oant hash-oerdracht.
It ûndersyksteam fan Varonis hat dizze oanfalvektor yn detail studearre en in hantlieding foar ús klanten taret om it te ûntdekken en tagelyk te kontrolearjen oft se al kompromittearre binne.
Domein Privilege Escalation Detection
В Meitsje in oanpaste regel om wizigingen te folgjen oan spesifike tagongsrjochten op in objekt. It sil aktivearre wurde as jo rjochten en tagongsrjochten tafoegje oan in objekt fan belang yn it domein:
- Spesifisearje de regel namme
- Stel de kategory yn op "Elevaasje fan Privilege"
- Stel it boarnetype yn op "Alle boarnetypen"
- File Server = DirectoryServices
- Spesifisearje it domein wêryn jo ynteressearre binne, bygelyks by namme
- Foegje in filter ta om tagongsrjochten ta te foegjen op in AD-objekt
- En ferjit net de opsje "Sykje yn bernobjekten" net selektearre te litten.
En no it rapport: deteksje fan feroaringen yn rjochten op in domeinobjekt
Feroarings yn tagongsrjochten op in AD-objekt binne frij seldsum, dus alles dat dizze warskôging útrûn moat en moat wurde ûndersocht. It soe ek in goed idee wêze om it uterlik en de ynhâld fan it rapport te testen foardat de regel sels yn 'e striid lanseart.
Dit rapport sil ek sjen litte as jo al kompromittearre binne troch dizze oanfal:
Sadree't de regel is aktivearre, kinne jo ûndersykje alle oare privileezje eskalaasje eveneminten mei help fan de DatAlert web ynterface:
Sadree't jo dizze regel konfigurearje, kinne jo kontrolearje en beskermje tsjin dizze en ferlykbere soarten feiligens kwetsberens, ûndersykje eveneminten mei AD directory tsjinsten objekten, en bepale as jo binne gefoelich foar dizze krityske kwetsberens.
Boarne: www.habr.com