Шабуылдаушыға желіңізге кіру үшін уақыт пен мотивация қажет. Бірақ біздің жұмысымыз оның бұлай істеуіне жол бермеу немесе ең болмағанда бұл тапсырманы барынша қиындату. Шабуылдаушы желіде анықталмай қол жеткізу және қозғалу үшін пайдалана алатын Active Directory (бұдан әрі - AD) әлсіз жақтарын анықтаудан бастау керек. Бүгін осы мақалада AD Varonis бақылау тақтасын мысал ретінде пайдаланып, ұйымыңыздың киберқорғаныстағы бар осалдықтарын көрсететін тәуекел көрсеткіштерін қарастырамыз.
Шабуылшылар домендегі белгілі конфигурацияларды пайдаланады
Шабуылшылар корпоративтік желілерге ену және артықшылықтарды арттыру үшін әртүрлі ақылды әдістер мен осалдықтарды пайдаланады. Осы осалдықтардың кейбірі анықталғаннан кейін оңай өзгертуге болатын домен конфигурациясының параметрлері болып табылады.
Егер сіз (немесе жүйе әкімшілеріңіз) соңғы айда KRBTGT құпия сөзін өзгертпеген болсаңыз немесе біреу әдепкі кірістірілген Әкімші тіркелгісімен аутентификацияланған болса, AD бақылау тақтасы сізге дереу ескертеді. Бұл екі тіркелгі желіге шексіз қол жеткізуді қамтамасыз етеді: шабуылдаушылар артықшылықтар мен кіру рұқсаттарындағы кез келген шектеулерді оңай айналып өту үшін оларға қол жеткізуге тырысады. Нәтижесінде олар өздерін қызықтыратын кез келген деректерге қол жеткізе алады.
Әрине, сіз бұл осалдықтарды өзіңіз таба аласыз: мысалы, осы ақпаратты жинау үшін PowerShell сценарийін тексеру немесе іске қосу үшін күнтізбе еске салғышын орнатыңыз.
Varonis бақылау тақтасы жаңартылуда автоматты түрде ықтимал осалдықтарды көрсететін негізгі көрсеткіштердің жылдам көрінуін және талдауын қамтамасыз ету, осылайша сіз оларды жою үшін дереу әрекет ете аласыз.
3 Домен деңгейінің негізгі қауіп көрсеткіштері
Төменде Varonis бақылау тақтасында қол жетімді бірқатар виджеттер бар, оларды пайдалану корпоративтік желіні және тұтастай алғанда АТ-инфрақұрылымын қорғауды айтарлықтай арттырады.
1. Kerberos тіркелгісінің құпия сөзі маңызды уақыт кезеңі ішінде өзгертілмеген домендердің саны
KRBTGT тіркелгісі - барлығына қол қоятын AD-дегі арнайы тіркелгі . Домен контроллеріне (DC) қол жеткізе алатын шабуылдаушылар осы тіркелгіні жасау үшін пайдалана алады , бұл оларға корпоративтік желідегі кез келген дерлік жүйеге шексіз қол жеткізуге мүмкіндік береді. Біз Алтын билетті сәтті алғаннан кейін шабуылдаушы ұйымның желісіне екі жыл қол жеткізе алатын жағдайға тап болдық. Егер сіздің компанияңыздағы KRBTGT тіркелгісінің құпия сөзі соңғы қырық күнде өзгертілмесе, виджет сізге бұл туралы хабарлайды.
Шабуылдаушының желіге кіруі үшін қырық күн жеткілікті. Дегенмен, егер сіз осы құпия сөзді өзгерту процесін тұрақты негізде қолдансаңыз және стандарттасаңыз, бұл шабуылдаушының корпоративтік желіге кіруін әлдеқайда қиындатады.
Microsoft корпорациясының Kerberos протоколын енгізуіне сәйкес сізге қажет екенін есте сақтаңыз KRBTGT.
Болашақта бұл AD виджеті желідегі барлық домендер үшін KRBTGT құпия сөзін қайта өзгерту уақыты келгенде еске салады.
2. Кірістірілген Әкімші тіркелгісі жақында пайдаланылған домендердің саны
бойынша — жүйелік әкімшілерге екі аккаунт беріледі: біріншісі – күнделікті пайдалануға арналған аккаунт, екіншісі – жоспарлы әкімшілік жұмыстарға арналған. Бұл ешкім әдепкі әкімші тіркелгісін пайдаланбауы керек дегенді білдіреді.
Кірістірілген әкімші тіркелгісі жиі жүйені басқару процесін жеңілдету үшін пайдаланылады. Бұл жаман әдетке айналуы мүмкін, нәтижесінде хакерлік шабуыл жасалуы мүмкін. Бұл сіздің ұйымыңызда орын алса, бұл тіркелгіні дұрыс пайдалану мен ықтимал зиянды қатынасты ажырату қиынға соғады.
Виджет нөлден басқа нәрсені көрсетсе, біреу әкімшілік тіркелгілермен дұрыс жұмыс істемейді. Бұл жағдайда кірістірілген әкімші тіркелгісіне кіруді түзету және шектеу үшін қадамдар жасау керек.
Виджет мәні нөлге жеткеннен кейін және жүйе әкімшілері бұл есептік жазбаны өз жұмысы үшін пайдаланбайтын болса, болашақта оған кез келген өзгерту ықтимал кибершабуылды көрсетеді.
3. Қорғалған пайдаланушылар тобы жоқ домендер саны
AD ескі нұсқалары әлсіз шифрлау түрін қолдады - RC4. Хакерлер RC4-ті көп жылдар бұрын бұзды, ал қазір шабуылдаушы үшін әлі де RC4-ті пайдаланып жатқан тіркелгіні бұзу өте тривиальды тапсырма. Windows Server 2012 жүйесінде енгізілген Active Directory нұсқасы қорғалған пайдаланушылар тобы деп аталатын пайдаланушылар тобының жаңа түрін ұсынды. Ол қосымша қауіпсіздік құралдарын қамтамасыз етеді және RC4 шифрлау арқылы пайдаланушының аутентификациясына жол бермейді.
Бұл виджет ұйымдағы кез келген доменде топтың жоқтығын көрсетеді, осылайша сіз оны түзете аласыз, яғни. қорғалған пайдаланушылар тобын қосыңыз және оны инфрақұрылымды қорғау үшін пайдаланыңыз.
Шабуылшылар үшін оңай нысаналар
Пайдаланушы тіркелгілері шабуылдаушылар үшін бірінші мақсат болып табылады, шабуылдың бастапқы әрекеттерінен артықшылықтарды жалғастыру және олардың әрекеттерін жасыруға дейін. Шабуылшылар жиі анықтау қиын болатын негізгі PowerShell пәрмендерін пайдаланып желіңіздегі қарапайым нысандарды іздейді. Осы оңай мақсаттардың көпшілігін AD-дан мүмкіндігінше алып тастаңыз.
Шабуыл жасаушылар мерзімі бітпейтін құпия сөздері бар (немесе құпия сөздерді қажет етпейтін) пайдаланушыларды, әкімшілер болып табылатын технологиялық тіркелгілерді және бұрынғы RC4 шифрлауын пайдаланатын тіркелгілерді іздейді.
Бұл тіркелгілердің кез келгені қол жеткізу үшін тривиальды немесе әдетте бақыланбайды. Шабуылшылар бұл тіркелгілерді басып алып, инфрақұрылымыңызда еркін қозғала алады.
Зиянкестер қауіпсіздік периметріне енгеннен кейін, олар кем дегенде бір есептік жазбаға қол жеткізе алады. Шабуыл анықталып, жабылмай тұрып, олардың құпия деректерге қол жеткізуін тоқтата аласыз ба?
Varonis AD бақылау тақтасы осал пайдаланушы тіркелгілерін көрсетеді, осылайша сіз ақаулықтарды алдын ала шеше аласыз. Желіге ену қаншалықты қиын болса, шабуылдаушыны елеулі зақым келтірмес бұрын бейтараптандыру мүмкіндігі соғұрлым жоғары болады.
4 Пайдаланушы тіркелгілері үшін негізгі тәуекел көрсеткіштері
Төменде ең осал пайдаланушы тіркелгілерін көрсететін Varonis AD бақылау тақтасының виджеттерінің мысалдары берілген.
1. Ешқашан мерзімі бітпейтін құпия сөздері бар белсенді пайдаланушылар саны
Кез келген шабуылдаушы үшін мұндай тіркелгіге қол жеткізу әрқашан үлкен жетістік. Құпия сөздің мерзімі ешқашан аяқталмайтындықтан, шабуылдаушы желіде тұрақты тірекке ие болады, оны кейін пайдалануға болады немесе инфрақұрылым ішіндегі қозғалыстар.
Шабуылшылардың тіркелгі деректерін толтыру шабуылдарында пайдаланатын миллиондаған пайдаланушы құпия сөз тіркесімдерінің тізімдері бар және ықтималдығы мынада:
«мәңгілік» құпия сөзі бар пайдаланушыға арналған комбинация осы тізімдердің бірінде, нөлден әлдеқайда үлкен.
Мерзімі бітпейтін құпия сөздері бар тіркелгілерді басқару оңай, бірақ олар қауіпсіз емес. Осындай құпия сөздері бар барлық тіркелгілерді табу үшін осы виджетті пайдаланыңыз. Бұл параметрді өзгертіп, құпия сөзіңізді жаңартыңыз.
Бұл виджеттің мәні нөлге орнатылғаннан кейін, сол құпия сөзбен жасалған кез келген жаңа тіркелгілер бақылау тақтасында пайда болады.
2. SPN бар әкімшілік шоттардың саны
SPN (Қызметтің негізгі атауы) қызмет данасы бірегей идентификаторы болып табылады. Бұл виджет қанша қызмет тіркелгісінің толық әкімші құқықтары бар екенін көрсетеді. Виджеттегі мән нөл болуы керек. Әкімшілік құқықтары бар SPN осындай құқықтарды беру бағдарламалық құрал жеткізушілері мен қолданба әкімшілері үшін ыңғайлы болғандықтан орын алады, бірақ ол қауіпсіздікке қауіп төндіреді.
Қызметтік тіркелгіге әкімшілік құқықтар беру шабуылдаушыға пайдаланылмайтын тіркелгіге толық кіруге мүмкіндік береді. Бұл SPN тіркелгілеріне рұқсаты бар шабуылдаушылар әрекеттерін бақыламай-ақ инфрақұрылымда еркін жұмыс істей алатынын білдіреді.
Бұл мәселені қызмет тіркелгілеріндегі рұқсаттарды өзгерту арқылы шешуге болады. Мұндай тіркелгілер ең аз артықшылықтар принципіне бағынуы және олардың жұмыс істеуі үшін шын мәнінде қажетті қолжетімділікке ғана ие болуы керек.
Бұл виджетті пайдалана отырып, сіз әкімшілік құқықтары бар барлық SPN-ді анықтай аласыз, мұндай артықшылықтарды алып тастай аласыз, содан кейін ең аз артықшылықты қатынастың бірдей принципін пайдаланып SPN-ді бақылай аласыз.
Жаңадан пайда болған SPN бақылау тақтасында көрсетіледі және сіз бұл процесті бақылай аласыз.
3. Kerberos алдын ала аутентификациясын қажет етпейтін пайдаланушылар саны
Ең дұрысы, Kerberos аутентификация билетін AES-256 шифрлауын пайдаланып шифрлайды, ол әлі күнге дейін бұзылмайды.
Дегенмен, Kerberos ескі нұсқалары RC4 шифрлауын пайдаланды, енді оны бірнеше минут ішінде бұзуға болады. Бұл виджет қай пайдаланушы тіркелгілері әлі де RC4 қолданып жатқанын көрсетеді. Майкрософт кері үйлесімділік үшін RC4 әлі де қолдайды, бірақ бұл оны AD жүйесінде пайдалану керек дегенді білдірмейді.
Осындай тіркелгілерді анықтағаннан кейін тіркелгілерді күрделірек шифрлауды қолдануға мәжбүрлеу үшін AD жүйесіндегі "Kerberos алдын ала авторизациясын қажет етпейді" құсбелгісін алып тастау керек.
Varonis AD бақылау тақтасынсыз бұл тіркелгілерді өз бетіңізше табу көп уақытты алады. Шындығында, RC4 шифрлауын пайдалану үшін өңделген барлық тіркелгілерді білу одан да қиын міндет.
Виджеттегі мән өзгерсе, бұл заңсыз әрекетті көрсетуі мүмкін.
4. Құпия сөзсіз пайдаланушылар саны
Шабуылшылар тіркелгі сипаттарындағы AD жүйесінен «PASSWD_NOTREQD» жалауын оқу үшін негізгі PowerShell пәрмендерін пайдаланады. Бұл жалаушаны пайдалану құпия сөз талаптары немесе күрделілік талаптары жоқ екенін көрсетеді.
Қарапайым немесе бос құпия сөзбен есептік жазбаны ұрлау қаншалықты оңай? Енді осы тіркелгілердің бірі әкімші екенін елестетіп көріңіз.
Барлығына ашық мыңдаған құпия файлдардың бірі алдағы қаржылық есеп болса ше?
Міндетті құпия сөз талабын елемеу - бұрын жиі қолданылған, бірақ бүгінгі күні қолайлы да, қауіпсіз де емес басқа жүйелік басқару таңбашасы.
Осы тіркелгілердің құпия сөздерін жаңарту арқылы бұл мәселені түзетіңіз.
Болашақта бұл виджетті бақылау құпия сөзсіз тіркелгілерді болдырмауға көмектеседі.
Варонис мүмкіндіктерді теңестіреді
Бұрын осы мақалада сипатталған көрсеткіштерді жинау және талдау жұмысы көп сағатты алды және PowerShell бағдарламасын терең білуді талап етті, бұл қауіпсіздік топтарынан апта сайын немесе ай сайын осындай тапсырмаларға ресурстарды бөлуді талап етеді. Бірақ бұл ақпаратты қолмен жинау және өңдеу шабуылдаушыларға деректерді енгізуге және ұрлауға мүмкіндік береді.
С Сіз AD бақылау тақтасын және қосымша құрамдастарды орналастыруға, талқыланған барлық осалдықтарды жинауға және тағы басқаларға бір күн жұмсайсыз. Болашақта жұмыс кезінде бақылау тақтасы инфрақұрылымның күйі өзгерген сайын автоматты түрде жаңартылатын болады.
Кибершабуылдарды жүзеге асыру әрқашан шабуылдаушылар мен қорғаушылар арасындағы жарыс болып табылады, қауіпсіздік мамандары оған қол жеткізуді бұғаттамас бұрын шабуылдаушы деректерді ұрлауға ұмтылады. Шабуылдаушыларды және олардың заңсыз әрекеттерін ерте анықтау, күшті киберқорғаныспен бірге деректеріңізді қауіпсіз сақтаудың кілті болып табылады.
Ақпарат көзі: www.habr.com