Биыл ашылды кез келген домен пайдаланушысына домен әкімшісі құқықтарын алуға және Active Directory (AD) және басқа қосылған хосттарды бұзуға мүмкіндік береді. Бүгін біз сізге бұл шабуылдың қалай жұмыс істейтінін және оны қалай анықтау керектігін айтамыз.
Бұл шабуыл қалай жұмыс істейді:
- Шабуылдаушы Exchange-тен push хабарландыру мүмкіндігіне жазылу үшін белсенді пошта жәшігі бар кез келген домен пайдаланушысының тіркелгісін алады.
- Шабуылдаушы Exchange серверін алдау үшін NTLM релесін пайдаланады: нәтижесінде Exchange сервері бұзылған пайдаланушының компьютеріне HTTP арқылы NTLM әдісі арқылы қосылады, содан кейін шабуылдаушы Exchange тіркелгісінің тіркелгі деректерімен LDAP арқылы домен контроллеріне аутентификациялау үшін пайдаланады.
- Шабуылдаушы артықшылықтарын арттыру үшін осы Exchange тіркелгісінің тіркелгі деректерін пайдаланады. Бұл соңғы қадамды қажетті рұқсатты өзгертуге заңды рұқсаты бар қарсылас әкімші де орындауы мүмкін. Бұл әрекетті анықтау ережесін жасау арқылы сіз осы және ұқсас шабуылдардан қорғанасыз.
Кейіннен, шабуылдаушы, мысалы, домендегі барлық пайдаланушылардың хэштелген құпия сөздерін алу үшін DCSync іске қоса алады. Бұл оған шабуылдардың әртүрлі түрлерін жүзеге асыруға мүмкіндік береді - алтын билет шабуылдарынан хэшті жіберуге дейін.
Varonis зерттеу тобы осы шабуыл векторын егжей-тегжейлі зерттеп, тұтынушыларымызға оны анықтауға және сонымен бірге олардың бұзылған-бұзылғанын тексеруге арналған нұсқаулық дайындады.
Домен артықшылығын арттыруды анықтау
В Нысандағы арнайы рұқсаттарға өзгерістерді бақылау үшін теңшелетін ереже жасаңыз. Ол домендегі қызығушылық объектісіне құқықтар мен рұқсаттарды қосқанда іске қосылады:
- Ереженің атын көрсетіңіз
- Санатты «Артықшылықты арттыру» етіп орнатыңыз
- Ресурс түрін «Барлық ресурс түрлері» етіп орнатыңыз
- Файл сервері = DirectoryServices
- Сізді қызықтыратын доменді көрсетіңіз, мысалы, аты бойынша
- AD нысанына рұқсаттарды қосу үшін сүзгіні қосыңыз
- «Еңшілес нысандарда іздеу» опциясын таңдаусыз қалдыруды ұмытпаңыз.
Ал енді есеп: домен нысанына құқықтардағы өзгерістерді анықтау
AD нысанындағы рұқсаттарға өзгертулер өте сирек болады, сондықтан осы ескертуді тудырған кез келген нәрсе зерттелуі және зерттелуі керек. Сондай-ақ ереженің өзін шайқасқа бастамас бұрын есептің сыртқы түрі мен мазмұнын сынап көру жақсы идея болар еді.
Бұл есеп сізге осы шабуылға ұшырағаныңызды да көрсетеді:
Ереже іске қосылғаннан кейін, DatAlert веб-интерфейсі арқылы барлық басқа артықшылықты арттыру оқиғаларын зерттеуге болады:
Осы ережені конфигурациялаған соң, қауіпсіздік осалдықтарының осы және ұқсас түрлерін бақылап, қорғай аласыз, AD каталог қызметтерінің нысандарымен оқиғаларды зерттей аласыз және осы маңызды осалдыққа сезімтал екеніңізді анықтай аласыз.
Ақпарат көзі: www.habr.com