ಈ ವರ್ಷ ಪತ್ತೆಯಾಗಿದೆ
ಈ ದಾಳಿಯು ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಎಂಬುದು ಇಲ್ಲಿದೆ:
- ಎಕ್ಸ್ಚೇಂಜ್ನಿಂದ ಪುಶ್ ಅಧಿಸೂಚನೆ ವೈಶಿಷ್ಟ್ಯಕ್ಕೆ ಚಂದಾದಾರರಾಗಲು ಸಕ್ರಿಯ ಮೇಲ್ಬಾಕ್ಸ್ನೊಂದಿಗೆ ಯಾವುದೇ ಡೊಮೇನ್ ಬಳಕೆದಾರರ ಖಾತೆಯನ್ನು ಆಕ್ರಮಣಕಾರರು ತೆಗೆದುಕೊಳ್ಳುತ್ತಾರೆ
- ಆಕ್ರಮಣಕಾರರು ಎಕ್ಸ್ಚೇಂಜ್ ಸರ್ವರ್ ಅನ್ನು ಮೋಸಗೊಳಿಸಲು NTLM ರಿಲೇ ಅನ್ನು ಬಳಸುತ್ತಾರೆ: ಇದರ ಪರಿಣಾಮವಾಗಿ, ಎಕ್ಸ್ಚೇಂಜ್ ಸರ್ವರ್ NTLM ಮೂಲಕ HTTP ವಿಧಾನವನ್ನು ಬಳಸಿಕೊಂಡು ರಾಜಿ ಮಾಡಿಕೊಂಡ ಬಳಕೆದಾರರ ಕಂಪ್ಯೂಟರ್ಗೆ ಸಂಪರ್ಕಿಸುತ್ತದೆ, ದಾಳಿಕೋರರು ಅದನ್ನು ವಿನಿಮಯ ಖಾತೆಯ ರುಜುವಾತುಗಳೊಂದಿಗೆ LDAP ಮೂಲಕ ಡೊಮೇನ್ ನಿಯಂತ್ರಕಕ್ಕೆ ದೃಢೀಕರಿಸಲು ಬಳಸುತ್ತಾರೆ.
- ಆಕ್ರಮಣಕಾರರು ತಮ್ಮ ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸಲು ಈ ವಿನಿಮಯ ಖಾತೆಯ ರುಜುವಾತುಗಳನ್ನು ಬಳಸುತ್ತಾರೆ. ಅಗತ್ಯ ಅನುಮತಿ ಬದಲಾವಣೆಯನ್ನು ಮಾಡಲು ಈಗಾಗಲೇ ಕಾನೂನುಬದ್ಧ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರುವ ಪ್ರತಿಕೂಲ ನಿರ್ವಾಹಕರಿಂದ ಈ ಕೊನೆಯ ಹಂತವನ್ನು ಸಹ ನಿರ್ವಹಿಸಬಹುದು. ಈ ಚಟುವಟಿಕೆಯನ್ನು ಪತ್ತೆಹಚ್ಚಲು ನಿಯಮವನ್ನು ರಚಿಸುವ ಮೂಲಕ, ಇದರಿಂದ ಮತ್ತು ಅಂತಹುದೇ ದಾಳಿಗಳಿಂದ ನಿಮ್ಮನ್ನು ರಕ್ಷಿಸಲಾಗುತ್ತದೆ.
ತರುವಾಯ, ಆಕ್ರಮಣಕಾರರು, ಉದಾಹರಣೆಗೆ, ಡೊಮೇನ್ನಲ್ಲಿರುವ ಎಲ್ಲಾ ಬಳಕೆದಾರರ ಹ್ಯಾಶ್ ಮಾಡಿದ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಪಡೆಯಲು DCSync ಅನ್ನು ರನ್ ಮಾಡಬಹುದು. ಗೋಲ್ಡನ್ ಟಿಕೆಟ್ ದಾಳಿಯಿಂದ ಹ್ಯಾಶ್ ಟ್ರಾನ್ಸ್ಮಿಷನ್ ವರೆಗೆ - ಇದು ವಿವಿಧ ರೀತಿಯ ದಾಳಿಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅವನನ್ನು ಅನುಮತಿಸುತ್ತದೆ.
ವರೋನಿಸ್ ಸಂಶೋಧನಾ ತಂಡವು ಈ ದಾಳಿಯ ವೆಕ್ಟರ್ ಅನ್ನು ವಿವರವಾಗಿ ಅಧ್ಯಯನ ಮಾಡಿದೆ ಮತ್ತು ಅದನ್ನು ಪತ್ತೆಹಚ್ಚಲು ನಮ್ಮ ಗ್ರಾಹಕರಿಗೆ ಮಾರ್ಗದರ್ಶಿಯನ್ನು ಸಿದ್ಧಪಡಿಸಿದೆ ಮತ್ತು ಅದೇ ಸಮಯದಲ್ಲಿ ಅವರು ಈಗಾಗಲೇ ರಾಜಿ ಮಾಡಿಕೊಂಡಿದ್ದಾರೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸಿ.
ಡೊಮೇನ್ ಪ್ರಿವಿಲೇಜ್ ಎಸ್ಕಲೇಶನ್ ಡಿಟೆಕ್ಷನ್
В
- ನಿಯಮದ ಹೆಸರನ್ನು ಸೂಚಿಸಿ
- ವರ್ಗವನ್ನು "ಎಲಿವೇಶನ್ ಆಫ್ ಪ್ರಿವಿಲೇಜ್" ಗೆ ಹೊಂದಿಸಿ
- ಸಂಪನ್ಮೂಲ ಪ್ರಕಾರವನ್ನು "ಎಲ್ಲಾ ಸಂಪನ್ಮೂಲ ಪ್ರಕಾರಗಳು" ಗೆ ಹೊಂದಿಸಿ
- ಫೈಲ್ ಸರ್ವರ್ = ಡೈರೆಕ್ಟರಿ ಸೇವೆಗಳು
- ನೀವು ಆಸಕ್ತಿ ಹೊಂದಿರುವ ಡೊಮೇನ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿ, ಉದಾಹರಣೆಗೆ, ಹೆಸರಿನ ಮೂಲಕ
- AD ವಸ್ತುವಿನ ಮೇಲೆ ಅನುಮತಿಗಳನ್ನು ಸೇರಿಸಲು ಫಿಲ್ಟರ್ ಅನ್ನು ಸೇರಿಸಿ
- ಮತ್ತು "ಮಕ್ಕಳ ವಸ್ತುಗಳಲ್ಲಿ ಹುಡುಕಿ" ಆಯ್ಕೆಯನ್ನು ಆಯ್ಕೆ ಮಾಡದೆ ಬಿಡಲು ಮರೆಯಬೇಡಿ.
ಮತ್ತು ಈಗ ವರದಿ: ಡೊಮೇನ್ ವಸ್ತುವಿನ ಹಕ್ಕುಗಳಲ್ಲಿನ ಬದಲಾವಣೆಗಳ ಪತ್ತೆ
AD ಆಬ್ಜೆಕ್ಟ್ನಲ್ಲಿನ ಅನುಮತಿಗಳಿಗೆ ಬದಲಾವಣೆಗಳು ತುಂಬಾ ಅಪರೂಪ, ಆದ್ದರಿಂದ ಈ ಎಚ್ಚರಿಕೆಯನ್ನು ಪ್ರಚೋದಿಸಿದ ಯಾವುದನ್ನಾದರೂ ತನಿಖೆ ಮಾಡಬೇಕು ಮತ್ತು ತನಿಖೆ ಮಾಡಬೇಕು. ನಿಯಮವನ್ನು ಯುದ್ಧಕ್ಕೆ ಪ್ರಾರಂಭಿಸುವ ಮೊದಲು ವರದಿಯ ನೋಟ ಮತ್ತು ವಿಷಯವನ್ನು ಪರೀಕ್ಷಿಸುವುದು ಒಳ್ಳೆಯದು.
ಈ ದಾಳಿಯಿಂದ ನೀವು ಈಗಾಗಲೇ ರಾಜಿ ಮಾಡಿಕೊಂಡಿದ್ದರೆ ಈ ವರದಿಯು ಸಹ ತೋರಿಸುತ್ತದೆ:
ನಿಯಮವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದ ನಂತರ, ನೀವು DatAlert ವೆಬ್ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಎಲ್ಲಾ ಇತರ ಸವಲತ್ತು ಹೆಚ್ಚಿಸುವ ಘಟನೆಗಳನ್ನು ತನಿಖೆ ಮಾಡಬಹುದು:
ಒಮ್ಮೆ ನೀವು ಈ ನಿಯಮವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿದರೆ, ಈ ಮತ್ತು ಇದೇ ರೀತಿಯ ಭದ್ರತಾ ದೋಷಗಳ ವಿರುದ್ಧ ನೀವು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಬಹುದು ಮತ್ತು ರಕ್ಷಿಸಬಹುದು, AD ಡೈರೆಕ್ಟರಿ ಸೇವೆಗಳ ಆಬ್ಜೆಕ್ಟ್ಗಳೊಂದಿಗೆ ಈವೆಂಟ್ಗಳನ್ನು ತನಿಖೆ ಮಾಡಬಹುದು ಮತ್ತು ಈ ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಗೆ ನೀವು ಒಳಗಾಗುತ್ತೀರಾ ಎಂದು ನಿರ್ಧರಿಸಬಹುದು.
ಮೂಲ: www.habr.com