سڀني حملي آورن جي ضرورت آهي وقت ۽ حوصلا توهان جي نيٽ ورڪ ۾ ٽوڙڻ لاءِ. پر اسان جو ڪم اهو آهي ته هن کي ان ڪم کان روڪيون يا گهٽ ۾ گهٽ هن ڪم کي جيترو ٿي سگهي مشڪل بڻايون. توهان کي ايڪٽو ڊاريڪٽري ۾ ڪمزورين جي نشاندهي ڪرڻ جي ضرورت آهي (هتان بعد ۾ AD جو حوالو ڏنو ويو آهي) جيڪو هڪ حملو ڪندڙ استعمال ڪري سگهي ٿو رسائي حاصل ڪرڻ ۽ نيٽ ورڪ جي چوڌاري منتقل ڪرڻ جي بغير. اڄ هن آرٽيڪل ۾ اسان خطرن جي اشارن تي نظر ڪنداسين جيڪي توهان جي تنظيم جي سائبر دفاع ۾ موجود خطرات کي ظاهر ڪن ٿا، مثال طور AD Varonis ڊيش بورڊ استعمال ڪندي.
حملو ڪندڙ ڊومين ۾ ڪجهه ترتيبن کي استعمال ڪندا آهن
حملو ڪندڙ ڪارپوريٽ نيٽ ورڪ ۾ داخل ٿيڻ ۽ استحقاق کي وڌائڻ لاءِ مختلف قسم جي چالاڪ ٽيڪنالاجي ۽ ڪمزوريون استعمال ڪندا آهن. انهن مان ڪجهه خطرات ڊومين جي ٺاھ جوڙ جي سيٽنگون آھن جيڪي آساني سان تبديل ڪري سگھجن ٿيون ھڪ ڀيرو انھن جي سڃاڻپ ٿي وڃي.
AD ڊيش بورڊ توهان کي فوري طور تي خبردار ڪندو جيڪڏهن توهان (يا توهان جي سسٽم ايڊمنسٽريٽرن) گذريل مهيني KRBTGT پاسورڊ تبديل نه ڪيو آهي، يا جيڪڏهن ڪو ماڻهو ڊفالٽ بلٽ ان ايڊمنسٽريٽر اڪائونٽ سان تصديق ڪئي آهي. اهي ٻه اڪائونٽ توهان جي نيٽ ورڪ تائين لامحدود رسائي فراهم ڪن ٿا: حملو ڪندڙ انهن تائين رسائي حاصل ڪرڻ جي ڪوشش ڪندا ته آساني سان ڪنهن به پابندين کي نظرانداز ڪرڻ ۽ اجازتن تائين رسائي. ۽، نتيجي طور، اهي ڪنهن به ڊيٽا تائين رسائي حاصل ڪن ٿيون جيڪي انهن جي فائدي ۾ آهن.
يقينن، توهان انهن خطرن کي پاڻ ڳولي سگهو ٿا: مثال طور، چيڪ ڪرڻ لاءِ هڪ ڪئلينڊر ياد ڏياريندڙ سيٽ ڪريو يا هي معلومات گڏ ڪرڻ لاءِ پاور شيل اسڪرپٽ هلائڻ.
Varonis ڊيش بورڊ کي اپڊيٽ ڪيو پيو وڃي خودڪار اهم ماپن جي تڪڙي نمائش ۽ تجزيو مهيا ڪرڻ لاءِ جيڪي امڪاني نقصانن کي اجاگر ڪن ٿيون ته جيئن توهان انهن کي حل ڪرڻ لاءِ فوري قدم کڻي سگهو.
3 اهم ڊومين سطح خطري جا اشارا
Varonis ڊيش بورڊ تي موجود ڪجھ ويجيٽس ھيٺ ڏنل آھن، جن جو استعمال ڪارپوريٽ نيٽ ورڪ ۽ مجموعي طور تي IT انفراسٽرڪچر جي تحفظ کي بھتر بڻائيندو.
1. ڊومينز جو تعداد جن لاءِ ڪربروس اڪائونٽ پاسورڊ وڏي عرصي تائين تبديل نه ڪيو ويو آھي
KRBTGT اڪائونٽ AD ۾ هڪ خاص کاتو آهي جيڪو هر شيءِ کي نشانو بڻائيندو آهي . حملو ڪندڙ جيڪي ڊومين ڪنٽرولر تائين رسائي حاصل ڪن ٿا (DC) هي اڪائونٽ ٺاهڻ لاءِ استعمال ڪري سگهن ٿا ، جيڪو انهن کي ڪارپوريٽ نيٽ ورڪ تي تقريبن ڪنهن به سسٽم تائين لامحدود رسائي ڏيندو. اسان هڪ اهڙي صورتحال جو سامنا ڪيو جتي، ڪاميابيءَ سان گولڊن ٽڪيٽ حاصل ڪرڻ کان پوءِ، هڪ حملي آور کي ٻن سالن تائين تنظيم جي نيٽ ورڪ تائين رسائي هئي. جيڪڏهن توهان جي ڪمپني ۾ KRBTGT اڪائونٽ پاسورڊ گذريل چاليهن ڏينهن ۾ تبديل نه ڪيو ويو آهي، ويجيٽ توهان کي ان بابت اطلاع ڏيندو.
چاليهه ڏينهن هڪ حملي آور لاءِ نيٽ ورڪ تائين رسائي حاصل ڪرڻ لاءِ ڪافي وقت کان وڌيڪ آهي. تنهن هوندي، جيڪڏهن توهان هن پاسورڊ کي باقاعده بنياد تي تبديل ڪرڻ جي عمل کي لاڳو ۽ معياري ڪيو ٿا، اهو هڪ حملي ڪندڙ لاء توهان جي ڪارپوريٽ نيٽ ورڪ ۾ ڀڃڻ وڌيڪ ڏکيو ٿيندو.
ياد رهي ته Microsoft جي Kerberos پروٽوڪول جي نفاذ جي مطابق، توهان کي لازمي آهي KRBTGT.
مستقبل ۾، هي AD ويجيٽ توهان کي ياد ڏياريندو جڏهن اهو توهان جي نيٽ ورڪ تي سڀني ڊومينز لاءِ KRBTGT پاسورڊ ٻيهر تبديل ڪرڻ جو وقت آهي.
2. ڊومين جو تعداد جتي تازو ئي استعمال ٿيل ايڊمنسٽريٽر کاتو استعمال ڪيو ويو
جي مطابق - سسٽم ايڊمنسٽريٽرن کي ٻن اڪائونٽن سان مهيا ڪيو ويو آهي: پهريون اڪائونٽ روزمره جي استعمال لاءِ، ۽ ٻيو آهي منصوبابندي ڪيل انتظامي ڪم لاءِ. ان جو مطلب اهو آهي ته ڪنهن کي به ڊفالٽ ايڊمنسٽريٽر اڪائونٽ استعمال نه ڪرڻ گهرجي.
بلٽ ان ايڊمنسٽريٽر اڪائونٽ اڪثر ڪري استعمال ڪيو ويندو آهي سسٽم انتظامي عمل کي آسان ڪرڻ لاءِ. اها خراب عادت بڻجي سگهي ٿي، نتيجي ۾ هيڪنگ. جيڪڏهن اهو توهان جي تنظيم ۾ ٿئي ٿو، توهان کي هن اڪائونٽ جي مناسب استعمال ۽ ممڪن طور تي بدسلوڪي رسائي جي وچ ۾ فرق ڪرڻ ۾ مشڪل هوندي.
جيڪڏهن ويجيٽ صفر کان سواء ٻيو ڪجهه ڏيکاري ٿو، پوء ڪو ماڻهو انتظامي اڪائونٽن سان صحيح ڪم نه ڪري رهيو آهي. انهي صورت ۾، توهان کي درست ڪرڻ لاء قدم کڻڻ گهرجن ۽ ٺاهيل ايڊمنسٽريٽر اڪائونٽ تائين رسائي کي محدود ڪرڻ گهرجي.
هڪ دفعو توهان حاصل ڪيو ويجيٽ جي قيمت صفر ۽ سسٽم ايڊمنسٽريٽر هاڻي هي اڪائونٽ پنهنجي ڪم لاءِ استعمال نه ڪندا، پوءِ مستقبل ۾، ان ۾ ڪا به تبديلي هڪ امڪاني سائبر حملي جي نشاندهي ڪندي.
3. ڊومينز جو تعداد جن وٽ محفوظ استعمال ڪندڙن جو گروپ نه آھي
AD جا پراڻا نسخا ڪمزور انڪرپشن جي قسم جي مدد ڪن ٿا - RC4. هيڪرز ڪيترائي سال اڳ RC4 کي هيڪ ڪيو هو، ۽ هاڻي هڪ حملو ڪندڙ لاءِ اهو هڪ تمام ننڍڙو ڪم آهي جيڪو اڪائونٽ هيڪ ڪرڻ لاءِ جيڪو اڃا تائين RC4 استعمال ڪري رهيو آهي. ونڊوز سرور 2012 ۾ متعارف ٿيل Active Directory جو نسخو متعارف ڪرايو ويو ھڪڙو نئون قسم جو يوزر گروپ جنھن کي Protected Users Group سڏيو ويندو آھي. اهو اضافي حفاظتي اوزار مهيا ڪري ٿو ۽ RC4 انڪرپشن استعمال ڪندي صارف جي تصديق کي روڪي ٿو.
هي ويجيٽ ظاهر ڪندو ته ڇا تنظيم ۾ ڪنهن ڊومين ۾ اهڙو گروپ غائب آهي ته جيئن توهان ان کي درست ڪري سگهو، يعني. محفوظ استعمال ڪندڙن جي هڪ گروپ کي فعال ڪريو ۽ ان کي استعمال ڪريو انفراسٽرڪچر جي حفاظت لاءِ.
حملي آورن لاءِ آسان ھدف
يوزر اڪائونٽس حملا آورن لاءِ نمبر ون ھدف آھن، شروعاتي مداخلت جي ڪوششن کان وٺي استحقاق جي مسلسل واڌ ۽ انھن جي سرگرمين کي لڪائڻ لاءِ. حملو ڪندڙ بنيادي PowerShell ڪمانڊ استعمال ڪندي توهان جي نيٽ ورڪ تي سادو هدف ڳوليندا آهن جن کي ڳولڻ اڪثر مشڪل هوندو آهي. ھٽايو انھن مان گھڻا آسان ھدف AD مان جيترو ٿي سگھي.
حملو ڪندڙ صارفين کي ڳولي رهيا آهن جيڪي ڪڏهن به ختم نه ٿيڻ وارا پاسورڊ آهن (يا جن کي پاسورڊ جي ضرورت ناهي)، ٽيڪنالاجي اڪائونٽ جيڪي منتظم آهن، ۽ اڪائونٽ جيڪي ورثي RC4 انڪرپشن استعمال ڪندا آهن.
انهن مان ڪنهن به اڪائونٽ تائين رسائي يا عام طور تي نگراني نه ڪئي وئي آهي. حملو ڪندڙ انهن اڪائونٽن تي قبضو ڪري سگهن ٿا ۽ آزاديءَ سان توهان جي انفراسٽرڪچر جي اندر منتقل ٿي سگهن ٿا.
هڪ دفعو حملو ڪندڙ سيڪيورٽي جي دائري ۾ داخل ٿي ويندا آهن، اهي ممڪن طور تي گهٽ ۾ گهٽ هڪ اڪائونٽ تائين رسائي حاصل ڪندا. ڇا توھان انھن کي روڪي سگھوٿا انھن کي حساس ڊيٽا تائين پھچڻ کان پھريائين حملي جو پتو لڳايو ويو آھي ۽ ان تي مشتمل آھي؟
Varonis AD ڊيش بورڊ خطرناڪ استعمال ڪندڙ اڪائونٽن جي نشاندهي ڪندو ته جيئن توهان مسئلن کي حل ڪري سگھوٿا فعال طور تي. توهان جي نيٽ ورڪ ۾ داخل ٿيڻ وڌيڪ ڏکيو آهي، بهتر توهان جي حملي ڪندڙ کي غير جانبدار ڪرڻ جا موقعا ان کان اڳ جو اهي سنجيده نقصان پهچائي.
يوزر اڪائونٽس لاءِ 4 اهم خطري جا اشارا
هيٺيون مثال آهن Varonis AD ڊيش بورڊ ويجيٽس جيڪي نمايان ڪن ٿيون سڀ کان وڌيڪ ڪمزور صارف اڪائونٽس.
1. فعال استعمال ڪندڙن جو تعداد پاسورڊ سان جيڪي ڪڏهن به ختم نه ٿيندا آهن
ڪنهن به حملي آور لاءِ اهڙي اڪائونٽ تائين رسائي حاصل ڪرڻ هميشه وڏي ڪاميابي آهي. جيئن ته پاسورڊ ڪڏهن به ختم نه ٿيندو آهي، حملي ڪندڙ کي نيٽ ورڪ ۾ هڪ مستقل قدم آهي، جيڪو پوء استعمال ڪري سگهجي ٿو يا انفراسٽرڪچر جي اندر حرڪت.
حملو ڪندڙن وٽ لکين صارفن جي پاسورڊ جي مجموعن جون لسٽون آھن جيڪي اھي استعمال ڪن ٿا معتبر سامان حملن ۾، ۽ امڪان اھو آھي
ته "ابدي" پاسورڊ سان استعمال ڪندڙ لاء ميلاپ انهن فهرستن مان هڪ ۾ آهي، صفر کان گهڻو وڌيڪ.
غير ختم ٿيڻ واري پاسورڊ سان اڪائونٽس منظم ڪرڻ آسان آهن، پر اهي محفوظ نه آهن. هي ويجيٽ استعمال ڪريو سڀني اڪائونٽن کي ڳولڻ لاءِ جن وٽ اهڙا پاسورڊ آهن. ھن سيٽنگ کي تبديل ڪريو ۽ پنھنجو پاسورڊ اپڊيٽ ڪريو.
هڪ دفعو هن ويجيٽ جي قيمت صفر تي مقرر ڪئي وئي آهي، انهي پاسورڊ سان ٺاهيل ڪو به نوان اڪائونٽ ڊيش بورڊ ۾ ظاهر ٿيندا.
2. SPN سان انتظامي اڪائونٽن جو تعداد
SPN (Service Principal Name) خدمت جي مثال جو هڪ منفرد سڃاڻپ ڪندڙ آهي. هي ويجيٽ ڏيکاري ٿو ته ڪيترا سروس اڪائونٽس مڪمل منتظم جا حق آهن. ويجيٽ تي قيمت صفر هجڻ گهرجي. انتظامي حقن سان گڏ SPN ٿئي ٿو ڇو ته اهڙن حقن کي ڏيڻ سافٽ ويئر وينڊرز ۽ ايپليڪيشن ايڊمنسٽريٽرن لاءِ آسان آهي، پر اهو هڪ سيڪيورٽي خطرو آهي.
سروس اڪائونٽ انتظامي حق ڏيڻ هڪ حملي ڪندڙ کي اجازت ڏئي ٿو ته هڪ اڪائونٽ تائين مڪمل رسائي حاصل ڪري جيڪا استعمال ۾ نه آهي. هن جو مطلب آهي ته حملو ڪندڙ SPN اڪائونٽن تائين رسائي سان آزاديءَ سان ڪم ڪري سگهن ٿا انفراسٽرڪچر جي اندر انهن جي سرگرمين جي نگراني کان سواءِ.
توھان ھي مسئلو حل ڪري سگھوٿا سروس اڪائونٽس تي اجازتون تبديل ڪندي. اهڙن اڪائونٽس کي گهٽ ۾ گهٽ استحقاق جي اصول سان مشروط هجڻ گهرجي ۽ انهن کي صرف اها پهچ هوندي جيڪا اصل ۾ انهن جي آپريشن لاءِ ضروري هجي.
ھن ويجيٽ کي استعمال ڪندي، توھان انھن سڀني SPNs کي ڳولي سگھو ٿا جن وٽ انتظامي حق آھن، اھڙين مراعات کي ختم ڪريو، ۽ پوءِ SPNs مانيٽر ڪري سگھوٿا گھٽ ۾ گھٽ مراعات يافته رسائي جو ساڳيو اصول استعمال ڪندي.
نئون ظاهر ٿيندڙ SPN ڊيش بورڊ تي ڏيکاريو ويندو، ۽ توھان ھن عمل جي نگراني ڪرڻ جي قابل ٿي ويندا.
3. استعمال ڪندڙن جو تعداد جن کي Kerberos کان اڳ جي تصديق جي ضرورت ناهي
مثالي طور، Kerberos AES-256 انڪرپشن استعمال ڪندي تصديق واري ٽڪيٽ کي انڪرپٽ ڪري ٿو، جيڪو اڄ تائين ناقابل برداشت آهي.
بهرحال، ڪربروس جا پراڻا ورجن RC4 انڪرپشن استعمال ڪندا هئا، جيڪي هاڻي منٽن ۾ ٽوڙي سگھجن ٿيون. هي ويجيٽ ڏيکاري ٿو ته ڪهڙن يوزر اڪائونٽس اڃا تائين RC4 استعمال ڪري رهيا آهن. Microsoft اڃا تائين RC4 کي پسمانده مطابقت لاءِ سپورٽ ڪري ٿو، پر ان جو مطلب اهو ناهي ته توهان ان کي پنهنجي AD ۾ استعمال ڪريو.
هڪ دفعو توهان اهڙن اڪائونٽن کي سڃاڻي ورتو آهي، توهان کي AD ۾ چيڪ بڪس کي چيڪ ڪرڻ جي ضرورت آهي "ڪيربروس کان اڳ اختيار ڪرڻ جي ضرورت ناهي".
انهن اڪائونٽن کي پنهنجي طور تي دريافت ڪرڻ، Varonis AD ڊيش بورڊ جي بغير، گهڻو وقت وٺندو آهي. حقيقت ۾، سڀني اڪائونٽن کان واقف ٿي رهيو آهي جيڪي RC4 انڪرپشن استعمال ڪرڻ لاء ايڊٽ ڪيا ويا آهن هڪ اڃا به وڌيڪ ڏکيو ڪم آهي.
جيڪڏهن ويجيٽ تي قيمت تبديل ٿي وڃي، اهو ظاهر ڪري سگھي ٿو غير قانوني سرگرمي.
4. پاسورڊ کان سواء استعمال ڪندڙن جو تعداد
حملو ڪندڙ بنيادي پاور شيل ڪمانڊ استعمال ڪن ٿا ”PASSWD_NOTREQD“ جھنڊو پڙهڻ لاءِ AD کان اڪائونٽ پراپرٽيز ۾. ھن پرچم جو استعمال ظاھر ڪري ٿو ته ڪو به پاسورڊ گھرجون يا پيچيدگي جي ضرورت نه آھي.
هڪ سادي يا خالي پاسورڊ سان اڪائونٽ چوري ڪرڻ ڪيترو آسان آهي؟ هاڻي تصور ڪريو ته انهن اڪائونٽن مان هڪ هڪ منتظم آهي.
ڇا جيڪڏھن ھزارين ڳجھي فائلن مان ھڪڙي سڀني لاءِ کليل آھي ايندڙ مالي رپورٽ آھي؟
لازمي پاسورڊ جي گهرج کي نظر انداز ڪرڻ هڪ ٻيو سسٽم انتظامي شارٽ ڪٽ آهي جيڪو گهڻو ڪري ماضي ۾ استعمال ڪيو ويندو هو، پر اڄ نه قابل قبول آهي ۽ نه ئي محفوظ آهي.
ھن مسئلي کي حل ڪريو انھن اڪائونٽن لاءِ پاسورڊ تازه ڪاري ڪندي.
مستقبل ۾ هن ويجيٽ جي نگراني ڪرڻ ۾ توهان کي پاسورڊ کان سواءِ اڪائونٽس کان بچڻ ۾ مدد ملندي.
Varonis بيحد برابر ڪري ٿو
ماضي ۾، هن آرٽيڪل ۾ بيان ڪيل ميٽرڪس کي گڏ ڪرڻ ۽ تجزيو ڪرڻ جي ڪم ۾ ڪيترائي ڪلاڪ لڳندا هئا ۽ PowerShell جي گهري ڄاڻ جي ضرورت هوندي هئي، سيڪيورٽي ٽيمن کي هر هفتي يا مهيني اهڙن ڪمن لاء وسيلن کي مختص ڪرڻ جي ضرورت هوندي هئي. پر هن معلومات جي دستيابي گڏ ڪرڻ ۽ پروسيسنگ حملي ڪندڙن کي ڊيٽا چوري ڪرڻ ۽ چوري ڪرڻ جي شروعات ڪري ٿي.
С توهان AD ڊيش بورڊ ۽ اضافي اجزاء کي ترتيب ڏيڻ لاءِ هڪ ڏينهن خرچ ڪندا، بحث ڪيل سڀني ڪمزورين کي گڏ ڪرڻ ۽ ٻيا ڪيترائي. مستقبل ۾، آپريشن دوران، مانيٽرنگ پينل خودڪار طور تي اپڊيٽ ڪيو ويندو جيئن بنيادي ڍانچي جي تبديلين جي حالت.
سائبر حملن کي کڻڻ هميشه حملي آورن ۽ محافظن جي وچ ۾ هڪ نسل آهي، حملي ڪندڙ ڊيٽا چوري ڪرڻ جي خواهش کان اڳ سيڪيورٽي ماهر ان تائين رسائي کي بلاڪ ڪري سگهن ٿا. حملي آورن ۽ انهن جي غير قانوني سرگرمين جي ابتدائي سڃاڻپ، مضبوط سائبر دفاعن سان گڏ، توهان جي ڊيٽا کي محفوظ رکڻ لاءِ اهم آهي.
جو ذريعو: www.habr.com