今年发现 这种攻击允许任何域用户获取域管理员权限,并危害 Active Directory (AD) 和其他连接的主机。今天,我们将解释这种攻击的工作原理以及如何检测它。
这种攻击的运作方式如下:
- 攻击者接管任何拥有活动邮箱的域用户的帐户,以订阅 Exchange 推送通知功能。
- 攻击者使用 NTLM 中继来欺骗 Exchange 服务器:Exchange 服务器最终通过 HTTP 使用 NTLM 连接到受感染用户的计算机,然后攻击者使用该连接通过 LDAP 使用 Exchange 帐户凭据对域控制器进行身份验证。
- 最终,攻击者会利用这些 Exchange 帐户权限来提升自身权限。这最后一步也可能由已经拥有合法访问权限的恶意管理员执行,他们可以进行必要的权限更改。通过创建规则来检测此类活动,您可以保护自己免受此类攻击。
例如,攻击者随后可以运行 DCSync 来获取所有域用户的哈希密码。这将使他们能够实施各种类型的攻击,从黄金票据攻击到哈希传递攻击。
Varonis 研究团队已对这种攻击途径进行了详细研究,并为我们的客户准备了指南,以帮助他们检测这种攻击途径并验证他们是否已被入侵。
域权限提升检测
В 创建自定义规则以监控特定对象权限的更改。当域中目标对象被添加权限时,该规则将被触发:
- 指定规则名称
- 将类别设置为“权限提升”
- 将资源类型设置为“所有资源类型”
- 文件服务器 = 目录服务
- 请指定您感兴趣的域名,例如,按名称。
- 添加筛选器以向 AD 对象添加权限
- 别忘了取消勾选“在子对象中搜索”选项。
现在来看报告:检测域对象权限的更改
AD 对象权限的更改非常罕见,因此任何触发此警告的情况都应进行调查。此外,在实际实施规则之前,最好先测试一下报告的外观和内容。
这份报告还会显示您是否已经受到此次攻击的影响:
规则启用后,您可以使用 DatAlert Web 界面调查所有其他权限提升事件:
通过配置此规则,您可以监控和防范这些及类似类型的安全漏洞,调查涉及 AD 目录服务对象的事件,并验证您是否面临此严重漏洞的风险。
来源: habr.com
