Drei Cyberangriffe, bei denen kompromittierte Dienstkonten eine Schlüsselrolle spielten
May 11th, 2023 Zev Brodsky
Die Sicherung von Dienstkonten ist eine bekanntermaßen schwierige Aufgabe. Einer der Hauptgründe für diese Schwierigkeit ist das Dienstkonten werden oft vergessen und unbeaufsichtigt gelassen. Dies führt dazu, dass niemand ihre Verwendung verfolgt oder überprüft, ob sie nicht von böswilligen Akteuren kompromittiert und verwendet werden.
Darüber hinaus ist es eine große Herausforderung, die Transparenz dieser Konten auf Null zu beschränken Sicherung von Dienstkonten. Auch die mangelnde Transparenz der Dienstkonten macht sie zu einem attraktiven Ziel für Bedrohungsakteure. Diese Konten können verwendet werden, um unbefugten Zugriff auf vertrauliche Daten, Systeme und Ressourcen zu erhalten, und bewegen sich in vielen Fällen seitlich in der Umgebung einer Organisation. Die Folgen eines erfolgreichen Angriffs auf ein Dienstkonto können schwerwiegend sein, darunter Datendiebstahl, Systemkompromittierung und sogar vollständige Netzwerkübernahmen.
In diesem Beitrag untersuchen wir die spezifischen Angriffstechniken, die Bedrohungsakteure nutzen, wenn sie Dienstkonten ins Visier nehmen, und heben einige bekannte Datenschutzverletzungen hervor, bei denen Dienstkonten kompromittiert wurden und den Angreifern dabei geholfen haben, seitlich auszuweichen.
Inhaltsverzeichnis
Angriffsmethoden zur Kompromittierung und Nutzung von Dienstkonten
Bedrohungsakteure wenden verschiedene Techniken an, um Dienstkonten zu kompromittieren und zu nutzen. Werfen wir einen genaueren Blick auf die am häufigsten verwendeten Identitätsbasierter Angriff verwendete Methoden und wie gezielt diese auf Dienstkonten abzielen.
Brute Force
Ein Brute-Force-Angriff ist die von Bedrohungsakteuren am häufigsten verwendete Methode, bei der versucht wird, ein Passwort oder einen Verschlüsselungsschlüssel zu erraten, indem alle möglichen Zeichenkombinationen ausprobiert werden, bis die richtige gefunden wird. Diese Methode ist besonders effektiv gegen schwache oder leicht zu erratende Passwörter. Bedrohungsakteure verwenden häufig automatisierte Tools, um schnell verschiedene Passwörter auszuprobieren, bis sie eines finden, das funktioniert.
Bedrohungsakteure nutzen häufig Brute-Force-Angriffe, um Dienstkonten zu kompromittieren, die über schwache Passwörter oder keine Passwortrichtlinien verfügen, und versuchen manchmal auch, die Sicherheitsmaßnahmen zu umgehen, die zum Schutz vor dieser Art von Angriffen vorhanden sind.
Kerberasting
Ein Kerberoasting-Angriff ist eine Angriffsart, die auf Folgendes abzielt Kerberos Authentifizierungsprotokoll, um den Passwort-Hash eines Benutzers zu erhalten Active Directory mit Service Principal Name (SPN)-Werten – wie zum Beispiel Dienstkonten.
Der Bedrohungsakteur identifiziert zunächst die Zielbenutzer, denen SPNs zugeordnet sind. Anschließend fordern sie ein Kerberos-Dienstticket für einen bestimmten SPN an, der einem Benutzerkonto zugeordnet ist. Das Serviceticket wird mit dem Hash des Benutzers verschlüsselt. Anschließend ist der Bedrohungsakteur in der Lage, durch Offline-Cracking an den Hash selbst zu gelangen und das ursprüngliche Klartext-Passwort zu reproduzieren.
Dienstkonten werden oft ins Visier genommen, da ihnen oft SPNs zugeordnet sind, die dann zum Anfordern von Servicetickets für andere verwendet werden können Benutzerkonten.
Pass-The-Hash
Bei einem Pass-the-Hash-Angriff kann der Bedrohungsakteur einen Passwort-Hash verwenden, um eine NTLM-Authentifizierung bei anderen Systemen oder Diensten im Netzwerk durchzuführen, ohne das tatsächliche Passwort kennen zu müssen.
Um einen Pass-the-Hash-Angriff durchzuführen, erhält der Bedrohungsakteur zunächst den Passwort-Hash des Dienstkontos, indem er ihn entweder aus dem Speicher eines kompromittierten Endpunkts extrahiert oder den Authentifizierungsverkehr des Dienstkontos abfängt.
Berüchtigte Cyber-Angriffe, bei denen kompromittierte Dienstkonten genutzt wurden
In den letzten Jahren kam es zu mehreren aufsehenerregenden Datenverstößen, bei denen Dienstkonten erfolgreich von Bedrohungsakteuren kompromittiert wurden. Diese Angriffe sind klare Beispiele dafür, wie Bedrohungsakteure kompromittierte Dienstkonten angreifen und nutzen, um seitlich vorzudringen. Durch das Verständnis dieser Fälle können wir die mit ungesicherten Dienstkonten verbundenen Risiken und die Maßnahmen, die Unternehmen zur Risikominderung ergreifen können, besser einschätzen.
SolarWinds
Der SolarWinds-Angriff war ein Angriff auf die Lieferkette im Dezember 2020. Bedrohungsakteure haben den Erstellungsprozess der IT-Verwaltungsplattform SolarWinds Orion kompromittiert und eine bösartige Hintertür in die Codebasis eingefügt. Diese Hintertür wurde dann über legitime Software-Updates an zahlreiche Organisationen verteilt. Nach der Installation in den Zielnetzwerken ermöglichte die Hintertür den Bedrohungsakteuren dauerhaften Zugriff auf die Zielsysteme und ermöglichte es ihnen, Daten zu exfiltrieren und sich seitlich innerhalb der Netzwerke zu bewegen.
Wie Dienstkonten beteiligt waren
Dienstkonten spielten beim SolarWinds-Angriff eine entscheidende Rolle. Kompromittierte Dienstkonten wurden von den Bedrohungsakteuren genutzt, um sich seitlich durch die Zielnetzwerke zu bewegen und auf deren Ressourcen zuzugreifen. Die Bedrohungsakteure hatten es auf Dienstkonten mit hohen Berechtigungen abgesehen, die ihnen den Zugriff auf kritische Systeme und Daten ermöglichten.
Nachdem die Bedrohungsakteure Zugriff auf die IT-Verwaltungsplattform SolarWinds Orion erhalten hatten, konnten sie die Anmeldeinformationen für mehrere Dienstkonten von SolarWinds erhalten. Sobald diese Konten kompromittiert wurden, nutzten die Bedrohungsakteure die SolarWinds-Dienstkonten, um sich seitlich durch das Netzwerk zu bewegen, bis sie den ADFS-Server erreichten.
US-Amt für Personalmanagement
Der Datenschutzverstoß der Büro für Personalmanagement der Vereinigten Staaten (OPM) wurde im Juni 2015 entdeckt. Dies war ein klassisches Beispiel für eine staatlich geförderte Cyberspionageoperation der chinesischen Advanced Persistent Threat (APT). Der OPM-Verstoß wurde durch mehrere technische und architektonische Lücken in der IT-Infrastruktur der Behörde begünstigt, durch die Bedrohungsakteure mithilfe gestohlener Zugangsdaten eines Drittanbieters Zugriff auf die Systeme von OPM erhalten konnten privilegiert Zugriff auf ihr Netzwerk.
Wie Dienstkonten beteiligt waren
Die Angreifer verschafften sich zunächst über eine Spear-Phishing-E-Mail Zugang zum OPM-Netzwerk und konnten so an die Anmeldedaten mehrerer OPM-Auftragnehmer gelangen. Sobald die Bedrohungsakteure im Netzwerk waren, nutzten sie die kompromittierten Anmeldeinformationen, um Zugriff auf mehrere Dienstkonten zu erhalten, darunter auch auf das Dienstkonto des Auftragnehmers von KeyPoint Government Solutions (KGS). Dieses Konto verfügte über umfassende Berechtigungen und wurde zur Verwaltung und Verwaltung kritischer OPM-Systeme verwendet.
Die Bedrohungsakteure nutzten das Dienstkonto des KGS-Auftragnehmers, um sich seitlich durch das Netzwerk zu bewegen und auf sensible Daten zuzugreifen, darunter die Hintergrundermittlungsaufzeichnungen von Millionen aktueller und ehemaliger Bundesangestellter. Die Bedrohungsakteure konnten diese Daten über mehrere Monate hinweg exfiltrieren und blieben in dieser Zeit unentdeckt. Sie nutzten die Dienstkonten auch, um Hintertüren im Netzwerk zu erstellen, die es ihnen ermöglichten, den Zugriff auf das Netzwerk auch nach der Entdeckung des ersten Verstoßes aufrechtzuerhalten.
Marriott
Im Jahr 2018 veröffentlicht, der Marriott-Angriff war einer der größten Datenschutzverstöße aller Zeiten. Über einen Drittanbieter, der Zugriff auf die Reservierungsdatenbank von Marriott hatte, verschafften sich Bedrohungsakteure Zugang zu den Systemen des Unternehmens. Sobald sie sich im Netzwerk befanden, konnten sie sich seitlich bewegen und die Privilegien bei Marriott ausweiten Active Directory Infrastruktur. Nach dem Zugriff installierten die Bedrohungsakteure Schadsoftware, mit der über mehrere Jahre hinweg Daten gestohlen wurden. Der Verstoß blieb monatelang unentdeckt, was den Bedrohungsakteuren ausreichend Zeit gab, große Datenmengen zu stehlen.
Wie Dienstkonten beteiligt waren
Bedrohungsakteure konnten die Anmeldeinformationen von zwei privilegierten Dienstkonten mit Administratorzugriff auf Domänenebene erhalten. Sie führten einen Pass-the-Hash-Angriff durch, bei dem die Bedrohungsakteure die Passwort-Hashes nutzten, um Dienstkonten mit hohen Berechtigungen für den Zugriff auf das Starwood-Reservierungssystem von Marriott zu kompromittieren, das die sensiblen persönlichen und finanziellen Informationen von Millionen von Gästen enthielt.
Diese Dienstkonten hatten Zugriff auf sensible Systeme und Daten im gesamten Marriott-Netzwerk, und ihre Kompromittierung ermöglichte es den Angreifern, sich seitlich durch das Netzwerk zu bewegen und ihre Privilegien über einen längeren Zeitraum auszuweiten, ohne von den Sicherheitskontrollen von Marriott entdeckt zu werden.
Der rote Faden: Kompromittierung des Dienstkontos
In jedem dieser Fälle konnten sich Bedrohungsakteure unbefugten Zugriff auf sensible Systeme oder Daten verschaffen, indem sie kompromittierte Dienstkonten nutzten, um sich seitlich im Netzwerk ihres Opfers zu bewegen. Diese Verstöße verdeutlichen, wie wichtig es ist, Dienstkonten ordnungsgemäß zu verwalten und zu sichern, um unbefugten Zugriff zu verhindern und das Risiko von Verstößen zu verringern.
Als nächstes: Dienstkonten sichern mit Silverfort
Nachdem wir nun die Angriffsmethoden besprochen haben, die von Bedrohungsakteuren bei der Bekämpfung von Dienstkonten eingesetzt werden, und schwerwiegende Verstöße hervorgehoben haben, bei denen Dienstkonten involviert waren, wird unser nächster Beitrag zeigen, wie das geht Silverfort hilft Unternehmen, Dienstkonten zu erkennen, zu überwachen und zu schützen, indem es vollständige Transparenz, Risikoanalyse und adaptive Zugriffsrichtlinien bietet, ohne dass eine Passwortrotation erforderlich ist.
