Suche

Sprache

Dienstkonten spielten wahrscheinlich eine Schlüsselrolle beim SunBurst-Angriff

January 24th, 2021

Startseite » Blog » Dienstkonten spielten wahrscheinlich eine Schlüsselrolle beim SunBurst-Angriff

***** Von Gal Sadeh, Lead Data Scientist, Silverfort *****

Forschung, die wir bei durchgeführt haben Silverfort Labs weist darauf hin, dass Dienstkonten wahrscheinlich eine Schlüsselrolle bei der Fähigkeit der SolarWinds-Angreifer gespielt haben, sich seitlich in der Umgebung des Opfers zu bewegen. Dies sollte als Weckruf für die Interessenvertreter der Unternehmenssicherheit dienen. Dienstkonten sind eine anfällige und sensible Angriffsfläche, die geschützt werden muss, um die allgemeine Sicherheitslage einer Organisation zu stärken. Der Silverfort Die Unified Identity Protection-Plattform schützt Dienstkonten als Teil seines ganzheitlichen Schutzes aller Konten im hybriden Netzwerk. Dieser Artikel enthält sowohl eine technische Analyse der Verhaltensmuster von SolarWinds-Dienstkonten als auch eine Demonstration der Vorgehensweise Silverfort Zugriffsrichtlinien hätten vor einem Angriffsszenario schützen können, das diese Konten nutzt seitliche Bewegung und Zugriff auf Unternehmensressourcen.

Inhaltsverzeichnis

  • Modellieren des Verhaltens von SolarWinds-Dienstkonten
  • Dienstkontotyp 1: RPCSS-Scanner
  • Dienstkontotyp 2: Allgemeiner Scanner
  • Dienstkontotyp Nr. 3: LDAP-Scanner
  • Silverfort Schutz vor Kompromittierung von SunBurst-Dienstkonten
  • Dienstkontotyp Nr. 1: RPCSS-Scanner
  • Dienstkontotyp Nr. 2: Allgemeiner Scanner
  • Dienstkontotyp Nr. 3: LDAP-Scanner
  • Abschließende Überlegungen

    • Modellieren des Verhaltens von SolarWinds-Dienstkonten

    Zum Schutz vor seitlicher Bewegung Basierend auf dem Diebstahl von Anmeldeinformationen für Dienstkonten ist es wichtig, zunächst das normale Verhalten von Dienstkonten zu verstehen. Dadurch können wir zwischen erwarteten Verhaltensmustern und Mustern unterscheiden, die Angreifer charakterisieren. Beispielsweise verwendet das SolarWinds-Dienstkonto normalerweise nicht das Remote Desktop Protocol (RDP), um sich bei anderen Computern zu authentifizieren. Jede Verwendung dieses Protokolls durch dieses Dienstkonto wäre ein Warnsignal.

    Zu diesem Zweck haben wir Authentifizierungsdaten sowie Erkenntnisse aus kontrollierten Angriffssimulationen analysiert und drei Arten von Dienstkonten untersucht, die SolarWinds verwendet, um Netzwerke zu scannen und auf zusätzliche Maschinen zuzugreifen. In den von uns untersuchten Angriffsszenarien können diese Konten als primär verwendet werden Methode zur seitlichen Bewegung. Angesichts der relativ einfachen Verwendung für diesen Zweck ist es wahrscheinlich, dass sie auch für die Durchführung der SunBurst-Angriffe ausgenutzt wurden.

    Beginnen wir damit, das Standardverhalten für Dienstkonten zu verstehen. Die Diagramme in diesem Abschnitt zeigen einen SolarWinds-Server als mittleren Knoten mit Kanten, die ihn mit verschiedenen Computern im Netzwerk verbinden.

    Hinweis – Die tatsächlichen Namen der Konten werden von den Benutzern in jeder spezifischen Umgebung konfiguriert. Wir haben daher jedem Typ einen aussagekräftigen Namen gegeben, der auf seinem Authentifizierungsverhalten basiert.

    Dienstkontotyp 1: RPCSS-Scanner

    • Aktivität: Scannt das Netzwerk mit dem RPCSS-Dienst, um andere Computer im Netzwerk fernzusteuern. Mit RPCSS kann der Benutzer fast alles auf dem Remote-Computer tun, einschließlich der Möglichkeit, Code auszuführen
    • Authentifizierungsprotokoll: Kerberos
    • Dienstprinzipalnamen (SPNs):Cifs, DNS, RPCSS, HOST, KRBTGT und LDAP.
    • Vorhersehbarkeit: High
    • Verhaltensmuster:
    Diagramm 1: Aktivitätsmuster des RPCSS Scanner-Dienstkontos
Diagramm 1: Aktivitätsmuster des RPCSS Scanner-Dienstkontos

    Dienstkontotyp 2: Allgemeiner Scanner

    • Aktivität: Scannt das Netzwerk mit verschiedenen Protokollen und verwendet nach Möglichkeit RPCSS, um Zugriff auf erhöhte Berechtigungen auf einem Remotecomputer zu erhalten. Gelegentlich verwendet diese Art von Dienstkonto NTLM.
    • Authentifizierungsprotokolle: NTLM, Kerberos
    • SPNs: RPCSS, HOST, KRBTGT und LDAP
    • Vorhersehbarkeit: Mittel. Während sich ein Teil der Aktivität in Bezug auf die Zeit und die aufgerufenen Maschinen wiederholt, gibt es viele Aktivitäten, die keinem deterministischen Muster zugeordnet werden können.
    • Verhaltensmuster:
    Diagramm 2: Aktivitätsmuster des allgemeinen Scanner-Dienstkontos
    Diagramm 2: Aktivitätsmuster des allgemeinen Scanner-Dienstkontos

    Dienstkontotyp Nr. 3: LDAP-Scanner

    • Aktivität: Führt alle 12 Stunden eine LDAP-Abfrage durch, um Änderungen im AD nachzuverfolgen.
    • Authentifizierungsprotokoll: LDAP
    • Vorhersehbarkeit: High
    • Verhaltensmuster:
    • Diagramm 3: Aktivitätsmuster des LDAP-Scanner-Dienstkontos

Diagramm 3: Aktivitätsmuster des LDAP-Scanner-Dienstkontos

      Eine detailliertere Aktivitätsaufschlüsselung dieses Dienstkontos finden Sie hier:

    • Diagramm 4: Detaillierte Aktivitätsaufschlüsselung des LDAP-Scanner-Dienstkontos 
      Diagramm 4: Detaillierte Aktivitätsaufschlüsselung des LDAP-Scanner-Dienstkontos

      Silverfort Schutz vor Kompromittierung von SunBurst-Dienstkonten

      Silverfort's Unified Identitätsschutz Die Plattform verwendet dedizierte Zugriffsrichtlinien, um die Verwendung kompromittierter SolarWinds-Dienstkonten für laterale Bewegungen zu verhindern. Die Richtlinie bei der Erstellung der Richtlinien bestand darin, das Standardverhalten der Konten zu erfassen und jede erkannte Abweichung zu blockieren und zu melden. Solche Abweichungen, so geringfügig sie auch sein mögen, sind seitens des Angreifers erforderlich, und eine Blockierung oder ein Verbot dieser Abweichungen würde es der Organisation ermöglichen, rechtzeitig auf die Bedrohung zu reagieren und den Angriff zu vereiteln.

      Dienstkontotyp Nr. 1: RPCSS-Scanner

      Das Standardverhalten dieses Dienstkontos ist die Authentifizierung nur mit Kerberos. Eine Silverfort Zugriffsrichtlinie, die verhindert, dass dieses Konto eine NTLM-Authentifizierung durchführt, würde verhindern, dass es für laterale Bewegungen missbraucht wird. Sie sollten auch sicherstellen, dass sich der Scanner nur mit den zulässigen Kerberos-SPNs bei den bekannten Servern authentifiziert. In der Richtlinie unten werden diese in den Servernamen im Feld Ziel dargestellt. Beachten Sie, dass NTLM zwar vollständig blockiert ist, der Kerberos-Teil der Richtlinie jedoch detaillierter ist und nur für die SPN gilt, die nicht Teil der normalen Zugriffsliste des Kontos sind (siehe Diagramm 7).

      Abbildung 5:Silverfort Schutzrichtlinie „RPCSS-Scanner“.

    • Abbildung 5:Silverfort Schutzrichtlinie „RPCSS-Scanner“.

      Dienstkontotyp Nr. 2: Allgemeiner Scanner

      Diese Art von Dienstkonto weist ein unvorhersehbares Verhalten auf, was eine größere Schutzherausforderung darstellt. Was jedoch vorhersehbar ist, ist der Computer, auf den dieses Konto normalerweise zugreift. Eine Richtlinie, die den Zugriff dieses Kontos nur auf diese Computer beschränkt, würde das Risiko beseitigen, dass es für den Zugriff auf andere sensible Ressourcen verwendet wird:

      Abbildung 6:Silverfort Schutzrichtlinie „Allgemeiner Scanner“.

      Abbildung 6:Silverfort Schutzrichtlinie „Allgemeiner Scanner“.

      Wählen Sie für beide oben genannten Richtlinien nur den relevanten SPN aus, den jeder Scanner verwendet, zum Beispiel:

      Abbildung 7: Silverfort Granularer Schutz der Kerberos-Dienste für RPCSS- und allgemeine Zugriffsrichtlinien

    • Abbildung 7: Silverfort Granularer Schutz der Kerberos-Dienste für RPCSS- und allgemeine Zugriffsrichtlinien

      Dienstkontotyp Nr. 3: LDAP-Scanner

      Dienstkonten dieses Typs haben ein sehr vorhersehbares Verhalten – sie führen alle 12 Stunden LDAP-Abfragen an eine bestimmte Gruppe von Computern durch. Eine Richtlinie, die die Zielressource dieser Konten auf diese Gruppe von Computern beschränkt und es diesen Konten ermöglicht, sich nur mit LDAP zu authentifizieren, würde dies tun eliminieren das Risiko einer seitlichen Bewegung die sie einführen.

      Abbildung 8: Silverfort Schutzrichtlinie „LDAP-Scanner“.
      Abbildung 8: Silverfort Schutzrichtlinie „LDAP-Scanner“.

      Abschließende Überlegungen

      In der heutigen Bedrohungslandschaft ist der Schutz vor der Verwendung kompromittierter Anmeldeinformationen für den Zugriff auf vertrauliche Ressourcen oft ein fehlendes Glied im Sicherheitspaket der meisten Unternehmen. Der SunBurst-Angriff zeigt einmal mehr, dass dieser Mangel an Schutz ein kritisches Risiko darstellt. Silverfort Einheitlicher Identitätsschutz Die Plattform wurde speziell entwickelt, um der wachsenden Bedrohung durch Identitätsangriffe für Ihr Unternehmen entgegenzutreten und sie zu bekämpfen.

    • Erfahren Sie mehr darüber Silverfort Dienstkontoschutz hier.

    Bereit für eine Demo?
    Heute anmelden.

    Kürzliche Posts

    2. Mai 2024

    Silverfort stellt Forschungsergebnisse auf der RSA 2024 vor: Verwendung von MITM zur Umgehung moderner Authentifizierungsmethoden für SSO

    April 24th, 2024

    5 Möglichkeiten, Ihre AD-Hygiene zu verbessern Silverfort  

    March 26th, 2024

    Der Identity Underground Report: Tiefer Einblick in die kritischsten Sicherheitslücken im Identitätsbereich  

    März 2nd, 2024

    MFA-Schutz für Air-Gap-Netzwerke
    mehr

    Folgen Sie uns

    Stoppen Sie Identitätsbedrohungen jetzt