Dienstkonten spielten wahrscheinlich eine Schlüsselrolle beim SunBurst-Angriff

***** Von Gal Sadeh, Lead Data Scientist, Silverfort *****

Forschung, die wir bei durchgeführt haben Silverfort Labs weist darauf hin, dass Dienstkonten wahrscheinlich eine Schlüsselrolle bei der Fähigkeit der SolarWinds-Angreifer gespielt haben, sich seitlich in der Umgebung des Opfers zu bewegen. Dies sollte als Weckruf für die Interessenvertreter der Unternehmenssicherheit dienen. Service Accounts sind eine anfällige und sensible Angriffsfläche, die geschützt werden muss, um die allgemeine Sicherheitslage einer Organisation zu stärken. Der Silverfort Die Unified Identity Protection-Plattform schützt Dienstkonten als Teil seines ganzheitlichen Schutzes aller Konten im hybriden Netzwerk. Dieser Artikel enthält sowohl eine technische Analyse der Verhaltensmuster von SolarWinds-Dienstkonten als auch eine Demonstration der Vorgehensweise Silverfort Zugriffsrichtlinien hätten vor einem Angriffsszenario schützen können, das diese Konten nutzt seitliche Bewegung und Zugriff auf Unternehmensressourcen.

Modellieren des Verhaltens von SolarWinds-Dienstkonten

Zum Schutz vor seitlicher Bewegung Basierend auf dem Diebstahl von Anmeldeinformationen für Dienstkonten ist es wichtig, zunächst das normale Verhalten von Dienstkonten zu verstehen. Dadurch können wir zwischen erwarteten Verhaltensmustern und Mustern unterscheiden, die Angreifer charakterisieren. Beispielsweise verwendet das SolarWinds-Dienstkonto normalerweise nicht das Remote Desktop Protocol (RDP), um sich bei anderen Computern zu authentifizieren. Jede Verwendung dieses Protokolls durch dieses Dienstkonto wäre ein Warnsignal.

Zu diesem Zweck haben wir Authentifizierungsdaten sowie Erkenntnisse aus kontrollierten Angriffssimulationen analysiert und drei Arten von Dienstkonten untersucht, die SolarWinds verwendet, um Netzwerke zu scannen und auf zusätzliche Maschinen zuzugreifen. In den von uns untersuchten Angriffsszenarien können diese Konten als primär verwendet werden Methode zur seitlichen Bewegung. Angesichts der relativ einfachen Verwendung für diesen Zweck ist es wahrscheinlich, dass sie auch für die Durchführung der SunBurst-Angriffe ausgenutzt wurden.

Beginnen wir damit, das Standardverhalten für Dienstkonten zu verstehen. Die Diagramme in diesem Abschnitt zeigen einen SolarWinds-Server als mittleren Knoten mit Kanten, die ihn mit verschiedenen Computern im Netzwerk verbinden.

Hinweis – Die tatsächlichen Namen der Konten werden von den Benutzern in jeder spezifischen Umgebung konfiguriert. Wir haben daher jedem Typ einen aussagekräftigen Namen gegeben, der auf seinem Authentifizierungsverhalten basiert.

Dienstkontotyp 1: RPCSS-Scanner

  • Aktivität: Scannt das Netzwerk mit dem RPCSS-Dienst, um andere Computer im Netzwerk fernzusteuern. Mit RPCSS kann der Benutzer fast alles auf dem Remote-Computer tun, einschließlich der Möglichkeit, Code auszuführen
  • Authentifizierungsprotokoll: Kerberos
  • Dienstprinzipalnamen (SPNs):Cifs, DNS, RPCSS, HOST, KRBTGT und LDAP.
  • Vorhersehbarkeit: High
  • Verhaltensmuster:
Diagramm 1: Aktivitätsmuster des RPCSS Scanner-Dienstkontos
Diagramm 1: Aktivitätsmuster des RPCSS Scanner-Dienstkontos

Dienstkontotyp 2: Allgemeiner Scanner

  • Aktivität: Durchsucht das Netzwerk mit verschiedenen Protokollen und verwendet, wenn möglich, RPCSS, um Zugriff auf erhöhte Berechtigungen auf einem Remote-Rechner zu erhalten. Gelegentlich verwendet dieser Typ von Dienstkonto NTLM.
  • Authentifizierungsprotokolle: NTLM, Kerberos
  • SPNs: RPCSS, HOST, KRBTGT und LDAP
  • Vorhersehbarkeit: Mittel. Während sich ein Teil der Aktivität in Bezug auf die Zeit und die aufgerufenen Maschinen wiederholt, gibt es viele Aktivitäten, die keinem deterministischen Muster zugeordnet werden können.
  • Verhaltensmuster:
Diagramm 2: Aktivitätsmuster des allgemeinen Scanner-Dienstkontos
Diagramm 2: Aktivitätsmuster des allgemeinen Scanner-Dienstkontos

Dienstkontotyp Nr. 3: LDAP-Scanner

  • Aktivität: Führt alle 12 Stunden eine LDAP-Abfrage durch, um Änderungen im AD nachzuverfolgen.
  • Authentifizierungsprotokoll: LDAP
  • Vorhersehbarkeit: High
  • Verhaltensmuster:
  • Diagramm 3: Aktivitätsmuster des LDAP-Scanner-Dienstkontos
    
    Diagramm 3: Aktivitätsmuster des LDAP-Scanner-Dienstkontos

    Eine detailliertere Aktivitätsaufschlüsselung dieses Dienstkontos finden Sie hier:

  • Diagramm 4: Detaillierte Aktivitätsaufschlüsselung des LDAP-Scanner-Dienstkontos
    Diagramm 4: Detaillierte Aktivitätsaufschlüsselung des LDAP-Scanner-Dienstkontos

    Silverfort Schutz vor Kompromittierung von SunBurst-Dienstkonten

    Silverfort's Unified Identitätsschutz Die Plattform verwendet dedizierte Zugriffsrichtlinien, um die Verwendung kompromittierter SolarWinds-Dienstkonten für laterale Bewegungen zu verhindern. Die Richtlinie bei der Erstellung der Richtlinien bestand darin, das Standardverhalten der Konten zu erfassen und jede erkannte Abweichung zu blockieren und zu melden. Solche Abweichungen, so geringfügig sie auch sein mögen, sind seitens des Angreifers erforderlich, und eine Blockierung oder ein Verbot dieser Abweichungen würde es der Organisation ermöglichen, rechtzeitig auf die Bedrohung zu reagieren und den Angriff zu vereiteln.

    Dienstkontotyp Nr. 1: RPCSS-Scanner

    Das Standardverhalten dieses Dienstkontos ist die Authentifizierung nur mit Kerberosherunterzuladen. Ein Silverfort Zugriffsrichtlinie, die verhindert, dass dieses Konto eine NTLM-Authentifizierung durchführt, würde verhindern, dass es für laterale Bewegungen missbraucht wird. Sie sollten auch sicherstellen, dass sich der Scanner nur mit den zulässigen Kerberos-SPNs bei den bekannten Servern authentifiziert. In der Richtlinie unten werden diese in den Servernamen im Feld Ziel dargestellt. Beachten Sie, dass NTLM zwar vollständig blockiert ist, der Kerberos-Teil der Richtlinie jedoch detaillierter ist und nur für die SPN gilt, die nicht Teil der normalen Zugriffsliste des Kontos sind (siehe Diagramm 7).

    Abbildung 5:Silverfort Schutzrichtlinie „RPCSS-Scanner“.

  • Abbildung 5:Silverfort Schutzrichtlinie „RPCSS-Scanner“.

    Dienstkontotyp Nr. 2: Allgemeiner Scanner

    Diese Art von Dienstkonto weist ein unvorhersehbares Verhalten auf, was eine größere Schutzherausforderung darstellt. Was jedoch vorhersehbar ist, ist der Computer, auf den dieses Konto normalerweise zugreift. Eine Richtlinie, die den Zugriff dieses Kontos nur auf diese Computer beschränkt, würde das Risiko beseitigen, dass es für den Zugriff auf andere sensible Ressourcen verwendet wird:

    Abbildung 6:Silverfort Schutzrichtlinie „Allgemeiner Scanner“.

    Abbildung 6:Silverfort Schutzrichtlinie „Allgemeiner Scanner“.

    Wählen Sie für beide oben genannten Richtlinien nur den relevanten SPN aus, den jeder Scanner verwendet, zum Beispiel:

    Abbildung 7: Silverfort Granularer Schutz der Kerberos-Dienste für RPCSS- und allgemeine Zugriffsrichtlinien

  • Abbildung 7: Silverfort Granularer Schutz der Kerberos-Dienste für RPCSS- und allgemeine Zugriffsrichtlinien

    Dienstkontotyp Nr. 3: LDAP-Scanner

    Dienstkonten dieses Typs haben ein sehr vorhersehbares Verhalten – sie führen alle 12 Stunden LDAP-Abfragen an eine bestimmte Gruppe von Computern durch. Eine Richtlinie, die die Zielressource dieser Konten auf diese Gruppe von Computern beschränkt und es diesen Konten ermöglicht, sich nur mit LDAP zu authentifizieren, würde dies tun eliminieren das Risiko einer seitlichen Bewegung die sie einführen.

    Abbildung 8: Silverfort Schutzrichtlinie „LDAP-Scanner“.
    Abbildung 8: Silverfort Schutzrichtlinie „LDAP-Scanner“.

    Abschließende Überlegungen

    In der heutigen Bedrohungslandschaft ist der Schutz vor der Verwendung von kompromittierte Zugangsdaten Der Zugriff auf sensible Ressourcen ist in den meisten Unternehmen oft ein fehlendes Glied im Sicherheitspaket. Der SunBurst-Angriff zeigt einmal mehr, dass dieser Mangel an Schutz ein kritisches Risiko darstellt. Silverfort Einheitlicher Identitätsschutz Die Plattform wurde speziell entwickelt, um der wachsenden Bedrohung durch Identitätsangriffe für Ihr Unternehmen entgegenzutreten und sie zu bekämpfen.

  • Erfahren Sie mehr darüber Silverfort Dienstkontoschutz hier.

Stoppen Sie Identitätsbedrohungen jetzt