Das Identity-IR-Playbook gegen Scattered-Spider-Angriffe  

Silverfort Bild
Silverfort_Blog-Banner_Verstreute Spinne_1234x402_R2
Inhaltsverzeichnis

Diesen Beitrag teilen:

Die Gegnergruppe Scattered Spider war im vergangenen Monat äußerst aktiv und hat ihre Reichweite auf Finanz- und Versicherungsunternehmen ausgeweitet. Diese Gruppe zeichnet sich durch eine umfassende und tiefgreifende Verwendung von Identitätskompromittierungen sowohl beim Erstzugriff als auch beim Zugriff aus lateraler Bewegung ausnutzen Stufen. Eine solide Verteidigungsstrategie gegen Scattered Spider sollte eine Schutzschicht über den gesamten Lebenszyklus umfassen, um die Identität zu reduzieren und zu überwachen AngriffsflächeAußerdem können Sie die Verwendung kompromittierter Identitäten für böswilligen Zugriff erkennen, blockieren und darauf reagieren.

SilverfortDas Bedrohungsforschungsteam von Scattered Spider hat eng mit den Identitätsbedrohungen interagiert, die von Scattered Spider verwendet werden. Dieser Artikel stellt das implementierte Identitäts-IR-Framework vor und beleuchtet die kritischen Komponenten, die angegangen werden müssen, um sicherzustellen, dass die Identitätsaspekte eines Scattered-Spider-Angriffs effizient angegangen werden.

Was ist beim Identitätsaspekt der Reaktion auf Vorfälle anders?

Während sich der Malware-Aspekt von IR auf das Erkennen und Entfernen schädlicher Dateien konzentriert, geht es bei Netzwerk-IR um das Erkennen und Blockieren von bösartigem Datenverkehr. Beim Identitätsaspekt von IR geht es um die Erkennung und Blockierung seitlicher Bewegungen kompromittierter Personen Benutzerkonten.

Nehmen wir an, es liegt ein Live-Vorfall vor. Sie wissen, dass die Angreifer in Ihrem Netzwerk Fuß gefasst haben und auf die darin enthaltenen Ressourcen zugreifen. Jetzt müssen Sie es tun identifizieren kompromittierter Benutzer Konten schützen, Angreifer daran hindern, sie zu nutzen, und sicherstellen, dass andere Ressourcen nicht so schnell wie möglich kompromittiert werden.

Um dies effizient zu tun, müssen Sie Folgendes haben vollständige Transparenz-, Analyse- und Zugriffskontrollfunktionen für Authentifizierungen und Zugriffsversuche, an denen folgende Entitäten beteiligt sind:

  • Benutzerkonten einschließlich Service Accounts, Domänenadministratoren und normale Benutzer.
  • Identitätsinfrastruktur einschließlich Domänencontroller, Verbundserver, SaaS-Identitätsanbieter, PAM-Lösungen und jede andere Komponente, die Identitäten in Ihrer Umgebung verwaltet.
  • In die Domäne eingebundene Maschinen, einschließlich IT- und Sicherheitsinfrastruktur, Workstations und Server.

Silverfort ist die erste Lösung, die IT-Teams diese Funktionen in einer einzigen, einfach bereitzustellenden Lösung bietet. Lassen Sie uns verstehen, wie dies auf den NIST-IR-Lebenszyklus abgebildet wird, der von den meisten IR-Teams als Standardrichtlinie verwendet wird.

Karteping Identity Schutz nach dem NIST IR Lifecycle Model

Das NIST IR-Framework unterteilt den IR-Prozess in vier Teile: 1) Vorbereitung, 2) Erkennung und Analyse, 3) Eindämmung, Beseitigung und Entdeckung, 4) Aktivitäten nach dem Vorfall.

In diesem Beispiel gehen wir davon aus Silverfort Die Plattform wird nur aufgerufen, wenn ein Vorfall vollständig aktiv ist und zuvor nicht installiert wurde. Daher konzentrieren wir uns nur auf die Phasen (2) und (3).

Identitäts-IR: Erkennung und Analyse

Diese Phase konzentriert sich auf die Identifizierung der kompromittierten Benutzerkonten. Identitätsinfrastrukturund alle anderen Ressourcen, auf die mit den kompromittierten Entitäten zugegriffen wurde.

Für diese Phase Silverfort bietet IR-Teams eine detaillierte Protokollbildschirm Dazu gehört eine aggregierte Ansicht aller Authentifizierungen und Zugriffsversuche aller Benutzer auf jede Cloud- oder lokale Ressource. Jeder Authentifizierung wird von eine Risikobewertung zugewiesen SilverfortDie Risiko-Engine von bietet zusammen mit einer Vielzahl von Filtern die einfache Erkennung von Authentifizierungen, die von böswilligen Akteuren initiiert wurden.

Mithilfe dieser Funktionen kann das IR-Team die folgenden Aktionen durchführen:

  • Analysieren Sie die einheitlichen Protokolle von AD und anderen lokalen, Verbund- und Cloud-Verzeichnissen, um laterale Verschiebungsversuche zwischen der Cloud und den lokalen Umgebungen zu erkennen.
  • Analysieren Sie die Protokolle für hybride Dienstkonten (die sowohl Maschine-zu-Maschine-Kommunikation als auch manuelle Anmeldungen durch menschliche Benutzer umfassen), um anomale Aktivitäten oder Zugriffsversuche zu erkennen SilverfortDie Risiko-Engine von weist darauf hin, dass sie bösartig ist.
  • Analysieren Sie die Protokolle für infrastrukturbezogene Dienstkonten, um ungewöhnliche Aktivitäten oder Zugriffsversuche zu erkennen SilverfortDie Risiko-Engine von Scattered Spider wird als bösartig gekennzeichnet (wiederum aufgrund der Neigung von Scattered Spider zur Kompromittierung der Infrastruktur).

SilverfortDurch die Integration mit allen Identitätsanbietern in der Umgebung können Sie alle von jedem Benutzer erstellten Authentifizierungsprotokolle über eine einzige Oberfläche auf jede lokale oder Cloud-Ressource abrufen.

 Identitäts-IR: Eindämmung, Ausrottung und Wiederherstellung

Diese Phase umfasst den Großteil des IR-Prozesses und (wie der Name schon sagt) geht es in dieser Phase darum, die Angreifer daran zu hindern, weitere Fortschritte zu erzielen, ihre Anwesenheit zu eliminieren und die Dinge wiederherzustellen, wie sie waren.

Silverfort unterstützt IR-Teams hauptsächlich bei den Eindämmungs- und Ausrottungsteilen dieser Phase, indem es die folgenden Tools bereitstellt:

  • Bildschirm zur Richtlinienkonfiguration woher MFA und Blockzugriffsrichtlinien können für jedes Benutzerkonto in der Hybridumgebung konfiguriert werden. Dies gilt für jeden Authentifizierungstyp, einschließlich des Befehlszeilenzugriffs PsExec, PowerShell oder WMI, die typischerweise von Angreifern verwendet werden.
  • Spezieller Bildschirm zum Schutz des Dienstkontos Dies bietet automatisierten Einblick in alle Dienstkonten und ermöglicht die Erstellung von Zugriffsrichtlinien, um den Zugriff zu blockieren oder eine Warnung auszugeben, wenn sie von ihrem Standardverhalten abweichen, was ein klarer Hinweis auf eine Kompromittierung ist.

Mithilfe dieser Funktionen können IR-Teams die folgenden Aktionen für die verschiedenen oben aufgeführten Entitätstypen anwenden:

Service Accounts

  • Entdecken Sie alle Dienstkonten in der Umgebung.
  • Aktivieren Sie Richtlinien, um Dienstkonten den Zugriff auf Ressourcen zu verweigern, wenn diese von ihrem Standardverhalten abweichen.
  • Entdecken Kerberasting Angriffe oder wenn die interaktive Anmeldung eines Dienstkontos verwendet wird.
  • Konfigurieren Sie Richtlinien, um den Zugriff von VPN-Subnetzen zu blockieren. 

Domänenadministratorkonten

  • Konfigurieren Sie MFA-Richtlinien für alle Administratoren und verschärfen Sie diese Richtlinien, indem Sie FIDO-Tokens und Nummernabgleich erfordern.
  • Konfigurieren Sie Richtlinien, um den Zugriff für integrierte Administrator- und Gastkonten zu verweigern.
  • Konfigurieren Sie Richtlinien, um den Zugriff von VPN-Subnetzen zu blockieren. 

Alle Benutzerkonten

  • Verwenden Sie MFA oder Zugriffsblockierungsrichtlinien, um Zugriffsversuche, die Dienste wie termrv, host und CIFS zum Ausführen von Remoteverbindungen verwenden, vorübergehend einzuschränken.

Domänencontroller

  • Setzen Sie das Passwort des KRBTGT-Kontos zurück, um potenzielle Golden-Ticket-Angriffe einzudämmen und dem Angreifer die Macht zu entziehen.
  • Konfigurieren Sie die MFA-Richtlinie für die Windows-Anmeldung am Domänencontroller, um eine Remote-Anmeldung zu verhindern.
  • Konfigurieren der Richtlinie zum Ablehnen NTLM Verbindung zum DC.
  • Konfigurieren Sie die Richtlinie, um den DC-Zugriff für alle Benutzer außer Domänenadministratoren zu blockieren.
  • Konfigurieren Sie die MFA-Richtlinie, um Benutzern ohne registriertes MFA-Token den Zugriff zu verweigern, um künftigen böswilligen Zugriff über Social Engineering zu verhindern.

Federation/SaaS-Identitätsanbieter

  • Konfigurieren Sie MFA oder blockieren Sie Zugriffsrichtlinien für bekanntermaßen bösartige und unbekannte IPs.

IT- und Sicherheitsinfrastruktur

  • Konfigurieren Sie die MFA-Richtlinie, um Benutzern ohne registriertes MFA-Token den Zugriff zu verweigern.

Andere in die Domäne eingebundene Maschinen

  • Ermitteln Sie vorhandene NTLMv1-Authentifizierungen und konfigurieren Sie die Richtlinie, um den Zugriff zu verweigern.
  • Blockieren Sie vorübergehend alle NTLMv2-Authentifizierungen, bis kompromittierte Benutzerkonten erkannt und eingedämmt werden.
  • Konfigurieren Sie eine Richtlinie, um den Zugriff persönlicher Workstations nur auf kritische Ressourcen (z. B. DC) zu beschränken und Verbindungen zwischen Computern zu verhindern.
  • Konfigurieren Sie die Richtlinie für MFA erforderlich für sämtliche Zugriffe auf allen Rechnern mit Internetzugang.

Wichtig: Bei diesen Eindämmungsaktivitäten handelt es sich auch um Erkennungsaktivitäten, da jede blockierte Authentifizierung darauf hinweist, dass das initiierende Benutzerkonto kompromittiert ist.

Silverfort für Identitätsbedrohungen: Aktivitäten und Vorbereitung nach dem Vorfall – Erreichen Sie eine umfassende Verteidigung

Eine solide Verteidigung gegen Scattered Spider sollte alle Aspekte berücksichtigen, vom Social-Engineering-Aspekt bis hin zur einzigartigen Malware, die diese Gruppe einsetzt (Bringen Sie Ihren eigenen gefährdeten Fahrer mit (BYOVD) Angriff über CVE-2015-2291, eine alte Kernel-Schwachstelle). Sicherheitslösungen für Mobilgeräte und Browser richten sich in der Regel an Ersteres, während EDR Letzteres angeht.

Es ist jedoch zwingend erforderlich, dass die Sicherheitsarchitektur der Umgebung vollständig ausgestattet ist, um einer Kompromittierung der Identitätsinfrastruktur zu begegnen und böswillige Zugriffe mit kompromittierten Konten zu erkennen und zu blockieren.

Es ist leicht zu erkennen, dass die meisten der oben beschriebenen Eindämmungsaktivitäten auch Teil der Vorbereitungsphase sind.

Zusätzlich zu den Richtlinienkonfigurationsfunktionen Silverfort Darüber hinaus können IR-Teams ihre Umgebung proaktiv auf die Bewältigung einer Identitätsbedrohung vorbereiten, unabhängig davon, ob diese von Scattered Spider oder einem anderen Bedrohungsakteur initiiert wurde. Dafür, Silverfort bietet IR-Teams eine Einblicke Bildschirm, der alle Schwachstellen und Risiken der Identitätssicherheit zusammenfasst, z Schattenadministratoren, NTLMv1, uneingeschränkte Delegation und viele andere, die Bedrohungsakteure normalerweise missbrauchen. Mithilfe dieses Screens kann das IR-Team den Sicherheitsstatus seiner Umgebung systematisch verbessern.

Fazit: IR-Tools und -Praktiken für Identitätsbedrohungen sind ein Muss

Identitätsbedrohungen werden zu einem integralen Bestandteil des Arsenals von Gegnern. Obwohl Scattered Spider in dieser Hinsicht führend ist, ist es bei weitem nicht der Einzige. Daher müssen IR-Teams über die Tools verfügen, um einen schnellen und effizienten Identitäts-IR-Prozess durchzuführen. Ebenso wie ein EDR das ultimative Tool zur Bekämpfung des Malware-Aspekts ist, ist ein entsprechendes Tool erforderlich, um die kompromittierten Identitäten zu lokalisieren, um den Angriff einzudämmen und böswillige Präsenz zu beseitigen.

Wollen Sie mehr darüber erfahren SilverfortWelche Identitäts-IR-Fähigkeiten gibt es? Vereinbare einen Termin mit einem unserer Experten.

Wir haben Identity Security auf ein neues Level gehoben.

Entdecken Sie, was möglich ist.

Vereinbaren Sie eine Demo und erleben Sie die Silverfort Identity-Security-Plattform in Aktion.

Demo anfragen
neuer Held (1)

Silverfort übernimmt Fabrix Security

Bereitstellung autonomer Identitätssicherheit zur Laufzeit

Pionierarbeit bei der Entwicklung der ersten autonomen Laufzeit-Zugriffskontroll-Engine, die alle menschlichen, maschinellen und agentenbasierten Identitäten mithilfe von tiefgreifendem Kontext und der Geschwindigkeit von KI schützen soll.

Holen Sie sich die ganze Geschichte