Tres ciberataques en los que las cuentas de servicio comprometidas desempeñaron un papel clave

Proteger las cuentas de servicios es una tarea notoriamente difícil. Una de las principales razones de esta dificultad es que cuentas de servicio A menudo se olvidan y se dejan sin supervisión. Lo que da como resultado que nadie rastree su uso ni valide que no estén comprometidos ni sean utilizados por actores maliciosos.

Además, tener una visibilidad limitada a cero de estas cuentas es un desafío clave cuando se trata de asegurar cuentas de servicio. La falta de visibilidad de las cuentas de servicio también las convierte en un objetivo atractivo para los actores de amenazas. Estas cuentas se pueden utilizar para obtener acceso no autorizado a datos, sistemas y recursos confidenciales y, en muchos casos, moverse lateralmente por el entorno de una organización. Las consecuencias de un ataque exitoso a una cuenta de servicio pueden ser graves, incluido el robo de datos, el compromiso del sistema e incluso la apropiación total de la red.

En esta publicación, exploraremos las técnicas de ataque específicas que utilizan los actores de amenazas cuando atacan cuentas de servicio y destacaremos algunas violaciones de datos conocidas en las que las cuentas de servicio se vieron comprometidas y ayudaron a los atacantes a moverse lateralmente.

Métodos de ataque utilizados para comprometer y utilizar cuentas de servicio

Los actores de amenazas implementan diferentes técnicas para comprometer y utilizar cuentas de servicio. Echemos un vistazo más de cerca a los más utilizados. ataque basado en identidad métodos utilizados y con qué precisión se dirigen a las cuentas de servicio.

Fuerza Bruta

Un ataque de fuerza bruta es el método más común utilizado por los actores de amenazas, donde se intenta adivinar una contraseña o clave de cifrado probando todas las combinaciones posibles de caracteres hasta encontrar la correcta. Este método es particularmente eficaz contra contraseñas débiles o fáciles de adivinar. Los actores de amenazas suelen utilizar herramientas automatizadas para probar rápidamente diferentes contraseñas hasta que encuentran una que funcione.

Los actores de amenazas a menudo utilizan ataques de fuerza bruta para comprometer cuentas de servicio que tienen contraseñas débiles o sin políticas de contraseña, y a veces también intentan eludir las medidas de seguridad implementadas para protegerse contra este tipo de ataques.

kerberasting

Un ataque Kerberoasting es un tipo de ataque que tiene como objetivo el Kerberos protocolo de autenticación para obtener el hash de contraseña de un usuario Active Directory con valores de nombre principal de servicio (SPN), como cuentas de servicio.

El actor de la amenaza primero identifica a los usuarios objetivo que tienen SPN asociados. Luego solicitan un ticket de servicio Kerberos para un SPN específico asociado con una cuenta de usuario. El ticket de servicio se cifra mediante el hash del usuario. A continuación, el actor de la amenaza puede obtener el hhash mediante descifrado fuera de línea y reproducir la contraseña de texto sin formato original.

Las cuentas de servicio suelen ser el objetivo, ya que suelen tener SPN asociados, que luego se pueden utilizar para solicitar tickets de servicio para otros. cuentas de usuario.

Pasar el hachís

En un ataque de paso de hash, el actor de la amenaza puede utilizar un hash de contraseña para realizar una autenticación NTLM en otros sistemas o servicios de la red sin necesidad de conocer la contraseña real.

Para llevar a cabo un ataque de paso de hash, el actor de la amenaza primero obtiene el hash de contraseña de la cuenta de servicio extrayéndolo de la memoria de un punto final comprometido o interceptando el tráfico de autenticación de la cuenta de servicio.

Notorios ataques cibernéticos que utilizaron cuentas de servicio comprometidas

En los últimos años, ha habido varias violaciones de datos de alto perfil en las que actores de amenazas comprometieron con éxito cuentas de servicio. Estos ataques son ejemplos claros de cómo los actores de amenazas apuntan y utilizan cuentas de servicios compuestas para moverse lateralmente. Al comprender estos casos, podemos obtener una mejor apreciación de los riesgos asociados con las cuentas de servicio no seguras y las medidas que las organizaciones pueden tomar para mitigarlos.

Vientos solares

El ataque de SolarWinds fue un Ataque a la cadena de suministro en diciembre de 2020.. Los actores de amenazas comprometieron el proceso de construcción de la plataforma de gestión de TI SolarWinds Orion e insertaron una puerta trasera maliciosa en el código base. Luego, esta puerta trasera se distribuyó a numerosas organizaciones mediante actualizaciones de software legítimas. Una vez instalada en las redes objetivo, la puerta trasera proporcionó a los actores de amenazas acceso persistente a los sistemas objetivo, permitiéndoles filtrar datos y moverse lateralmente dentro de las redes.

Cómo estuvieron involucradas las cuentas de servicio

Las cuentas de servicio desempeñaron un papel crucial en el ataque a SolarWinds. Los actores de amenazas utilizaron cuentas de servicio comprometidas para moverse lateralmente a través de las redes objetivo y acceder a sus recursos. Los actores de amenazas apuntaron a cuentas de servicio con privilegios de alto nivel, lo que les permitió obtener acceso a sistemas y datos críticos.

Una vez que los actores de amenazas obtuvieron acceso a la plataforma de gestión de TI de SolarWinds Orion, pudieron obtener las credenciales para varias cuentas de servicio de SolarWinds. Una vez comprometidas estas cuentas, los actores de amenazas utilizaron las cuentas de servicio de SolarWinds para moverse lateralmente por la red hasta llegar al servidor ADFS.  

Oficina de Administración de Personal de EE. UU.

La violación de datos de la Oficina de Gestión de Personal de los Estados Unidos (OPM) fue descubierto en junio de 2015. Este fue un ejemplo clásico de una operación de ciberespionaje patrocinada por el estado por parte de la amenaza persistente avanzada (APT) china. La violación de OPM se vio facilitada por varias brechas técnicas y arquitectónicas en la infraestructura de TI de la agencia donde los actores de amenazas pudieron obtener acceso a los sistemas de OPM utilizando credenciales robadas pertenecientes a un contratista externo que había privilegiado acceso a su red.

Cómo estuvieron involucradas las cuentas de servicio

Inicialmente, los atacantes obtuvieron acceso a la red de OPM a través de un correo electrónico de phishing, que les permitió obtener las credenciales de varios contratistas de OPM. Una vez dentro de la red, los actores de amenazas utilizaron las credenciales comprometidas para obtener acceso a varias cuentas de servicio, incluida la cuenta de servicio del contratista de KeyPoint Government Solutions (KGS). Esta cuenta tenía privilegios de alto nivel y se utilizaba para gestionar y administrar sistemas OPM críticos.

Los actores de amenazas utilizaron la cuenta de servicio del contratista de KGS para moverse lateralmente a través de la red y acceder a datos confidenciales, incluidos los registros de investigación de antecedentes de millones de empleados federales actuales y anteriores. Los actores de amenazas pudieron extraer estos datos durante varios meses, tiempo durante el cual no fueron detectados. También utilizaron las cuentas de servicio para crear puertas traseras en la red, lo que les permitió mantener el acceso a la red incluso después de que se detectó la infracción inicial.

Marriott

Divulgado en 2018, el ataque marriott fue una de las mayores violaciones de datos registradas. Los actores de amenazas obtuvieron acceso a los sistemas de la empresa a través de un proveedor externo que tenía acceso a la base de datos de reservas de Marriott. Una vez dentro de la red, pudieron moverse lateralmente y escalar privilegios en Marriott's. Active Directory infraestructura. Después de obtener acceso, los atacantes instalaron malware, que se utilizó para robar datos durante varios años. La infracción pasó desapercibida durante meses, lo que dio a los actores de amenazas tiempo suficiente para robar grandes cantidades de datos.

Cómo estuvieron involucradas las cuentas de servicio

Los actores de amenazas pudieron obtener las credenciales de dos cuentas de servicio privilegiadas con acceso de administrador a nivel de dominio. Implementaron un ataque pass-the-hash en el que los actores de la amenaza utilizaron los hash de contraseña y luego los utilizaron para comprometer cuentas de servicio con privilegios de alto nivel para acceder al sistema de reservas Starwood de Marriott, que contenía información personal y financiera confidencial de millones de huéspedes.

Estas cuentas de servicio tenían acceso a sistemas y datos confidenciales en toda la red de Marriott, y su compromiso permitió a los atacantes moverse lateralmente a través de la red y escalar sus privilegios durante un período prolongado de tiempo, sin ser detectados por los controles de seguridad de Marriott.

El hilo común: compromiso de la cuenta de servicio

En cada uno de estos casos, los actores de amenazas pudieron obtener acceso no autorizado a sistemas o datos confidenciales mediante el uso de cuentas de servicio comprometidas para moverse lateralmente a través de la red de sus víctimas. Estas infracciones resaltan la importancia de administrar y proteger adecuadamente las cuentas de servicio para evitar el acceso no autorizado y reducir el riesgo de infracciones.

Siguiente: Proteger cuentas de servicio con Silverfort

Ahora que hemos analizado los métodos de ataque utilizados por los actores de amenazas cuando apuntan a cuentas de servicio y hemos resaltado violaciones de alto perfil en las que estuvieron involucradas cuentas de servicio, nuestra próxima publicación mostrará cómo Silverfort ayuda a las organizaciones a descubrir, monitorear y proteger cuentas de servicio al brindar visibilidad completa, análisis de riesgos y políticas de acceso adaptables sin necesidad de rotación de contraseñas.