Buscar

Idioma

Las cuentas de servicio probablemente desempeñaron un papel clave en el ataque SunBurst

24 de enero de 2021.

Inicio » Blog » Las cuentas de servicio probablemente desempeñaron un papel clave en el ataque SunBurst

***** Por Gal Sadeh, científico de datos principal, Silverfort *****

Investigación que hemos realizado en Silverfort Labs indica que las cuentas de servicio probablemente desempeñaron un papel clave en la capacidad de los atacantes de SolarWinds para moverse lateralmente dentro del entorno de la víctima. Esto debería servir como una llamada de atención para las partes interesadas en la seguridad empresarial. Cuentas de servicio son una superficie de ataque vulnerable y sensible que debe protegerse para reforzar la postura general de seguridad de una organización. El Silverfort La plataforma Unified Identity Protection protege las cuentas de servicio como parte de su protección integral de todas las cuentas en la red híbrida. Este artículo incluye un análisis técnico de los patrones de comportamiento de las cuentas de servicio de SolarWinds, así como una demostración de cómo Silverfort Las políticas de acceso podrían haber protegido contra un escenario de ataque que utilice estas cuentas para movimiento lateral y acceso a recursos empresariales.

Tabla de contenido

  • Modelado del comportamiento de las cuentas de servicio de SolarWinds
  • Tipo de cuenta de servicio 1: escáner RPCSS
  • Tipo de cuenta de servicio 2: escáner general
  • Tipo de cuenta de servicio n.º 3: escáner LDAP
  • Silverfort Protección contra el compromiso de las cuentas de servicio SunBurst
  • Tipo de cuenta de servicio n.° 1: escáner RPCSS
  • Tipo de cuenta de servicio n.º 2: escáner general
  • Tipo de cuenta de servicio n.º 3: escáner LDAP
  • Consideraciones Finales:

    • Modelado del comportamiento de las cuentas de servicio de SolarWinds

    Para proteger contra el movimiento lateral. En función del robo de credenciales de cuentas de servicio, es importante comprender primero el comportamiento normal de las cuentas de servicio. Esto nos permite distinguir entre los patrones de comportamiento esperados y los patrones que caracterizan a los atacantes. Por ejemplo, la cuenta de servicio de SolarWinds normalmente no utiliza el protocolo de escritorio remoto (RDP) para autenticarse en otras máquinas. Cualquier uso de ese protocolo por parte de esa cuenta de servicio sería una señal de alerta.

    Para ello, analizamos los datos de autenticación, así como los hallazgos de simulaciones de ataques controlados y estudiamos tres tipos de cuentas de servicio que utiliza SolarWinds para escanear redes y acceder a máquinas adicionales. En los escenarios de ataque que examinamos, estas cuentas se pueden utilizar como principal método para el movimiento lateral. Dada la relativa facilidad de su uso para este propósito, es probable que también hayan sido explotados para llevar a cabo los ataques SunBurst.

    Comencemos por comprender el comportamiento estándar de la cuenta de servicio. Los gráficos de esta sección muestran un servidor SolarWinds como nodo intermedio con bordes que lo conectan a varias máquinas de la red.

    Nota: Los nombres reales de las cuentas los configuran los usuarios en cada entorno específico. Por lo tanto, le hemos dado a cada tipo un nombre descriptivo basado en su comportamiento de autenticación.

    Tipo de cuenta de servicio 1: escáner RPCSS

    • Actividad: escanea la red con el servicio RPCSS para controlar de forma remota otras máquinas en la red. RPCSS permite al usuario hacer casi cualquier cosa en la máquina remota, incluida la capacidad de ejecutar código
    • Protocolo de autenticacion: Kerberos
    • Nombres principales de servicio (SPN):Cifs, DNS, RPCSS, HOST, KRBTGT y LDAP.
    • Previsibilidad: Alta
    • Muestra de comportamiento:
    Diagrama 1: Patrón de actividad de la cuenta del servicio RPCSS Scanner
Diagrama 1: Patrón de actividad de la cuenta del servicio RPCSS Scanner

    Tipo de cuenta de servicio 2: escáner general

    • Actividad: escanea la red con varios protocolos y, cuando es posible, utiliza RPCSS para obtener acceso a permisos elevados en una máquina remota. En ocasiones, este tipo de cuenta de servicio utiliza NTLM.
    • Protocolos de autenticación: NTLM, Kerberos
    • SPN: RPCSS, HOST, KRBTGT y LDAP
    • Previsibilidad: Medio. Si bien parte de la actividad es repetitiva en términos de tiempo y máquinas a las que se accede, hay muchas actividades que no pueden asignarse a un patrón determinista.
    • Muestra de comportamiento:
    Diagrama 2: Patrón de actividad de la cuenta del servicio General Scanner
    Diagrama 2: Patrón de actividad de la cuenta del servicio General Scanner

    Tipo de cuenta de servicio n.º 3: escáner LDAP

    • Actividad: Realiza consultas LDAP cada 12 horas para realizar un seguimiento de los cambios en AD.
    • Protocolo de autenticacion: LDAP
    • Previsibilidad: Alta
    • Muestra de comportamiento:
    • Diagrama 3: Patrón de actividad de la cuenta del servicio LDAP Scanner

Diagrama 3: Patrón de actividad de la cuenta del servicio LDAP Scanner

      Aquí se presenta un desglose más detallado de la actividad de esta cuenta de servicio:

    • Diagrama 4: Desglose detallado de la actividad de la cuenta de servicio LDAP Scanner 
      Diagrama 4: Desglose detallado de la actividad de la cuenta de servicio LDAP Scanner

      Silverfort Protección contra el compromiso de las cuentas de servicio SunBurst

      Silverfort's unificado Protección de Identidad La plataforma utiliza políticas de acceso dedicadas para evitar el uso de cuentas de servicio de SolarWinds comprometidas para movimientos laterales. La pauta en la creación de las políticas fue capturar el comportamiento estándar de las cuentas, y bloquear y alertar cualquier desviación detectada. Tales desviaciones, por leves que sean, son necesarias por parte del atacante, y bloquearlas y prohibirlas permitiría a la organización reaccionar a la amenaza a tiempo y frustrar el ataque.

      Tipo de cuenta de servicio n.° 1: escáner RPCSS

      El comportamiento estándar de esta cuenta de servicio es autenticarse solo con Kerberos. La Silverfort Una política de acceso que impida que esta cuenta realice la autenticación NTLM evitaría que se abuse de ella para el movimiento lateral. También debe asegurarse de que el escáner se autentique solo con los SPN de Kerberos permitidos en el conjunto de servidores conocido. En la política siguiente, estos están representados en los nombres de los servidores en el campo Destino. Tenga en cuenta que, si bien NTLM está bloqueado por completo, la parte Kerberos de la política es más granular y se aplica solo a los SPN que no forman parte de la lista de acceso normal de la cuenta (consulte el diagrama 7).

      Diagrama 5:Silverfort Política de protección del 'escáner RPCSS'

    • Diagrama 5:Silverfort Política de protección del 'escáner RPCSS'

      Tipo de cuenta de servicio n.º 2: escáner general

      Este tipo de cuenta de servicio presenta un comportamiento impredecible, lo que plantea un mayor desafío de protección. Sin embargo, lo que sí es predecible es a qué máquina accede normalmente esta cuenta. Una política que limite el acceso de esta cuenta solo a estas máquinas eliminaría el riesgo de que se utilice para acceder a otros recursos confidenciales:

      Diagrama 6:Silverfort Política de protección 'Escáner general'

      Diagrama 6:Silverfort Política de protección 'Escáner general'

      Para las dos políticas anteriores, elija solo el SPN relevante que utiliza cada analizador, por ejemplo:

      Diagrama 7: Silverfort Protección granular de servicios Kerberos para RPCSS y políticas de acceso general.

    • Diagrama 7: Silverfort Protección granular de servicios Kerberos para RPCSS y políticas de acceso general.

      Tipo de cuenta de servicio n.º 3: escáner LDAP

      Las cuentas de servicio de este tipo tienen un comportamiento muy predecible: realizan consultas LDAP cada 12 horas a un conjunto distinto de máquinas. Una política que limite el recurso de destino de estas cuentas a este conjunto de máquinas y permita que estas cuentas se autentiquen solo con LDAP. eliminar el riesgo de movimiento lateral que introducen.

      Diagrama 8: Silverfort Política de protección del 'escáner LDAP'
      Diagrama 8: Silverfort Política de protección del 'escáner LDAP'

      Consideraciones Finales:

      En el panorama de amenazas actual, la protección contra el uso de credenciales comprometidas para acceder a recursos confidenciales suele ser un eslabón perdido en la pila de seguridad de la mayoría de las empresas. El ataque SunBurst demuestra una vez más que esta falta de protección crea una exposición a riesgos críticos. Silverfort Protección de identidad unificada La plataforma está diseñada específicamente para enfrentar y vencer la creciente amenaza que los ataques de identidad introducen en su empresa.

    • Aprenda más sobre Silverfort Protección de cuenta de servicio aquí.

    ¿Listo para una demostración?
    Regístrate hoy.

    Mensajes recientes

    Puede 2nd, 2024

    Silverfort Presentará una investigación en RSA 2024: uso de MITM para omitir los métodos de autenticación modernos a SSO

    24 de abril de 2024

    Cinco formas de mejorar la higiene de su AD con Silverfort  

    Marzo 26th, 2024

    The Identity Underground Report: visión profunda de las brechas de seguridad de identidad más críticas  

    Marzo 2nd, 2024

    Protección MFA para redes aisladas
    Ver más

    Síguenos en:

    Detenga las amenazas a la identidad ahora