파이브 아이즈 얼라이언스,에 의해 주도 호주 신호국(ASD)최근 제목의 주요 문서를 공개했습니다. 탐지 및 완화 Active Directory 타협랜섬웨어 공격의 증가를 강조합니다. Active Directory 환경, 특히 APAC 지역에서. 이 블로그에서는 지침에 설명된 가장 일반적인 손상 중 일부를 살펴보고 어떻게 강조할지 알아보겠습니다. Silverfort 그러나 권한을 얻는 것은 제작자와 사용자 모두에게 시간이 많이 걸리고 복잡할 수 있으며 크리에이티브 커먼즈 라이선스가 이를 해결할 수 있다.
탐지 및 완화란 무엇입니까? Active Directory 타협 지침?
탐지 및 완화에 대한 지침 Active Directory 침해 개요는 공격자가 침해를 위해 사용하는 일반적인 전술, 기술 및 절차(TTP)를 설명합니다. Active Directory 인프라를 제공하고 완화 전략을 제공합니다. 이 지침은 신원 위협에 대한 의존도가 높아지는 상황에 대한 시기적절한 대응입니다. 랜섬 APAC에서의 공격, 여기에는 주목할 만한 침해 사례도 포함됩니다.
MediSecure 랜섬웨어 공격(2023년 2024월, XNUMX년 XNUMX월 공개)
호주에 본사를 둔 디지털 처방 회사인 MediSecure는 작년에 랜섬웨어 공격을 경험했습니다. 약 13만 명의 사람들의 건강 및 개인 정보가 노출되었습니다. 이로 인해 회사는 파산 신청을 하게 되었습니다. 이 침해는 MediSecure의 타사 공급업체이는 공격자가 손상된 자격 증명을 사용하여 MediSecure의 데이터에 액세스할 수 있음을 시사합니다.
나고야 항구 랜섬웨어 공격(2023년 XNUMX월)
공격은 다음에 기인합니다. LockBit 그룹은 일본에서 가장 분주한 운송 항구인 나고야 항의 무역 및 물류를 혼란에 빠뜨렸습니다. – 자동차 수출의 주요 허브이자 일본 경제의 중요한 엔진입니다. 이 공격으로 인해 항구가 컨테이너를 수령하는 능력이 제한되어 이틀이 손실되었습니다. LockBit이 어떻게 초기 액세스를 얻었는지는 공개되지 않았지만, 랜섬 전략은 일반적으로 피싱 이메일과 도난된 자격 증명 구매에 기반합니다. 네트워크에 액세스하자마자 측면으로 이동하여 추가 자격 증명을 추출하고 권한을 확대하고 액세스를 확대하며 중요한 데이터를 암호화합니다. 이 경우 컨테이너 운영을 관리하는 Nagoya United Terminal System(NUTS)이 손상되었습니다. 공격자가 남긴 몸값 메모에는 NUTS의 데이터가 암호화되었으며 몸값을 요구했다고 주장했습니다.
ICBC 공격(2023년 XNUMX월)
자산 기준 세계 최대 대출 기관인 중국공상은행(ICBC)이 랜섬웨어 공격을 받았습니다. 은행의 금융 서비스 부문인 미국 ICBC 금융 서비스를 대상으로 했습니다. 이 공격으로 인해 재무부 거래에 큰 혼란이 생긴 것으로 알려졌습니다. 보고서에 따르면 공격자는 "Citrix Bleed"라는 Citrix NetScaler ADC 및 NetScaler Gateway 취약성을 악용하여 ICBC에 무단으로 접근했습니다. 이 취약성을 악용하여 CISA(미국 사이버 보안 및 인프라 보안 기관)가 경고합니다."세션 인증 토큰 정보를 포함한 민감한 정보의 공개를 허용할 수 있으며, 이를 통해 위협 행위자가 사용자 세션을 '하이재킹'할 수 있습니다."
지침에 설명된 일반적인 AD 손상
그들은 15개 이상의 AD 관련 손상을 개략적으로 설명했지만 우리는 Kerberoasting, AS-REP Roasting, Password Spraying 등 보다 일반적인 손상에 초점을 맞출 것입니다. 무제한 위임및 AD CS 손상.
케르베로스팅
케르베로스팅?
케르베로스팅 Kerberos 인증 프로토콜을 악용하고 있습니다. 특히 Kerberos를 타겟으로 삼고 있습니다. 서비스 계정, 인증된 모든 사용자가 모든 서비스에 대한 티켓 부여 서비스(TGS) 티켓을 요청할 수 있다는 사실을 악용합니다. 공격자는 서비스 주체 이름(SPN)과 관련된 TGS 티켓을 요청한 다음 암호화된 티켓을 오프라인에서 해독하여 비밀번호를 얻습니다. 이런 식으로 감지되지 않고 제한된 영역에 액세스할 수 있습니다.
방법 Silverfort 실시간으로 Kerberoasting을 감지하고 보호하는 데 도움이 됩니다.
Detection System
- SPN을 통해 사용자의 서비스 요청을 추적하고, 이상 탐지 기능을 사용하여 Kerberoasting 공격을 탐지합니다.
- 의심스러운 MFA 거부 및 가상 펜싱 위반을 모니터링하여 감지합니다. 손상된 자격 증명.
실시간 보호
- Kerberoasting으로 식별된 서비스 티켓 요청을 자동으로 거부합니다.
- 적용 MFA 신원 침해를 방지하기 위해 인간 계정에 대한 정책과 서비스 계정에 대한 가상 펜싱을 도입합니다.
Kerberoasting 개요(출처: Microsoft Detecting and Mitigating) Active Directory 타협)
AS-REP 로스팅
AS-REP 로스팅이란?
인증 서버 응답(AS-REP) 로스팅은 인증을 요구하지 않도록 구성된 사용자 객체를 타겟으로 하는 공격 방법입니다. Kerberos 사전 인증. 공격자가 사용자의 비밀번호 해시로 암호화된 AS-REP 티켓을 해독하는 데 성공하면 사용자의 일반 텍스트 비밀번호를 얻고 사용자로 인증할 수 있습니다.
방법 Silverfort 실시간으로 AS-REP 로스팅을 감지하고 보호합니다.
Detection System
- Silverfort 사전 인증 없이 AS-REP 요청을 감지하고 의심스러운 사항을 플래그로 표시합니다. 인증 시도.
- 의심스러운 패턴을 모니터링합니다. MFA 성공적인 AS-REP 로스팅 시도를 감지하기 위해 거부 및 가상 펜싱 위반을 감지합니다.
실시간 보호
- 인간 계정 및 가상 펜싱에 대한 MFA 정책 설정 서비스 계정 AS-REP 로스팅을 방어합니다.
- 사전 인증 없이 자동으로 인증을 거부합니다.
AS-REP 로스팅 개요(출처: Microsoft Detecting and Mitigating) Active Directory 타협)
비밀번호 스프레이
비밀번호 스프레이 란 무엇입니까?
패스워드 스프레이에서 공격자는 성공할 때까지 다양한 패스워드 조합을 사용하여 여러 사용자에게 인증을 시도합니다. 이러한 패스워드는 공개 패스워드 목록에서 나오거나 대상 환경에서 재사용된 것으로 식별되거나 심지어 여러 계정에서 시도한 동일한 패스워드일 수 있습니다.
방법 Silverfort 실시간으로 비밀번호 스프레이를 감지하고 보호하는 데 도움이 됩니다.
Detection System
- 반복적인 무차별 대입 시도를 추적하여 감지 인증 여러 계정에 걸친 실패.
- 비밀번호 스프레이 시도의 일반적인 대상이 되는 내장된 관리자 계정과 관련된 비정상적인 활동을 모니터링합니다.
- 여러 SMB 리소스의 열거를 모니터링합니다. 이는 보호되지 않은 파일 공유에서 자격 증명을 발견하는 데 자주 사용되는 기술입니다.
실시간 보호
이 지침에서는 공격자가 초기 액세스를 시도할 때 암호 스프레이를 완화하는 효과적인 방법으로 MFA를 설명하지만 이미 액세스를 얻은 후에는 도메인 컨트롤러(DC)에 직접 인증할 수 있기 때문에 효과적이지 않습니다. NTLM MFA를 지원하지 않는 프로토콜입니다.
사실이지만 NTLM MFA를 지원하지 않는다고 해서 이를 해결할 방법이 없다는 것은 아닙니다. 사실, MFA는 지원하며 이는 통합의 일부입니다. Active Directory. AD는 어떠한 변경도 요구하지 않고 모든 액세스 요청을 두 번째 의견을 위해 우리에게 전달합니다. 이를 통해 레거시 시스템 및 NTLM을 사용하는 온프레미스 인프라를 포함하여 AD를 사용하는 모든 리소스에 MFA 검증을 적용할 수 있습니다.
- MFA를 구현하여 인간 계정을 보호하고 서비스 계정 가상 펜싱을 통해
- 가능하면 NTLM과 NTLMV1, LDAP 및 기타 취약한 프로토콜의 사용을 줄이세요.
- NTLM과 같은 레거시 프로토콜에 대한 MFA 확인 정책을 시행합니다.
무제한 위임
제약 없는 위임을 사용하면 컴퓨터 객체는 인증된 모든 사용자를 가장하고 모든 서비스에 액세스할 수 있습니다. 사용자 객체가 제약 없는 위임을 사용하여 컴퓨터 객체에 인증하면 사용자의 TGT 사본이 로컬에 저장됩니다.
공격자가 제한 없는 위임을 위해 구성된 컴퓨터에 대한 로컬 관리자 액세스 권한을 얻으면 이전에 컴퓨터 개체에 인증한 모든 사용자 개체에 대한 TGT를 추출할 수 있습니다. 그런 다음 공격자는 이러한 TGT를 사용하여 도메인 관리자를 포함하여 도메인의 다른 사용자 개체를 가장할 수 있습니다.
방법 Silverfort 실시간으로 제약 없는 위임을 탐지하고 보호하는 데 도움이 됩니다.
Detection System
- 사용자가 제한 없는 위임으로 구성된 컴퓨터에 인증하는 경우 사용자의 TGT가 도난당할 수 있습니다.
- 거부/알림/MFA 정책을 사용하여 제한 없는 위임이 있는 컴퓨터에서 의심스러운 MFA 거부 및 가상 펜싱 위반이 있는지 모니터링합니다.
실시간 보호
- 제한 없는 위임을 통해 컴퓨터에 대한 인증에 대해 거부/MFA 정책을 설정합니다.
- 신원 침해를 방지하기 위해 인간 계정에 대한 MFA 정책을 시행하고 서비스 계정에 대한 펜싱을 시행합니다.
AD CS 손상
AD CS 침해란 무엇인가요?
광고 CS(Active Directory 인증서 서비스)는 일반적으로 인증 목적(문서의 암호화 및 디지털 서명과 같은 다른 목적에도 사용되지만, 이는 주제와 관련이 없음)에 사용되는 공개 키 인프라(PKI) 인증서의 발급 및 관리에 사용됩니다. AD CS 인증 기관(CA)은 사용자와 컴퓨터가 다양한 용도로 인증서를 얻는 데 도움이 되는 다양한 인증서 템플릿을 제공합니다.
가장 흔한 AD CS 침해 중 하나는 ESC1과 같은 잘못 구성된 템플릿을 악용하는 것입니다. ESC1 템플릿은 모든 사용자가 다른 사용자를 대신하여 인증서를 요청할 수 있도록 합니다. 이런 식으로 공격자는 해당 사용자로 인증하고 권한을 상속받을 수 있습니다.
방법 Silverfort 실시간으로 AD CS 손상을 감지하고 보호하는 데 도움이 됩니다.
Detection System
- Silverfort 의심스러운 인증을 모니터링합니다. 구체적으로, 인증서가 사용된 TGT 요청입니다.
실시간 보호
- 인증서 기반 인증이 조직에서 널리 사용되지 않는 경우 거부 정책을 사용하여 사용을 제한하세요.
- 인간 계정에서는 MFA가 활성화되어 있고, 서비스 계정에서는 가상 펜싱이 활성화되어 있는지 확인하세요.
무엇 향후 계획?
다행히도 어둠 속에서도 빛은 존재하며, 이러한 모든 침해는 실제로 탐지 및 완화가 가능합니다. 각 공격에는 권한 접근 제한, 강력한 인증 절차 시행, 레거시 프로토콜의 위험 최소화 등 구체적인 대응 전략이 마련되어 있습니다.
결론적으로, 처리 Active Directory 위협에는 직접적이고 적극적인 조치가 필요합니다. 공격자가 사용하는 메커니즘을 식별하고 예방하는 것이 전부입니다. "탐지 및 완화"라고 말한 사람이 있나요?
