SunBurst 공격에서 서비스 계정이 핵심 역할을 했을 가능성이 있음

***** Gal Sadeh, 수석 데이터 과학자, Silverfort *****

우리가 수행한 연구 Silverfort Labs는 서비스 계정이 SolarWinds 공격자가 피해자의 환경 내에서 횡적으로 이동할 수 있는 능력에 핵심적인 역할을 했을 가능성이 있음을 나타냅니다. 이것은 엔터프라이즈 보안 이해 관계자에게 경각심을 불러일으키는 역할을 해야 합니다. 서비스 계정 조직의 전반적인 보안 태세를 강화하기 위해 보호해야 하는 취약하고 민감한 공격 영역입니다. 그만큼 Silverfort 통합 ID 보호 플랫폼은 서비스 계정을 보호합니다. 하이브리드 네트워크의 모든 계정에 대한 전체적인 보호의 일부로. 이 기사에는 SolarWinds 서비스 계정 행동 패턴에 대한 기술적 분석과 방법에 대한 데모가 모두 포함되어 있습니다. Silverfort 액세스 정책은 이러한 계정을 사용하는 공격 시나리오로부터 보호할 수 있습니다. 측면 운동 엔터프라이즈 자원에 대한 액세스.

SolarWinds 서비스 계정 동작 모델링

측면 이동을 방지하기 위해 서비스 계정 자격 증명 도용을 기반으로 서비스 계정의 정상적인 동작을 먼저 이해하는 것이 중요합니다. 이를 통해 예상되는 행동 패턴과 공격자를 특징짓는 패턴을 구분할 수 있습니다. 예를 들어 SolarWinds 서비스 계정은 일반적으로 RDP(원격 데스크톱 프로토콜)를 사용하여 다른 시스템을 인증하지 않습니다. 해당 서비스 계정에서 해당 프로토콜을 사용하면 위험 신호가 됩니다.

이를 위해 인증 데이터와 제어된 공격 시뮬레이션 결과를 분석하고 SolarWinds가 네트워크를 스캔하고 추가 시스템에 액세스하는 데 사용하는 세 가지 유형의 서비스 계정을 연구했습니다. 우리가 조사한 공격 시나리오에서 이러한 계정을 기본 계정으로 사용할 수 있습니다. 측면 이동 방법. 이러한 목적으로 사용하기가 상대적으로 쉽다는 점을 감안할 때 SunBurst 공격을 수행하는 데에도 악용되었을 가능성이 높습니다.

서비스 계정의 표준 동작을 이해하는 것부터 시작하겠습니다. 이 섹션의 그래프는 SolarWinds 서버를 네트워크의 다양한 시스템에 연결하는 에지가 있는 중간 노드로 보여줍니다.

주 – 계정의 실제 이름은 각각의 특정 환경에서 사용자가 구성합니다. 따라서 인증 동작을 기반으로 각 유형에 설명이 포함된 이름을 부여했습니다.

서비스 계정 유형 1: RPCSS 스캐너

• 활동: RPCSS 서비스로 네트워크를 스캔하여 네트워크의 다른 기계를 원격으로 제어합니다. RPCSS를 통해 사용자는 코드 실행 기능을 포함하여 원격 시스템에서 거의 모든 작업을 수행할 수 있습니다.
• 인증 프로토콜: Kerberos
• SPN(서비스 사용자 이름):Cifs, DNS, RPCSS, HOST, KRBTGT 및 LDAP.
• 예측 가능성: 높음
• 행동 샘플:

다이어그램 1: RPCSS 스캐너 서비스 계정 활동 패턴

서비스 계정 유형 2: 일반 스캐너

• 활동: 다양한 프로토콜로 네트워크를 스캔하고 가능한 경우 RPCSS를 사용하여 원격 시스템에서 상승된 권한에 액세스합니다. 경우에 따라 이 유형의 서비스 계정은 NTLM을 사용합니다.
• 인증 프로토콜: NTLM, 케르베로스
• SPN: RPCSS, 호스트, KRBTGT 및 LDAP
• 예측 가능성: 중간. 활동의 일부는 시간 및 액세스된 시스템 측면에서 반복적이지만 결정적 패턴에 매핑할 수 없는 많은 활동이 있습니다.
• 행동 샘플:

다이어그램 2:일반 스캐너 서비스 계정 활동 패턴

서비스 계정 유형 #3: LDAP 스캐너

• 활동: 12시간마다 LDAP 쿼리를 수행하여 AD의 변경 사항을 추적합니다.
• 인증 프로토콜: LDAP
• 예측 가능성: 높음
• 행동 샘플:

• 
  
  다이어그램 3:LDAP 스캐너 서비스 계정 활동 패턴

  이 서비스 계정의 더 자세한 활동 내역은 다음과 같습니다.

• 

  다이어그램 4: LDAP 스캐너 서비스 계정 세부 활동 분석

  Silverfort SunBurst 서비스 계정 손상으로부터 보호

  Silverfort의 통합 신원 보호 플랫폼은 측면 이동을 위해 손상된 SolarWinds 서비스 계정의 사용을 방지하기 위해 전용 액세스 정책을 사용합니다. 정책을 만드는 지침은 계정의 표준 동작을 캡처하고 감지된 편차를 차단하고 경고하는 것이었습니다. 이러한 편차는 아무리 사소하더라도 공격자 측에서 필요하며 이를 금지하는 차단을 통해 조직은 적시에 위협에 대응하고 공격을 저지할 수 있습니다.

  서비스 계정 유형 #1: RPCSS 스캐너

  이 서비스 계정의 표준 동작은 인증하는 것입니다. Kerberos에서만. 에이 Silverfort 이 계정이 NTLM 인증을 수행하지 못하도록 하는 액세스 정책은 측면 이동을 위해 남용되는 것을 방지합니다. 또한 스캐너가 알려진 서버 세트에 대해 허용된 Kerberos SPN으로만 인증하는지 확인해야 합니다. 아래 정책에서 이들은 대상 필드의 서버 이름에 표시됩니다. NTLM은 모두 차단되지만 정책의 Kerberos 부분은 더 세분화되어 계정 일반 액세스 목록의 일부가 아닌 SPN에만 적용됩니다(그림 7 참조).

  

• 다이어그램 5 :Silverfort 'RPCSS 스캐너' 보호 정책

  서비스 계정 유형 #2: 일반 스캐너

  이러한 유형의 서비스 계정에는 예측할 수 없는 동작이 있어 더 큰 보호 문제가 발생합니다. 그러나 예측 가능한 것은 이 계정이 일반적으로 액세스하는 시스템입니다. 이 계정의 액세스를 다음 컴퓨터로만 제한하는 정책은 다른 중요한 리소스에 액세스하는 데 사용될 위험을 제거합니다.

  

  다이어그램 6 :Silverfort '일반 스캐너' 보호 정책

  위의 두 정책 모두에 대해 각 스캐너가 사용하는 관련 SPN만 선택합니다. 예를 들면 다음과 같습니다.

  

• 다이어그램 7 : Silverfort RPCSS 및 일반 액세스 정책에 대한 세분화된 Kerberos 서비스 보호

  서비스 계정 유형 #3: LDAP 스캐너

  이 유형의 서비스 계정은 12시간마다 고유한 시스템 집합에 대해 LDAP 쿼리를 수행하는 매우 예측 가능한 동작을 합니다. 이러한 계정의 대상 리소스를 이 시스템 집합으로 제한하고 이러한 계정이 LDAP로만 인증하도록 허용하는 정책은 측면 이동의 위험 제거 그들이 소개하는 것.

  다이어그램 8 : Silverfort 'LDAP 스캐너' 보호 정책

  최종 생각

  오늘날의 위협 환경에서 중요한 리소스에 액세스하기 위해 손상된 자격 증명을 사용하지 못하도록 보호하는 것은 대부분 기업의 보안 스택에서 누락된 링크입니다. SunBurst 공격은 이러한 보호 기능 부족이 치명적인 위험에 노출된다는 것을 다시 한 번 보여줍니다. Silverfort 통합 신원 보호 플랫폼은 ID 공격으로 인해 기업에 발생하는 증가하는 위협에 맞서 승리할 수 있도록 특별히 제작되었습니다.

• 전단지에 포함된 링크에 대해 더 알아보기 Silverfort 여기에서 서비스 계정 보호.