Três ataques cibernéticos em que contas de serviço comprometidas desempenharam um papel fundamental
11 de maio de 2023 Zev Brodsky
Proteger contas de serviço é uma tarefa notoriamente difícil. Uma das principais razões para esta dificuldade é que contas de serviço são muitas vezes esquecidos e deixados sem supervisão. Resultando em ninguém rastreando seu uso ou validando que eles não estão comprometidos e usados por atores mal-intencionados.
Além disso, ter visibilidade limitada a zero nessas contas é um desafio importante quando se trata de proteger contas de serviço. A falta de visibilidade das contas de serviço também as torna um alvo atraente para os agentes de ameaças. Essas contas podem ser usadas para obter acesso não autorizado a dados, sistemas e recursos confidenciais e, em muitos casos, mover-se lateralmente pelo ambiente de uma organização. As consequências de um ataque bem-sucedido a uma conta de serviço podem ser graves, incluindo roubo de dados, comprometimento do sistema e até mesmo controle total da rede.
Nesta postagem, exploraremos as técnicas de ataque específicas que os agentes de ameaças utilizam ao atacar contas de serviço e destacaremos algumas violações de dados bem conhecidas em que as contas de serviço foram comprometidas e ajudaram os invasores a se moverem lateralmente.
Índice analítico
Métodos de ataque usados para comprometer e usar contas de serviço
Os atores da ameaça implementam diferentes técnicas para comprometer e usar contas de serviço. Vamos dar uma olhada mais de perto nos mais comumente usados ataque baseado em identidade métodos utilizados e como eles visam especificamente as contas de serviço.
Brute Force
Um ataque de força bruta é o método mais comum usado por agentes de ameaças, onde são feitas tentativas de adivinhar uma senha ou chave de criptografia tentando todas as combinações possíveis de caracteres até que a correta seja encontrada. Este método é particularmente eficaz contra senhas fracas ou facilmente adivinháveis. Os agentes de ameaças geralmente usam ferramentas automatizadas para testar rapidamente senhas diferentes até encontrarem uma que funcione.
Os agentes de ameaças geralmente usam ataques de força bruta para comprometer contas de serviço que possuem senhas fracas ou nenhuma política de senha, às vezes também tentando contornar as medidas de segurança em vigor para proteção contra esses tipos de ataques.
Kerberasting
Um ataque Kerberoasting é um tipo de ataque que tem como alvo o Kerberos protocolo de autenticação para obter o hash da senha de um usuário Active Directory com valores de nome principal de serviço (SPN), como contas de serviço.
O agente da ameaça primeiro identifica os usuários-alvo que possuem SPNs associados a eles. Em seguida, eles solicitam um tíquete de serviço Kerberos para um SPN específico associado a uma conta de usuário. O ticket de serviço é criptografado usando o hash do usuário. Em seguida, o autor da ameaça é capaz de obter o próprio hhash por meio de cracking offline e reproduzir a senha original em texto simples.
As contas de serviço são frequentemente direcionadas, pois muitas vezes têm SPNs associados a elas, que podem então ser usados para solicitar tickets de serviço para outros contas de usuário.
Passe o hash
Em um ataque pass-the-hash, o agente da ameaça pode usar um hash de senha para realizar uma autenticação NTLM em outros sistemas ou serviços na rede sem precisar saber a senha real.
Para realizar um ataque pass-the-hash, o agente da ameaça primeiro obtém o hash da senha da conta de serviço extraindo-o da memória de um endpoint comprometido ou interceptando o tráfego de autenticação da conta de serviço.
Ataques cibernéticos notórios que usaram contas de serviço comprometidas
Nos últimos anos, ocorreram várias violações de dados de alto perfil em que contas de serviço foram comprometidas com sucesso por agentes de ameaças. Esses ataques são exemplos claros de como os agentes de ameaças visam e usam contas de serviço integradas para movimentação lateral. Ao compreender estes casos, podemos obter uma melhor apreciação dos riscos associados às contas de serviços não seguras e das medidas que as organizações podem tomar para mitigar os riscos.
SolarWinds
O ataque SolarWinds foi um ataque à cadeia de abastecimento em dezembro de 2020. Os atores da ameaça comprometeram o processo de construção da plataforma de gerenciamento de TI SolarWinds Orion e inseriram um backdoor malicioso na base de código. Esse backdoor foi então distribuído para inúmeras organizações por meio de atualizações de software legítimas. Uma vez instalado nas redes alvo, o backdoor proporcionou aos agentes da ameaça acesso persistente aos sistemas alvo, permitindo-lhes exfiltrar dados e mover-se lateralmente dentro das redes.
Como as contas de serviço foram envolvidas
As contas de serviço desempenharam um papel crucial no ataque à SolarWinds. Contas de serviço comprometidas foram usadas pelos atores da ameaça para se moverem lateralmente pelas redes visadas e acessarem seus recursos. Os atores da ameaça tinham como alvo contas de serviço com privilégios de alto nível, o que lhes permitiu obter acesso a sistemas e dados críticos.
Depois que os agentes da ameaça obtiveram acesso à plataforma de gerenciamento de TI SolarWinds Orion, eles conseguiram obter as credenciais para várias contas de serviço da SolarWinds. Depois que essas contas foram comprometidas, os agentes da ameaça usaram as contas de serviço da SolarWinds para se moverem lateralmente pela rede até chegar ao servidor ADFS.
Escritório de Gestão de Pessoal dos EUA
A violação de dados do Escritório de Gestão de Pessoal dos Estados Unidos (OPM) foi descoberto em junho de 2015. Este foi um exemplo clássico de uma operação de ciberespionagem patrocinada pelo Estado pela ameaça chinesa avançada persistente (APT). A violação do OPM foi facilitada por diversas lacunas técnicas e arquitetônicas na infraestrutura de TI da agência, onde os agentes da ameaça conseguiram obter acesso aos sistemas do OPM usando credenciais roubadas pertencentes a um contratante terceirizado que havia privilegiado acesso à sua rede.
Como as contas de serviço foram envolvidas
Os invasores inicialmente obtiveram acesso à rede OPM por meio de um e-mail de spear-phishing, que lhes permitiu obter as credenciais de vários prestadores de serviços de OPM. Uma vez dentro da rede, os agentes da ameaça usaram as credenciais comprometidas para obter acesso a diversas contas de serviço, incluindo a conta de serviço do contratante KeyPoint Government Solutions (KGS). Esta conta tinha privilégios de alto nível e era usada para gerenciar e administrar sistemas OPM críticos.
Os atores da ameaça usaram a conta de serviço do contratante KGS para mover-se lateralmente pela rede e acessar dados confidenciais, incluindo os registros de investigação de antecedentes de milhões de atuais e ex-funcionários federais. Os agentes da ameaça conseguiram exfiltrar esses dados durante vários meses, período durante o qual permaneceram sem serem detectados. Eles também usaram as contas de serviço para criar backdoors na rede, o que lhes permitiu manter o acesso à rede mesmo após a detecção da violação inicial.
Marriott
Divulgado em 2018, o ataque Marriott foi uma das maiores violações de dados já registradas. Os atores da ameaça obtiveram acesso aos sistemas da empresa por meio de um fornecedor terceirizado que tinha acesso ao banco de dados de reservas da Marriott. Uma vez dentro da rede, eles puderam se mover lateralmente e aumentar os privilégios no Marriott's Active Directory a infraestrutura. Depois de obter acesso, os agentes da ameaça instalaram malware, que foi usado para roubar dados durante vários anos. A violação passou despercebida durante meses, dando aos agentes da ameaça tempo suficiente para roubar grandes quantidades de dados.
Como as contas de serviço foram envolvidas
Os agentes da ameaça conseguiram obter as credenciais de duas contas de serviço privilegiadas com acesso administrativo em nível de domínio. Eles implantaram um ataque pass-the-hash em que os agentes da ameaça usaram os hashes de senha para comprometer contas de serviço com privilégios de alto nível para acessar o sistema de reservas Starwood da Marriott, que continha informações pessoais e financeiras confidenciais de milhões de hóspedes.
Estas contas de serviço tinham acesso a sistemas e dados sensíveis em toda a rede Marriott, e o seu comprometimento permitiu que os atacantes se movessem lateralmente através da rede e aumentassem os seus privilégios durante um longo período de tempo, sem serem detectados pelos controlos de segurança da Marriott.
O fio condutor: comprometimento da conta de serviço
Em cada um desses casos, os agentes da ameaça conseguiram obter acesso não autorizado a sistemas ou dados confidenciais usando contas de serviço comprometidas para se moverem lateralmente pela rede da vítima. Estas violações destacam a importância de gerir e proteger adequadamente as contas de serviço para evitar o acesso não autorizado e reduzir o risco de violações.
Próximo: Protegendo contas de serviço com Silverfort
Agora que discutimos os métodos de ataque usados pelos agentes de ameaças ao atacar contas de serviço e destacamos violações de alto perfil onde contas de serviço estavam envolvidas, nossa próxima postagem mostrará como Silverfort ajuda as organizações a descobrir, monitorar e proteger contas de serviço, fornecendo visibilidade total, análise de risco e políticas de acesso adaptáveis sem a necessidade de rotação de senha.
