การโจมตีทางไซเบอร์สามครั้งที่บัญชีบริการที่ถูกบุกรุกมีบทบาทสำคัญ

การรักษาความปลอดภัยบัญชีบริการเป็นงานที่ยากอย่างฉาวโฉ่ สาเหตุหลักประการหนึ่งของปัญหานี้คือ บัญชีบริการ มักถูกลืมและละเลย ส่งผลให้ไม่มีใครติดตามการใช้งานหรือตรวจสอบได้ว่าไม่ถูกบุกรุกและใช้งานโดยผู้ประสงค์ร้าย

นอกจากนี้ การจำกัดการเปิดเผยบัญชีเหล่านี้ให้เหลือศูนย์ถือเป็นความท้าทายที่สำคัญ การรักษาความปลอดภัยบัญชีบริการ. การที่บัญชีบริการขาดการมองเห็นยังทำให้บัญชีบริการกลายเป็นเป้าหมายที่น่าสนใจสำหรับผู้คุกคามอีกด้วย บัญชีเหล่านี้สามารถใช้เพื่อเข้าถึงข้อมูล ระบบ และทรัพยากรที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต และในหลายกรณีจะย้ายข้ามสภาพแวดล้อมขององค์กรไปด้านข้าง ผลที่ตามมาของการโจมตีบัญชีบริการที่ประสบความสำเร็จอาจมีความรุนแรง รวมถึงการขโมยข้อมูล การบุกรุกระบบ และแม้กระทั่งการยึดเครือข่ายโดยสมบูรณ์

ในโพสต์นี้ เราจะสำรวจเทคนิคการโจมตีเฉพาะที่ผู้คุกคามใช้เมื่อกำหนดเป้าหมายไปยังบัญชีบริการ และจะเน้นไปที่การละเมิดข้อมูลที่รู้จักกันดีบางส่วน ซึ่งบัญชีบริการถูกบุกรุกและช่วยให้ผู้โจมตีเคลื่อนไหวในแนวขวาง

วิธีการโจมตีที่ใช้ในการประนีประนอมและใช้บัญชีบริการ

ผู้คุกคามใช้เทคนิคที่แตกต่างกันเพื่อประนีประนอมและใช้บัญชีบริการ มาดูกันที่ใช้กันมากที่สุดกันดีกว่า การโจมตีตามข้อมูลประจำตัว วิธีการที่ใช้และวิธีการมุ่งเป้าไปที่บัญชีบริการโดยเฉพาะ

โหดเหี้ยม

การโจมตีด้วยกำลังเดรัจฉานเป็นวิธีการทั่วไปที่ใช้โดยผู้คุกคาม โดยพยายามเดารหัสผ่านหรือคีย์เข้ารหัสโดยลองใช้อักขระที่เป็นไปได้ทั้งหมดรวมกันจนกว่าจะพบอักขระที่ถูกต้อง วิธีนี้ใช้ได้ผลโดยเฉพาะกับรหัสผ่านที่เดาง่ายหรือเดาง่าย ผู้คุกคามมักใช้เครื่องมืออัตโนมัติเพื่อลองใช้รหัสผ่านต่างๆ อย่างรวดเร็วจนกว่าจะพบรหัสผ่านที่ใช้งานได้

ผู้คุกคามมักจะใช้การโจมตีแบบเดรัจฉานเพื่อประนีประนอมบัญชีบริการที่มีรหัสผ่านที่ไม่รัดกุมหรือไม่มีนโยบายรหัสผ่าน บางครั้งก็พยายามข้ามมาตรการรักษาความปลอดภัยที่มีอยู่เพื่อป้องกันการโจมตีประเภทเหล่านี้

เคอร์เบอโรสติ้ง

การโจมตีแบบ Kerberoasting เป็นการโจมตีประเภทหนึ่งที่มีเป้าหมายไปที่ Kerberos โปรโตคอลการตรวจสอบสิทธิ์เพื่อรับแฮรหัสผ่านของผู้ใช้ Active Directory ด้วยค่า Service Principal Name (SPN) — เช่น บัญชีบริการ

ผู้ก่อภัยคุกคามจะระบุผู้ใช้เป้าหมายที่มี SPN เชื่อมโยงกับพวกเขาก่อน จากนั้นจึงขอตั๋วบริการ Kerberos สำหรับ SPN เฉพาะที่เชื่อมโยงกับบัญชีผู้ใช้ ตั๋วบริการถูกเข้ารหัสโดยใช้แฮชของผู้ใช้ จากนั้น ผู้คุกคามจะสามารถรับ hhash ได้เองผ่านการแคร็กแบบออฟไลน์และสร้างรหัสผ่านข้อความธรรมดาดั้งเดิมขึ้นมาใหม่

บัญชีบริการมักถูกกำหนดเป้าหมายเนื่องจากมักจะมี SPN เชื่อมโยงอยู่ด้วย ซึ่งสามารถใช้เพื่อขอตั๋วบริการสำหรับบัญชีบริการอื่นๆ บัญชีผู้ใช้.

พาส-เดอะ-แฮช

ในการโจมตีแบบ pass-the-hash ผู้คุกคามสามารถใช้แฮชรหัสผ่านเพื่อทำการตรวจสอบสิทธิ์ NTLM กับระบบหรือบริการอื่นๆ บนเครือข่ายโดยไม่จำเป็นต้องรู้รหัสผ่านจริง

ในการดำเนินการโจมตีแบบ pass-the-hash ผู้คุกคามจะได้รับแฮชรหัสผ่านของบัญชีบริการก่อนโดยการแยกออกจากหน่วยความจำปลายทางที่ถูกบุกรุกหรือโดยการสกัดกั้นทราฟฟิกการรับรองความถูกต้องของบัญชีบริการ

การโจมตีทางไซเบอร์ที่ฉาวโฉ่ซึ่งใช้บัญชีบริการที่ถูกบุกรุก

ในช่วงไม่กี่ปีที่ผ่านมา มีการละเมิดข้อมูลระดับสูงหลายครั้งซึ่งบัญชีบริการถูกบุกรุกโดยผู้คุกคามได้สำเร็จ การโจมตีเหล่านี้เป็นตัวอย่างที่ชัดเจนของการที่ผู้คุกคามกำหนดเป้าหมายและใช้บัญชีบริการที่ประกอบด้วยเพื่อย้ายออกไปด้านข้าง เมื่อทำความเข้าใจกับกรณีเหล่านี้ เราสามารถรับรู้ถึงความเสี่ยงที่เกี่ยวข้องกับบัญชีบริการที่ไม่ปลอดภัยได้ดีขึ้น และมาตรการที่องค์กรสามารถใช้เพื่อลดความเสี่ยงได้

SolarWinds

การโจมตีของ SolarWinds คือ การโจมตีห่วงโซ่อุปทานในเดือนธันวาคม 2020. ผู้คุกคามบุกรุกกระบวนการสร้างแพลตฟอร์มการจัดการ SolarWinds Orion IT และแทรกประตูหลังที่เป็นอันตรายเข้าไปในฐานรหัส แบ็คดอร์นี้ถูกแจกจ่ายไปยังองค์กรต่างๆ มากมายผ่านการอัปเดตซอฟต์แวร์ที่ถูกกฎหมาย เมื่อติดตั้งบนเครือข่ายเป้าหมายแล้ว แบ็คดอร์ช่วยให้ผู้คุกคามเข้าถึงระบบเป้าหมายได้อย่างต่อเนื่อง ทำให้พวกเขาสามารถสกัดข้อมูลและเคลื่อนย้ายด้านข้างภายในเครือข่ายได้

บัญชีบริการมีส่วนเกี่ยวข้องอย่างไร

บัญชีบริการมีบทบาทสำคัญในการโจมตี SolarWinds บัญชีบริการที่ถูกบุกรุกถูกใช้โดยผู้คุกคามเพื่อย้ายจากด้านข้างผ่านเครือข่ายเป้าหมายและเข้าถึงทรัพยากรของพวกเขา ผู้คุกคามกำหนดเป้าหมายบัญชีบริการด้วยสิทธิ์ระดับสูง ซึ่งทำให้พวกเขาสามารถเข้าถึงระบบและข้อมูลที่สำคัญได้

เมื่อผู้คุกคามเข้าถึงแพลตฟอร์มการจัดการด้านไอทีของ SolarWinds Orion แล้ว พวกเขาสามารถรับข้อมูลรับรองสำหรับบัญชีบริการหลายบัญชีของ SolarWinds เมื่อบัญชีเหล่านี้ถูกบุกรุก ผู้คุกคามจะใช้บัญชีบริการ SolarWinds เพื่อย้ายด้านข้างผ่านเครือข่ายจนกว่าจะถึงเซิร์ฟเวอร์ ADFS  

สำนักงานบริหารงานบุคคลแห่งสหรัฐอเมริกา

การละเมิดข้อมูลของ สำนักงานการบริหารงานบุคคลแห่งสหรัฐอเมริกา (OPM) ถูกค้นพบในเดือนมิถุนายน 2015 นี่เป็นตัวอย่างคลาสสิกของการดำเนินการจารกรรมทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐโดยภัยคุกคามขั้นสูงของจีน (APT) การละเมิด OPM ได้รับการอำนวยความสะดวกจากช่องว่างทางเทคนิคและสถาปัตยกรรมหลายประการในโครงสร้างพื้นฐานด้านไอทีของหน่วยงาน ซึ่งผู้คุกคามสามารถเข้าถึงระบบของ OPM โดยใช้ข้อมูลประจำตัวที่ถูกขโมยซึ่งเป็นของผู้รับเหมาบุคคลที่สามซึ่งมี ได้รับการยกเว้น เข้าถึงเครือข่ายของพวกเขา

บัญชีบริการมีส่วนเกี่ยวข้องอย่างไร

ในตอนแรกผู้โจมตีสามารถเข้าถึงเครือข่าย OPM ผ่านอีเมลสเปียร์ฟิชชิ่ง ซึ่งทำให้พวกเขาได้รับข้อมูลประจำตัวของผู้รับเหมา OPM หลายราย เมื่อเข้าสู่เครือข่ายแล้ว ผู้คุกคามจะใช้ข้อมูลประจำตัวที่ถูกบุกรุกเพื่อเข้าถึงบัญชีบริการต่างๆ รวมถึงบัญชีบริการของผู้รับเหมา KeyPoint Government Solutions (KGS) บัญชีนี้มีสิทธิ์ระดับสูงและใช้เพื่อจัดการและดูแลระบบ OPM ที่สำคัญ

ผู้คุกคามใช้บัญชีบริการของผู้รับเหมา KGS เพื่อย้ายจากด้านข้างผ่านเครือข่ายและเข้าถึงข้อมูลที่ละเอียดอ่อน รวมถึงบันทึกการสืบสวนเบื้องหลังของพนักงานรัฐบาลกลางในปัจจุบันและอดีตหลายล้านคน ผู้กระทำการคุกคามสามารถถอนข้อมูลนี้ออกไปได้ภายในเวลาหลายเดือน โดยในช่วงเวลานั้นพวกเขายังคงตรวจไม่พบ พวกเขายังใช้บัญชีบริการเพื่อสร้างแบ็คดอร์บนเครือข่าย ซึ่งทำให้พวกเขารักษาการเข้าถึงเครือข่ายได้แม้ว่าจะตรวจพบการละเมิดครั้งแรกก็ตาม

แมริออท

เปิดเผยในปี 2018 การโจมตีของแมริออท เป็นหนึ่งในการละเมิดข้อมูลที่ใหญ่ที่สุดเป็นประวัติการณ์ ผู้คุกคามเข้าถึงระบบของบริษัทผ่านผู้ให้บริการบุคคลที่สามที่เข้าถึงฐานข้อมูลการจองของแมริออท เมื่ออยู่ในเครือข่ายแล้ว พวกเขาสามารถย้ายไปด้านข้างและเพิ่มสิทธิพิเศษในแมริออทได้ Active Directory โครงสร้างพื้นฐาน หลังจากเข้าถึงผู้คุกคามได้ติดตั้งมัลแวร์ซึ่งใช้ในการขโมยข้อมูลเป็นเวลาหลายปี ช่องโหว่ดังกล่าวตรวจไม่พบเป็นเวลาหลายเดือน ทำให้ผู้คุกคามมีเวลาเหลือเฟือในการขโมยข้อมูลจำนวนมาก

บัญชีบริการมีส่วนเกี่ยวข้องอย่างไร

ผู้คุกคามสามารถรับข้อมูลประจำตัวของบัญชีบริการที่มีสิทธิพิเศษสองบัญชีพร้อมสิทธิ์การเข้าถึงระดับผู้ดูแลระบบโดเมน พวกเขาใช้การโจมตีแบบ pass-the-hash ซึ่งผู้คุกคามใช้แฮชรหัสผ่าน จากนั้นใช้เพื่อประนีประนอมบัญชีบริการที่มีสิทธิ์ระดับสูงในการเข้าถึงระบบการจอง Starwood ของ Marriott ซึ่งมีข้อมูลส่วนบุคคลและข้อมูลทางการเงินที่ละเอียดอ่อนของแขกหลายล้านคน

บัญชีบริการเหล่านี้สามารถเข้าถึงระบบและข้อมูลที่มีความละเอียดอ่อนได้ทั่วทั้งเครือข่ายของ Marriott และการประนีประนอมของพวกเขาทำให้ผู้โจมตีสามารถเคลื่อนที่ผ่านเครือข่ายในแนวขวางและเพิ่มสิทธิพิเศษในช่วงเวลาที่ขยายออกไป โดยไม่ถูกตรวจพบโดยการควบคุมความปลอดภัยของ Marriott

หัวข้อทั่วไป: การประนีประนอมบัญชีบริการ

ในแต่ละกรณีเหล่านี้ ผู้คุกคามสามารถเข้าถึงระบบหรือข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาตได้โดยใช้บัญชีบริการที่ถูกบุกรุกเพื่อย้ายข้ามเครือข่ายของเหยื่อในแนวขวาง การละเมิดเหล่านี้เน้นย้ำถึงความสำคัญของการจัดการและการรักษาความปลอดภัยของบัญชีบริการอย่างเหมาะสม เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตและลดความเสี่ยงของการละเมิด

ถัดไป: การรักษาความปลอดภัยบัญชีบริการด้วย Silverfort

ตอนนี้เราได้พูดถึงวิธีการโจมตีที่ผู้คุกคามใช้เมื่อกำหนดเป้าหมายบัญชีบริการและเน้นการละเมิดข้อมูลสูงที่เกี่ยวข้องกับบัญชีบริการ โพสต์ถัดไปของเราจะแสดงให้เห็นว่า Silverfort ช่วยให้องค์กรต่างๆ ค้นพบ ตรวจสอบ และปกป้องบัญชีบริการโดยการแสดงข้อมูลทั้งหมด การวิเคราะห์ความเสี่ยง และนโยบายการเข้าถึงแบบปรับเปลี่ยนได้ โดยไม่จำเป็นต้องหมุนเวียนรหัสผ่าน