พันธมิตรห้าตานำโดย สำนักงานสัญญาณออสเตรเลีย (ASD)ล่าสุดได้ออกเอกสารสำคัญชื่อว่า การตรวจจับและการบรรเทา Active Directory การประนีประนอมเน้นย้ำถึงการเพิ่มขึ้นของการโจมตีด้วยแรนซัมแวร์ Active Directory สภาพแวดล้อม โดยเฉพาะในภูมิภาคเอเชียแปซิฟิก ในบล็อกนี้ เราจะตรวจสอบการประนีประนอมที่พบบ่อยที่สุดบางส่วนที่อธิบายไว้ในคำแนะนำ และเน้นย้ำว่า Silverfort สามารถช่วย
การตรวจจับและการบรรเทาคืออะไร Active Directory การให้คำแนะนำแบบประนีประนอม?
คำแนะนำในการตรวจจับและบรรเทา Active Directory การประนีประนอมจะระบุถึงกลยุทธ์ เทคนิค และขั้นตอนทั่วไป (TTP) ที่ผู้โจมตีใช้เพื่อละเมิด Active Directory โครงสร้างพื้นฐาน และจัดเตรียมกลยุทธ์บรรเทาผลกระทบ คำแนะนำนี้เป็นการตอบสนองที่ทันท่วงทีต่อการพึ่งพาภัยคุกคามต่อตัวตนที่เพิ่มมากขึ้น ransomware การโจมตีในภูมิภาคเอเชียแปซิฟิก รวมถึงการละเมิดที่น่าสังเกตบางประการ:
การโจมตีด้วย Ransomware ของ MediSecure (พฤศจิกายน 2023 เปิดเผยกรกฎาคม 2024)
MediSecure บริษัทจำหน่ายใบสั่งยาแบบดิจิทัลที่มีฐานอยู่ในออสเตรเลีย ประสบปัญหาการโจมตีด้วยแรนซัมแวร์เมื่อปีที่แล้ว ซึ่งเปิดเผยข้อมูลด้านสุขภาพและข้อมูลส่วนบุคคลของผู้คนเกือบ 13 ล้านคน ซึ่งส่งผลให้บริษัทต้องยื่นฟ้องล้มละลาย การละเมิดดังกล่าวดูเหมือนว่าจะมีต้นตอมาจากหนึ่งในบริษัท MediSecure ผู้ขายบุคคลที่สามซึ่งชี้ให้เห็นว่าผู้โจมตีอาจเข้าถึงข้อมูลของ MediSecure ได้โดยใช้ข้อมูลประจำตัวที่ถูกบุกรุก
การโจมตี Ransomware ที่ท่าเรือนาโกย่า (กรกฎาคม 2023)
การโจมตีที่เกิดจาก กลุ่ม LockBit สร้างความปั่นป่วนให้กับการค้าและการขนส่งในท่าเรือนาโกย่า ซึ่งเป็นท่าเรือขนส่งสินค้าที่พลุกพล่านที่สุดในญี่ปุ่น – ศูนย์กลางการส่งออกรถยนต์ที่สำคัญและเป็นแรงขับเคลื่อนสำคัญต่อเศรษฐกิจญี่ปุ่น การโจมตีครั้งนี้ทำให้ท่าเรือไม่สามารถรับตู้คอนเทนเนอร์ได้อีกต่อไป แม้ว่าจะยังไม่มีการเปิดเผยต่อสาธารณะว่า LockBit เข้าถึงข้อมูลเบื้องต้นได้อย่างไร แต่บริษัทได้ดำเนินการดังกล่าวแล้ว ransomware กลยุทธ์นี้มักจะใช้อีเมลฟิชชิ่งและซื้อข้อมูลประจำตัวที่ขโมยมา ทันทีที่เข้าถึงเครือข่ายได้ พวกเขาจะย้ายที่อยู่ ดึงข้อมูลประจำตัวเพิ่มเติม เพิ่มสิทธิ์ ขยายการเข้าถึง และเข้ารหัสข้อมูลสำคัญ ในกรณีนี้ ระบบ Nagoya United Terminal System (NUTS) ซึ่งจัดการการดำเนินการคอนเทนเนอร์ ถูกบุกรุก บันทึกเรียกค่าไถ่ที่ผู้โจมตีทิ้งไว้อ้างว่าข้อมูลจาก NUTS ถูกเข้ารหัสและเรียกร้องค่าไถ่
การโจมตีของ ICBC (พฤศจิกายน 2023)
ธนาคารอุตสาหกรรมและการพาณิชย์แห่งประเทศจีน (ICBC) ซึ่งเป็นผู้ให้สินเชื่อรายใหญ่ที่สุดของโลกตามสินทรัพย์ ถูกโจมตีด้วยแรนซัมแวร์ การโจมตีดังกล่าวได้ส่งผลกระทบโดยตรงต่อแผนกบริการทางการเงินของธนาคาร US ICBC Financial Services มีรายงานว่าการโจมตีดังกล่าวได้ก่อให้เกิดการหยุดชะงักครั้งใหญ่ในการซื้อขายตราสารหนี้ ตามรายงานระบุว่าผู้โจมตีสามารถเข้าถึง ICBC โดยไม่ได้รับอนุญาตโดยใช้ประโยชน์จากช่องโหว่ Citrix NetScaler ADC และ NetScaler Gateway ที่มีชื่อว่า “Citrix Bleed” การใช้ประโยชน์จากช่องโหว่นี้ เตือน CISA (หน่วยงานความมั่นคงไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา)“อาจอนุญาตให้เปิดเผยข้อมูลที่ละเอียดอ่อน รวมถึงข้อมูลโทเค็นการตรวจสอบสิทธิ์เซสชัน ซึ่งอาจทำให้ผู้ก่อให้เกิดภัยคุกคามสามารถ 'แย่งชิง' เซสชันของผู้ใช้ได้”
ข้อตกลง AD ทั่วไปที่ระบุไว้ในแนวทาง
แม้ว่าพวกเขาจะได้สรุปประเด็นที่เกี่ยวข้องกับ AD มากกว่า 15 ประเด็นแล้ว แต่เราจะเน้นที่ประเด็นทั่วไปบางส่วน ได้แก่ Kerberoasting, AS-REP Roasting, Password Spraying การมอบหมายที่ไม่มีข้อจำกัดและการประนีประนอม AD CS
เคอร์เบอโรสติ้ง
ความหมายของ เคอร์เบอโรสติ้ง?
เคอร์เบอโรสติ้ง กำลังใช้ประโยชน์จากโปรโตคอลการตรวจสอบสิทธิ์ Kerberos โดยเฉพาะอย่างยิ่ง Kerberoasting มีเป้าหมาย บัญชีบริการโดยใช้ประโยชน์จากข้อเท็จจริงที่ว่าผู้ใช้ที่ผ่านการรับรองสามารถขอตั๋ว Ticket Granting Service (TGS) สำหรับบริการใดก็ได้ ผู้โจมตีขอตั๋ว TGS ที่เกี่ยวข้องกับ Service Principal Names (SPNs) จากนั้นจึงแคร็กตั๋วที่เข้ารหัสแบบออฟไลน์เพื่อรับรหัสผ่าน ด้วยวิธีนี้ พวกเขาสามารถเข้าถึงพื้นที่จำกัดโดยไม่ถูกตรวจพบ
สรุป ความน่าเชื่อถือของ Olymp Trade? Silverfort ช่วยตรวจจับและป้องกันการโจมตีแบบ Kerberoasting แบบเรียลไทม์
การตรวจพบ
- ติดตามคำขอรับบริการไปยังผู้ใช้ด้วย SPN และตรวจจับการโจมตี Kerberoasting โดยใช้การตรวจจับความผิดปกติ
- ตรวจสอบการปฏิเสธ MFA ที่น่าสงสัยและการละเมิดการฟันดาบเสมือนจริงเพื่อตรวจจับ ข้อมูลประจำตัวที่ถูกบุกรุก.
การป้องกันแบบเรียลไทม์
- ปฏิเสธคำขอตั๋วบริการที่ระบุว่าเป็น Kerberoasting โดยอัตโนมัติ
- บังคับใช้ MFA ได้ทุกที่ นโยบายสำหรับบัญชีมนุษย์และการกั้นรั้วเสมือนสำหรับบัญชีบริการเพื่อป้องกันการละเมิดข้อมูลส่วนตัว
ภาพรวมของ Kerberoasting (ที่มา: การตรวจจับและบรรเทาผลกระทบจาก Microsoft Active Directory การประนีประนอม)
การคั่วแบบ AS-REP
AS-REP Roasting คืออะไร?
การคั่วการตอบสนองของเซิร์ฟเวอร์การตรวจสอบสิทธิ์ (AS-REP) เป็นวิธีการโจมตีที่กำหนดเป้าหมายไปที่วัตถุผู้ใช้ที่กำหนดค่าไม่ให้ต้องการ Kerberos การตรวจสอบสิทธิ์ล่วงหน้า หากผู้โจมตีสามารถแคร็กตั๋ว AS-REP ที่เข้ารหัสด้วยแฮชรหัสผ่านของผู้ใช้ได้ พวกเขาสามารถรับรหัสผ่านแบบข้อความธรรมดาของผู้ใช้และพิสูจน์ตัวตนในฐานะผู้ใช้ได้
สรุป ความน่าเชื่อถือของ Olymp Trade? Silverfort ช่วยตรวจจับและป้องกันการคั่ว AS-REP แบบเรียลไทม์
การตรวจพบ
- Silverfort ตรวจจับคำขอ AS-REP โดยไม่ต้องมีการตรวจสอบสิทธิ์ล่วงหน้าและทำเครื่องหมายที่น่าสงสัย การรับรอง ความพยายามในการ
- เฝ้าติดตามรูปแบบที่น่าสงสัยของ MFA ได้ทุกที่ การปฏิเสธและการละเมิดการฟันดาบเสมือนจริงเพื่อตรวจจับความพยายามคั่ว AS-REP ที่ประสบความสำเร็จ
การป้องกันแบบเรียลไทม์
- กำหนดนโยบาย MFA สำหรับบัญชีมนุษย์และการกั้นรั้วเสมือนจริงสำหรับ บัญชีบริการ เพื่อป้องกันการคั่วแบบ AS-REP
- ปฏิเสธการตรวจสอบสิทธิ์โดยอัตโนมัติโดยไม่ต้องมีการตรวจสอบสิทธิ์ล่วงหน้า
ภาพรวมของการคั่ว AS-REP (ที่มา: การตรวจจับและบรรเทาผลกระทบจาก Microsoft Active Directory การประนีประนอม)
การพ่นรหัสผ่าน
การพ่นรหัสผ่านคืออะไร
ในการแฮ็กรหัสผ่าน ผู้โจมตีจะพยายามพิสูจน์ตัวตนกับผู้ใช้หลายรายโดยใช้รหัสผ่านชุดต่างๆ จนกว่าจะสำเร็จ รหัสผ่านเหล่านี้อาจมาจากรายการรหัสผ่านสาธารณะ หรือระบุว่ามีการใช้งานซ้ำในสภาพแวดล้อมเป้าหมาย หรือแม้แต่รหัสผ่านเดียวกันที่ลองใช้กับหลายบัญชี
สรุป ความน่าเชื่อถือของ Olymp Trade? Silverfort ช่วยตรวจจับและป้องกันการสเปรย์รหัสผ่านแบบเรียลไทม์
การตรวจพบ
- ตรวจจับความพยายามใช้กำลังดุร้ายโดยการติดตามซ้ำๆ การรับรอง ความล้มเหลวในหลายบัญชี
- ตรวจสอบกิจกรรมที่ผิดปกติที่เกี่ยวข้องกับบัญชีผู้ดูแลระบบในตัว ซึ่งเป็นเป้าหมายทั่วไปสำหรับการพยายามโจมตีรหัสผ่าน
- ตรวจสอบการนับทรัพยากร SMB หลายรายการ ซึ่งเป็นเทคนิคที่มักใช้ในการค้นหาข้อมูลประจำตัวในไฟล์ที่แชร์ที่ไม่ได้รับการป้องกัน
การป้องกันแบบเรียลไทม์
คำแนะนำดังกล่าวอธิบายว่า MFA เป็นวิธีที่มีประสิทธิภาพในการลดการฉีดพ่นรหัสผ่านเมื่อผู้โจมตีพยายามเข้าถึงข้อมูลครั้งแรก แต่เมื่อพวกเขาเข้าถึงข้อมูลได้แล้ว วิธีนี้จะไม่มีประสิทธิภาพอีกต่อไป เนื่องจากพวกเขาสามารถพิสูจน์ตัวตนโดยตรงกับตัวควบคุมโดเมน (DC) ได้ NTLM โปรโตคอลซึ่งไม่รองรับ MFA
ในขณะที่มันเป็นความจริงที่ NTLM ไม่รองรับ MFA ไม่ได้หมายความว่าจะไม่มีทางอื่น จริงๆ แล้วมี และเป็นส่วนหนึ่งของการบูรณาการของเราด้วย Active DirectoryAD จะส่งคำขอการเข้าถึงทั้งหมดไปยังเราเพื่อขอความเห็นที่สองโดยไม่ต้องทำการเปลี่ยนแปลงใดๆ ซึ่งทำให้เราสามารถบังคับใช้การตรวจสอบ MFA กับทรัพยากรใดๆ ที่ใช้ AD ได้ รวมถึงระบบเดิมและโครงสร้างพื้นฐานภายในสถานที่ที่ใช้ NTLM
- รักษาความปลอดภัยบัญชีผู้ใช้ของมนุษย์โดยการใช้ MFA และ บัญชีบริการ พร้อมรั้วเสมือนจริง
- ลดการใช้ NTLM ทุกที่ที่เป็นไปได้ เช่นเดียวกับ NTLMV1, LDAP และโปรโตคอลที่อ่อนแออื่น ๆ
- บังคับใช้หลักการการตรวจสอบ MFA สำหรับโปรโตคอลรุ่นเก่าเช่น NTLM
การมอบหมายที่ไม่มีข้อจำกัด
ความหมายของ การมอบหมายที่ไม่มีข้อจำกัด?
ด้วยการมอบหมายที่ไม่ถูกจำกัด วัตถุคอมพิวเตอร์สามารถปลอมตัวเป็นผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์และเข้าถึงบริการใดๆ ก็ได้ เมื่อวัตถุผู้ใช้ตรวจสอบสิทธิ์กับวัตถุคอมพิวเตอร์ที่มีการมอบหมายที่ไม่ถูกจำกัด สำเนา TGT ของผู้ใช้จะถูกจัดเก็บในเครื่อง
หากผู้โจมตีได้รับสิทธิ์การเข้าถึงของผู้ดูแลระบบภายในเครื่องในคอมพิวเตอร์ที่กำหนดค่าสำหรับการมอบหมายสิทธิ์โดยไม่มีข้อจำกัด ผู้โจมตีสามารถดึงข้อมูล TGT สำหรับวัตถุผู้ใช้ใดๆ ที่ได้รับการพิสูจน์ตัวตนไปยังวัตถุคอมพิวเตอร์ก่อนหน้านี้ได้ จากนั้นผู้โจมตีสามารถใช้ข้อมูล TGT เหล่านี้เพื่อปลอมตัวเป็นวัตถุผู้ใช้อื่นๆ ในโดเมน รวมถึงผู้ดูแลระบบโดเมน
สรุป ความน่าเชื่อถือของ Olymp Trade? Silverfort ช่วยตรวจจับและป้องกันการมอบหมายที่ไม่ถูกจำกัดแบบเรียลไทม์
การตรวจพบ
- TGT ของผู้ใช้สามารถถูกขโมยได้หากทำการพิสูจน์ตัวตนต่อคอมพิวเตอร์ที่ตั้งค่าการมอบหมายแบบไม่มีข้อจำกัด
- ใช้การปฏิเสธ/แจ้งเตือน/MFA เพื่อตรวจสอบคอมพิวเตอร์ที่มีการมอบหมายแบบไม่มีข้อจำกัดสำหรับการปฏิเสธ MFA ที่น่าสงสัยและการละเมิดการฟันดาบเสมือน
การป้องกันแบบเรียลไทม์
- ตั้งค่าการนโยบายปฏิเสธ/MFA สำหรับการรับรองความถูกต้องกับคอมพิวเตอร์ที่มีการมอบหมายแบบไม่มีข้อจำกัด
- บังคับใช้หลักการ MFA สำหรับบัญชีบุคคลและการกั้นรั้วสำหรับบัญชีบริการเพื่อป้องกันการละเมิดข้อมูลส่วนตัว
การประนีประนอม AD CS
AD CS Compromise คืออะไร?
เอดี ซีเอส (Active Directory บริการใบรับรอง) ใช้สำหรับออกและจัดการใบรับรองโครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ซึ่งมักใช้เพื่อจุดประสงค์ในการรับรองความถูกต้อง (รวมถึงจุดประสงค์อื่นๆ เช่น การเข้ารหัสและการลงนามดิจิทัลในเอกสาร แต่สิ่งนี้ไม่เกี่ยวข้องกับหัวข้อของเรา) ผู้ให้บริการใบรับรอง (CA) ของ AD CS นำเสนอเทมเพลตใบรับรองที่หลากหลายเพื่อช่วยให้ผู้ใช้และคอมพิวเตอร์ได้รับใบรับรองสำหรับการใช้งานที่หลากหลาย
ช่องโหว่ของ AD CS ที่พบบ่อยที่สุดอย่างหนึ่งคือการใช้ประโยชน์จากเทมเพลตที่กำหนดค่าไม่ถูกต้อง เช่น ESC1 เทมเพลต ESC1 ช่วยให้ผู้ใช้รายใดก็ตามสามารถร้องขอใบรับรองแทนผู้ใช้รายอื่นได้ ด้วยวิธีนี้ ผู้โจมตีจึงสามารถพิสูจน์ตัวตนในฐานะผู้ใช้รายนั้นและรับสิทธิ์พิเศษจากผู้ใช้รายนั้นได้
สรุป ความน่าเชื่อถือของ Olymp Trade? Silverfort ช่วยตรวจจับและป้องกันการประนีประนอม AD CS แบบเรียลไทม์
การตรวจพบ
- Silverfort ตรวจสอบการตรวจสอบสิทธิ์ที่น่าสงสัย โดยเฉพาะคำขอ TGT ที่ใช้ใบรับรอง
การป้องกันแบบเรียลไทม์
- หากการตรวจสอบสิทธิ์โดยใช้ใบรับรองยังไม่ได้ถูกใช้อย่างแพร่หลายในองค์กรของคุณ ควรจำกัดการใช้งานด้วยนโยบายปฏิเสธ
- ตรวจสอบให้แน่ใจว่าได้เปิดใช้งาน MFA บนบัญชีของมนุษย์และมีการเปิดใช้งานการฟันดาบเสมือนบนบัญชีบริการ
ทำอะไรต่อไป
ข่าวดีก็คือ แม้จะมืดมิดเพียงใด ก็ยังมีแสงสว่าง และช่องโหว่เหล่านี้สามารถตรวจจับและบรรเทาได้จริง การโจมตีแต่ละครั้งมีกลยุทธ์รับมืออย่างละเอียด ซึ่งรวมถึงการจำกัดสิทธิ์การเข้าถึงแบบมีสิทธิพิเศษ การบังคับใช้วิธีการตรวจสอบสิทธิ์ที่เข้มงวด และการลดความเสี่ยงจากโปรโตคอลแบบเดิมให้เหลือน้อยที่สุด
ข้อสรุปคือการจัดการ Active Directory ภัยคุกคามต้องใช้มาตรการโดยตรงและเชิงรุก ซึ่งทั้งหมดนี้เป็นเรื่องของการระบุและป้องกันกลไกที่ผู้โจมตีใช้ มีใครพูดถึง "การตรวจจับและบรรเทาผลกระทบ" บ้างไหม
