บัญชีบริการน่าจะมีบทบาทสำคัญในการโจมตี SunBurst
มกราคม 24th, 2021 กัล ซาเดห์
***** โดย Gal Sadeh หัวหน้านักวิทยาศาสตร์ด้านข้อมูล Silverfort *****
การวิจัยที่เราได้ดำเนินการที่ Silverfort Labs ระบุว่าบัญชีบริการมีบทบาทสำคัญในความสามารถของผู้โจมตี SolarWinds ในการเคลื่อนที่ด้านข้างภายในสภาพแวดล้อมของเหยื่อ สิ่งนี้ควรทำหน้าที่เป็นสัญญาณเตือนสำหรับผู้มีส่วนได้ส่วนเสียด้านความปลอดภัยขององค์กร บัญชีบริการ เป็นพื้นผิวการโจมตีที่เปราะบางและละเอียดอ่อนที่ต้องได้รับการปกป้อง เพื่อทำให้สถานะการรักษาความปลอดภัยโดยรวมขององค์กรแข็งแกร่งขึ้น เดอะ Silverfort แพลตฟอร์ม Unified Identity Protection ปกป้องบัญชีบริการ เป็นส่วนหนึ่งของการป้องกันแบบองค์รวมของบัญชีทั้งหมดในเครือข่ายไฮบริด บทความนี้มีทั้งการวิเคราะห์ทางเทคนิคของรูปแบบพฤติกรรมของบัญชีบริการ SolarWinds ตลอดจนการสาธิตวิธีการ Silverfort นโยบายการเข้าถึงสามารถป้องกันสถานการณ์การโจมตีที่ใช้บัญชีเหล่านี้ได้ การเคลื่อนไหวด้านข้าง และการเข้าถึงทรัพยากรขององค์กร
สารบัญ
การสร้างแบบจำลองพฤติกรรมบัญชีบริการ SolarWinds
เพื่อป้องกันการเคลื่อนไหวด้านข้าง จากการขโมยข้อมูลบัญชีบริการ สิ่งสำคัญคือต้องทำความเข้าใจพฤติกรรมปกติของบัญชีบริการก่อน สิ่งนี้ช่วยให้เราสามารถแยกแยะระหว่างรูปแบบพฤติกรรมที่คาดหวังและรูปแบบที่เป็นลักษณะของผู้โจมตี ตัวอย่างเช่น บัญชีบริการ SolarWinds โดยปกติจะไม่ใช้โปรโตคอลเดสก์ท็อประยะไกล (RDP) เพื่อรับรองความถูกต้องกับเครื่องอื่น การใช้โปรโตคอลนั้นโดยบัญชีบริการนั้นจะเป็นธงสีแดง
เพื่อจุดประสงค์นี้ เราได้วิเคราะห์ข้อมูลการพิสูจน์ตัวตนรวมถึงการค้นพบจากการจำลองการโจมตีที่มีการควบคุม และศึกษาบัญชีบริการสามประเภทที่ SolarWinds ใช้ในการสแกนเครือข่ายและเข้าถึงเครื่องเพิ่มเติม ในสถานการณ์การโจมตีที่เราตรวจสอบ บัญชีเหล่านี้สามารถใช้เป็นบัญชีหลักได้ วิธีการเคลื่อนที่ด้านข้าง. เนื่องจากความง่ายในการใช้พวกมันเพื่อจุดประสงค์นี้ จึงมีแนวโน้มว่าพวกมันจะถูกใช้ประโยชน์ในการโจมตี SunBurst เช่นกัน
เริ่มต้นด้วยการทำความเข้าใจพฤติกรรมมาตรฐานสำหรับบัญชีบริการ กราฟในส่วนนี้แสดงเซิร์ฟเวอร์ SolarWinds เป็นโหนดกลางที่มีขอบเชื่อมต่อกับเครื่องต่างๆ ในเครือข่าย
หมายเหตุ – ชื่อจริงของบัญชีได้รับการกำหนดค่าโดยผู้ใช้ในแต่ละสภาพแวดล้อมเฉพาะ ดังนั้นเราจึงตั้งชื่อที่สื่อความหมายให้กับแต่ละประเภทตามพฤติกรรมการตรวจสอบสิทธิ์
บัญชีบริการประเภทที่ 1: เครื่องสแกน RPCSS
- กิจกรรม: สแกนเครือข่ายด้วยบริการ RPCSS เพื่อควบคุมเครื่องอื่นในเครือข่ายจากระยะไกล RPCSS อนุญาตให้ผู้ใช้ทำเกือบทุกอย่างบนเครื่องระยะไกล รวมถึงความสามารถในการรันโค้ด
- โปรโตคอลการตรวจสอบสิทธิ์: Kerberos
- ชื่อหลักบริการ (SPNs):Cifs, DNS, RPCSS, HOST, KRBTGT และ LDAP
- ความสามารถทายได้: ความละเอียดสูง
- ตัวอย่างพฤติกรรม:
แผนภาพ 1: รูปแบบกิจกรรมของบัญชีบริการ RPCSS Scanner
แผนภาพ 1: รูปแบบกิจกรรมของบัญชีบริการ RPCSS Scannerบัญชีบริการประเภทที่ 2: เครื่องสแกนทั่วไป
- กิจกรรม: สแกนเครือข่ายด้วยโปรโตคอลต่างๆ และเมื่อเป็นไปได้ให้ใช้ RPCSS เพื่อเข้าถึงการอนุญาตขั้นสูงบนเครื่องระยะไกล ในบางครั้ง บัญชีบริการประเภทนี้ใช้ NTLM
- โปรโตคอลการรับรองความถูกต้อง: NTLM, เคอร์เบรอส
- SPN: RPCSS, โฮสต์, KRBTGT และ LDAP
- ความสามารถทายได้: ปานกลาง. แม้ว่ากิจกรรมบางส่วนจะทำซ้ำในแง่ของเวลาและเครื่องที่เข้าถึงได้ แต่ก็มีกิจกรรมมากมายที่ไม่สามารถจับคู่กับรูปแบบที่กำหนดได้
- ตัวอย่างพฤติกรรม:
แผนภาพ 2: รูปแบบกิจกรรมบัญชีบริการ General Scanner
ประเภทบัญชีบริการ #3: เครื่องสแกน LDAP
- กิจกรรม: ทำการสอบถาม LDAP ทุก 12 ชั่วโมงเพื่อติดตามการเปลี่ยนแปลงในโฆษณา
- โปรโตคอลการตรวจสอบสิทธิ์: แอลดีเอพี
- ความสามารถทายได้: ความละเอียดสูง
- ตัวอย่างพฤติกรรม:
-
แผนภาพที่ 3:รูปแบบกิจกรรมของบัญชีบริการเครื่องสแกน LDAPรายละเอียดกิจกรรมโดยละเอียดเพิ่มเติมของบัญชีบริการนี้แสดงไว้ที่นี่:
แผนภาพที่ 4: บัญชีบริการเครื่องสแกน LDAP รายละเอียดกิจกรรมโดยละเอียด
Silverfort ป้องกันการประนีประนอมบัญชีบริการ SunBurst
Silverfortเป็นอันหนึ่งอันเดียวกัน การป้องกันตัวตน แพลตฟอร์มใช้นโยบายการเข้าถึงเฉพาะเพื่อป้องกันการใช้บัญชีบริการ SolarWinds ที่ถูกบุกรุกสำหรับการเคลื่อนไหวด้านข้าง แนวทางในการสร้างนโยบายคือการจับพฤติกรรมมาตรฐานของบัญชี และบล็อกและแจ้งเตือนการเบี่ยงเบนที่ตรวจพบ การเบี่ยงเบนดังกล่าว แม้จะเล็กน้อยก็ตาม เป็นสิ่งที่ฝ่ายผู้โจมตีต้องการ และการปิดกั้นการห้ามปรามจะทำให้องค์กรสามารถตอบสนองต่อภัยคุกคามได้ทันท่วงทีและขัดขวางการโจมตีได้
ประเภทบัญชีบริการ #1: เครื่องสแกน RPCSS
ลักษณะการทำงานมาตรฐานของบัญชีบริการนี้คือการตรวจสอบสิทธิ์ กับ Kerberos เท่านั้น. Silverfort นโยบายการเข้าถึงที่ป้องกันไม่ให้บัญชีนี้ดำเนินการตรวจสอบสิทธิ์ NTLM จะป้องกันไม่ให้ถูกละเมิดเพื่อการเคลื่อนไหวด้านข้าง คุณควรตรวจสอบให้แน่ใจว่าเครื่องสแกนรับรองความถูกต้องเฉพาะกับ Kerberos SPN ที่ได้รับอนุญาตกับชุดเซิร์ฟเวอร์ที่รู้จัก ในนโยบายด้านล่างนี้จะแสดงในชื่อเซิร์ฟเวอร์ในฟิลด์ปลายทาง โปรดทราบว่าแม้ว่า NTLM จะถูกบล็อกทั้งหมด ส่วน Kerberos ของนโยบายจะละเอียดกว่าและใช้กับ SPN ที่ไม่ได้เป็นส่วนหนึ่งของรายการเข้าถึงปกติของบัญชีเท่านั้น (ดูแผนภาพที่ 7)
-
แผนภาพ 5:Silverfort นโยบายการป้องกัน 'RPCSS Scanner'
ประเภทบัญชีบริการ #2: เครื่องสแกนทั่วไป
บัญชีบริการประเภทนี้มีลักษณะการทำงานที่คาดเดาไม่ได้ ทำให้เกิดความท้าทายในการป้องกันมากขึ้น อย่างไรก็ตาม สิ่งที่คาดเดาได้คือเครื่องที่บัญชีนี้เข้าถึงได้ตามปกติ นโยบายที่จำกัดการเข้าถึงบัญชีนี้เฉพาะเครื่องเหล่านี้จะช่วยขจัดความเสี่ยงที่บัญชีนี้จะถูกใช้เพื่อเข้าถึงทรัพยากรที่ละเอียดอ่อนอื่นๆ:
แผนภาพ 6:Silverfort นโยบายการป้องกัน 'สแกนเนอร์ทั่วไป'
สำหรับทั้งสองนโยบายข้างต้น ให้เลือกเฉพาะ SPN ที่เกี่ยวข้องที่เครื่องสแกนแต่ละเครื่องใช้ ตัวอย่างเช่น:
-
แผนภาพ 7: Silverfort การป้องกันบริการ Kerberos แบบละเอียดสำหรับ RPCSS และนโยบายการเข้าถึงทั่วไป
ประเภทบัญชีบริการ #3: เครื่องสแกน LDAP
บัญชีบริการประเภทนี้มีลักษณะการทำงานที่คาดเดาได้สูง โดยทำการสืบค้น LDAP ทุก 12 ชั่วโมงไปยังเครื่องที่แตกต่างกัน นโยบายที่จำกัดทรัพยากรเป้าหมายของบัญชีเหล่านี้ไว้ที่ชุดเครื่องนี้ และอนุญาตให้บัญชีเหล่านี้ตรวจสอบความถูกต้องด้วย LDAP เท่านั้น ลดความเสี่ยงของการเคลื่อนไหวด้านข้าง ที่พวกเขาแนะนำ
แผนภาพ 8: Silverfort นโยบายการป้องกัน 'LDAP Scanner'
ข้อคิด
ในภาพรวมของภัยคุกคามในปัจจุบัน การป้องกันการใช้ข้อมูลประจำตัวที่ถูกบุกรุกเพื่อเข้าถึงทรัพยากรที่ละเอียดอ่อนมักเป็นลิงก์ที่ขาดหายไปในระบบรักษาความปลอดภัยขององค์กรส่วนใหญ่ การโจมตี SunBurst แสดงให้เห็นอีกครั้งว่าการขาดการป้องกันนี้ทำให้เกิดความเสี่ยงขั้นวิกฤต Silverfort การป้องกันตัวตนแบบครบวงจร แพลตฟอร์มนี้สร้างขึ้นโดยมีจุดประสงค์เพื่อเผชิญหน้าและเอาชนะภัยคุกคามที่เพิ่มขึ้นซึ่งการโจมตีข้อมูลระบุตัวตนแนะนำต่อองค์กรของคุณ
- เรียนรู้เพิ่มเติมเกี่ยวกับ Silverfort การปกป้องบัญชีบริการที่นี่
แผนภาพที่ 3:รูปแบบกิจกรรมของบัญชีบริการเครื่องสแกน LDAP
