การวิจัยล่าสุดของ Microsoft เน้นย้ำถึงเทคนิคหลังการใช้ประโยชน์ที่เป็นอันตรายที่เรียกว่า โกลเด้น ดีเอ็มเอสเอวิธีการโจมตีใหม่นี้ใช้การเข้าถึงระดับระบบบนตัวควบคุมโดเมนเพื่อดำเนินการโหลดถาวร รวมถึงแรนซัมแวร์ที่กำหนดเป้าหมายไปที่แกนหลักของ Active Directoryด้วยการแฮ็กบัญชีบริการที่ได้รับมอบหมาย (dMSA) ผู้โจมตีสามารถเข้าถึงได้โดยไม่ต้องประนีประนอมข้อมูลประจำตัวแบบดั้งเดิม
เปิดตัวครั้งแรกใน Windows Server 2025 บัญชีบริการที่ได้รับมอบหมาย (dMSA) เป็นความก้าวหน้าครั้งสำคัญด้านความปลอดภัยของบัญชีบริการ ในขณะที่บัญชีที่ใช้รหัสผ่านแบบคงที่ยังคงมีความเสี่ยงต่อ การโจมตีแบบ KerberoastingdMSAs เปลี่ยนรูปแบบการตรวจสอบสิทธิ์โดยการผูกการเข้าถึงโดยตรงกับเครื่องที่ผ่านการตรวจสอบใน Active Directory (ค.ศ.)
แนวทางที่เน้นเครื่องจักรนี้ช่วยขจัด การขโมยข้อมูลประจำตัว โดยผูกการเข้าถึงข้อมูลประจำตัวอุปกรณ์แทนรหัสผ่านที่ผู้ใช้จัดการ เพื่อให้แน่ใจว่ามีเพียงเครื่องที่ได้รับอนุญาตอย่างชัดเจนเท่านั้นจึงจะสามารถใช้ประโยชน์จากบัญชีได้ อย่างไรก็ตาม เมื่อถูกนำไปใช้ในทางที่ผิดในสถานการณ์หลังการใช้ประโยชน์ dMSA อาจถูกผู้โจมตีใช้สั่งรันโค้ดอันตรายจากภายในโครงสร้างพื้นฐานที่มีสิทธิ์ใช้งานสูงที่เชื่อถือได้
ในบล็อกนี้ เราจะอธิบายวิธีการทำงานของการโจมตี Golden dMSA เหตุใดจึงก่อให้เกิดความเสี่ยงหลายประการ และองค์กรต่างๆ จะรักษาความปลอดภัยได้อย่างไร เอกลักษณ์เครื่อง ก่อนที่ผู้โจมตีจะทำ
Golden dMSA คืออะไร?
Golden dMSA เป็นเทคนิคหลังการใช้ประโยชน์ที่ช่วยให้ผู้โจมตีสามารถเข้าถึงข้อมูลในระยะยาวได้ Active Directory (AD) สภาพแวดล้อมโดยการสร้างรหัสผ่านที่ถูกต้องสำหรับบัญชีบริการที่ได้รับมอบหมาย (dMSA) และบัญชีบริการที่ได้รับมอบหมาย (gMSA)
วิธีการนี้จะสามารถใช้งานได้หลังจากที่ผู้โจมตีได้รับสิทธิ์การเข้าถึงระดับพิเศษ เช่น สิทธิ์ระดับผู้ดูแลโดเมน หรือสิทธิ์ระดับระบบบนตัวควบคุมโดเมน จากนั้น พวกเขาสามารถใช้ประโยชน์จากข้อบกพร่องในวิธีการเหล่านี้ได้ บัญชีบริการ รหัสผ่านจะถูกสร้างขึ้น กระบวนการนี้ประกอบด้วยองค์ประกอบที่คาดการณ์ได้ อิงตามเวลา และมีความแปรปรวนจำกัด ทำให้ง่ายต่อการวิศวกรรมย้อนกลับและทำซ้ำรหัสผ่านที่ถูกต้อง
จากนั้นผู้โจมตีสามารถสร้างข้อมูลประจำตัวแบบออฟไลน์และปลอมตัวเป็นบัญชีบริการที่สำคัญทั่วทั้งโดเมน โดยหลีกเลี่ยงการควบคุมความปลอดภัยปกติและกลไกการหมุนเวียนรหัสผ่าน
การโจมตี Golden dMSA เกิดขึ้นได้อย่างไร
การโจมตี Golden dMSA มักจะเริ่มต้นหลังจากที่ผู้โจมตีได้ตั้งหลักในสภาพแวดล้อมและเพิ่มสิทธิ์ จากนั้น วิธีการนี้จะเปิดใช้งานการคงอยู่แบบซ่อนเร้นและขยายขอบเขต การเคลื่อนไหวด้านข้าง ข้าม Active Directory.
การโจมตี dMSA สีทองโดยทั่วไปเกิดขึ้นดังนี้:
1. การเข้าถึงเบื้องต้นและการยกระดับสิทธิ์
ผู้โจมตีจะบุกรุกระบบภายในโดเมนและขยายขอบเขตไปสู่การเข้าถึงระดับผู้ดูแลโดเมนหรือระบบบนตัวควบคุมโดเมน โดยมักจะผ่านทางการฟิชชิ่ง การขโมยข้อมูลประจำตัว หรือการใช้ประโยชน์จากการกำหนดค่าที่ไม่ถูกต้อง
2. การสกัดคีย์รูท KDS
ด้วยการเข้าถึงที่มีสิทธิพิเศษ ผู้โจมตีจะดึงคีย์รูทของ Key Distribution Services (KDS) ซึ่งเป็นความลับทางการเข้ารหัสที่สำคัญที่ใช้โดย Active Directory เพื่อสร้างรหัสผ่านสำหรับบัญชีบริการที่ได้รับการจัดการ
3. การนับบัญชีบริการ
ผู้โจมตีจะระบุบัญชีบริการที่ได้รับมอบหมาย (dMSA) และบัญชีบริการที่ได้รับมอบหมาย (gMSA) ทั่วทั้งฟอเรสต์ ซึ่งโดยทั่วไปจะเกี่ยวข้องกับการสอบถามชื่อบัญชีและตัวระบุที่เกี่ยวข้องโดยใช้ LDAP หรือเครื่องมือไดเรกทอรีอื่นๆ
4. การสร้างรหัสผ่านแบบออฟไลน์
เนื่องจากจุดอ่อนในอัลกอริทึมการสร้างรหัสผ่าน ผู้โจมตีจึงสามารถบังคับใช้ค่าและสร้างรหัสผ่านที่ถูกต้องโดยใช้เครื่องมือเช่น Golden dMSA ได้โดยไม่ต้องส่งการแจ้งเตือน
5. ผลกระทบหลังการโจมตี: การใช้งานแรนซัมแวร์ระดับระบบ
เมื่อมีข้อมูลประจำตัวสำหรับบัญชีบริการในมือ ผู้โจมตีสามารถกลับเข้าสู่ตัวควบคุมโดเมนและดำเนินการด้วยสิทธิ์ระดับระบบ จากจุดนี้ พวกเขาสามารถ:
- แทรกแซงกระบวนการหลัก เช่น LSASS (เช่น การถ่ายโอนข้อมูลหรือการฉีดข้อมูลประจำตัวเพิ่มเติม)
- ปรับใช้ ransomware จากเครื่องส่วนกลางที่มีความน่าเชื่อถือสูงพร้อมการเข้าถึงทั่วทั้งโดเมน
- เคลื่อนตัวไปด้านข้างสู่ระบบและโครงสร้างพื้นฐานอื่น ๆ
การโจมตีในระยะนี้มีความสำคัญอย่างยิ่ง เนื่องจากแรนซัมแวร์ที่เรียกใช้จากตัวควบคุมโดเมนมักมีความน่าเชื่อถือในระดับโดเมนที่กว้างและสามารถแพร่กระจายได้อย่างรวดเร็ว โซลูชัน EDR ส่วนใหญ่มีความสามารถในการมองเห็นการทำงานในระดับระบบได้อย่างจำกัด โดยเฉพาะอย่างยิ่งบนตัวควบคุมโดเมน ยิ่งไปกว่านั้น กิจกรรมของบัญชีบริการมักไม่ถูกตรวจพบโดยโซลูชันความปลอดภัยมาตรฐาน
Golden dMSA ข้ามผ่านโซลูชันความปลอดภัยแบบดั้งเดิมได้อย่างไร
Golden dMSA อันตรายอย่างยิ่ง ไม่ใช่เพราะมันสามารถเจาะเข้าไปได้ แต่เพราะมันสามารถทำอะไรได้บ้างหลังจากเข้าถึงได้ เนื่องจากเป็นเทคนิคหลังการใช้ประโยชน์ ดังนั้นเมื่อถึงคราวที่ตัวควบคุมโดเมนเป้าหมายจะใช้ประโยชน์ โซลูชันรักษาความปลอดภัยส่วนใหญ่ก็อยู่นอกเหนือขอบเขตไปแล้ว
การตรวจจับทำได้ยากเป็นพิเศษ เนื่องจากผู้โจมตีใช้ข้อมูลประจำตัวที่ถูกต้องและสิทธิพิเศษที่สูงกว่า เมื่อผู้โจมตีได้รับสิทธิ์การเข้าถึงระดับระบบ เครื่องมือรักษาความปลอดภัยทั่วไป เช่น EDR และโปรแกรมป้องกันไวรัส มักจะไม่สามารถให้การมองเห็นหรือบังคับใช้การควบคุมในบริบทที่มีสิทธิพิเศษเหล่านั้นได้
การเคลื่อนไหวด้านข้างก็มีบทบาทเช่นกัน เนื่องจากกลมกลืนไปกับกิจกรรมของผู้ดูแลระบบตามปกติ ทำให้ยากต่อการแยกแยะการกระทำที่เป็นอันตรายออกจากการดำเนินการโดเมนตามปกติ เนื่องจากในขั้นตอนนี้ไม่มีมัลแวร์หรือช่องโหว่ใดๆ เข้ามาเกี่ยวข้อง ระบบตรวจจับที่อิงตามลายเซ็นหรือตามพฤติกรรมอาจไม่ส่งการแจ้งเตือนใดๆ เลย
โดยสรุป เมื่อผู้โจมตีอยู่ในขอบเขตและใช้ประโยชน์จาก Golden dMSA ชั้นความปลอดภัยตามปกติจะต้านทานได้น้อยมาก ทำให้การตรวจจับในระยะเริ่มต้นและการเพิ่มขอบเขตสิทธิพิเศษเป็นสิ่งสำคัญ
Silverfortแนวทางการป้องกัน dMSA ที่เป็นทองคำของ
แม้แต่ในสถานการณ์หลังการใช้ประโยชน์ เช่น Golden dMSA ซึ่งเครื่องมือรักษาความปลอดภัยแบบดั้งเดิมมักจะไม่เพียงพอ Silverfort ปกป้องการเข้าถึงตัวควบคุมโดเมนโดยตรงและโดยอ้อมด้วย MFA ได้ทุกที่ และการบังคับใช้นโยบายการเข้าถึงแบบเรียลไทม์ที่เข้มงวดซึ่งหยุดยั้งผู้โจมตีไม่ให้เข้ามาภายในสภาพแวดล้อมได้
การบังคับใช้ MFA สำหรับการเข้าถึงผู้ดูแลระบบในตัวควบคุมโดเมน
Silverfort ช่วยให้องค์กรสามารถบังคับใช้ MFA ได้ทุกที่ on ความพยายามเข้าถึงตัวควบคุมโดเมนใด ๆได้แก่ :
- เซสชันโปรโตคอลเดสก์ท็อประยะไกล (RDP)
- PsExec การประหารชีวิต
- การเข้าถึงการแชร์ไฟล์ SMB
โดยการบังคับใช้ MFA ในจุดเชื่อมต่อที่ไม่ได้รับการป้องกันตามปกติ เช่น RDP และ PsExec Silverfort มีความสามารถที่จะ กำหนดให้ผู้ใช้ยืนยันตัวตนด้วย MFAซึ่งสามารถช่วยป้องกันไม่ให้ผู้โจมตีเคลื่อนที่ข้ามสภาพแวดล้อมแบบด้านข้างได้ การกระทำเช่นนี้จะขัดขวางความสามารถของผู้โจมตีในการใช้ประโยชน์จากข้อมูลประจำตัวที่สร้างโดย Golden dMSA เพื่อการเข้าถึงแบบมีสิทธิพิเศษ ส่งผลให้ความคืบหน้าหยุดชะงักลงอย่างมีประสิทธิภาพ แม้หลังจากการบุกรุกครั้งแรก
การป้องกัน MFA สำหรับการเข้าสู่ระบบ Windows โดยตรงไปยังตัวควบคุมโดเมน
Silverfort ให้ความสามารถในการบังคับใช้ MFA กับการเข้าสู่ระบบแบบโต้ตอบทั้งหมดไปยังตัวควบคุมโดเมน รวมถึง:
- การเข้าสู่ระบบคอนโซลท้องถิ่น
- เซสชันโปรโตคอลเดสก์ท็อประยะไกล (RDP)
- การเข้าสู่ระบบโดยตรงโดยใช้ข้อมูลประจำตัวโดเมนที่ถูกต้อง
โดยการบังคับใช้ MFA ในจุดเข้าถึงที่สำคัญเหล่านี้ Silverfort ป้องกันการเข้าถึงตัวควบคุมโดเมนโดยไม่ได้รับอนุญาต แม้ว่าผู้โจมตีจะมีข้อมูลประจำตัวที่ถูกต้องก็ตาม ความสามารถนี้มีความสำคัญอย่างยิ่งในสถานการณ์ที่เกี่ยวข้องกับการโจมตีที่ใช้ข้อมูลประจำตัว เช่น Golden Ticket, Pass-the-Hash หรือ การเคลื่อนไหวด้านข้างการบังคับให้ใช้ MFA ในช่วงเวลาการเข้าสู่ระบบจะขัดขวางการโจมตีในระยะเริ่มต้น ทำให้ตัวควบคุมโดเมนเปลี่ยนจากเป้าหมายที่มีความเสี่ยงสูงกลายเป็นจุดสิ้นสุดที่ปลอดภัย
การบังคับใช้การเข้าถึงแบบเรียลไทม์
Silverfort ดำเนินการวิเคราะห์แบบเรียลไทม์ของ การรับรอง ทราฟฟิกข้ามสภาพแวดล้อม โดยเชื่อมโยงสัญญาณจากข้อมูลประจำตัวผู้ใช้ ท่าทางอุปกรณ์ โปรโตคอลการเข้าถึง และรูปแบบพฤติกรรม ซึ่งช่วยให้สามารถตัดสินใจบังคับใช้ได้อย่างแม่นยำที่ชั้นข้อมูลประจำตัว ช่วยให้คุณ:
- บล็อกเส้นทางการเข้าถึงที่ไม่ได้รับอนุญาตหรือใช้ในทางที่ผิดไปยังระบบที่สำคัญ เช่น ตัวควบคุมโดเมน แม้ว่าจะใช้ข้อมูลประจำตัวที่ถูกต้องก็ตาม
- ตรวจจับความผิดปกติที่ใช้เครื่องมือ เช่น การใช้ PsExec, PowerShell หรือยูทิลิตี้การเคลื่อนไหวด้านข้างอื่นๆ โดยวิเคราะห์การเบี่ยงเบนจากค่าพื้นฐานของพฤติกรรมการดูแลระบบที่ทราบ
- หยุดการเคลื่อนไหวด้านข้างในระยะเริ่มต้นด้วยการบังคับใช้กฎการเข้าถึงที่ปรับให้เข้ากับบริบทความเสี่ยง ป้องกันการยกระดับก่อนที่ผู้โจมตีจะเข้าถึงเป้าหมายที่ละเอียดอ่อน
รั้วเสมือนจริงเพื่อหยุดการเคลื่อนไหวด้านข้าง
Silverfort สามารถนำความสามารถการฟันดาบเสมือนจริงมาประยุกต์ใช้ได้ไม่เพียงแต่กับผู้ใช้เท่านั้น แต่ยังรวมถึง ตัวตนที่ไม่ใช่มนุษย์นโยบายเหล่านี้กำหนดขอบเขตการเข้าถึงที่ชัดเจน โดยจำกัดการเคลื่อนไหวตามประเภทของข้อมูลประจำตัว (บัญชีผู้ใช้หรือบริการ) บทบาท และปัจจัยบริบท เช่น ระบบแหล่งที่มา วิธีการเข้าถึง และโปรโตคอล
แตกต่างจากการแบ่งส่วนเครือข่ายแบบดั้งเดิมซึ่งขาดการมองเห็นบริบทของตัวตน Silverfort บังคับใช้นโยบายที่ชั้นการตรวจสอบสิทธิ์ ซึ่งจะทำให้สามารถบังคับใช้นโยบายแบบเรียลไทม์เพื่อบล็อกการเคลื่อนไหวตามข้อมูลประจำตัว แม้ในขณะที่ผู้โจมตีกำลังใช้ข้อมูลประจำตัวที่ถูกต้องหรือสิทธิ์ระดับระบบก็ตาม
Silverfortแนวทางของ 's ช่วยให้มั่นใจได้ว่า:
- ผู้ใช้มนุษย์สามารถเข้าถึงระบบและเวิร์กโหลดที่ได้รับมอบหมายให้เฉพาะกับตนเท่านั้น ซึ่งจะไม่มีการเข้าถึงแบบครอบคลุมระหว่างเครื่องที่เข้าร่วมโดเมน
- บัญชีบริการต่างๆ รวมถึง dMSA, gMSA และตัวตนอื่นๆ ที่ไม่ใช่มนุษย์ จะถูกควบคุมโดยนโยบายการป้องกันรั้วเสมือน (Virtual Fencing) ซึ่งกำหนดว่าบัญชีบริการใดที่อนุญาตให้โต้ตอบด้วยได้ ความพยายามเข้าถึงบริการต่อบริการโดยไม่ได้รับอนุญาตจะถูกปฏิเสธโดยสิ้นเชิง
- การเคลื่อนไหวในแนวข้าง ไม่ว่าจะผ่านเครื่องมือแบบโต้ตอบ (RDP, PsExec) หรือกระบวนการอัตโนมัติ (งานตามกำหนดเวลา การเริ่มบริการ) จะได้รับการประเมินแบบเรียลไทม์และถูกบล็อก เว้นแต่จะสอดคล้องกับนโยบายที่กำหนดไว้ล่วงหน้า
โดยการบังคับใช้การควบคุมเหล่านี้ในกระบวนการระบุตัวตนและการตรวจสอบสิทธิ์ Silverfort ขจัดจุดบอดที่บัญชีบริการและ ผู้ใช้สิทธิ์ เคลื่อนไหวแบบไร้การควบคุมตามธรรมเนียมลดความเสี่ยงในการเคลื่อนไหวด้านข้างแม้ในสภาพแวดล้อมที่มีสิทธิพิเศษที่ถูกบุกรุกอย่างเต็มที่
การหยุดการเคลื่อนไหวด้านข้างเริ่มต้นที่ชั้นการตรวจสอบสิทธิ์
Golden dMSA เป็นเครื่องเตือนใจว่าไม่มีขอบเขตใดที่ปลอดภัยโดยเนื้อแท้ และผู้โจมตีจะโจมตีเมื่อได้รับโอกาส ความท้าทายที่แท้จริงคือสิ่งที่จะเกิดขึ้นต่อไป โดยเฉพาะอย่างยิ่งเมื่อพวกเขาเข้าถึงตัวควบคุมโดเมนที่มีสิทธิ์การเข้าถึงระดับระบบ
นั่นคือเหตุผลที่การบังคับใช้ข้อมูลประจำตัวแบบเรียลไทม์จึงจำเป็นต้องเป็นกุญแจสำคัญเพื่อให้มั่นใจถึงการป้องกัน เพื่อป้องกันเทคนิคหลังการโจมตี องค์กรต่างๆ จำเป็นต้องใช้การควบคุมความปลอดภัยในระดับการตรวจสอบสิทธิ์ ไม่ใช่แค่ที่ปลายทางหรือเครือข่ายเท่านั้น
Silverfort ทำให้สิ่งนี้เป็นไปได้ โดยการบังคับใช้ สิทธิพิเศษน้อยที่สุดการตรวจสอบการตรวจสอบสิทธิ์แบบเรียลไทม์ และการควบคุมการเข้าถึงบัญชีผู้ใช้และบริการ Silverfort ป้องกันการเคลื่อนไหวด้านข้างและการใช้งานในทางที่ผิดแม้ว่าข้อมูลประจำตัวจะถูกต้องก็ตาม
เรียนรู้วิธีป้องกัน Golden dMSA และการโจมตีที่ใช้ข้อมูลประจำตัวอื่นๆ โดย กำหนดเวลาการโทร กับผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลประจำตัวของเรา
