Ara

Dil

Ele Geçirilmiş Hizmet Hesaplarının Kilit Rol Oynadığı Üç Siber Saldırı

Mayıs 11th, 2023

Ana Sayfa » Blog » Ele Geçirilmiş Hizmet Hesaplarının Kilit Rol Oynadığı Üç Siber Saldırı

Hizmet hesaplarının güvenliğini sağlamak herkesin bildiği gibi zor bir iştir. Bu zorluğun temel nedenlerinden biri, hizmet hesapları genellikle unutulur ve denetimsiz bırakılır. Sonuç olarak, hiç kimse bunların kullanımını izlemiyor veya tehlikeye atılmadıklarını ve kötü niyetli aktörler tarafından kullanılmadıklarını doğrulamıyor.

Ek olarak, bu hesapların görünürlüğünün sıfırla sınırlı olması, söz konusu olduğunda önemli bir zorluktur. hizmet hesaplarını güvence altına almak. Hizmet hesaplarının görünür olmaması, onları tehdit aktörleri için çekici bir hedef haline getiriyor. Bu hesaplar, hassas verilere, sistemlere ve kaynaklara yetkisiz erişim elde etmek için kullanılabilir ve çoğu durumda bir kuruluşun ortamında yanal olarak hareket eder. Bir hizmet hesabına yapılan başarılı bir saldırının sonuçları, veri hırsızlığı, sistem güvenliğinin aşılması ve hatta tüm ağ ele geçirmeleri dahil olmak üzere ciddi olabilir.

Bu gönderide, tehdit aktörlerinin hizmet hesaplarını hedeflerken kullandıkları belirli saldırı tekniklerini inceleyeceğiz ve hizmet hesaplarının güvenliğinin ihlal edildiği ve saldırganların yatay hareket etmesine yardımcı olduğu iyi bilinen birkaç veri ihlalini vurgulayacağız.

Içindekiler

  • Hizmet Hesaplarını Ele Geçirmek ve Kullanmak İçin Kullanılan Saldırı Yöntemleri
  • Ele Geçirilmiş Hizmet Hesaplarını Kullanan Ünlü Siber Saldırılar
  • Ortak Konu: Hizmet Hesabı İhlali
  • Sıradaki: Hizmet Hesaplarını Güvenli Hale Getirme Silverfort

    • Hizmet Hesaplarını Ele Geçirmek ve Kullanmak İçin Kullanılan Saldırı Yöntemleri

    Tehdit aktörleri, hizmet hesaplarını ele geçirmek ve kullanmak için farklı teknikler uygular. En sık kullanılanlara daha yakından bakalım kimlik tabanlı saldırı kullanılan yöntemler ve bunların hizmet hesaplarını ne kadar spesifik olarak hedeflediği.

    Brute Force

    Kaba kuvvet saldırısı, tehdit aktörleri tarafından kullanılan en yaygın yöntemdir; burada, doğru olan bulunana kadar tüm olası karakter kombinasyonları denenerek bir şifre veya şifreleme anahtarı tahmin edilmeye çalışılır. Bu yöntem özellikle zayıf veya kolay tahmin edilebilir parolalara karşı etkilidir. Tehdit aktörleri, işe yarayan bir parola bulana kadar farklı parolaları hızla denemek için genellikle otomatik araçlar kullanır.

    Tehdit aktörleri, zayıf parolaları olan veya parola politikaları olmayan hizmet hesaplarını ele geçirmek için genellikle kaba kuvvet saldırıları kullanır ve bazen bu tür saldırılara karşı koruma sağlamak için uygulanan güvenlik önlemlerini atlamaya çalışır.

    Kerberasting

    Kerberoasting saldırısı, hedef alan bir saldırı türüdür. Kerberos Bir kullanıcının parola karmasını elde etmek için kimlik doğrulama protokolü Active Directory Hizmet Asıl Adı (SPN) değerleriyle — hizmet hesapları gibi.

    Tehdit aktörü önce kendileriyle ilişkilendirilmiş SPN'lere sahip hedeflenen kullanıcıları tanımlar. Ardından, bir kullanıcı hesabıyla ilişkili belirli bir SPN için bir Kerberos hizmet bileti isterler. Hizmet bileti, kullanıcının karma değeri kullanılarak şifrelenir. Ardından, tehdit aktörü, hhash'ın kendisini çevrimdışı kırma yoluyla elde edebilir ve orijinal düz metin parolasını yeniden üretebilir.

    Hizmet hesapları genellikle kendileriyle ilişkilendirilmiş SPN'lere sahip oldukları için hedeflenir ve bunlar daha sonra diğer hesaplar için hizmet biletleri talep etmek için kullanılabilir. kullanıcı hesapları.

    Karma Geçiş

    Karmayı geçirme saldırısında, tehdit aktörü gerçek parolayı bilmesine gerek kalmadan ağdaki diğer sistemlere veya hizmetlere NTLM kimlik doğrulaması gerçekleştirmek için bir parola karması kullanabilir.

    Hash-geçirme saldırısı gerçekleştirmek için, tehdit aktörü önce hizmet hesabının parola karmasını güvenliği ihlal edilmiş bir uç noktanın belleğinden çıkararak veya hizmet hesabının kimlik doğrulama trafiğini engelleyerek elde eder.

    Ele Geçirilmiş Hizmet Hesaplarını Kullanan Ünlü Siber Saldırılar

    Son yıllarda, hizmet hesaplarının tehdit aktörleri tarafından başarıyla ele geçirildiği birkaç yüksek profilli veri ihlali yaşandı. Bu saldırılar, tehdit aktörlerinin yanal olarak hareket etmek için kapsamlı hizmet hesaplarını nasıl hedefleyip kullandıklarının açık örnekleridir. Bu durumları anlayarak, güvenli olmayan hizmet hesaplarıyla ilişkili riskleri ve kuruluşların riskleri azaltmak için alabileceği önlemleri daha iyi anlayabiliriz.

    SolarWinds

    SolarWinds saldırısı bir Aralık 2020'de tedarik zinciri saldırısı. Tehdit aktörleri, SolarWinds Orion BT yönetim platformu oluşturma sürecini tehlikeye attı ve kod tabanına kötü niyetli bir arka kapı yerleştirdi. Bu arka kapı daha sonra meşru yazılım güncellemeleri aracılığıyla çok sayıda kuruluşa dağıtıldı. Arka kapı, hedef ağlara yüklendikten sonra, tehdit aktörlerine hedef sistemlere kalıcı erişim sağlayarak, veri sızdırmalarına ve ağlar içinde yanal olarak hareket etmelerine izin verdi.

    Hizmet Hesapları Nasıl Dahil Oldu?

    Hizmet hesapları, SolarWinds saldırısında çok önemli bir rol oynadı. Ele geçirilen hizmet hesapları, tehdit aktörleri tarafından hedeflenen ağlar arasında yanal olarak hareket etmek ve kaynaklarına erişmek için kullanıldı. Tehdit aktörleri, kritik sistemlere ve verilere erişmelerini sağlayan üst düzey ayrıcalıklara sahip hizmet hesaplarını hedef aldı.

    Tehdit aktörleri SolarWinds Orion BT yönetim platformuna erişim sağladıktan sonra, SolarWinds'in çeşitli hizmet hesaplarının kimlik bilgilerini elde edebildiler. Bu hesapların güvenliği ihlal edildikten sonra, tehdit aktörleri, ADFS sunucusuna ulaşana kadar ağ boyunca yanal olarak hareket etmek için SolarWinds hizmet hesaplarını kullandı.  

    ABD Personel Yönetimi Ofisi

    Veri ihlali Amerika Birleşik Devletleri Personel Yönetimi Ofisi (OPM) Haziran 2015'te keşfedildi. Bu, Çin gelişmiş kalıcı tehdidinin (APT) devlet destekli siber casusluk operasyonunun klasik bir örneğiydi. OPM ihlali, teşkilatın BT altyapısındaki çeşitli teknik ve mimari boşluklar tarafından kolaylaştırılmıştır. ayrıcalıklı ağlarına erişim.

    Hizmet Hesapları Nasıl Dahil Oldu?

    Saldırganlar başlangıçta, birkaç OPM yüklenicisinin kimlik bilgilerini almalarına izin veren hedef odaklı kimlik avı e-postası aracılığıyla OPM ağına erişim sağladı. Tehdit aktörleri, ağa girdikten sonra güvenliği ihlal edilmiş kimlik bilgilerini kullanarak KeyPoint Devlet Çözümleri (KGS) yüklenicisinin hizmet hesabı da dahil olmak üzere çeşitli hizmet hesaplarına erişim elde etti. Bu hesabın üst düzey ayrıcalıkları vardı ve kritik OPM sistemlerini yönetmek ve yönetmek için kullanılıyordu.

    Tehdit aktörleri, ağda yatay olarak hareket etmek ve milyonlarca mevcut ve eski federal çalışanın arka plan soruşturma kayıtları da dahil olmak üzere hassas verilere erişmek için KGS yüklenicisinin hizmet hesabını kullandı. Tehdit aktörleri bu verileri birkaç ay boyunca sızdırmayı başardılar ve bu süre zarfında tespit edilmeden kaldılar. Ayrıca, ağda arka kapılar oluşturmak için hizmet hesaplarını kullandılar ve bu, ilk ihlal tespit edildikten sonra bile ağa erişimlerini sürdürmelerine olanak sağladı.

    Marriott

    2018'de açıklanan, Marriott saldırısı kaydedilen en büyük veri ihlallerinden biriydi. Tehdit aktörleri, Marriott'un rezervasyon veritabanına erişimi olan üçüncü taraf bir satıcı aracılığıyla şirketin sistemlerine erişim sağladı. Ağa girdikten sonra, yanal olarak hareket edebildiler ve Marriott's'ta ayrıcalıkları artırabildiler. Active Directory altyapı. Erişim sağladıktan sonra tehdit aktörleri, birkaç yıl boyunca veri çalmak için kullanılan kötü amaçlı yazılımı yükledi. İhlal aylarca tespit edilmedi ve tehdit aktörlerine büyük miktarda veri çalmak için bolca zaman verdi.

    Hizmet Hesapları Nasıl Dahil Oldu?

    Tehdit aktörleri, alan düzeyinde yönetici erişimine sahip iki ayrıcalıklı hizmet hesabının kimlik bilgilerini almayı başardı. Tehdit aktörlerinin, milyonlarca konuğun hassas kişisel ve finansal bilgilerini içeren Marriott'un Starwood rezervasyon sistemine erişmek için yüksek düzey ayrıcalıklara sahip hizmet hesaplarını ele geçirmek için kullandıkları parola karmalarını kullandığı bir karma geçiş saldırısı uyguladılar.

    Bu hizmet hesaplarının, Marriott ağındaki hassas sistemlere ve verilere erişimi vardı ve bu hesapların ele geçirilmesi, saldırganların Marriott'un güvenlik kontrolleri tarafından tespit edilmeden ağ üzerinde yatay olarak hareket etmesine ve ayrıcalıklarını uzun bir süre boyunca artırmasına olanak sağladı.

    Ortak Konu: Hizmet Hesabı İhlali

    Bu vakaların her birinde, tehdit aktörleri, kurbanlarının ağında yatay olarak hareket etmek için güvenliği ihlal edilmiş hizmet hesaplarını kullanarak hassas sistemlere veya verilere yetkisiz erişim sağlamayı başardı. Bu ihlaller, yetkisiz erişimi önlemek ve ihlal riskini azaltmak için hizmet hesaplarını düzgün bir şekilde yönetmenin ve güvenliğini sağlamanın önemini vurgulamaktadır.

    Sıradaki: Hizmet Hesaplarını Güvenli Hale Getirme Silverfort

    Tehdit aktörleri tarafından hizmet hesaplarını hedeflerken kullanılan saldırı yöntemlerini tartıştığımıza ve hizmet hesaplarının söz konusu olduğu yüksek profilli ihlalleri vurguladığımıza göre, bir sonraki gönderimiz nasıl yapılacağını gösterecek. Silverfort parola rotasyonuna ihtiyaç duymadan tam görünürlük, risk analizi ve uyarlanabilir erişim ilkeleri sağlayarak kuruluşların hizmet hesaplarını keşfetmesine, izlemesine ve korumasına yardımcı olur.

    Demoya Hazır mısınız?
    Bugün kaydolun.

    Yakın zamanda Gönderilenler

    Nisan 24th, 2024

    AD Hijyeninizi Artırmanın 5 Yolu Silverfort  

    Mart 26th, 2024

    Yeraltı Identity Raporu: En kritik kimlik güvenliği açıklarına ilişkin derin bilgiler  

    Mart 2nd, 2024

    Hava Boşluklu Ağlar için MFA Koruması

    Şubat 21st, 2024

    Eski Çalışanların Hesaplarındaki Kimlik Risklerinin Azaltılması
    Daha fazla Gör

    Bizi takip edin

    Kimlik Tehditlerini Hemen Durdurun