Трудно е да се отговори на следния въпрос: „Колко акаунта за услуги имате във вашата среда?“. Още по-труден е въпросът: „Знаете ли какво правят тези акаунти?“. А най-трудният вероятно е: „Ако някой от вашите служебни акаунти бъде компрометиран и използван за достъп до ресурси, ще можете ли да откриете и спрете това в реално време?“.
Тъй като повечето екипи за идентификация и сигурност биха дали отрицателен отговор, не е чудно, че едно от непосредствените действия, които днешните нападатели извършват след първоначалното компрометиране на крайната точка, е издирването на неподозирани служебни акаунти. И още по-малко е чудно, че в повечето случаи те успяват да намерят такъв и да го използват, за да се разпространят в цялата среда, като се забелязват едва когато е твърде късно – след като работните станции и сървърът са криптирани от рансъмуер или чувствителните данни са откраднати.
В тази статия разгръщаме причините, които са довели до превръщането на служебните акаунти в една от най-опасните слабости в средата на Active Directory, обясняваме как силата на тази слабост подхранва атаките с ransomware.
Потребителските акаунти са един от основните градивни елементи в корпоративната среда. Интуитивно ние свързваме потребителските акаунти с реални хора. Съществуват обаче и потребителски акаунти, които не са свързани с нито едно човешко същество. Тези акаунти се създават за комуникация между машини, автоматизиране на повтарящи се задачи и други задачи, които трябва да се извършват във фонов режим без човешка намеса. Те обикновено са известни като „служебни акаунти“ и освен че не са свързани с реален човек, са идентични във всички аспекти с другите, „свързани с хора“ потребителски акаунти.
Тези служебни акаунти се създават по два основни начина. Първият е ИТ персонал, който определя, че определена хигиена, мониторинг или друга задача би било по-добре да се извърши по автоматизиран начин, отколкото ръчно. Вторият начин е в хода на инсталиране на корпоративен софтуер на място. В този случай някои служебни акаунти се създават съгласно инструкциите на конкретния софтуер – в хода на самата инсталация – и имат за задача да сканират, да разпространяват актуализации и други подобни задачи за поддръжка.
Нека разберем какво прави акаунтите за услуги и ненаблюдавана повърхност за атаки:
Нека приемем, че атакуващият ransomware е компрометирал успешно крайна точка (работната станция или сървърът са същите в този случай). Това, разбира се, е само първата стъпка. Следващата стъпка е да започне да сканира средата, за да открие потребителски акаунти за компрометиране, които биха позволили на противника да се придвижи странично в средата и да заложи полезния товар на ransomware във възможно най-много машини.
Но какъв акаунт да изберете? Противникът се нуждае от акаунт, който е достатъчно привилегирован, за да има достъп до други сървъри и работни станции. Но това трябва да бъде и акаунт, който може да се използва под радара, без да привлича нежелано внимание.
Ето защо служебните акаунти са най-добрата цел за компрометиране. Атакуващите знаят, че има голяма вероятност никой да не търси този акаунт, или още по-добре – никой дори да не знае, че този акаунт съществува. Възможно е да е бил създаден преди години от администратор, който междувременно е напуснал компанията, без да си направи труда да изтрие създадените от него служебни акаунти.
Диаграмата по-долу показва примерна атака – една от многото, които сме анализирали през последната година – в която противникът е използвал компрометиран акаунт за услуги на Exchange Server за първата част от страничното си придвижване, последвано от допълнително компрометиране на администраторски пълномощия.
Вижте подробности за всеки етап по-долу:
Известната атака срещу Uber, която се проведе преди няколко месеца, включваше значително използване на компрометиране и използване на акаунт за услуги. В този случай ставаше въпрос за служебен акаунт, който има достъп до наличния PAM. Нападателите намериха скрипта с данните за служебния акаунт в споделен мрежов диск и го използваха, за да извлекат паролите на множество ресурси от хранилището на PAM.
Вижте подробности за всеки етап по-долу:
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.