NSA和CISA红蓝队共享的网络安全误配置TOP10 (上)

• 根据评估需求，NSA防御网络运营（DNO）团队具备红队（对手模拟）、蓝队（战略漏洞评估）、狩猎（目针对性狩猎）和/或定制缓解（防御对策开发）的能力。

• CISA 漏洞管理 (VM) 团队已对 1,000 多个网络环境的安全状况进行了评估。CISA 漏洞管理团队包括风险与漏洞评估 (RVA) 和 CISA 红队评估 (RTA)。RVA 团队提供远程和现场评估服务，包括渗透测试和配置审查。RTA 与组织协调，模拟威胁活动者，来评估组织的网络检测和响应能力。

• CISA 威胁狩猎和事件响应团队分别对组织网络进行主动和被动的检测评估，以识别和检测对美国基础设施的网络威胁。

• 默认的凭据

• 默认的服务权限和配置设置

默认凭据

帐户权限过大

账户权限用来控制用户对主机或应用资源的访问，以限制对敏感信息的访问或实现最小权限安全模型。当账户权限过于宽松时，用户就会看到和/或做一些本不应该看到和/或做的事情，这就成为一个安全问题，因为它增加了风险暴露和攻击面。

不断发展扩大的组织可能会在账户管理、人员和访问要求方面发生许多变化。这些变化通常会导致权限蔓延--授予过多的访问权限和不必要的账户权限。通过分析局部的和嵌套的 AD 组，恶意行为者可以找到被授予超出其知必所需(need-to-know)或最小权限的用户账户 [T1078]。不相干的访问权限容易导致未经授权访问数据和资源以及在目标域中导致权限提升。

高权限的服务账户

应用程序通常使用用户账户访问资源。这些用户账户被称为服务账户，通常需要提升的权限。当恶意行为者使用服务账户入侵应用程序或服务时，他们将拥有与服务账户相同的权限和访问权。

恶意行为者可以利用域内提升的服务权限，在未经授权的情况下访问和控制关键系统。服务账户之所以成为恶意行为者的目标，是因为此类账户往往因其服务性质而在域内被授予较高权限，而且任何有效域用户都可以请求访问该服务。由于这些因素，通过破解服务账户凭据来实现凭据访问的一种攻击技术--kerberoasting，是一种用于控制服务账户的常用技术[T1558.003]。

非必要使用高权限账户

IT 人员使用域管理员和其他管理员账户进行系统和网络管理，因为这些账户本身具有较高的权限。当管理员账户登录到被入侵主机时，恶意行为者可以窃取并使用该账户的凭证和 AD 生成的身份验证令牌 [T1528] 在整个域内使用提升的权限进行移动 [T1550.001]。在日常的非管理任务中使用高权限账户会增加该账户暴露的风险，从而增加其被入侵的风险和对网络的风险。

恶意行为者在要获得访问网络权时会优先获取有效的域凭据。使用有效的域凭据进行身份验证可以执行二次枚举技术，以获得目标域和 AD 结构的可见性，包括发现高权限账户和高权限账户的使用位置 [T1087]。

针对执行日常活动的高权限账户（如域管理员或系统管理员）提供了实现域权限提升的最直接路径。使用高权限的帐户访问系统和应用，极大地增加了攻击面，提供了攻击路径和权限提升选项。

在通过有管理员权限的帐户获得初始访问后，评估团队在一个工作日内获得了整个域的权限。评估团队首先通过网络钓鱼[T1566]获得了对系统的初始访问权限，他们诱使最终用户下载[T1204]并执行恶意有效载荷。目标终端用户的账户具有管理员权限，使该团队能够迅速入侵整个域。

评估团队曾利用监控不足的问题获得被评估网络的访问权限。例如：

• 评估团队曾观察到一个组织有主机基于的监控，但没有网络侧监控。基于主机的监控使防御团队可以看到单一主机的活动，而网络监控可以看到主机之间的活动[TA0008]。在这个例子中，该组织可以识别受感染的主机，但无法识别感染的来源，因此无法阻止将来的横向移动和感染。

• 评估团队曾获得了一个具有成熟网络态势的大型组织的持久性、深入的访问权限。该组织没有发现评估小组的横向移动、持久性和C2 活动，包括当评估团队试图通过嘈杂的活动触发安全响应时。有关此活动的更多信息，请参阅 CSA CISA 红队分享改进网络监控和加固的关键发现 (https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-059a)。

供应商通过发布补丁和更新来解决安全漏洞。不良的补丁管理和网络运营习惯往往会让对手发现可用的攻击向量并利用关键漏洞。补丁管理不善包括：

• 缺乏定期的补丁更新

• 使用不支持的操作系统和过期的固件

缺乏定期的补丁更新

如果没有安装最新的补丁，系统就有可能被公开的漏洞攻击。由于这些系统很容易通过漏洞扫描[T1595.002]和开放源代码研究[T1592]被发现和利用，因此成为攻击者的直接目标。允许关键漏洞留在生产系统中而不应用相应的补丁，会大大增加攻击面。企业应优先修补其环境中已知被利用的漏洞。

评估团队观察到威胁行为者在面向公众的应用程序中利用了许多 CVE [T1190]，其中包括：

• CVE-2019-18935 in an unpatched instance of Telerik® UI for ASP.NET running on a Microsoft IIS server.

• CVE-2021-44228 (Log4Shell) in an unpatched VMware® Horizon server.

• CVE-2022-24682, CVE-2022-27924, and CVE-2022-27925 chained with CVE-2022-37042, or CVE-2022-30333 in an unpatched Zimbra® Collaboration Suite.

使用不支持的操作系统和过期的固件

使用供应商不再支持的软件或硬件会带来巨大的安全风险，因为新的和已经存在的漏洞将不再得到修补。恶意行为者可以利用这些系统中的漏洞，获取未经授权的访问、泄露敏感数据并破坏运行 [T1210]。

恶意行为者可以通过入侵环境中的其他身份验证方法来绕过系统访问控制。如果恶意行为者能在网络中收集哈希值，他们就能使用哈希值以非标准方式进行身份验证，如通过哈希传递（PtH）[T1550.002]。通过模仿没有明文密码的账户，行为者可以在不被发现的情况下扩大和强化其访问权限。Kerberoasting 也是提升权限和在组织网络中横向移动最省时省力的方法之一。

误配置的智能卡或者令牌(Misconfigured Smart Cards or Tokens)

一些网络（通常是政府或DoD网络）要求账户使用智能卡或令牌。多因素需求可能会被错误配置，从而使账户的密码哈希值永不改变。即使密码本身不再使用（因为需要使用智能卡或令牌），但账户的密码哈希值仍可用作身份验证的替代凭证。如果密码哈希值永不改变，那么一旦恶意行为者获得了某个账户的密码哈希值[T1111]，只要该账户存在，行为者就可以通过 PtH 技术无限期地使用它。

缺乏防网络钓鱼的 MFA

某些形式的 MFA 容易受到网络钓鱼、"推送轰炸"[T1621]、利用信令系统 7 (SS7) 协议漏洞和/或 "SIM 卡交换 "技术的攻击。这些尝试一旦成功，威胁者就可以获取 MFA 身份验证凭证或绕过 MFA 访问受 MFA 保护的系统。(更多信息，请参阅 CISA 的《实施防网络钓鱼 MFA 的概况介绍》https://www.cisa.gov/sites/default/files/publications/fact-sheet-implementing-phishing-resistant-mfa-508c.pdf）。

例如，评估团队曾使用语音钓鱼来说服用户提供缺失的 MFA 信息 [T1598]。在一个案例中，一个评估小组知道用户的主要凭据，但他们的登录尝试被 MFA 要求阻止。随后，评估小组伪装成 IT 人员，说服用户通过电话提供 MFA 代码，使评估小组能够完成登录尝试并访问用户的电子邮件和组织的其他资源。

数据共享和存储库是恶意行为者的主要目标。网络管理员可能会不恰当地配置 ACL，允许未经授权的用户访问共享驱动器上的敏感数据或管理数据。

行为者可以使用命令、开源工具或自定义恶意软件来查找共享文件夹和驱动器 [T1135]。

• 在一次入侵事件中，曾观察到行为者使用 net share 命令（该命令可显示本地计算机上的共享资源信息）和 ntfsinfo 命令搜索被入侵计算机上的网络共享。在同一入侵事件中，行为者使用了一个自定义工具 CovalentStealer，该工具旨在识别系统上的文件共享，对文件进行分类[T1083]，并将文件上传到远程服务器[TA0010]。

• 勒索软件行为者使用 SoftPerfect® 网络扫描器 netscan.exe（它可以 ping 计算机 [T1018]、扫描端口 [T1046] 和发现共享文件夹）和 SharpShares 来列举域中可访问的网络共享。

恶意行为者然后可以从共享驱动器和文件夹中收集和提取数据。然后，他们可以将这些数据用于各种目的，如勒索敲诈或在制定入侵计划以进一步入侵网络时作为情报使用。评估小组经常在网络共享中发现敏感信息[T1039]，这些信息可能会为后续行动提供便利或为勒索提供机会。评估小组经常发现包含服务帐户、网络应用程序甚至域管理员明文凭据 [T1552] 的驱动器。

即使不能直接从文件共享中的凭证获得进一步的访问权限，也可以用来提高对目标网络态势感知，包括网络的拓扑结构、服务工单或漏洞扫描数据。此外，团队还会定期在共享驱动器上识别敏感数据和 PII（如扫描文件、社会保险号和纳税申报单），这些数据和 PII 可用于对组织或个人进行勒索或社交工程。

易于破解的密码

易破解密码是指恶意行为者可以利用相对廉价的计算资源在短时间内猜出的密码。网络上出现易破解密码通常是因为密码长度（即短于 15 个字符）和随机性（即不唯一或可被猜出）不足。这通常是由于组织密码策略和对用户培训要求不严格造成的。只要求简短密码的策略会使用户密码容易被破解。企业应提供或允许员工使用密码管理器，以便为每个账户生成安全、随机的密码并方便使用。

通常情况下，获得的凭证是密码的哈希值（单向加密），而不是密码本身。虽然有些哈希值可以直接使用 PtH 技术，但许多哈希值需要经过破解才能获得可用的凭据。破解过程需要获取用户明文密码的哈希值，并利用密码字典和规则集，通常会使用一个包含数十亿以前泄露的密码的数据库，试图找到匹配的明文密码[T1110.002]。

破解密码的主要方法之一是使用开源工具 Hashcat，结合已公开泄的漏的密码列表。一旦恶意行为者获取了明文密码，他们通常只会受到账户权限的限制。在某些情况下，高级纵深防御和零信任实施也会限制或检测到恶意行为者，但这在迄今为止的评估中还很少见。

评估小组曾经破解了 NTLM 哈希值、Kerberos 服务帐户票据、NetNTLMv2 和 PFX stores [T1555]，使小组能够提升权限并在网络中内横向移动。在 12 小时内，一个小组破解了活动目录中 80% 以上的用户密码，获得了数百个有效凭证。

恶意行为者通常会在获得系统初始访问权限后执行代码。例如，恶意行为者通常会通过钓鱼的方式，说服受害者在其工作站上运行代码，以远程访问内部网络。这些代码通常是未经验证的程序，没有在网络上运行的合法目的或业务需求。

评估团队和恶意行为者经常利用可执行文件、动态链接库 (DLL)、HTML 应用程序和宏（[T1059.005] 等形式的代码执行来建立初始访问、持久性和横向移动。此外，行为者经常使用脚本语言[T1059]来掩盖他们的行为[T1027.010]，并绕过允许列表--即组织默认限制应用程序和其他形式的代码，只允许已知和可信的代码。此外，行为者可能会加载易受攻击的驱动程序，然后利用驱动程序的已知漏洞，以最高系统权限在内核中执行代码，从而完全入侵设备[T1068]。