五眼联盟国家的政府机构已发布了针对威胁行为者针对 Active Directory 所使用的技术的指南,同时还提供了如何缓解这些威胁的建议。
该机构表示,Microsoft Active Directory 是企业广泛使用的身份验证和授权解决方案,它为内部部署和基于云的资产提供多种服务和身份验证选项,对不良行为者来说是一个有价值的目标。
该指南 (PDF) 中写道:“Active Directory 很容易受到攻击,因为它的默认设置过于宽松,关系和权限复杂;支持旧协议,并且缺乏诊断 Active Directory 安全问题的工具。恶意行为者通常会利用这些问题来攻击 Active Directory 。 ”
AD 的攻击面非常大,主要是因为每个用户都有权限识别和利用弱点,而且用户和系统之间的关系复杂且不透明。威胁行为者经常利用它来控制企业网络,并在环境中长期存在,需要进行大规模且昂贵的恢复和补救。
“获得对 Active Directory 的控制权将使恶意行为者能够访问 Active Directory 管理的所有系统和用户。借助这种特权访问,恶意行为者可以绕过其他控制并随意访问系统,包括电子邮件和文件服务器以及关键业务应用程序,”指南指出。
作者指出,组织在减轻 AD 入侵危害方面的首要任务是确保特权访问,这可以通过使用分层模型(例如 Microsoft 的企业访问模型)来实现。
分层模型确保较高层级的用户不会将其凭据暴露给较低层级的系统,较低层级的用户可以使用较高层级提供的服务,强制实施层次结构以进行适当的控制,并通过最小化特权访问路径的数量以及实施保护和监控来确保其安全。
“实施微软的企业访问模型使得许多针对 Active Directory 的技术执行起来更加困难,甚至使其中一些技术变得不可能。恶意行为者将需要诉诸更复杂、风险更大的技术,从而增加他们的活动被发现的可能性,”指南中写道。
文档显示,最常见的 AD 入侵技术包括 Kerberoasting、AS-REP roasting、密码喷洒、MachineAccountQuota 入侵、无约束委派利用、GPP 密码入侵、证书服务入侵、Golden Certification、DCSync、转储 ntds.dit、Golden Ticket、Silver Ticket、Golden SAML、Microsoft Entra Connect 入侵、单向域信任绕过、SID 历史记录入侵和 Skeleton Key。
“检测 Active Directory 入侵可能非常困难、耗时且耗资源,即使对于拥有成熟的安全信息和事件管理 (SIEM) 和安全运营中心 (SOC) 能力的组织也是如此。这是因为许多 Active Directory 入侵利用了合法功能并生成与正常活动相同的事件,”指南中写道。
检测入侵的一种有效方法是在AD中使用蜜罐对象(canary objects),这些对象不依赖于关联事件日志或检测入侵期间使用的工具,而是识别入侵本身。据作者机构称,蜜罐对象可以帮助检测Kerberoasting、AS-REP Roasting和DCSync入侵。
PDF文档指南地址: https://www.cyber.gov.au/sites/default/files/2024-09/PROTECT-Detecting-and-Mitigating-Active-Directory-Compromises.pdf
原文始发于微信公众号(独眼情报):五眼联盟发布检测 Active Directory 入侵指南
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论