从网络攻击者隐藏您的特权用户凭据的3种方法

发布者:上海IT外包来源:http://www.lanmon.net点击数:1615

防止攻击者在您的网络中执行水平移动的能力不仅是威胁检测功能,还是网络健康功能。接下来,我们将回顾一些在企业网络中获取特权用户凭据的最不可见和最常见的方法。
众所周知,域管理员或其他高性能凭据是网络攻击者的高价值目标。通过这些“财富王国的钥匙”,他们可以轻松安静地从一个系统移动到另一个系统,更改域属性,添加权限,更改密码,甚至连接到域中的任何计算机设备。大多数组织投入大量资源来精心管理Active Directory,并使用各种技术和实践来控制访问。但是我们的实践经验表明,即使在投资最多,组织最多的企业中,攻击者也可以轻松获得特权用户凭证。
1.“隔离”证书
在日常IT支持活动中,可能会无意中遗留强大的凭据信息。假设财务部门的员工致电内部服务台询问有关连接或应用程序的问题。服务台员工使用域管理员凭据远程访问系统,进行故障排除并解决问题,但可能会在未正确注销的情况下结束会话。因此,这些域管理员凭据可能会保留在最终用户的系统上,直到他/她退出网络或重新启动系统。虽然这不是恶意的,并且情况最终会自行纠正,但它会创建一个隐形漏洞窗口,攻击者可以在正确的时间和地点利用它。财务,人力资源和其他领域的系统可能特别容易受到此类攻击,因为这些区域的用户通常不太了解安全性,并且经常成为网络钓鱼和恶意软件活动的目标。
2.糟糕的当地管理实践
IT运营与安全之间长期存在的“孤岛”问题,或缺乏协调,可能体现在危险的系统部署实践中。从安全角度来看,组织通常不应该允许创建本地管理员,因为它们可以在Active Directory域的控制之外运行,从而使系统更容易受到恶意软件攻击,并打开一系列安全违规的大门。但是,出于提高效率的目的,标准端点通常是使用默认本地管理员用户和相同的默认密码从系统映像(黄金映像)构建的。虽然这可能对IT管理员来说很方便,但攻击者现在有机会使用单个密码访问多台计算机。员工或攻击具有本地管理员权限,通常只能通过查询每台计算机来创建未经授权的本地用户。3.“影子”管理员
从好的方面来说,分层防御体系结构包括某种形式的特权用户监控(PUM)或特权访问管理(PAM),以便通过适当的风险缓解来处理这些凭证。但是,如果没有适当的注意,这可能会导致错误的安全感。通过操作Active Directory访问控制列表(ACL),攻击者可以升级用户权限以创建具有域管理员级别访问权限的“影子管理员”——,但不能创建域管理员组。
当然,恶意IT人员或其他内部人员可能故意创建“影子”管理员,或者可能是意外创建的。鉴于服务器权限结构和组织要求的复杂性,这种类型的错误很容易发生,并最终授予超出用户功能要求的权限。
由可见性控制
随着Bloodhound的出现,一个强大的Intranet渗透提取分析工具和其他便于自动水平移动的攻击工具,防止滥用特权凭证的需求变得更加迫切。实施特权访问策略不仅仅是正确配置Active Directory的问题;凭证违规可能非常难以管理,主要原因有两个:
这是典型的“干草堆中的干草针”问题。安全数据量巨大,一些严重问题容易被忽视;
凭证模式——我们将其称为“访问足迹”——即使在运行良好的公司中,它也在不断变化。当用户功能发生变化时,很难检测到身份和访问管理的变化,因此与访问相关的安全漏洞变得普遍,但即使通过正常的业务操作,凭证也会存储并隐藏在各种不同的本地;
即使在相对较小的企业中,尝试不断识别和纠正凭据违规行为也会消耗整个安全团队的解决方案来实现这种能源。从实用的角度来看,自动化是必须的。这是Illusive的Attack Surface Manager面临的挑战之一。能够识别解决方案识别域管理凭据的位置,不断发现凭据违规行为,并提供自动化流程以帮助纠正这些行为,以便您可以发现并快速横向恶意移动。
攻击者偶尔会突破您的防御布局是不可避免的,但通过不断减少内部攻击面,您将能够降低特权用户凭据落入攻击者手中的风险,并极大地阻碍他们实现恶意攻击。能力。
IT外包
>
400-635-8089
立即
咨询
电话咨询
服务热线
400-635-8089
微信咨询
微信咨询
微信咨询
公众号
公众号
公众号
返回顶部