如果在过去的几年中我们对网络犯罪组织一无所知,那么我们肯定会知道这些人是Microsoft安全方面的专家。他们不再仅仅是机会主义地访问您的网络;而是 相反,他们利用操作系统和应用程序中的已知漏洞,并利用受到损害的网络来帮助他们找到预期的目标(要窃取的数据,用于勒索的多个系统,用于提交的应用程序)欺诈等等)。
从最初的网络危害到实现其预期的恶意行为的过程中,攻击者需要遵循MITER ATT&CK框架实现许多临时目标 :建立持久性,特权升级,凭证访问,发现和横向移动。而且,事实证明,做到这一点的主要手段是通过对有效帐户的破坏和滥用[ CrowdStrike,全球威胁报告(2019年) ]。这些帐户用于在网络中移动,访问Active Directory(AD)并获得对环境的其他控制。
IT组织没有持续审查其安全状态,就使其不受控制地发展。安全性经常被忽略的方面包括提供对数据,应用程序,系统和服务的访问权限的权限分配,以及用于提供访问权限的组和组成员身份。
如今,在AD,系统或虚拟环境中拥有过多访问权限的帐户已全部存在,从而使攻击者获得了比您所知道的更多的访问权限。
因此,经过多年无视管理安全基础的需求之后,网络攻击者才能利用管理不善的优势。以下是坏人利用您的环境的一些示例。
修改组成员身份 –攻击者一旦可以访问Active Directory中的某些级别的管理访问权限(可能是Domain Admin,“ OU管理员”,甚至只是具有管理AD组成员能力的人员),此简单的操作就是最简单的操作提升特权,提供对宝贵资源的访问或允许横向移动到特定系统的方法。
创建大量用户 –攻击者可以通过创建许多用户帐户来实现网络的持久性,如果发现并禁用了最初的一组受感染帐户,则可以使用这些帐户登录。如果发现,他们可以简单地使用另一个用户帐户重新进入并继续他们的活动。
使用嵌套组 –坏人需要确保您不会接受它们的方法,以使自己能够访问部分环境。在其他广告组内的组创建和嵌套的目标组下坐在访问一些重要的资源是混淆了一套妥协账户所需的访问的方式。
访问资源和数据 –在对数据和应用程序的权限分配中使用的粒度级别往往有点宽;授予对整个文件目录的访问权限是一项古老的标准,不考虑其中的特定内容,并且可能需要进一步限制访问权限。攻击者利用帐户在文件系统,数据库,应用程序,姚安服务器上以及AD中执行发现。
这些只是网络攻击者采取的各种行动的一个示例。IT部门需要通过主动采取措施来审核Active Directory中的当前权限,更改流程和策略以重新建立已知的安全状态,并持续监视此新状态以确保发生时限,从而最大程度地降低此类操作发生的风险。 管理不善的问题不会再出现,这使网络攻击者可以更轻松地实现其目标。