这是一个很难回答的问题:“您的环境中有多少个服务帐户?”。更难的是:“你知道这些账户在做什么吗?”。最困难的可能是:“如果您的任何服务帐户遭到入侵并被用来访问资源,您是否能够实时检测并阻止它?”。
由于大多数身份和安全团队都会给出否定的答复,因此难怪当今攻击者在初始端点遭到破坏后立即采取的行动之一是寻找未监视的服务帐户。更难怪的是,在大多数情况下,他们会成功找到一个并利用它在整个环境中传播,只有在为时已晚的情况下——工作站和服务器被勒索软件加密或敏感数据被盗后——才引起注意。
在本文中,我们揭示了导致服务帐户成为 Active Directory 环境中最危险的弱点之一的原因,解释了这种弱点如何助长勒索软件攻击,最后了解 Silverfort 的统一身份保护平台如何使组织能够克服迄今为止无法解决的安全挑战。
服务帐户:不与任何真人关联并用于机器对机器通信的用户帐户
用户帐户是企业环境中的关键构建块之一。直觉上,我们将用户帐户与真实的人相关联。然而,也有不与任何人相关联的用户帐户。这些帐户是为机器对机器通信、重复性任务的自动化以及其他无需人工干预而在后台进行的任务而创建的。它们通常被称为“服务帐户”,除了与真人分离之外,在所有方面都与其他“与人相关”的用户帐户相同。
这些服务帐户以两种主要方式创建。第一个是 IT 人员确定以自动方式而不是手动方式更好地完成特定卫生、监控或任何其他任务。第二个是在本地安装企业软件的过程中。在这种情况下,一些服务帐户是根据特定软件的指令创建的——在安装过程中——并负责扫描、分发更新和类似的维护任务。
服务帐户安全挑战:不可见、高度特权且极难保护
让我们了解是什么使服务帐户成为无人值守的攻击面:
缺乏可见性:听起来可能很奇怪,身份基础架构中没有任何实用程序可以自动从整个用户池中过滤掉服务帐户。
也没有任何自动文档流程指示服务帐户的创建。
高访问权限:由于服务帐户是为机器对机器通信创建的,不用说,他们必须拥有访问所有这些机器所需的权限,这意味着他们是管理用户,与任何 IT 管理员没有什么不同。
无 PAM 保护:通常的做法是通过将管理帐户放置在 PAM 解决方案的保险库中并轮换其密码来保护管理帐户。
但是,这种方法不能应用于服务帐户,因为它们的密码是硬编码在运行其任务的脚本中的。因此,任何密码轮换都会使脚本中的密码无效,从而阻止服务帐户访问其目标资源,并随后破坏任何依赖于服务帐户任务的进程。
攻击者如何利用服务帐户的低垂果实进行横向移动和勒索软件传播
假设勒索软件攻击者已成功入侵端点(工作站或服务器在这方面是相同的)。当然,这只是第一步。下一步是开始扫描环境以发现要妥协的用户帐户,这将使对手能够在环境中横向移动并将勒索软件有效负载植入尽可能多的机器中。
但是选择什么账户呢?对手需要一个有足够权限访问其他服务器和工作站的帐户。但它也应该是一个可以在雷达下使用而不会引起不必要的注意的帐户。
这就是为什么服务帐户是最好的妥协目标。攻击者知道很有可能没有人在查看此帐户,甚至更好——甚至没有人知道此帐户的存在。它可能是多年前由一位管理员创建的,此后离开公司时没有费心删除他创建的服务帐户。
服务帐户攻击示例 1:使用受感染的 Microsoft Exchange Server 服务帐户的勒索软件攻击模式
下图显示了一个示例攻击——我们在最近一年分析过的众多攻击之一——其中攻击者利用受感染的 Exchange Server 服务帐户进行横向移动的第一部分,然后是对管理员凭据的额外攻击。
请参阅下面每个阶段的详细信息:
初始访问:利用 Proxyshell 漏洞破坏 Exchange 服务器
凭据泄露:获取域用户的凭据
横向移动 1:利用服务帐户访问其他机器
凭证泄露 2:获取管理员用户的凭证
横向移动 2:利用管理员凭据在多台机器之间进行大规模传播
恶意软件执行:在机器上植入并执行勒索软件
服务帐户攻击示例 2:优步混合环境中的横向移动
几个月前发生的针对 Uber 的著名攻击包含大量妥协和服务帐户的使用。在那种情况下,它是一个可以访问 PAM 的服务帐户。攻击者在共享网络驱动器中找到了带有服务帐户凭据的脚本,并利用它从 PAM 的保险库中提取多个资源的密码。
请参阅下面每个阶段的详细信息:
初始访问: MFA 轰炸以通过 VPN 获得访问权限。
凭据泄露 1:从共享文件夹中窃取服务帐户凭据。
Credential Compromise 2:从 PAM 的秘密服务器窃取秘密。
横向移动:使用秘密访问各种敏感资源
Silverfort 自动发现、监控和保护服务帐户
Silverfort 的统一身份保护平台是第一个完全自动化服务帐户安全生命周期的解决方案,用户方面的工作量几乎为零:
发现所有服务帐户并映射其活动
Silverfort 与 Active Directory 的本地集成使其能够分析所有用户帐户的每次传入身份验证和访问尝试,并轻松检测帐户是否具有可预测和重复的行为,从而将服务帐户与标准用户区分开来。基于此分析,Silverfort 生成环境中所有服务帐户的输出。此外,这一发现不仅仅是一个账户列表,还显示了账户的权限、来源和目的地、活动水平和其他行为特征。
持续的风险分析,以披露服务帐户是否显示受损迹象
Silverfort 识别每个服务帐户的基线行为并持续监控其活动。对于服务帐户,最明显的妥协迹象是偏离其固定行为,因此每当发生偏离时——例如访问新工作站或服务器,或突然增加活动量——Silverfort 的引擎将提高帐户的风险评分。
使用自动创建的策略进行主动保护,单击即可激活
Silverfort 自动为它发现的每个服务帐户创建访问策略。每当服务帐户偏离其正常行为(如前所述)或由于检测到身份威胁(哈希传递、Kerberoasting、票证传递等)导致其风险级别增加时,都会激活此策略。根据用户的配置,该策略可以触发警报或实际阻止服务帐户访问。用户端唯一需要的交互是单击策略激活按钮。