攻击者如何利用服务帐户的低垂果实进行横向移动和勒索软件传播

假设勒索软件攻击者已成功入侵端点（工作站或服务器在这方面是相同的）。当然，这只是第一步。下一步是开始扫描环境以发现要妥协的用户帐户，这将使对手能够在环境中横向移动并将勒索软件有效负载植入尽可能多的机器中。

但是选择什么账户呢?对手需要一个有足够权限访问其他服务器和工作站的帐户。但它也应该是一个可以在雷达下使用而不会引起不必要的注意的帐户。

这就是为什么服务帐户是最好的妥协目标。攻击者知道很有可能没有人在查看此帐户，甚至更好——甚至没有人知道此帐户的存在。它可能是多年前由一位管理员创建的，此后离开公司时没有费心删除他创建的服务帐户。

服务帐户攻击示例 1:使用受感染的 Microsoft Exchange Server 服务帐户的勒索软件攻击模式

下图显示了一个示例攻击——我们在最近一年分析过的众多攻击之一——其中攻击者利用受感染的 Exchange Server 服务帐户进行横向移动的第一部分，然后是对管理员凭据的额外攻击。

请参阅下面每个阶段的详细信息:

初始访问:利用 Proxyshell 漏洞破坏 Exchange 服务器

凭据泄露:获取域用户的凭据

横向移动 1:利用服务帐户访问其他机器

凭证泄露 2:获取管理员用户的凭证

横向移动 2:利用管理员凭据在多台机器之间进行大规模传播

恶意软件执行:在机器上植入并执行勒索软件

服务帐户攻击示例 2:优步混合环境中的横向移动

几个月前发生的针对 Uber 的著名攻击包含大量妥协和服务帐户的使用。在那种情况下，它是一个可以访问 PAM 的服务帐户。攻击者在共享网络驱动器中找到了带有服务帐户凭据的脚本，并利用它从 PAM 的保险库中提取多个资源的密码。

请参阅下面每个阶段的详细信息:

初始访问: MFA 轰炸以通过 VPN 获得访问权限。

凭据泄露 1:从共享文件夹中窃取服务帐户凭据。

Credential Compromise 2:从 PAM 的秘密服务器窃取秘密。

横向移动:使用秘密访问各种敏感资源

Silverfort 自动发现、监控和保护服务帐户

Silverfort 的统一身份保护平台是第一个完全自动化服务帐户安全生命周期的解决方案，用户方面的工作量几乎为零:

发现所有服务帐户并映射其活动

Silverfort 与 Active Directory 的本地集成使其能够分析所有用户帐户的每次传入身份验证和访问尝试，并轻松检测帐户是否具有可预测和重复的行为，从而将服务帐户与标准用户区分开来。基于此分析，Silverfort 生成环境中所有服务帐户的输出。此外，这一发现不仅仅是一个账户列表，还显示了账户的权限、来源和目的地、活动水平和其他行为特征。

持续的风险分析，以披露服务帐户是否显示受损迹象

Silverfort 识别每个服务帐户的基线行为并持续监控其活动。对于服务帐户，最明显的妥协迹象是偏离其固定行为，因此每当发生偏离时——例如访问新工作站或服务器，或突然增加活动量——Silverfort 的引擎将提高帐户的风险评分。

使用自动创建的策略进行主动保护，单击即可激活

Silverfort 自动为它发现的每个服务帐户创建访问策略。每当服务帐户偏离其正常行为（如前所述）或由于检测到身份威胁（哈希传递、Kerberoasting、票证传递等）导致其风险级别增加时，都会激活此策略。根据用户的配置，该策略可以触发警报或实际阻止服务帐户访问。用户端唯一需要的交互是单击策略激活按钮。