103趙陽-確保AD域控安全應對網絡高級威脅攻擊（20頁）.pdf

1、趙陽趙陽Tenable中國區總經理確保確保AD域控安全應對域控安全應對網絡高級威脅攻擊網絡高級威脅攻擊AD是網絡基礎設施的核心單元是網絡基礎設施的核心單元Active Directory擁有進入擁有進入企業內網的鑰匙企業內網的鑰匙控制身份驗證，保留所有密碼管理著對每一項重要資產的訪問權是一款已有20年歷史的產品設計升級AD配置更新多年的技術債務積累了太多問題Active Directory實現干凈的實現干凈的AD是一個神話是一個神話黑客知道如何利用它的弱點黑客知道如何利用它的弱點USERS&CREDENTIALSICS&SCADAE-MAILAPPLICATIONSCLOUD RESOURCE

2、SCORPORATE DATA幾乎每起登上頭版頭條的信息泄露信息泄露事件背后都與已知漏洞和不安全的不安全的 Active Directory 有關！廣泛被攻擊的根本原因廣泛被攻擊的根本原因4UNITED NATIONSJanuary 2020SINGHEALTHOctober 2018CARBANAKFebruary 2015AURORAJanuary 2010SONYNovember 2014BALTIMOREJune 2019TARGETDecember 2013NORSK HYDROMarch 2019的企業存在嚴重關鍵配置錯誤的的企業存在嚴重關鍵配置錯誤的ACTIVE DIRECTOR

3、Y問題，根據全球組織進行的評估問題，根據全球組織進行的評估80%新惡意軟件包括特定代碼新惡意軟件包括特定代碼以攻擊以攻擊ACTIVE DIRECTORY為目標為目標利用利用CVE-2020-14725小時內，從初始網絡小時內，從初始網絡釣魚到域管理員釣魚到域管理員RYUK企業或組織企業或組織依賴依賴ACTIVE DIRECTORY服務服務95%現代安全攻殺鏈框架現代安全攻殺鏈框架針對選定目標針對選定目標的釣魚活動的釣魚活動初始端點初始端點中招中招公司基礎公司基礎設施制圖設施制圖本地權限本地權限獲取獲取橫向移動橫向移動特權帳戶上的特權帳戶上的憑據重現憑據重現AD的特權的特權升級升級后利用（持久后

4、利用（持久性、植入后門）性、植入后門）業務資源業務資源篡改篡改使用側通道使用側通道滲出數據滲出數據目標識別目標識別滲透測試滲透測試合規與審計工具合規與審計工具基于基于SIEM的相關性的相關性基于基于Agent的行為檢測的行為檢測AD安全問題，我們安全工程師關注太安全問題，我們安全工程師關注太少少黑客關注太多黑客關注太多目前采用的常見方法目前采用的常見方法RYUK 勒索軟件勒索軟件案例案例7通過網絡釣魚攻擊作為附件分發的惡意文檔文件（Dropper）用戶被邀請打開附件，然后運行惡意代碼（1）下載附加代碼：Trickbot或EmotetTrojan.W97M.POWLOADTrojanSpy.Wi

5、n32.TRICKBOTOrTrojanSpy.Win32.EMOTETDropper下載Trickbot（2）或Emotet（2）用于：竊取憑據Active Directory偵察使用AD執行橫向移動：MS17-010漏洞（SMB攻擊）網絡共享（泄露帳戶）PsExec當檢測到AD錯誤配置（攻擊路徑）時，將下載代碼（3）的最后一部分并將其部署到企業中執行后，它將執行其加密例程：本地和共享文件被加密，贖金notes被激活Ransom.Win32.RYUK等待等待AD配置錯誤配置錯誤TRICKBOTDomainGrabberAV和和EDR被停用被停用1231223DomainGrabber代碼是執

6、行代碼是執行Active Directory偵察的特定偵察的特定“工具工具”Active Directory安全遇到的問題安全遇到的問題8二十年二十年AD安全基礎未變安全基礎未變 經過多年的發展和重組，AD可能會存在數百個隱藏的弱點和攻擊途徑 也是橫向移動的機會1.存在大量的弱點可被利用存在大量的弱點可被利用 在大型組織中，每天都會出現多種新的攻擊途徑 復雜的威脅參與者從最初的感染到控制域只需要短短17分鐘的時間2.不斷涌現新的攻擊途徑不斷涌現新的攻擊途徑4.數十年無助的檢測技術數十年無助的檢測技術 一些最惡性的攻擊（例如DCSync和DCShadow）留下零跟蹤，無法被老式基于日志和代理的檢

7、測策略捕獲 Active Directory會創建大量的日志，并且消除這種噪聲消耗會導致事件響應和威脅搜尋資源。當每一秒鐘都變得很重要時，復雜性就是您的敵人3.事故響應的噩夢事故響應的噩夢80%的攻擊使用的攻擊使用AD執行執行橫向移動和權限提升橫向移動和權限提升60%的新惡意軟件包含針的新惡意軟件包含針對對AD錯誤配置的特定代碼錯誤配置的特定代碼針對大型企業的大規模勒索針對大型企業的大規模勒索感染增加感染增加AD是惡意軟件的是惡意軟件的主要設計攻擊行為主要設計攻擊行為2020年年Q1，嵌入的，嵌入的Mimikatz代碼比代碼比2019年年Q3/4增加增加42%如何回答有關如何回答有關ACTIV

8、E DIRECTORY這些問題這些問題目前的目前的AD基礎設施安全嘛基礎設施安全嘛?嗎？嗎？1當做出配置改變，是又創造一個新的當做出配置改變，是又創造一個新的AD攻擊途徑嗎攻擊途徑嗎?2如何發現及糾正如何發現及糾正AD中的錯誤配置中的錯誤配置?3有人正在攻擊你的有人正在攻擊你的AD嗎嗎?4如果你有被攻擊的嫌疑，你怎么調查發生了什么如果你有被攻擊的嫌疑，你怎么調查發生了什么?5如果受到攻擊，是不是有人制造了如果受到攻擊，是不是有人制造了“后門后門”稍后再來稍后再來?6理解對理解對AD安全來說什么是最重要的安全來說什么是最重要的?10事后事后檢測與響應檢測與響應在攻擊期間快速檢測、控制和補救在攻擊

9、事后能溯源及處理事中事中防御防御被攻擊時如何實時發現這些針對AD的攻擊或惡意行為事前事前可視可視AD暴露風險在哪里？是否有弱點或攻擊路徑？Tenable.ad定位于現代威脅生態系統定位于現代威脅生態系統初始破壞初始破壞端點侵占端點侵占公司感染公司感染數據泄數據泄露露下一代下一代防病毒防病毒EDR 解決方案解決方案主機主機IPS/IDSUEBADLP解決方案解決方案蜜罐蜜罐EM AI H安全安全雙因素認證雙因素認證端到端加密端到端加密沙箱沙箱NAC123456789100No existing solution bridge this gap現有的保護技術現有的保護技術現有的保護技術現有的保護技

10、術針對目標的針對目標的釣魚活動釣魚活動初始端點初始端點中招中招公司基礎公司基礎設施制圖設施制圖本地權限本地權限獲取獲取橫向移動橫向移動特權帳戶特權帳戶上的憑據上的憑據重現重現AD的特權的特權升級升級后利用后利用(持持久性、植久性、植入后門入后門)業務資業務資源篡改源篡改使用側使用側通道滲通道滲出數據出數據目標識別目標識別12 低風險低風險&輕量級部署輕量級部署基于虛擬化分布式部署無需安裝Agent無需管理權限只利用微軟標準協議 T.ad 13T.ad計算平臺計算平臺被選擇的被選擇的域控服務器域控服務器HD APUsers,computers,OUs,groupsK e roe ro sAuth

11、entication,forest-level trustsS M B/C I F SGPOs replicationD N SResources localization and topologyN e t B I O SIndex users and computersEl o oa l c a t a l o gDirectory objectsand schemaD S OU OP CReplication,trusts,objects metadata微軟原生API無需Agent對DC負載無影響無需更大的網絡帶寬T.ad 私有化部署流程私有化部署流程14部署部署T.ad 軟件包軟件包

12、配置配置T.ad軟件平臺軟件平臺13在監控域內創建在監控域內創建AD用戶賬戶用戶賬戶2標準非特權服務帳戶用于讀取目錄配置在Server 2016上安裝T.ad軟件包4選擇監控域名在T.ad上為AD監督界面創建帳戶連接SMTP服務器以接收電子郵件如果需要，連接到事件日志收集器微調微調T.ad 安全分析策略安全分析策略安全分析必須根據運營業務環境調整實時監控實時監控IoE暴露指標暴露指標6安全模型相關IOEKDCpasswordlastchangeProtectedusersPrivilegedaccountwithSPNLastlogondateforadminaccountsSDPropaga

13、torconsistencyReplicationpolicyObjectsaccesscontrolUnconstraineddelegationBitlockerkeyaccesscontrolDontexpireaccountsProtectedusersAdministrationattributePrivilegedgroupsmembershipReversiblepasswordstorageDisabledaccountsinpriv.groupsAnonymoususersbehaviorKerberosuseraccountsconfigFine-grainedpasswo

14、rdpolicyTrustsattributesDirectoryconfigurationBlockingOUManagedserviceaccountsObsoletesystemsTrustedcertificateauthoritiesSchemasecuritydescriptorDSRMaccountAdvancedauditpolicyRODCKDCaccountRODCmanagementaccountControlcachingpolicyonRODCRODCfilteredattributesRODCglobalrevealedgroupSensitiveGPOlinkLa

15、teralmoverestrictionEnforcedGPODisabledorunlinkedGPOS3S2S1S4S8S9S5S6S7A2A1A4A8A9A5A6A7A3C2C1C4C8C9C5C6C7C3R2R1R4R8R9R5R6R7R3賬戶相關IOE配置相關IOE只讀DC相關IOE實時監控實時監控IoA攻擊指標攻擊指標6D C S y n c At t a c kD C S H AD O R At t a c kP a ssw o rd Eue ssi n gP a ssw o rd S p ra y i n gEo l d e n T i c ke t At t a c kHS

16、AS S M e mo ry At t a c kK e roe ro a st At t a c k提供提供AD基礎設施的實時攻擊面可視化基礎設施的實時攻擊面可視化17云化部署云化部署&私有化部署私有化部署 立即發現、繪制和評分現有的AD風險 遵循我們的逐步補救策略并防止攻擊1.找到并修復現有找到并修復現有AD暴露風險暴露風險AD 管理員管理員藍隊藍隊&審計團隊審計團隊 不斷發現新的漏洞和錯誤配置 打破攻擊通道，控制你的威脅暴露2.發現新的攻擊路徑發現新的攻擊路徑AD 管理員管理員SOC 分析團隊分析團隊4.調查事件和回溯威脅調查事件和回溯威脅 在對象和屬性級別搜索和關聯AD配置更改 在你的

17、SOAR觸發反應SOC 分析團隊分析團隊攻擊溯源團隊攻擊溯源團隊 獲取有關AD攻擊的警報和可操作的補救計劃 幫助SOC團隊在SIEM中可視化通知和警報3.實時檢測正在進行的攻擊實時檢測正在進行的攻擊事件響應事件響應攻擊溯源團隊攻擊溯源團隊無需安裝無需安裝Agents不需要高級權限不需要高級權限實時分析實時分析AD原生原生API對接對接提供全面的提供全面的AD安全可視能力安全可視能力事前事前 做好積極審核，讓做好積極審核，讓AD 管理員輕松管理管理員輕松管理AD讓AD管理員輕易的管理ADAD上創建的任何新風險都將與補救建議一起即時標記高風險問題出現后立即發出警報，而不是由一般緩慢的審計舉報。事中

18、事中 針對針對AD 攻擊提供即時反應檢測和補救建議攻擊提供即時反應檢測和補救建議讓響應安全事件的團隊能夠快速檢測和響應第一時間阻止AD攻擊發生事后事后 提供便捷的審查功能幫助響應團隊回溯提供便捷的審查功能幫助響應團隊回溯AD 更改行為更改行為協助收集證據而不是浪費寶貴時間審查大量的事件日志減少非常耗時和困難程序 儀表盤實時展示儀表盤實時展示 暴露風險暴露風險IoE呈現呈現 攻擊風險攻擊風險IoA呈現呈現 實時追蹤與回溯實時追蹤與回溯AD事件事件對對典型的典型的 AD攻擊報警指示攻擊報警指示19選定目標后的釣魚活動指示嚴重性合規趨勢根域對象安全一致性敏感AD對象的危險訪問權嘗試異常登錄的帳戶域控

19、制器上的非法GPO鏈接原生本機管理組成員具有過期操作系統的系統CompliantCompliantCompliantCompliantCompliantModerate0感染目標計算機映射公司的基礎設施123查找易受攻擊的業務服務器4暴力破解收獲服務器憑據5人力資源賬戶泄露6篡改授權模型拿下擁有GPO管理權賬號78域控制器上的代碼執行偽造流氓組策略對象9設置并復制用戶密碼Moderate檢測到新的安全風險或攻擊反常登錄指示燈在危險狀態下剛剛改變Critical檢測到新的安全風險或攻擊危險接入指示燈剛在危險狀態下改變Critical檢測到新的安全風險或攻擊指標非法GPO剛剛在危險狀態下發生變化C

20、ritical檢測到新的安全風險或攻擊指標ROOT-OBJECT-SECURITY剛剛在危險狀態下更改我們帶來的價值I T T e a msCIOIT ArchitectSystem AdministratorIAM specialistAD專員（如首席信息官）喜歡我們的產品：專員（如首席信息官）喜歡我們的產品：無縫及無代理部署不需要特權賬號技術上它不能干擾AD運作能說他們的語言，讓沒有安全經驗的AD從業者提高防御能力S e c uri t y T e a msCISOSecurity ArchitectSOC analystIAM specialist安全專家（如安全專家（如CISO）喜歡我們的產品：喜歡我們的產品：其廣泛的范圍涵蓋了預測、檢測和響應實踐無接觸式部署，短時間內覆蓋他們龐大的基礎設施，包括在企業并購期間能夠在不干擾首席信息官團隊的情況下實施AD安全無需安裝無需安裝 Agents無需特權賬號無需特權賬號全面的可視能力全面的可視能力快速見效快速見效