作者 Dmall Talker·邓晓灵 多点Dmall-职能研发部
文章概述
近年来,“零信任”一词可以说是网络安全界的“爆点”热搜,就连美国国防部都在开展相应采购建设。零信任的核心观点在于“从不信任、始终验证”:不再用网络边界来划分信任或不信任的设备;不再有信任或不信任的网络;不再有信任或不信任的用户。
零信任是对“内网即安全”这一传统安全模型的彻底颠覆,内网环境反而成为安全铁桶最短的那块板,“祸发萧墙”也已成为主流的攻击手段之一。本文将以常见的域环境攻击渗透展开,介绍公司上线的域环境入侵检测系统,让大家了解内网方寸之地下的攻与防。
大型攻防演练中的域环境攻击案例
1. 通用攻击流程
万变不离其宗,虽网络攻击手段千奇百怪,但技战术选择始终遵循MITRE ATT&CK框架模型的,主要阶段包括: “侦察执行→获取突破点→远控提权→防御绕过→内网发现→横向移动→收集控制” :
万事开头难,大型攻防演练中蓝队往往把能关的应用都关了,可疑IP也能封尽封。红队为了找到突破点,只能“无所不用其极”。高端玩家会拿压箱底的秘密武器(各种未发布的漏洞)硬磕;普通玩家会努力寻找被遗漏的暴露点(幽灵资产、弱口令服务等);也会有人性大师玩起无间道,用最简单的钓鱼邮件、钓鱼U盘,直接在内网建立起据点。
那么本文主要就以域环境攻击为例展开介绍。
2. 域环境攻击案例
受文章篇幅限制,笔者重点对获取突破点和内网横向转移做重点介绍,暂不过多展开。
2.1获取突破点
域环境攻击的落脚点主要就是办公电脑了,但在全员高度戒备的时候,红队又是如何精心设计,诱导办公人员点开攻击程序的呢?
- “大郎,起来喝药了”
大型攻防演练中,蓝队之间会相互共享情报,第一时间封禁红队IP。然而道高一尺魔高一丈,红队便以情报共享为饵,包装木马文件。
类似的还有:
设想一下,当这样的邮件出现在邮箱,我们会识别出来吗?
- “没有联网的后台,便创造一个” 不厌诈,为了收集账号密码,红队自己搭一个假的后台,愿者上钩~
这个案例提醒我们资产管理的重要性,其实一比对网站IP,“李鬼”就会立刻现形~
- 近源渗透 互联网的重重防护太多,就到目标单位跟前来。常见的近源攻击包括无线WiFi破解或者WiFi伪造钓鱼;也可找到暴露的有线网口(如广告箱、摄像头等物联网设备),尝试直连入网;再或者通过免费送U盘、随地扔U盘的方式,将木马植入内部办公设备。
- “你这瓜保熟吗?” 通常钓鱼邮件也就伪造成求职简历、文档资料等,然而也有人为博眼球直接造瓜,骗取吃瓜群众点击附件的所谓“证据”,可见也是被逼急了。
当然,这样的操作已经涉嫌诽谤了,被紧急叫停并做出惩罚。
2. 内网横向转移
拿下一台办公电脑所收集到的信息,以及网络可达的范围是非常有限的,这时候红队大都会开始对域控制器及域管理员账户发起跳板攻击。如通过查找DNS或时间服务器,攻击者可以轻易查找到所属域和域控制器IP地址:
接下来就可以利用各种漏洞、工具向域控制器发起攻击,进一步获取域管理员权限。如查看域计算机的注册表、内存中的历史登录凭证,监听窃取网络中传递的凭证信息等等。
一旦成功拿下域控制器就意味着控制了整个域环境,攻击人员就可以在内网漫游了,包括任意访问域内所有应用、终端,或者利用域信任在不同域间大范围转移,如从子公司域向母公司域跳转。
域环境入侵检测
1. 总体思路:防域之险,如同防疫
域环境下的安全防护思路,和新冠的防护思路是尤其相似的:外防输入、内防扩散。
在外防输入方面:一方面做好办公电脑必要的EDR软件安装,实现常见攻击行为防护,提高攻击技术门槛;另一方面做好员工网络安全意识培训、规范用网习惯,减少攻击入侵机会。
在内防扩散方面:需要尽可能缩短攻击行为检测时间,做到迅速定位和处置被感染的办公电脑,及时切断内网扩散线路,启动取证溯源排查。
经历了两年多的抗疫,大家应该都有一个认识:尽管在“外防输入”上,我们已经做得足够好,但只要对外口岸依然开放,仍然会有意想不到的传播途径感染进来,全球也只有朝鲜能够一直保持零感染。
因此,“内防扩散”就显得尤为关键,如果能够做到第一时间迅速发现、精准溯源,就可以将传播范围有效控制在数个小区内,那么对整个城市的影响也是可以接受的。
防域如防疫,在兼顾投资收益的情况下,充分完善外防措施,尽可能提高入侵门槛,能够在很大程度上避免域安全事件。此外,我们也同步构建域环境入侵检测能力,以域控为网格进行管理,做好内防兜底措施,确保将威胁扼杀于摇篮。
那么接下来我们就来看看域环境入侵检测是如何实现的。
2. 域控制器系统审核策略
从攻击案例可以看出:域控制器是整个域环境的关键设施,它承担着域内所有设施的统一管理,如域用户列表,控制域用户权限,域内应用统一认证,统一发布各种共享资源等。域内跨设备活动大都需要域控制器参与,这也是其成为网络攻击高价值目标的原因。
因此,做好域控制器活动审核,记录敏感操作行为,就可以发现大多数横向攻击事件。Windows自带的安全审核功能就可以对重要的Windows活动进行记录,帮助我们加强域控制器安全监测。
- 账户登录
记录尝试对域控制器或本地安全帐户管理器或 SAM (帐户数据)的登录情况。翻译下就是可审核不成功的登录尝试,可用于发现口令暴力破解攻击、异常账户(如过期账户)登录尝试等事件。
- 账户管理
记录用户和计算机帐户及组的更改,可对攻击者创建的异常账户和提权行为进行记录。
- 详细跟踪
记录域控制器上进程创建、终止等活动,一旦域控被攻陷,可及时记录新增的恶意进程。
- DS访问
记录外部尝试访问和修改域服务中的对象,可对攻击者查询域账户等行为进行记录。
- 登录/注销
记录以交互方式或网络登录计算机的尝试,可对账户登录、注销、失败锁定进行记录,识别潜在攻击。
- 对象访问
记录网络或计算机上特定对象或对象类型的访问尝试。
- 策略更改
记录对域控制器或网络上重要安全策略的更改,可对审核策略本身、身份验证策略、授权策略等重要策略的修改进行记录。
- 特权使用
记录使用敏感或非敏感权限的相关操作。
- 系统
记录域控制器系统安全状态、防火墙、IPSec驱动等事件。
- 全局对象访问审核
记录域控制器上的指定文件系统或注册表对象类型的访问、更改操作。
3. 安全告警生成
尽管微软提供了推荐的策略配置(审核策略建议 | Microsoft Docs),兼顾重要事项审核,也避免记录不必要的审核项。但单单我们一个办公区每天的日志量就有1-2GB,这时候就需要域环境入侵检测系统进行告警生成了。
系统工作原理如下:
- 通过在域控制器上安装Agent,导出前文提到的审核日志,统一发送系统集中存储,从而确保审核日志安全,避免域控被攻击后遭到清理;
- 系统分析引擎基于规则对审核日志进行提取分析,并生成告警事件。具体检测功能包括:
- 信息探测:使用SAMR查询敏感用户组、使用SAMR查询敏感用户、蜜罐账户的活动、PsLoggedOn信息收集;
- 凭证盗取: AS-REP Roasting、远程Dump域控密码;
- 横向移动:账户爆破、显式凭据远程登录、目标域控的远程代码执行、未知文件共享名;
- 权限提升:ACL修改、MS17-010攻击检测、新增组策略监控、NTLM 中继检测、基于资源的约束委派权限授予检测、攻击打印机服务 SpoolSample、未知权限提升;
- 权限维持:AdminSDHolder对象修改、DCShadow攻击检测、DSRM密码重置、组策略委派权限授予检测、Kerberos约束委派权限授予检测、敏感用户组修改、域控新增系统服务、域控新增计划任务、SIDHistory属性修改、万能钥匙-主动检测;
- 防御绕过:事件日志清空、事件日志服务被关闭。
生成告警示例如下:
4. 检测规则的持续更新
审核日志均带有“Event ID”,以“审核登录为例”:4624代表账户已成功登录;4625则代表账户登录失败。因此,我们可通过对审核日志的Event ID进行关联组合,形成对某一种场景的定位分析。
例如当往安全组中添加用户时,根据范围的不同(Global/Local/ Universal),会分别触发 4728、4732、4756三种事件,我们就可以基于事件ID与事件来源用户名/IP去生成一条告警信息:来自于 [XXX IP]的([XXX主机名) 使用身份 [XXX] 将目标用户 [XXX] 添加到了敏感组 [XXX] 中。
安全技术组也将持续维护更新入侵检测规则,更快更准确地定位域环境安全事件。
域环境安全与员工个人隐私
很多同事可能会担心域环境的安全建设是否会侵犯到员工个人隐私,网上也不时有公司通过上网行为管理系统还原员工摸鱼行为、简历投递等新闻,那么我们的域环境安全是怎么做的呢?
首先说结论:安全建设不会对各位同事的个人信息造成任何影响和侵犯。
从法律层面来说,2021年可以说是数据安全元年,《数据安全法》、《个人信息保护法》相继出台,对个人信息的保护提到了空前高度。如果在未授权情况下监听员工个人信息等,属于非法行为。
从技术层面来说,域环境入侵检测系统主要是对域控制器的日志进行分析,涉及办公电脑交互的,主要是一些账户登录行为,因为需要与域控制器进行认证与授权交互。
再看网络流量层面,当前绝大部分应用均使用加密传输,因此网络层面即便是黑客攻击,也只能掌握连通情况,但对传输数据是无法破解。从另外一个方面来说,也提醒我们在使用HTTP未加密网站时,应尽可能避免提交敏感信息,以免信息被非法截获。
而办公电脑终端虽然会安装EDR、DLP等安全设备,但也只会对进程级的应用、网络、操作系统等进行检测,以及对公司的数字资产进行识别。
所以也请各位同事放心配合做好各项终端加固措施,避免办公电脑被攻击,给个人和公司利益带来损害。
