图片 23

卡巴斯基2017年企业信息系统的安全评估报告,你可以阅读SANS发布的这篇优秀的文章——哈希攻击缓解措施

原标题:卡巴斯基2017年企业信息系统的安全评估报告

去年年底美国大型零售商Target被曝受到黑客攻击,导致高达4000万张信用卡和7000万消费者的个人信息被黑客所窃,Aorato的研究员及其团队记录了攻击者用来攻击Target的所有工具,并讲述攻击者是如何渗透到零售商、在其网络内传播、并最终从PoS系统抓取信用卡数据的。

引言

哈希传递对于大多数企业或组织来说仍然是一个非常棘手的问题,这种攻击手法经常被渗透测试人员和攻击者们使用。当谈及检测哈希传递攻击时,我首先开始研究的是先看看是否已经有其他人公布了一些通过网络来进行检测的可靠方法。我拜读了一些优秀的文章,但我没有发现可靠的方法,或者是这些方法产生了大量的误报。

以下为原文:

卡巴斯基实验室的安全服务部门每年都会为全球的企业开展数十个网络安全评估项目。在本文中,我们提供了卡巴斯基实验室2017年开展的企业信息系统网络安全评估的总体概述和统计数据。

我不会在本文深入剖析哈希传递的历史和工作原理,但如果你有兴趣,你可以阅读SANS发布的这篇优秀的文章——哈希攻击缓解措施。

安全公司Aorato的一项新研究显示,个人可识别信息和信用卡及借记卡数据在今年年初的Target数据泄露实践中遭到大规模偷窃后,该公司的PCI合规新计划已经大幅降低了损害的范围。

本文的主要目的是为现代企业信息系统的漏洞和攻击向量领域的IT安全专家提供信息支持。

总之,攻击者需要从系统中抓取哈希值,通常是通过有针对性的攻击(如鱼叉式钓鱼或通过其他方法直接入侵主机)来完成的(例如:TrustedSec
发布的 Responder
工具)。一旦获得了对远程系统的访问,攻击者将升级到系统级权限,并从那里尝试通过多种方法(注册表,进程注入,磁盘卷影复制等)提取哈希。对于哈希传递,攻击者通常是针对系统上的LM/NTLM哈希(更常见的是NTLM)来操作的。我们不能使用类似NetNTLMv2(通过响应者或其他方法)或缓存的证书来传递哈希。我们需要纯粹的和未经过滤的NTLM哈希。基本上只有两个地方才可以获得这些凭据;第一个是通过本地帐户(例如管理员RID
500帐户或其他本地帐户),第二个是域控制器。

利用所有可用的公开报告,Aorato的首席研究员Tal Aorato
‘ery及其团队记录了攻击者用来攻击Target的所有工具,并创建了一个循序渐进的过程,来讲述攻击者是如何渗透到零售商、在其网络内传播、并最终从PoS系统抓取信用卡数据的。关于事故的细节依旧模糊,但是Be’ery认为,有必要了解整个攻击过程,因为黑客们依然存在。

我们已经为多个行业的企业开展了数十个项目,包括政府机构、金融机构、电信和IT公司以及制造业和能源业公司。下图显示了这些企业的行业和地区分布情况。

哈希传递的主要成因是由于大多数企业或组织在一个系统上拥有共享本地帐户,因此我们可以从该系统中提取哈希并移动到网络上的其他系统。当然,现在已经有了针对这种攻击方式的缓解措施,但他们不是100%的可靠。例如,微软修补程序和较新版本的Windows(8.1和更高版本)“修复”了哈希传递,但这仅适用于“其他”帐户,而不适用于RID为
500(管理员)的帐户。

跟踪攻击就像网络古生物学

目标企业的行业和地区分布情况

你可以禁止通过GPO传递哈希:

而Be’ery承认,安全公司Aorato对于一些细节的描述可能是不正确的,但是他确信关于Target网络系统重建的言论是正确的。

图片 1

“拒绝从网络访问此计算机”

“我喜欢称之为网络古生物学”,Be’ery说。有许多报告声称,在这个事件中涌现了很多攻击工具,但是他们没有解释攻击者究竟是如何使用这些工具的。这就像有恐龙骨头,却不知道恐龙到底长什么样子,所幸的是我们知道其他恐龙的模样。利用我们的知识,我们可以重建这种恐龙模型。

漏洞的概括和统计信息是根据我们提供的每种服务分别总结的:

设置路径位于:

2013年12月,正值一年当中最繁忙购物季的中期,关于Target数据泄露的言论又回潮了。很快细流变成洪流,日益清晰的是攻击者已经获取了7000万消费者的个人身份信息以及4000万信用卡和借记卡的数据信息。Target的CIO和董事长、总裁兼首席执行官纷纷引咎辞职。分析师称,预计经济损失可能达到10亿美元。

外部渗透测试是指针对只能访问公开信息的外部互联网入侵者的企业网络安全状况评估

内部渗透测试是指针对位于企业网络内部的具有物理访问权限但没有特权的攻击者进行的企业网络安全状况评估。

Web应用安全评估是指针对Web应用的设计、开发或运营过程中出现的错误导致的漏洞(安全漏洞)的评估。

Computer ConfigurationWindowsSettingsSecurity SettingsLocal PoliciesUser Rights Assignment 

了解上述事件的大多数人都知道它始于窃取Target供应商的信用凭证。但攻击者是如何从Target网络的边界逐步渗透到核心业务系统?Be’ery认为,攻击者深思熟虑采取了11个步骤。

本出版物包含卡巴斯基实验室专家检测到的最常见漏洞和安全缺陷的统计数据,未经授权的攻击者可能利用这些漏洞渗透公司的基础设施。

大多数企业或组织都没有能力实施GPO策略,而传递哈希可被利用的可能性却非常大。

第一步:安装窃取信用卡凭证的恶意软件

针对外部入侵者的安全评估

接下来的问题是,你怎么检测哈希传递攻击?

攻击者首先窃取了Target空调供应商Fazio Mechanical
Services的凭证。根据首先打破合规故事的Kreson
Security,袭击者首先通过电子邮件与恶意软件开展了感染供应商的钓鱼活动。

我们将企业的安全等级划分为以下评级:

检测哈希传递攻击是比较有挑战性的事情,因为它在网络中表现出的行为是正常。比如:当你关闭了RDP会话并且会话还没有关闭时会发生什么?当你去重新认证时,你之前的机器记录仍然还在。这种行为表现出了与在网络中传递哈希非常类似的行为。

第二步:利用窃取的凭证建立连接

非常低

中等偏下

中等偏上

通过对成千上万个系统上的日志进行广泛的测试和分析,我们已经能够识别出在大多数企业或组织中的非常具体的攻击行为并且具有非常低的误报率。有许多规则可以添加到以下检测功能中,例如,在整个网络中查看一些成功的结果会显示“哈希传递”,或者在多次失败的尝试后将显示凭证失败。

攻击者使用窃取的凭证访问Target致力于服务供应商的主页。在违规发生后的公开声明中,Fazio
Mechanical Services和持有人Ross
Fazio表示,该公司不对Target的加热、冷却和制冷系统执行远程监控。其与Target网络连接的数据是专门用于电子账单、提交合同和项目管理的。

我们通过卡巴斯基实验室的自有方法进行总体的安全等级评估,该方法考虑了测试期间获得的访问级别、信息资源的优先级、获取访问权限的难度以及花费的时间等因素。

下面我们要查看所有登录类型是3(网络登录)和ID为4624的事件日志。我们正在寻找密钥长度设置为0的NtLmSsP帐户(这可以由多个事件触发)。这些是哈希传递(WMI,SMB等)通常会使用到的较低级别的协议。另外,由于抓取到哈希的两个唯一的位置我们都能够访问到(通过本地哈希或通过域控制器),所以我们可以只对本地帐户进行过滤,来检测网络中通过本地帐户发起的传递哈希攻击行为。这意味着如果你的域名是GOAT,你可以用GOAT来过滤任何东西,然后提醒相应的人员。不过,筛选的结果应该去掉一些类似安全扫描器,管理员使用的PSEXEC等的记录。

这个Web应用程序是非常有限的。虽然攻击者现在可以使用托管在Target内部网络Web应用程序进入Target,应用程序还是不允许任意命令执行,而这将在攻击过程中是十分紧迫的。

安全级别为非常低对应于我们能够穿透内网的边界并访问内网关键资源的情况(例如,获得内网的最高权限,获得关键业务系统的完全控制权限以及获得关键的信息)。此外,获得这种访问权限不需要特殊的技能或大量的时间。

请注意,你可以(也可能应该)将域的日志也进行分析,但你很可能需要根据你的实际情况调整到符合基础结构的正常行为。比如,OWA的密钥长度为0,并且具有与基于其代理验证的哈希传递完全相同的特征。这是OWA的正常行为,显然不是哈希传递攻击行为。如果你只是在本地帐户进行过滤,那么这类记录不会被标记。

第三步:开发Web程序漏洞

安全级别为高对应于在客户的网络边界只能发现无关紧要的漏洞(不会对公司带来风险)的情况。

事件ID:4624

攻击者需要找到一处可以利用的漏洞。Be’ery指出了一个公开报告中列出的名为“xmlrpc.php”的攻击工具。“根据Aorato的报告,当所有其他已知的攻击工具文件是Windows可执行文件时,这就是一个在Web应用程序内运行脚本的PHP文件。

目标企业的经济成分分布

登录类型:3

“这个文件表明,攻击者能够通过利Web应用程序中的一个漏洞上传PHP文件,”Aorato报告显示,原因可能Web应用程序有一个用以上传发票等合法文件的上传功能。但正如经常发生在Web应用程序中的事故,始终没有恰当的安全检查以确保执行可执行文件没有上传。

图片 2

登录过程:NtLmSsP

恶意脚本可能是一个“Web壳”,一个基Web并允许攻击者上传文件和执行任意操作系统命令的后门。“攻击者知道他们会在最后窃取信用卡并利用银行卡获取资金的环节引起注意,”他解释说。他们在黑市上出售了信用卡号码,不久之后Target就被通知数据泄露。

目标企业的安全等级分布

安全ID:空SID – 可选但不是必需的,目前还没有看到为Null的
SID未在哈希传递中使用。

第四步:细心侦查

图片 3

主机名
:(注意,这不是100%有效;例如,Metasploit和其他类似的工具将随机生成主机名)。你可以导入所有的计算机列表,如果没有标记的计算机,那么这有助于减少误报。但请注意,这不是减少误报的可靠方法。并不是所有的工具都会这样做,并且使用主机名进行检测的能力是有限的。

此时,攻击者不得不放慢脚步,来细心做一些侦察。他们有能力运行任意操作系统命令,但进一步的行动还需要Target内部网络的情报,所以他们需要找到存储客户信息和信用卡数据的服务器。

根据测试期间获得的访问级别来划分目标企业

帐户名称和域名:仅警告只有本地帐户(即不包括域用户名的账户)的帐户名称。这样可以减少网络中的误报,但是如果对所有这些账户进行警告,那么将检测例如:扫描仪,psexec等等这类东西,但是需要时间来调整这些东西。在所有帐户上标记并不一定是件坏事(跳过“COMPUTER$”帐户),调整已知模式的环境并调查未知的模式。

目标是Target的活动目录,这包括数据域的所有成员:用户、计算机和服务。他们能够利用内部Windows工具和LDAP协议查询活动目录。Aorato相信,攻击者只是检索所有包含字符串“MSSQLSvc”的服务,然后通过查看服务器的名称来推断出每个服务器的目的。这也有可能是攻击者稍后用以使用来找到PoS-related机器的过程。利用攻击目标的名字,Aorato认为,攻击者将随后获得查询DNS服务器的IP地址。

图片 4

密钥长度:0 –
这是会话密钥长度。这是事件日志中最重要的检测特征之一。像RDP这样的东西,密钥长度的值是
128位。任何较低级别的会话都将是0,这是较低级别协议在没有会话密钥时的一个明显的特征,所在此特征可以在网络中更好的发现哈希传递攻击。

第五步:窃取域管理员访问令牌

用于穿透网络边界的攻击向量

另外一个好处是这个事件日志包含了认证的源IP地址,所以你可以快速的识别网络中哈希传递的攻击来源。

至此,Be’ery认为,攻击者已经确定他们的目标,但他们需要访问权限尤其是域管理员权限来帮助他们。

大多数攻击向量成功的原因在于不充分的内网过滤、管理接口可公开访问、弱密码以及Web应用中的漏洞等。

为了检测到这一点,我们首先需要确保我们有适当的组策略设置。我们需要将帐户登录设置为“成功”,因为我们需要用事件日志4624作为检测的方法。

基于前Target安全团队成员提供给记者Brian
Krebs的信息,Aorato认为,攻击者使用一个名为“Pass-the-Hash”的攻击技术来获得一个NT令牌,让他们模仿活动目录管理员——至少直到实际的管理员去改变其密码。

尽管86%的目标企业使用了过时、易受攻击的软件,但只有10%的攻击向量利用了软件中的未经修复的漏洞来穿透内网边界(28%的目标企业)。这是因为对这些漏洞的利用可能导致拒绝服务。由于渗透测试的特殊性(保护客户的资源可运行是一个优先事项),这对于模拟攻击造成了一些限制。然而,现实中的犯罪分子在发起攻击时可能就不会考虑这么多了。

图片 5

随着这种技术的深入证实,Aorato指向了工具的使用,包括用于从内存中登录会话和NTLM凭证的渗透测试工具、提取域账户NT
/ LM历史的散列密码。

建议:

让我们分解日志并且模拟哈希传递攻击过程。在这种情况下,我们首先想象一下,攻击者通过网络钓鱼获取了受害者电脑的凭据,并将其提升为管理级别的权限。从系统中获取哈希值是非常简单的事情。假设内置的管理员帐户是在多个系统间共享的,攻击者希望通过哈希传递,从SystemA(已经被入侵)移动到SystemB(还没有被入侵但具有共享的管理员帐户)。

第六步:新的域管理员帐户

除了进行更新管理外,还要更加注重配置网络过滤规则、实施密码保护措施以及修复Web应用中的漏洞。

在这个例子中,我们将使用Metasploit
psexec,尽管还有很多其他的方法和工具可以实现这个目标:

上一步允许攻击者伪装成域管理员,然而一旦受害者改变了密码,或者当试图访问一些需要显示使用密码的服务(如远程桌面)时,他就成为无效的。那么,下一步是创建一个新的域管理员帐户。

图片 6

图片 7

攻击者能够使用他们窃取的特权来创建一个新帐户,并将它添加到域管理组,将帐户特权提供给攻击者,同时也给攻击者控制密码的机会。

利用 Web应用中的漏洞发起的攻击

在这个例子中,攻击者通过传递哈希建立了到第二个系统的连接。接下来,让我们看看事件日志4624,包含了什么内容:

Be’ery说,这是攻击者隐藏在普通场景中的另一个例子。新用户名是与BMC
Bladelogic服务器用户名相同的“best1_user”。

我们的2017年渗透测试结果明确表明,对Web应用安全性的关注仍然不够。Web应用漏洞在73%的攻击向量中被用于获取网络外围主机的访问权限。

图片 8

“这是一个高度异常的模式”,Be’ery说,时刻留意监视用户列表的简单步骤和新增等敏感管理员账户都可以对攻击者进行有效阻止(+微信关注网络世界),所以必须监控访问模式。

在渗透测试期间,任意文件上传漏洞是用于穿透网络边界的最广泛的Web应用漏洞。该漏洞可被用于上传命令行解释器并获得对操作系统的访问权限。SQL注入、任意文件读取、XML外部实体漏洞主要用于获取用户的敏感信息,例如密码及其哈希。账户密码被用于通过可公开访问的管理接口来发起的攻击。

安全ID:NULL
SID可以作为一个特征,但不要依赖于此,因为并非所有的工具都会用到SID。虽然我还没有亲眼见过哈希传递不会用到NULL
SID,但这也是有可能的。

第七步:使用新的管理凭证传播到有关计算机

建议:

图片 9

用新的访问凭证,攻击者现在可以继续追求其攻击目标。但是Aorato指出了其路径中的两个障碍:绕过防火墙和限制直接访问相关目标的其他网络安全解决方案,并针对其攻击目标在各种机器上运行远程程序。

应定期对所有的公开Web应用进行安全评估;应实施漏洞管理流程;在更改应用程序代码或Web服务器配置后,必须检查应用程序;必须及时更新第三方组件和库。

接下来,工作站名称肯定看起来很可疑;
但这并不是一个好的检测特征,因为并不是所有的工具都会将机器名随机化。你可以将此用作分析哈希传递攻击的额外指标,但我们不建议使用工作站名称作为检测指标。源网络IP地址可以用来跟踪是哪个IP执行了哈希传递攻击,可以用于进一步的攻击溯源调查。

Aorato说,攻击者用“愤怒的IP扫描器”检测连网电脑,穿过一系列的服务器来绕过安全工具。

用于穿透网络边界的Web应用漏洞

图片 10

至于在目标服务器上远程执行程序,攻击者使用其凭证连接微软PSExec应用程序(在其他系统上执行进程的telnet-replacement)和Windows内部远程桌面客户端。

图片 11

接下来,我们看到登录过程是NtLmSsp,密钥长度为0.这些对于检测哈希传递非常的重要。

Aorato指出,这两个工具都使用Active
Directory用户进行身份验证和授权,这意味着一旦有人在搜寻,Active
Directory将第一时间知晓。

利用Web应用漏洞和可公开访问的管理接口获取内网访问权限的示例

图片 12

一旦攻击者访问目标系统,他们会使用微软的协调器管理解决方案来获得持续的访问,这将允许他们在受攻击的服务器上远程执行任意代码。

图片 13

接下来我们看到登录类型是3(通过网络远程登录)。

第八步:窃取PII 7000万

第一步

图片 14

Aorato说,在这一步,袭击者使用SQL查询工具来评估价数据库服务器和检索数据库内容的SQL批量复制工具的价值。这个过程,其实就是PCI合规所提出的黑客造成的严重数据泄露事故——4000万信用卡。

利用SQL注入漏洞绕过Web应用的身份验证

最后,我们看到这是一个基于帐户域和名称的本地帐户。

当攻击者已经成功访问7000万的Target目标客户时,它并没有获得进入信用卡。攻击者将不得不重组一个新的计划。

第二步

总而言之,有许多方法可以检测环境中的哈希传递攻击行为。这个在小型和大型网络中都是有效的,并且基于不同的哈希传递的攻击方式都是非常可靠的。它可能需要根据你的网络环境进行调整,但在减少误报和攻击过程中溯源却是非常简单的。

既然Target符合PCI合规,数据库不存储任何信用卡的具体数据,因此他们不得不转向B计划来直接从销售的角度窃取信用卡。

利用敏感信息泄露漏洞获取Web应用中的用户密码哈希

哈希传递仍然广泛的用于网络攻击并且是大多数企业和组织的一个共同的安全问题。有许多方法可以禁止和降低哈希传递的危害,但是并不是所有的企业和组织都可以有效地实现这一点。所以,最好的选择就是如何去检测这种攻击行为。

第九步:安装恶意软件 窃取4000万信用卡

第三步

【编辑推荐】

PoS系统很可能不是一个攻击者的初始目标。只有当他们无法访问服务器上的信用卡数据时,才会专注于将PoS机作为应急。在第四步中使用网络和第七步的远程执行功能,袭击者在PoS机上安装了Kaptoxa。恶意软件被用来扫描被感染机器的内存并保存本地文件上发现的所有信用卡数据。

离线密码猜测攻击。可能利用的漏洞:弱密码

唯独在这一步中,袭击者会使用专门的恶意软件而不是常见的工具。

第四步

“拥有防病毒工具也不会在这种情况下起到作用”他说,“当赌注太高、利润数千万美元时,他们根本不介意创造特制工具的成本。”

利用获取的凭据,通过XML外部实体漏洞(针对授权用户)读取文件

第十步:通过网络共享传递窃取数据

第五步

一旦恶意软件获取了信用卡数据,它就会使用Windows命令和域管理凭证在远程的FTP机器上创建一个远程文件共享,并会定期将本地文件复制到远程共享。Be’ery在此强调,这些活动会针对Activity
Directory获得授权。

针对获取到的用户名发起在线密码猜测攻击。可能利用的漏洞:弱密码,可公开访问的远程管理接口

第十一步:通过FTP传送窃取数据

第六步

最后,一旦数据到达FTP设备,可以使用Windows内部的FTP客户端将一个脚本将文件发送到已被攻击者控制的FTP账号。

在系统中添加su命令的别名,以记录输入的密码。该命令要求用户输入特权账户的密码。这样,管理员在输入密码时就会被截获。

初始渗透点并不是故事的终结,因为最终你必须假设你最终将被攻击。你必须做好准备,并当你被攻击时必须有事件响应计划。当恶意软件可以使攻击者能够更深入地探索网络时,真正的问题才会出现。如果你有正确的判断力,问题将会真的显示出来。

第七步

如何保护你的企业或组织

获取企业内网的访问权限。可能利用的漏洞:不安全的网络拓扑

加强访问控制。监控文件访问模式系统以识别异常和流氓访问模式。在可能的情况下,使用多因素身份验证进入相关敏感系统,以减少与信用卡凭证相关的风险。隔离网络,并限制协议使用和用户的过度特权。

利用管理接口发起的攻击

监控用户的列表,时刻关注新添加用户,尤其是有特权的用户。
监控侦察和信息收集的迹象,特别注意过度查询和不正常的LDAP查询。
考虑允许项目的白名单。
不要依赖反恶意软件解决方案作为主要缓解措施,因为攻击者主要利用合法的工具。
在Active
Directory上安装安全与监测控制设备,因为其参与几乎所有阶段的攻击。
参与信息共享和分析中心(ISAC)和网络情报共享中心(CISC)组织,以获得情报袭击者宝贵的战术、技术和程序(TTPs)。

虽然“对管理接口的网络访问不受限制”不是一个漏洞,而是一个配置上的失误,但在2017年的渗透测试中它被一半的攻击向量所利用。57%的目标企业可以通过管理接口获取对信息资源的访问权限。

通过管理接口获取访问权限通常利用了以下方式获得的密码:

利用目标主机的其它漏洞(27.5%)。例如,攻击者可利用Web应用中的任意文件读取漏洞从Web应用的配置文件中获取明文密码。

使用Web应用、CMS系统、网络设备等的默认凭据(27.5%)。攻击者可以在相应的文档中找到所需的默认账户凭据。

发起在线密码猜测攻击(18%)。当没有针对此类攻击的防护措施/工具时,攻击者通过猜测来获得密码的机会将大大增加。

从其它受感染的主机获取的凭据(18%)。在多个系统上使用相同的密码扩大了潜在的攻击面。

在利用管理接口获取访问权限时利用过时软件中的已知漏洞是最不常见的情况。

图片 15

利用管理接口获取访问权限

图片 16

通过何种方式获取管理接口的访问权限

图片 17

管理接口类型

图片 18

建议:

定期检查所有系统,包括Web应用、内容管理系统(CMS)和网络设备,以查看是否使用了任何默认凭据。为管理员帐户设置强密码。在不同的系统中使用不同的帐户。将软件升级至最新版本。

大多数情况下,企业往往忘记禁用Web远程管理接口和SSH服务的网络访问。大多数Web管理接口是Web应用或CMS的管理控制面板。访问这些管理控制面板通常不仅可以获得对Web应用的完整控制权,还可以获得操作系统的访问权。获得对Web应用管理控制面板的访问权限后,可以通过任意文件上传功能或编辑Web应用的页面来获取执行操作系统命令的权限。在某些情况下,命令行解释程序是Web应用管理控制面板中的内置功能。

建议:

严格限制对所有管理接口(包括Web接口)的网络访问。只允许从有限数量的IP地址进行访问。在远程访问时使用VPN。

利用管理接口发起攻击的示例

第一步 检测到一个只读权限的默认社区字符串的SNMP服务

第二步

通过SNMP协议检测到一个过时的、易受攻击的思科IOS版本。漏洞:cisco-sa-20170629-snmp(
.
com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170629-snmp)。

该漏洞允许攻击者通过只读的SNMP社区字符串进行提权,获取设备的完全访问权限。利用思科发布的公开漏洞信息,卡巴斯基专家Artem
Kondratenko开发了一个用来演示攻击的漏洞利用程序(
第三步
利用ADSL-LINE-MIB中的一个漏洞以及路由器的完全访问权限,我们可以获得客户的内网资源的访问权限。完整的技术细节请参考
最常见漏洞和安全缺陷的统计信息

最常见的漏洞和安全缺陷

图片 19

针对内部入侵者的安全评估

我们将企业的安全等级划分为以下评级:

非常低

中等偏下

中等偏上

我们通过卡巴斯基实验室的自有方法进行总体的安全等级评估,该方法考虑了测试期间获得的访问级别、信息资源的优先级、获取访问权限的难度以及花费的时间等因素。安全级别为非常低对应于我们能够获得客户内网的完全控制权的情况(例如,获得内网的最高权限,获得关键业务系统的完全控制权限以及获取关键的信息)。此外,获得这种访问权限不需要特殊的技能或大量的时间。

安全级别为高对应于在渗透测试中只能发现无关紧要的漏洞(不会对公司带来风险)的情况。

在存在域基础设施的所有项目中,有86%可以获得活动目录域的最高权限(例如域管理员或企业管理员权限)。在64%的企业中,可以获得最高权限的攻击向量超过了一个。在每一个项目中,平均有2-3个可以获得最高权限的攻击向量。这里只统计了在内部渗透测试期间实践过的那些攻击向量。对于大多数项目,我们还通过bloodhound等专有工具发现了大量其它的潜在攻击向量。

图片 20

图片 21

图片 22

这些我们实践过的攻击向量在复杂性和实践步骤数(从2步到6步)方面各不相同。平均而言,在每个企业中获取域管理员权限需要3个步骤。

获取域管理员权限的最简单攻击向量的示例:

攻击者通过NBNS欺骗攻击和NTLM中继攻击拦截管理员的NetNTLM哈希,并利用该哈希在域控制器上进行身份验证;

利用HP Data
Protector中的漏洞CVE-2011-0923,然后从lsass.exe进程的内存中提取域管理员的密码

获取域管理员权限的最小步骤数

图片 23

下图描述了利用以下漏洞获取域管理员权限的更复杂攻击向量的一个示例:

使用包含已知漏洞的过时版本的网络设备固件

使用弱密码

在多个系统和用户中重复使用密码

使用NBNS协议

SPN账户的权限过多

发表评论

电子邮件地址不会被公开。 必填项已用*标注

相关文章