共用方式為

常成為認證竊取目標的帳戶

認證竊取攻擊就是攻擊者一開始對網路上電腦取得最高權限 (根、管理員或 SYSTEM,視使用中的作業系統而定) 的攻擊,然後自由地使用可用工具,從其他登入帳戶的工作階段擷取認證。 根據系統設定,擷取這些認證的形式可以是雜湊、票證,或甚至是純文字密碼。 如果任何已收集的認證都適用於網路上其他電腦上可能存在的本機帳戶 (例如 Windows 中的系統管理員帳戶,或 OSX、UNIX 或 Linux 中的根帳號),攻擊者會將認證呈現給網路上的其他電腦,以將入侵傳播至其他電腦,並嘗試取得兩種特定帳戶類型的認證:

  1. 具有廣泛和深層權限的特殊權限網域帳戶 (也就是在許多電腦上和 Active Directory 中具有系統管理員層級權限的帳戶)。 這些帳戶可能不是 Active Directory 中任何最高權限群組的成員,但它們可能已獲授與網域或樹系中許多伺服器和工作站的系統管理員層級權限,這讓它們有效地成為 Active Directory 中特殊權限群組的成員。 在大部分情況下,在廣大 Windows 基礎結構中授與高階權限的帳戶是服務帳戶,因此應該一律評估服務帳戶的廣度和深度權限。

  2. 「非常重要的人」(VIP) 網域帳戶。 在本文件的內容中,VIP 帳戶是任何有權存取攻擊者想要資訊的帳戶 (智慧財產權和其他敏感性資訊),或任何可用來授與攻擊者存取該資訊的帳戶。 這些使用者帳戶的範例包括:

    1. 帳戶可存取敏感性公司資訊的主管

    2. 負責維護主管所使用電腦和應用程式的技術支援人員帳戶

    3. 可存取組織投標和合約檔的法務人員帳戶,無論檔是針對自己的組織還是客戶組織

    4. 無論公司生產的產品類型為何,都能存取公司開發管線中產品的方案和規格的產品規劃工具

    5. 其帳戶用來存取研究資料、產品配方或任何其他對攻擊者感興趣的研究的研究人員

由於 Active Directory 中具有高度特殊權限的帳戶可用來傳播入侵,並操作 VIP 帳戶或其可存取的資料,因此認證竊取攻擊的最有用帳戶是 Active Directory 中 Enterprise Admins、Domain Admins 和 Administrators 群組成員的帳戶。

因為網域控制站是 AD DS 資料庫的存放庫,而且網域控制站具有 Active Directory 中所有資料的完整存取權,因此網域控制站也會以入侵為目標,無論是與認證竊取攻擊平行,還是在一或多個高度特殊權限的 Active Directory 帳戶遭到入侵之後。 雖然許多發行集 (以及許多攻擊者) 在描述傳遞雜湊和其他認證竊取攻擊時,著重於 Domain Admins 群組成員資格 (如減少 Active Directory 攻擊 Surface 中所述),但此處所列任何群組的成員帳戶都可以用來危害整個 AD DS 安裝。

注意

如需傳遞雜湊和其他認證竊取攻擊的完整資訊,請參閱附錄 M:檔連結和建議閱讀中所列的緩和傳遞雜湊 (PTH) 攻擊和其他認證竊取技術白皮書。 如需由判定對手攻擊的詳細資訊,有時稱為「進階持續性威脅」(APT),請參閱判定對手和目標攻擊

增加入侵可能性的活動

因為認證資料竊取的目標通常是高特許權網域的帳戶和 (VIP) 帳戶,所以系統管理員務必意識到增加認證資料竊取攻擊成功可能性的活動。 雖然攻擊者也會以 VIP 帳戶為目標,但如果 VIP 未在系統上或網域中獲得高階權限,則竊取其認證需要其他類型的攻擊,例如對 VIP 進行社交工程以提供秘密資訊。 或者攻擊者必須先取得快取 VIP 認證之系統的特殊權限存取權。 因此,增加此處所述的認證竊取可能性的活動主要著重於防止取得高權限的系統管理認證。 這些活動是攻擊者能夠入侵系統以取得特殊權限認證的常見機制。

使用特許權帳戶登入不安全的電腦

允許認證竊取攻擊成功的核心弱點,就是登入未受到整個環境廣泛且深層特殊權限帳戶保護的電腦。 這些登入可能是這裡所述的各種設定錯誤的結果。

未維護個別的系統管理認證

雖然這相對不常見,但在評估各種 AD DS 安裝時,我們發現 IT 員工會針對所有工作使用單一帳戶。 此帳戶是 Active Directory 中至少有一個最具特殊權限群組的成員,而且與員工在早上用來登入工作站、檢查電子郵件、瀏覽網際網路網站,以及將內容下載到電腦相同的帳戶。 當使用者以授與本機系統管理員權限的帳戶執行時,他們會公開本機電腦以完成入侵。 當這些帳戶也是 Active Directory 中最具特殊權限群組的成員時,他們會讓整個樹系遭到入侵,讓攻擊者輕鬆完全控制 Active Directory 和 Windows 環境。

同樣地,在某些環境中,我們發現非 Windows 電腦上的根帳號使用相同的使用者名稱和密碼,如同在 Windows 環境中使用,這可讓攻擊者將 UNIX 或 Linux 系統的入侵延伸至 Windows 系統,反之亦然。

使用特殊權限帳戶登入遭入侵的工作站或成員伺服器

當高度特殊權限的網域帳戶用來以互動方式登入遭入侵的工作站或成員伺服器時,該遭入侵的電腦可能會從登入系統的任何帳戶收集認證。

不安全的系統管理工作站

在許多組織中,IT 人員會使用多個帳戶。 一個帳戶可用來登入員工的工作站,因為這些帳戶是 IT 人員,因此他們通常會在其工作站上擁有本機系統管理員權限。 在某些情況下,UAC 會保持啟用狀態,讓使用者至少會在登入時收到分割存取權杖,而且必須在需要權限時提高權限。 當這些使用者執行維護活動時,他們通常會使用本機安裝的管理工具,並藉由選取 [以系統管理員身分執行] 選項,或在出現提示時提供認證,來提供其網域特殊權限帳戶的認證。 雖然此設定可能很合適,但它會讓環境遭到入侵,因為:

  • 員工用來登入其工作站的「一般」使用者帳戶具有本機系統管理員權限,電腦容易受到使用者確信要安裝惡意程式碼的磁碟機下載 攻擊。
  • 惡意程式碼會安裝在系統管理帳戶的內容中,電腦現在可以用來擷取擊鍵、剪貼簿內容、螢幕擷取畫面和記憶體常駐認證,其中任何一項都可能導致強域帳戶的認證暴露。

此案例中的問題有兩個。 首先,雖然個別帳戶用於本機和網域管理,但電腦不安全,而且不會保護帳戶免於竊取。 其次,一般使用者帳戶和系統管理帳戶已獲得過多的權限和權限。

使用高特許權帳戶瀏覽網際網路

使用電腦上本機 Administrators 群組成員或 Active Directory 中特殊權限群組成員的帳戶登入電腦的使用者,然後瀏覽網際網路 (或遭入侵的內部網路) 會公開本機電腦和目錄遭到入侵。

使用系統管理權限執行的瀏覽器存取惡意製作的網站,可讓攻擊者將惡意程式碼儲存在具特殊權限使用者的本機電腦上。 如果使用者在電腦上具有本機系統管理員權限,攻擊者可能會欺騙使用者下載惡意程式碼,或開啟利用應用程式弱點的電子郵件附件,並利用使用者的權限,擷取電腦上所有作用中使用者的本機快取認證。 如果使用者在 Active Directory 中的 Enterprise Admins、Domain Admins 或 Administrators 群組中具有目錄中的系統管理權限,攻擊者就可以擷取網域認證,並使用這些認證來入侵整個 AD DS 網域或樹系,而不需要入侵樹系中的其他任何電腦。

跨系統使用相同的認證資料設定本機特許權帳戶

在許多或所有電腦上設定相同的本機系統管理員帳戶名稱和密碼,可讓單一電腦上的 SAM 資料庫竊取認證,以用來危害所有其他使用相同認證的電腦。 您至少應該針對每個已加入網域系統的本機系統管理員帳戶使用不同的密碼。 本機系統管理員帳戶也可能是唯一命名的,但是針對每個系統的特殊權限本機帳戶使用不同的密碼就足以確保認證不能用於其他系統上。

過度擴展和過度使用特許權網域群組

授與網域中 EA、DA 或 BA 群組的成員資格,會為攻擊者建立目標。 這些群組的成員數目越大,特殊權限使用者可能會不小心誤用認證,並將它們公開給認證竊取攻擊的可能性更大。 特殊權限網域使用者登入的每個工作站或伺服器都會提供一個可能的機制,讓特殊權限使用者的認證能夠被收穫,並用來危害 AD DS 網域和樹系。

受保護不佳的網域控制站

網域控制站會存放網域 AD DS 資料庫的複本。 在唯讀網域控制站的情況下,資料庫的本機複本只包含目錄中帳戶子集的認證,這些認證預設都不是具特殊權限的網域帳戶。 在讀寫網域控制站上,每個網域控制站都會維護 AD DS 資料庫的完整複本,包括網域系統管理員等具特殊權限使用者的認證,以及網域控制站帳戶或網域 Krbtgt 帳戶等特殊權限帳戶,這是與網域控制站上 KDC 服務相關聯的帳戶。 如果網域控制站功能不需要的其他應用程式安裝在網域控制站上,或網域控制站未嚴格修補和保護,攻擊者可能會透過未修補的弱點危害它們,或者他們可能會利用其他攻擊媒介直接在網域控制站上安裝惡意軟體。

權限提升和傳播

無論使用何種攻擊方法,當 Windows 環境遭到攻擊時,Active Directory 一律會成為目標,因為它最終會控制攻擊者想要的存取權。 不過,這並不表示整個目錄都是目標目錄。 特定帳戶、伺服器和基礎結構元件通常是針對 Active Directory 的攻擊的主要目標。 以下分別說明這些帳戶。

永久特許權帳戶

由於引進 Active Directory,因此可以使用高權限帳戶來建置 Active Directory 樹系,然後將執行日常管理所需的權限和權限委派給較不具特殊權限的帳戶。 只有實作每日管理最低權限方法的環境中,才需要 Active Directory 中的 Enterprise Admins、Domain Admins 或 Administrators 群組成員資格。

永久特殊權限帳戶是已置於特殊權限群組中的帳戶,並每天離開該帳戶。 如果您的組織將五個帳戶放入網域的 Domain Admins 群組中,則這五個帳戶可以每天 24 小時、每週 7 天為目標。 不過,搭配網域管理員權限使用帳戶的實際需求通常僅適用於特定網域組態,以及短期內。

VIP 帳戶

Active Directory 違規中經常被忽略的目標,就是組織中「非常重要的人」(或 VIP)的帳戶。 特殊權限帳戶是目標帳戶,因為這些帳戶可以授與攻擊者的存取權,這可讓攻擊者入侵甚至終結目標系統,如本節稍早所述。

「附加特許權的」Active Directory 帳戶

「特殊權限附加」Active Directory 帳戶是網域帳戶,這些帳戶不是任何在 Active Directory 中具有最高權限層級的群組成員,而是已獲授與環境中許多伺服器和工作站的高權限。 這些帳戶通常是設定為在已加入網域的系統上執行服務的網域型帳戶,通常是在基礎結構的大型區段上執行的應用程式。 雖然這些帳戶在 Active Directory 中沒有權限,但如果這些帳戶在大量系統上獲得高權限,則可以用來入侵或甚至終結基礎結構的大型區段,達到與特殊權限 Active Directory 帳戶的入侵相同的效果。