S

停止外部
水平攻击
杀死链

如今,外部攻击占数据泄露的75%,使它们成为IT组织的公敌#11。由于当今组织内部所拥有数据的感知价值,这些类型的攻击始终代表着所有数据泄露事件的绝大部分。数据是如此宝贵,以致犯罪组织现在雇用开发团队来建立 rootkits,特洛伊木马,恶意软件和工具可作为攻击的一部分,甚至可以针对当前的安全解决方案进行测试以确保“成功”。

使用一种方法来扩大组织内部的攻击面,直到获得有价值的数据,对于组织而言,深刻理解攻击的发生方式以及如何阻止攻击至关重要。

发生了许多威胁活动 之前 网络中的任何类型的横向/水平运动,这些都是所谓的 入侵杀死链。这些包括 侦察 (信息的收集和可能的利用), 武器化 (结合漏洞利用和可交付的有效载荷), 交货 (利用网络钓鱼电子邮件和受感染的网站), 安装 (在端点上实际插入恶意软件),以及 命令与控制 (建立通道以进一步远程控制端点)。

而入侵杀死链 整体攻击的重要组成部分 本文着重于识别和停止侧向运动,将其作为 横向杀伤链 –威胁行为者为在您的网络内横向移动而采取的行动,以寻找系统,应用程序和有价值的数据,他们可以进一步利用这些行为来继续进行移动,或利用其来窃取有价值的数据。

但是随着数据泄露需要花费数周,数月甚至数年的时间才能被发现,如何才能知道何时发生攻击,更不用说阻止攻击了?

水平杀手链中的链接

好消息是,旨在扩大网络访问范围以进行查找,访问和窃取数据的攻击趋向于遵循非常相似的模式-如此相似,因此,水平终止链的每个部分都定义得很明确:

在本文的这一部分中,我们将介绍水平杀伤链的各个部分,然后介绍检测,预防和阻止威胁行为者的方法。

获取凭证

攻击者需要能够通过网络尽可能多地移动。访问的端点(即工作站和服务器)越多,查找和泄露数据的可能性就越高。最初,目标是获得本地管理员访问权限-通常是通过检查本地组并尝试登录到本地帐户,或者通过使用 键盘记录器 并等待具有提升权限的帐户登录。

一旦获得本地管理员访问权限,攻击者就可以在端点的内存中找到许多凭证工件。这可能包括 密码哈希 (用于通过散列攻击), Kerberos票证 (可以被破解),登录会话凭据(以明文形式存储)和域凭据(可以被破解)。像这样的工具 米米卡兹 (需要本地管理员权限)(可用于搜索端点的内存以查找并获取这些工件),从而使凭据数据可被其他黑客工具用来为其他系统建立身份验证。

认证

一旦获得凭证(或足够的凭证工件以促进身份验证),下一步就是在网络内横向移动。这通常是通过 服务器消息块 (用于访问文件系统),远程桌面, PowerShell远程处理, 乃至 Windows管理规范(WMI)远程过程调用(RPC).

建立控制

一旦攻击者进入另一个系统,目标就是再次获得控制权。提供初始身份验证的凭据在此新端点上可能没有提升的特权。这将导致攻击者重复执行kill链的前两个步骤中发现的某些相同工作,并利用本机和可下载的黑客工具,以试图在他们访问的每个连续端点上识别并认证为本地管理员。

建立持久性

攻击者将每个受到感染的端点视为立足之本,这是一台机器,只要有需要,它就可以一直控制着它们。如果发现并删除了它们的访问权限,那么成功进行攻击的机会就会大大降低。因此,有必要修改端点的配置以确保可以进行访问。

攻击者使用与恶意软件类似的策略,利用脚本在系统重新启动或用户登录后运行,以将恶意软件,被篡改的文件,计划的任务,恶意服务,注册表项以及所有已创建的帐户放回原位–本质上重复了之前所做的所有工作点以确保对端点的持久访问。

建立隐身

此步骤更多地是关于方法论,而不是任何其他工作。为了避免被检测到,威胁行为者“在陆地上生活”(也就是说,使用应该引起较少关注的本地工具),将有效负载直接传递到内存中(以避免运行可能引起怀疑的exe),甚至将恶意流量重定向到允许的端口。

在杀戮链中阻止演员

您必须先检测一种攻击,然后才能停止攻击。好消息(或坏消息)是检测发生在从入侵点一直到数据访问点的任何地方。很好,因为有机会在杀伤链的尽头阻止攻击。不好的是,也有可能直到数据被泄露后才发现。这使得尽可能早地在杀伤链中进行检测和做出反应至关重要,并采取了积极的响应措施来阻止以后的任何进一步的恶意行为。

因此,如何最轻松地检测攻击?

整个攻击过程中存在一个共同的线索-发生并驻留在所有杀死链动作中心的单个动作- 登录。没有任何攻击者想要简单地利用网络钓鱼或漏洞来访问他们能够破坏的任何随机端点并停止在此;他们需要转移到另一个系统,另一个系统……继续,直到到达具有有价值数据的系统。而且,对于从端点到端点的每次跳转, 必须进行登录。如果没有登录过程,攻击的任何部分都不会成功。如下表所示,kill链的每个部分都涉及需要登录的攻击者。

步入杀戮链

登录中扮演的角色

获取凭证

  • 需要以管理员身份本地登录才能找到凭证工件

认证

  • 攻击者必须进行身份验证才能获得对辅助端点的任何访问方式
  • 可能涉及多种不同类型的登录(例如SMB,然后是RDP)

建立控制

  • 需要以管理员身份本地登录才能建立对端点的控制

建立持久性

  • 需要以管理员身份本地登录才能在端点上建立持久性

建立隐身

  • “居住在土地上”可能需要使用特权更高的帐户进行身份验证

这使登录成为IT组织审核和利用杠杆手段停止横向移动的明显机会。首先需要在本地终结点计算机和域上同时审计登录,以查找登录异常,例如:

  • 登录时间– 通常在星期一至星期五工作时间的用户通常不会在星期日的上午7点登录。
  • 多次登录– 一个用户同时或在并发时间范围内登录多台计算机可能表明存在问题。
  • 不寻常的端点– 如果用户以前从未登录过给定的端点,则可能是一个危险信号。
  • 异常的IP地址– 人力资源团队的用户通常不会从销售团队办公室登录。
  • 第一次– 攻击者有时会通过创建多个用户帐户来建立持久性(因此,如果发现一个帐户,则有更多帐户处于等待状态)。首次登录的帐户应经过仔细检查。

尽管通过事件日志合并在技术上是可行的,但要正确找到异常情况还需要进行一定程度的分析,以相互交叉引用登录。利用第三方解决方案可能是快速识别潜在威胁活动的答案的一部分。

通过登录找到潜在的攻击者后,如何实际阻止它们?

从检测到预防

要阻止攻击者,您需要带走他们最宝贵的攻击资产:使用受损凭据登录的能力。通过消除它们的远程登录功能,您可以有效地消除任何横向移动,从而消除攻击。当然,您仍然需要解决他们的立足点,安装了什么恶意软件(并需要将其删除)等。但是要真正阻止攻击者的行动,第一步是阻止他们进行身份验证。

您可以通过以下几种方法来防止登录:

  1. 限制或消除远程登录– 仅允许帐户在本地登录到端点,或仅允许有限的一组帐户远程登录,是阻止攻击者的有效方法。但是,许多服务器需要启用SMB访问或永久处于远程状态,因此这并不总是可行的选择。
  2. 反应性禁用帐户– 如果您是DIY IT专业人员,则可以根据特定的审核日志结果启动脚本来禁用有问题的帐户,这可能是阻止攻击者的临时解决方案。但是禁用帐户也可以...禁用该帐户,如果您谈论服务帐户,管理帐户等,这可能会比单个用户的影响更大。
  3. 利用第三方解决方案– 使用以下工具时,具有更大的识别和响应异常登录行为的能力。 设计用于监视和分析所有登录活动。通过将智能分析与针对前面提到的异常的登录策略进行匹配,解决方案可以有选择地禁用帐户的登录能力。他们还可以解决与响应相关的问题,例如通知响应团队成员并提供有关使用特定凭据的端点链的详细信息。

示例:将用户登录限制为授权的IP地址范围

未经授权的部门

限制与某些地区或部门的连接。
可以为单个用户或一组用户设置。

停止横向攻击

停止攻击的关键是准确了解周围的具体细节 怎么样 威胁者继续进行攻击。很明显,登录是攻击的关键组成部分,如果没有登录,攻击将仅限于网络钓鱼电子邮件或包含恶意软件的网站的受害者的单个端点。

通过审核登录并制定响应计划(该计划应包括一定程度的自动化,如果不是第三方解决方案,则消除了攻击者的登录能力,因此无法在网络内移动),则可以有效降低成功率。任何攻击为零。

1 Verizon,数据泄露调查报告(2017)

关于UserLock

全球有3,000多家客户依靠UserLock来防止安全漏洞。与Active Directory一起使用以扩展而不是取代其安全性时,UserLock为所有Windows Active Directory域登录提供了强大的保护,即使凭据被泄露也是如此。

  • 使用用户登录周围的上下文信息,UserLock可以对身份验证后用户的操作施加进一步的限制
  • 用户锁提供实时可见性,风险检测工具和集中式审核,以帮助快速检测和响应可疑活动。

发现并尝试UserLock

仪表板用户锁