S skoraj vsako stranko imam pogovor, preden se zacne interni penetracijski test. Povedo mi o svoji uvedbi EDR, svoji ekipi SOC, svojem SIEM-u s stotinami pravil za zaznavanje. Prepricani so, da me bo, tudi ce dobim zacetni dostop, njihov zaznavaln sklad hitro ujel. Nato kompromitiram njihovo celotno domeno z uporabo legitimnih protokolov in vgrajenih orodij Windows, njihov EDR pa nikoli ne sprozi niti enega alarma visoke resnosti.
To ni odpoved nobenega specificnega produkta EDR. Je temeljna vrzel med tem, za kaj je EDR zasnovan za zaznavanje, in tem, kako napadi na Active Directory dejansko delujejo. Razumevanje te vrzeli je bistveno za izgradnjo obrambne strategije, ki dejansko ustavi resnicne napade.
V cem je EDR dober
Produkti EDR odlicno zaznavajo izvajanje zlonamerne programske opreme, sumljivo obnasanje procesov, znane podpise napadnih orodij in anomalno dejavnost koncnih tock. Ce odlozim Mimikatz na disk, ga bo EDR ujel. Ce pozenem tovor PowerShell Empire, ga bo EDR verjetno oznacil. Ce poskusim vbrizgati lupinsko kodo v tecoc proces, bo vedenjsko zaznavanje verjetno sprožilo alarm.
Sodobni EDR je postal resnicno ucinkovit proti tradicionalnim napadom na koncne tocke. Baze podpisov so obsezne, motorji za vedenjsko zaznavanje so sofisticirani, modeli strojnega ucenja pa lahko identificirajo nove groznje. Za zascito pred izsiljevalsko programsko opremo, obicajno zlonamerno programsko opremo in skriptiranimi napadi je EDR bistvena nalozba.
Kje EDR ne zadosca
Problem je, da vecina mojih napadov na Active Directory ne vkljucuje zlonamerne programske opreme, sumljivih procesov ali anomalnega obnasanja koncnih tock. Uporabljam legitimna orodja in protokole Windows na nacin, kot so bili zasnovani za uporabo. EDR vidi legitimno dejavnost, ker je legitimna dejavnost -- samo izvaja jo nekdo, ki tega ne bi smel poceti.
Ko izvajam Kerberoasting, zahtevam servisne vstopnice Kerberos z uporabo standardnega API-ja Windows. To je natanko tisto, kar pocne vsaka aplikacija pri overjanju pri storitvi. EDR vidi normalno zahtevo za vstopnico Kerberos in ne alarmira, ker se tisocih identicnih zahtev zgodi vsako uro v normalnem okolju.
Ko izvajam NTLM relay, promet overitve uporablja standardne protokole NTLM. Preusmeritev se zgodi na omrezni ravni med napravami. EDR koncne tocke ne vidi napadov cloveka v sredini na omrezni ravni, ker se zgodijo izven vidljivosti koncne tocke.
Ko uporabljam zbiralec SharpHound orodja BloodHound, izvaja standardne poizvedbe LDAP na krmilnik domene. To so iste poizvedbe, ki jih upravljalna orodja, aplikacije za pomoc uporabnikom in prijavne skripte neprestano izvajajo. EDR ne more lociti mojega izvidovanja od normalne administrativne dejavnosti samo na osnovi obnasanja koncne tocke.
Ko izvajam napad DCSync, uporabljam protokol Microsoft Directory Replication Service -- natanko isti protokol, ki ga krmilniki domene uporabljajo za replikacijo podatkov med seboj. EDR na krmilniku domene vidi standardno zahtevo za replikacijo in nima osnove za oznacitev kot zlonamerno.
Vrzel zaznavanja v praksi
Naj vas popeljem skozi tipicno zaporedje napadov in kaj EDR vidi na vsaki stopnji:
- Pozenem Responder: To tece na moji lastni napravi, ne na nobeni koncni tocki, ki jo EDR nadzira. Vidljivost EDR je nicla.
- Preusmerim NTLM na LDAP: To je omrezni promet med napravami. EDR koncne tocke nima vidljivosti v napade preusmeritve na omrezni ravni.
- Spreminjam objekte AD prek LDAP: Krmilnik domene obdela standardno zahtevo za spremembo LDAP. Brez zlonamerne programske opreme, brez sumljivega procesa.
- Zahtevam vstopnice Kerberos za Kerberoasting: Delovna postaja izvaja standardne klice API. EDR vidi normalno dejavnost Kerberos.
- Razbijam gesla izven povezave: To se zgodi na moji lastni napravi. Brez vidljivosti koncne tocke.
- Se overim s kompromitiranimi poverilnicami: Ciljna naprava vidi legitimno prijavo z veljavnimi poverilnicami. EDR nima razloga za alarm.
Na nobeni tocki v tem zaporedju EDR nima jasnega signala za generiranje alarma. Ne poganjam zlonamerne programske opreme, ne vbrizgavam kode, ne izkoriščam programskih ranljivosti. Uporabljam Windows na nacin, kot je bil zgrajen za delovanje.
Kaj potrebujete namesto tega
Obramba pred napadi na AD zahteva kontrole na plasteh, ki jih EDR ne more videti. Tukaj je, kaj priporocam:
Spremljanje krmilnikov domene: Vasa najkritičnejsa zmogljivost zaznavanja je spremljanje dogodkov overitve na vaših krmilnikih domene. Dogodek ID 4769 s sifriranjem RC4 zaznava Kerberoasting. Dogodek ID 4662 z GUID-i replikacije iz ne-DC virov zaznava DCSync. Dogodek ID 4624 z neujemajocimi se imeni delovnih postaj in IP-ji zaznava napade relay. Ti dogodki danes obstajajo v vasih varnostnih dnevnikih Windows -- samo zbirati in alarmirati jih morate.
Omrezno zaznavanje: Uvedite orodja za omrezno zaznavanje, ki lahko identificirajo promet NTLM relay, ponarejanje ARP, zastrupljanje LLMNR/NBT-NS in sumljive vzorce Kerberos. Resitve NDR sedijo na omrezni ravni, kjer EDR nima vidljivosti, in lahko ujamejo napadalne tehnike, ki so nevidne na ravni koncne tocke.
Revizija Active Directory: Omogocite in spremljajte revizijo sprememb imeniskih storitev na vasih krmilnikih domene. Opazujte spremembe obcutljivih atributov kot msDS-AllowedToActOnBehalfOfOtherIdentity, servicePrincipalName in atributov clanstva na privilegiranih skupinah. Alarmirajte na kakrsnokoli spremembo objektov nivoja 0 izven odobrenih oken za spremembe.
Zaznavanje identitetnih grozenj: Razmislite o uvedbi resitev za zaznavanje identitetnih grozenj, posebej zasnovanih za napade na AD. Ta orodja razumejo protokole AD na globoki ravni in lahko zaznajo Kerberoasting, zlate vstopnice, DCSync in druge napade, specificne za AD, ki jih splosni EDR zgresa. Zapolnijo vrzel med zaznavanjem na koncnih tockah in omreznim zaznavanjem s protokolno ozavesceno analizo.
Izgradnja vecplastne obrambe
EDR ostaja pomembna komponenta vasega varnostnega sklada. Sciti pred zlonamerno programsko opremo, zagotavlja vidljivost koncnih tock in omogoca zmoznosti odziva na incidente. A ne more biti vasa edina plast zaznavanja. Napadi, ki kompromitirajo okolja Active Directory, delujejo na ravni protokolov in imeniskih storitev, izven obsega zasnove EDR.
Izgradite svojo strategijo zaznavanja v plasteh: EDR za zascito koncnih tock, NDR za omrezno vidljivost, spremljanje dnevnikov krmilnikov domene za napade na overitev in AD-specificno zaznavanje grozenj za zlorabo na ravni protokolov. Ko te plasti delujejo skupaj, mora napadalec hkrati obvoziti vse -- kar je dramaticno tezje kot obvoziti katerokoli posamezno plast samo.
Ko vam naslednjic varnostni ponudnik rece, da bo njihov EDR ustavil napade na Active Directory, ga vprasajte, kako zaznava Kerberoasting, NTLM relay in DCSync. Ce odgovor vkljucuje ujemanje podpisov ali vedenjsko analizo na ravni koncne tocke, veste, da obstaja vrzel v vasi obrambi, ki jo je treba zapolniti z dodatnimi kontrolami.
Zanima vas vec o tej temi? Preberite mojo strokovno stran o Active Directory Security →
Komentarji
Ni se komentarjev. Bodite prvi!
Dodaj komentar