卡巴斯基2017年企业信息系统的安全评估报告jin

2019-12-15 作者:互联网   |   浏览(197)

常见的内部网络攻击是利用Java RMI网络服务中的远程代码执行漏洞和Apache Common Collections(ACC)库(这些库被应用于多种产品,例如思科局域网管理解决方案)中的Java反序列化漏洞实施的。反序列化攻击对许多大型企业的软件都有效,可以在企业基础设施的关键服务器上快速获取最高权限。

在这个例子中,攻击者通过传递哈希建立了到第二个系统的连接。接下来,让我们看看事件日志4624,包含了什么内容:

获取域管理员权限的最简单攻击向量的示例:

我不会在本文深入剖析哈希传递的历史和工作原理,但如果你有兴趣,你可以阅读SANS发布的这篇优秀的文章——哈希攻击缓解措施。

防止此类攻击的最有效方法是禁止在网络中使用NTLM协议。

使用LAPS(本地管理员密码解决方案)来管理本地管理员密码。

禁用网络登录(本地管理员帐户或者本地管理员组的账户和成员)。(本地管理员组存在于Windows 8.1/ Windows Server2012R2以及安装了KB2871997更新的Windows 7/Windows 8/Windows Server2008R2中)

在所有系统中遵循最小权限原则。针对特权账户遵循微软层级模型以降低入侵风险。

下面我们要查看所有登录类型是3(网络登录)和ID为4624的事件日志。我们正在寻找密钥长度设置为0的NtLmSsP帐户(这可以由多个事件触发)。这些是哈希传递(WMI,SMB等)通常会使用到的较低级别的协议。另外,由于抓取到哈希的两个唯一的位置我们都能够访问到(通过本地哈希或通过域控制器),所以我们可以只对本地帐户进行过滤,来检测网络中通过本地帐户发起的传递哈希攻击行为。这意味着如果你的域名是GOAT,你可以用GOAT来过滤任何东西,然后提醒相应的人员。不过,筛选的结果应该去掉一些类似安全扫描器,管理员使用的PSEXEC等的记录。

获取企业内网的访问权限。可能利用的漏洞:不安全的网络拓扑

主机名 :(注意,这不是100%有效;例如,Metasploit和其他类似的工具将随机生成主机名)。你可以导入所有的计算机列表,如果没有标记的计算机,那么这有助于减少误报。但请注意,这不是减少误报的可靠方法。并不是所有的工具都会这样做,并且使用主机名进行检测的能力是有限的。

本出版物包含卡巴斯基实验室专家检测到的最常见漏洞和安全缺陷的统计数据,未经授权的攻击者可能利用这些漏洞渗透公司的基础设施。

你可以禁止通过GPO传递哈希:

安全级别为高对应于在渗透测试中只能发现无关紧要的漏洞(不会对公司带来风险)的情况。

接下来,工作站名称肯定看起来很可疑; 但这并不是一个好的检测特征,因为并不是所有的工具都会将机器名随机化。你可以将此用作分析哈希传递攻击的额外指标,但我们不建议使用工作站名称作为检测指标。源网络IP地址可以用来跟踪是哪个IP执行了哈希传递攻击,可以用于进一步的攻击溯源调查。

在对特权账户的使用具有严格限制的分段网络中,可以最有效地检测此类攻击。

帐户名称和域名:仅警告只有本地帐户(即不包括域用户名的账户)的帐户名称。这样可以减少网络中的误报,但是如果对所有这些账户进行警告,那么将检测例如:扫描仪,psexec等等这类东西,但是需要时间来调整这些东西。在所有帐户上标记并不一定是件坏事(跳过“COMPUTER$”帐户),调整已知模式的环境并调查未知的模式。

遵循服务帐户的最小权限原则。

jin2055金沙网站 1

目标企业的行业和地区分布情况

登录过程:NtLmSsP

第一步

jin2055金沙网站 2

获取域管理员权限的最小步骤数

设置路径位于:

攻击者通过NBNS欺骗攻击和NTLM中继攻击拦截管理员的NetNTLM哈希,并利用该哈希在域控制器上进行身份验证;

利用HP Data Protector中的漏洞CVE-2011-0923,然后从lsass.exe进程的内存中提取域管理员的密码

事件ID:4624

最常见漏洞的Web应用比例

接下来的问题是,你怎么检测哈希传递攻击?

2017年我们的Web应用安全评估表明,政府机构的Web应用最容易受到攻击(所有Web应用都包含高风险的漏洞),而电子商务企业的Web应用最不容易受到攻击(28%的Web应用包含高风险漏洞)。Web应用中最常出现以下类型的漏洞:敏感数据暴露(24%)、跨站脚本(24%)、未经验证的重定向和转发(14%)、对密码猜测攻击的保护不足(14%)和使用字典中的凭据(13%)。

总之,攻击者需要从系统中抓取哈希值,通常是通过有针对性的攻击(如鱼叉式钓鱼或通过其他方法直接入侵主机)来完成的(例如:TrustedSec 发布的 Responder 工具)。一旦获得了对远程系统的访问,攻击者将升级到系统级权限,并从那里尝试通过多种方法(注册表,进程注入,磁盘卷影复制等)提取哈希。对于哈希传递,攻击者通常是针对系统上的LM/NTLM哈希(更常见的是NTLM)来操作的。我们不能使用类似NetNTLMv2(通过响应者或其他方法)或缓存的证书来传递哈希。我们需要纯粹的和未经过滤的NTLM哈希。基本上只有两个地方才可以获得这些凭据;第一个是通过本地帐户(例如管理员RID 500帐户或其他本地帐户),第二个是域控制器。

其它类型的漏洞都差不多,几乎每一种都占4%:

安全ID:NULL SID可以作为一个特征,但不要依赖于此,因为并非所有的工具都会用到SID。虽然我还没有亲眼见过哈希传递不会用到NULL SID,但这也是有可能的。

jin2055金沙网站 3

在这个例子中,我们将使用Metasploit psexec,尽管还有很多其他的方法和工具可以实现这个目标:

要检测针对Windows帐户的密码猜测攻击,应注意:

最后,我们看到这是一个基于帐户域和名称的本地帐户。

jin2055金沙网站 4

jin2055金沙网站 5

安全ID:空SID – 可选但不是必需的,目前还没有看到为Null的 SID未在哈希传递中使用。

每个Web应用的平均漏洞数

jin2055金沙网站 6

源IP地址和目标资源的IP地址

登录时间(工作时间、假期)

哈希传递对于大多数企业或组织来说仍然是一个非常棘手的问题,这种攻击手法经常被渗透测试人员和攻击者们使用。当谈及检测哈希传递攻击时,我首先开始研究的是先看看是否已经有其他人公布了一些通过网络来进行检测的可靠方法。我拜读了一些优秀的文章,但我没有发现可靠的方法,或者是这些方法产生了大量的误报。

根据2017年的分析,政府机构的Web应用是最脆弱的,在所有的Web应用中都发现了高风险的漏洞。在商业Web应用中,高风险漏洞的比例最低,为26%。“其它”类别仅包含一个Web应用,因此在计算经济成分分布的统计数据时没有考虑此类别。

接下来,我们看到登录过程是NtLmSsp,密钥长度为0.这些对于检测哈希传递非常的重要。

检测建议:

jin2055金沙网站 7

实施内网攻击常用的两种攻击技术包括NBNS欺骗和NTLM中继攻击以及利用2017年发现的漏洞的攻击,例如MS17-010 (Windows SMB)、CVE-2017-7494 (Samba)和CVE-2017-5638 (VMwarevCenter)。在永恒之蓝漏洞公布后,该漏洞(MS17-010)可在75%的目标企业的内网主机中检测到(MS17-010被广泛用于有针对性的攻击以及自动传播的恶意软件,如WannaCry和NotPetya/ExPetr等)。在86%的目标企业的网络边界以及80%的企业的内网中检测到过时的软件。

请注意,你可以(也可能应该)将域的日志也进行分析,但你很可能需要根据你的实际情况调整到符合基础结构的正常行为。比如,OWA的密钥长度为0,并且具有与基于其代理验证的哈希传递完全相同的特征。这是OWA的正常行为,显然不是哈希传递攻击行为。如果你只是在本地帐户进行过滤,那么这类记录不会被标记。

jin2055金沙网站 8

哈希传递的主要成因是由于大多数企业或组织在一个系统上拥有共享本地帐户,因此我们可以从该系统中提取哈希并移动到网络上的其他系统。当然,现在已经有了针对这种攻击方式的缓解措施,但他们不是100%的可靠。例如,微软修补程序和较新版本的Windows(8.1和更高版本)“修复”了哈希传递,但这仅适用于“其他”帐户,而不适用于RID为 500(管理员)的帐户。

检测从lsass.exe进程的内存中提取密码攻击的方法根据攻击者使用的技术而有很大差异,这些内容不在本出版物的讨论范围之内。更多信息请访问https://kas.pr/16a7。

jin2055金沙网站 9

jin2055金沙网站 10

检测哈希传递攻击是比较有挑战性的事情,因为它在网络中表现出的行为是正常。比如:当你关闭了RDP会话并且会话还没有关闭时会发生什么?当你去重新认证时,你之前的机器记录仍然还在。这种行为表现出了与在网络中传递哈希非常类似的行为。

以下事件可能意味着软件漏洞利用的攻击尝试,需要进行重点监测:

jin2055金沙网站 11

安全建议:

接下来我们看到登录类型是3(通过网络远程登录)。

不同类型漏洞的比例

“拒绝从网络访问此计算机”

卡巴斯基实验室的安全服务部门每年都会为全球的企业开展数十个网络安全评估项目。在本文中,我们提供了卡巴斯基实验室2017年开展的企业信息系统网络安全评估的总体概述和统计数据。

通过对成千上万个系统上的日志进行广泛的测试和分析,我们已经能够识别出在大多数企业或组织中的非常具体的攻击行为并且具有非常低的误报率。有许多规则可以添加到以下检测功能中,例如,在整个网络中查看一些成功的结果会显示“哈希传递”,或者在多次失败的尝试后将显示凭证失败。

除了进行更新管理外,还要更加注重配置网络过滤规则、实施密码保护措施以及修复Web应用中的漏洞。

【编辑推荐】

责任编辑:

密钥长度:0 – 这是会话密钥长度。这是事件日志中最重要的检测特征之一。像RDP这样的东西,密钥长度的值是 128位。任何较低级别的会话都将是0,这是较低级别协议在没有会话密钥时的一个明显的特征,所在此特征可以在网络中更好的发现哈希传递攻击。

应定期对所有的公开Web应用进行安全评估;应实施漏洞管理流程;在更改应用程序代码或Web服务器配置后,必须检查应用程序;必须及时更新第三方组件和库。

总而言之,有许多方法可以检测环境中的哈希传递攻击行为。这个在小型和大型网络中都是有效的,并且基于不同的哈希传递的攻击方式都是非常可靠的。它可能需要根据你的网络环境进行调整,但在减少误报和攻击过程中溯源却是非常简单的。

第二步

为了检测到这一点,我们首先需要确保我们有适当的组策略设置。我们需要将帐户登录设置为“成功”,因为我们需要用事件日志4624作为检测的方法。

值得注意的是JavaRMI服务中的远程代码执行及许多开箱即用产品使用的Apache Commons Collections和其它Java库中的反序列化漏洞。2017年OWASP项目将不安全的反序列化漏洞包含进其10大web漏洞列表(OWASP TOP 10),并排在第八位(A8-不安全的反序列化)。这个问题非常普遍,相关漏洞数量之多以至于Oracle正在考虑在Java的新版本中放弃支持内置数据序列化/反序列化的可能性1。

让我们分解日志并且模拟哈希传递攻击过程。在这种情况下,我们首先想象一下,攻击者通过网络钓鱼获取了受害者电脑的凭据,并将其提升为管理级别的权限。从系统中获取哈希值是非常简单的事情。假设内置的管理员帐户是在多个系统间共享的,攻击者希望通过哈希传递,从SystemA(已经被入侵)移动到SystemB(还没有被入侵但具有共享的管理员帐户)。

触发终端保护解决方案中的IDS/IPS模块;

服务器应用进程大量生成非典型进程(例如Apache服务器启动bash进程或MS SQL启动PowerShell进程)。为了监测这种事件,应该从终端节点收集进程启动事件,这些事件应当包含被启动进程及其父进程的信息。这些事件可从以下软件收集得到:收费软件EDR解决方案、免费软件Sysmon或Windows10/Windows 2016中的标准日志审计功能。从Windows 10/Windows 2016开始,4688事件(创建新进程)包含了父进程的相关信息。

客户端和服务器软件的不正常关闭是典型的漏洞利用指标。请注意这种方法的缺点是会产生大量误报。

哈希传递仍然广泛的用于网络攻击并且是大多数企业和组织的一个共同的安全问题。有许多方法可以禁止和降低哈希传递的危害,但是并不是所有的企业和组织都可以有效地实现这一点。所以,最好的选择就是如何去检测这种攻击行为。

利用SQL注入漏洞绕过Web应用的身份验证

jin2055金沙网站 12

Web应用统计

大多数企业或组织都没有能力实施GPO策略,而传递哈希可被利用的可能性却非常大。

jin2055金沙网站 13

登录类型:3

检测建议:

另外一个好处是这个事件日志包含了认证的源IP地址,所以你可以快速的识别网络中哈希传递的攻击来源。

Kerberoasting攻击是针对SPN(服务主体名称)帐户密码的离线暴力破解攻击,其Kerberos TGS服务票证是加密的。要发起此类攻击,只需要有域用户的权限。如果SPN帐户具有域管理员权限并且其密码被成功破解,则攻击者获得了活动目录域的最高权限。在20%的目标企业中,SPN帐户存在弱密码。在13%的企业中(或在17%的获得域管理员权限的企业中),可通过Kerberoasting攻击获得域管理员的权限。

Computer ConfigurationWindowsSettingsSecurity SettingsLocal PoliciesUser Rights Assignment 

安全建议:

第六步

第三步

针对获取到的用户名发起在线密码猜测攻击。可能利用的漏洞:弱密码,可公开访问的远程管理接口

虽然“对管理接口的网络访问不受限制”不是一个漏洞,而是一个配置上的失误,但在2017年的渗透测试中它被一半的攻击向量所利用。57%的目标企业可以通过管理接口获取对信息资源的访问权限。

安全级别为非常低对应于我们能够穿透内网的边界并访问内网关键资源的情况(例如,获得内网的最高权限,获得关键业务系统的完全控制权限以及获得关键的信息)。此外,获得这种访问权限不需要特殊的技能或大量的时间。

利用思科IOS的版本信息来发现漏洞。利用漏洞CVE-2017-3881获取具有最高权限的命令解释器的访问权。

漏洞:过时的软件(思科)

对于每一个Web应用,其整体风险级别是基于检测到的漏洞的最大风险级别而设定的。电子商务行业中的Web应用最为安全:只有28%的Web应用被发现存在高风险的漏洞,而36%的Web应用最多存在中等风险的漏洞。

最常用的攻击技术

我们将企业的安全等级划分为以下评级:

在存在域基础设施的所有项目中,有86%可以获得活动目录域的最高权限(例如域管理员或企业管理员权限)。在64%的企业中,可以获得最高权限的攻击向量超过了一个。在每一个项目中,平均有2-3个可以获得最高权限的攻击向量。这里只统计了在内部渗透测试期间实践过的那些攻击向量。对于大多数项目,我们还通过bloodhound等专有工具发现了大量其它的潜在攻击向量。

利用D-Link网络存储的Web服务中的漏洞。该漏洞允许以超级用户的权限执行任意代码。创建SSH隧道以访问管理网络(直接访问受到防火墙规则的限制)。

漏洞:过时的软件(D-link)

我们的2017年渗透测试结果明确表明,对Web应用安全性的关注仍然不够。Web应用漏洞在73%的攻击向量中被用于获取网络外围主机的访问权限。

检测建议:

针对外部入侵者的安全评估

根据测试期间获得的访问级别来划分目标企业

建议采取以下措施来降低与上述漏洞相关的风险:

利用过时软件中的已知漏洞

高风险Web应用的比例

由于Windows系统中单点登录(SSO)的实现较弱,因此可以获得用户的密码:某些子系统使用可逆编码将密码存储在操作系统内存中。因此,操作系统的特权用户能够访问所有登录用户的凭据。

卡巴斯基实验室的专家还利用了Windows网络的许多特性来进行横向移动和发起进一步的攻击。这些特性本身不是漏洞,但却创造了很多机会。最常使用的特性包括:从lsass.exe进程的内存中提取用户的哈希密码、实施hash传递攻击以及从SAM数据库中提取哈希值。

此类攻击的典型踪迹是网络登录事件(事件ID4624,登录类型为3),其中“源网络地址”字段中的IP地址与源主机名称“工作站名称”不匹配。这种情况下,需要一个主机名与IP地址的映射表(可以使用DNS集成)。

或者,可以通过监测来自非典型IP地址的网络登录来识别这种攻击。对于每一个网络主机,应收集最常执行系统登录的IP地址的统计信息。来自非典型IP地址的网络登录可能意味着攻击行为。这种方法的缺点是会产生大量误报。

安全级别为高对应于在客户的网络边界只能发现无关紧要的漏洞(不会对公司带来风险)的情况。

Kerberoasting攻击

过时软件中的已知漏洞占我们实施的攻击向量的三分之一。

大多数被利用的漏洞都是2017年发现的:

安全建议:

建议:

jin2055金沙网站 14

第六步

jin2055金沙网站 15

破解从SAM文件中提取的NTLM哈希

破解通过NBNS/LLMNR欺骗攻击拦截的NetNTLMv2哈希

Kerberoasting攻击(见下文)

破解从其它系统上获取的哈希

jin2055金沙网站 16

jin2055金沙网站 17

离线密码猜测攻击

安全建议:

结论

利用管理接口获取访问权限

检查来自用户的所有数据。

限制对管理接口、敏感数据和目录的访问。

遵循最小权限原则,确保用户拥有所需的最低权限集。

必须对密码最小长度、复杂性和密码更改频率强制进行要求。应该消除使用凭据字典组合的可能性。

应及时安装软件及其组件的更新。

使用入侵检测工具。考虑使用WAF。确保所有预防性保护工具都已安装并正常运行。

实施安全软件开发生命周期(SSDL)。

定期检查以评估IT基础设施的网络安全性,包括Web应用的网络安全性。

cisco-sa-20170317-cmp或CVE-2017-3881(CiscoIOS)。该漏洞允许未经授权的攻击者通过Telnet协议以最大权限访问交换机。

cisco-sa-20170629-snmp(Cisco IOS)。该漏洞允许攻击者在知道SNMP社区字符串值(通常是字典中的值)和只读权限的情况下通过SNMP协议以最大权限访问设备。

思科智能安装功能。该功能在Cisco交换机中默认启用,不需要身份验证。因此,未经授权的攻击者可以获取和替换交换机的配置文件2。

对漏洞的分析表明,大多数漏洞都与Web应用的服务器端有关。其中,最常见的漏洞是敏感数据暴露、SQL注入和功能级访问控制缺失。28%的漏洞与客户端有关,其中一半以上是跨站脚本漏洞(XSS)。

从思科交换机获取的本地用户帐户的密码与SPN帐户的密码相同。

漏洞:密码重用,账户权限过多

漏洞分析

帐户(创建帐户、更改帐户设置或尝试使用禁用的身份验证方法);

同时使用多个帐户(尝试从同一台计算机登录到不同的帐户,使用不同的帐户进行VPN连接以及访问资源)。

哈希传递攻击中使用的许多工具都会随机生成工作站名称。这可以通过工作站名称是随机字符组合的4624事件来检测。

用于在活动目录域中获取最高权限的不同攻击技术在目标企业中的占比

监控软件中被公开披露的新漏洞。及时更新软件。使用包含IDS/IPS模块的终端保护解决方案。

为了提高安全性,建议企业特别注重Web应用的安全性,及时更新易受攻击的软件,实施密码保护措施和防火墙规则。建议对IT基础架构(包括Web应用)定期进行安全评估。完全防止信息资源泄露的任务在大型网络中变得极其困难,甚至在面临0day攻击时变得不可能。因此,确保尽早检测到信息安全事件非常重要。在攻击的早期阶段及时发现攻击活动和快速响应有助于防止或减轻攻击所造成的损害。对于已建立安全评估、漏洞管理和信息安全事件检测良好流程的成熟企业,可能需要考虑进行Red Teaming(红队测试)类型的测试。此类测试有助于检查基础设施在面临隐匿的技艺精湛的攻击者时受到保护的情况,以及帮助训练信息安全团队识别攻击并在现实条件下进行响应。

提取本地用户的哈希密码

在所有经济成分的Web应用中,都发现了敏感数据暴露漏洞(内部IP地址和数据库访问端口、密码、系统备份等)和使用字典中的凭据漏洞。

jin2055金沙网站 18

使用域帐户执行Kerberoasting攻击。获得SPN帐户的TGS票证

引言

离线密码猜测攻击。可能利用的漏洞:弱密码

关于漏洞CVE-2017-3881(思科IOS中的远程代码执行漏洞)

NBNS/LLMNR欺骗攻击

jin2055金沙网站 19

NTLM中继攻击

目标企业的经济成分分布

离线密码猜测攻击常被用于:

安全建议:

使用此技术的攻击向量的占比

利用获取的凭据,通过XML外部实体漏洞(针对授权用户)读取文件

jin2055金沙网站 20

漏洞风险级别的分布

为所有用户帐户实施严格的密码策略(包括用户帐户、服务帐户、Web应用和网络设备的管理员帐户等)。

提高用户的密码保护意识:选择复杂的密码,为不同的系统和帐户使用不同的密码。

对包括Web应用、CMS和网络设备在内的所有系统进行审计,以检查是否使用了任何默认帐户。

获取域管理员权限的示例

jin2055金沙网站 21

jin2055金沙网站 22

43%的目标企业对外部攻击者的整体防护水平被评估为低或非常低:即使外部攻击者没有精湛的技能或只能访问公开可用的资源,他们也能够获得对这些企业的重要信息系统的访问权限。

在系统中添加su命令的别名,以记录输入的密码。该命令要求用户输入特权账户的密码。这样,管理员在输入密码时就会被截获。

目标企业的安全等级分布

我们还建议您特别注意使用PowerShell(Invoke-Mimikatz)凭据提取攻击的检测方法。

获取对网络设备的访问权限有助于内网攻击的成功。网络设备中的以下漏洞常被利用:

使用字典中的凭据(该漏洞在OWASP分类标准的身份验证破坏类别下)。该漏洞常在在线密码猜测攻击、离线密码猜测攻击(已知哈希值)以及对Web应用的源码进行分析的过程中发现。

Web应用安全评估

jin2055金沙网站 23

检测到思科交换机和一个可用的SNMP服务以及默认的社区字符串“Public”。思科IOS的版本是通过SNMP协议识别的。

漏洞:默认的SNMP社区字符串

在线密码猜测攻击最常被用于获得Windows用户帐户和Web应用管理员帐户的访问权限。

改进Web应用安全性的建议

对NetNTLMv2哈希进行离线密码猜测攻击。

漏洞:弱密码

漏洞的概括和统计信息是根据我们提供的每种服务分别总结的:

针对内部入侵者的安全评估

本节提供了漏洞的总体统计信息。应该注意的是,在某些Web应用中发现了相同类型的多个漏洞。

通过分析用于在活动目录域中获取最高权限的攻击技术,我们发现:

从Windows SAM存储中提取的本地帐户NTLM哈希值可用于离线密码猜测攻击或哈希传递攻击。

建议禁用NBNS和LLMNR协议

很多Web应用中存在功能级访问控制缺失漏洞。它意味着用户可以访问其角色不被允许访问的应用程序脚本和文件。例如,一个Web应用中如果未授权的用户可以访问其监控页面,则可能会导致会话劫持、敏感信息暴露或服务故障等问题。

严格限制对所有管理接口(包括Web接口)的网络访问。只允许从有限数量的IP地址进行访问。在远程访问时使用VPN。

未经验证的重定向和转发(根据OWASP分类标准)。此类漏洞的风险级别通常为中等,并常被用于进行网络钓鱼攻击或分发恶意软件。2017年,卡巴斯基实验室专家遇到了该漏洞类型的一个更加危险的版本。这个漏洞存在于Java应用中,允许攻击者实施路径遍历攻击并读取服务器上的各种文件。尤其是,攻击者可以以明文形式访问有关用户及其密码的详细信息。

使用包含已知漏洞的过时版本的网络设备固件

使用弱密码

在多个系统和用户中重复使用密码

使用NBNS协议

SPN账户的权限过多

安全建议:

jin2055金沙网站 24

第二步

jin2055金沙网站 25

本文由jin2055金沙网站发布于互联网,转载请注明出处:卡巴斯基2017年企业信息系统的安全评估报告jin

关键词: jin2055金沙网站