NSA和CISA紅藍團隊揭示“10大網(wǎng)絡(luò)安全配置錯誤”
近日,美國國家安全局(NSA)和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)聯(lián)合發(fā)布了一份網(wǎng)絡(luò)安全咨詢報告,以強調(diào)大型組織中最常見的網(wǎng)絡(luò)安全配置錯誤,并詳細介紹了威脅行為者濫用這些錯誤配置的戰(zhàn)術(shù)、技術(shù)和程序(TTPs)。
通過NSA和CISA紅藍團隊的評估,以及NSA和CISA捕獲和事件響應團隊的活動,這些機構(gòu)確定了以下10個最常見的網(wǎng)絡(luò)安全配置錯誤:
1. 軟件和應用程序的默認配置;
2. 用戶/管理員權(quán)限的不當分離;
3. 內(nèi)部網(wǎng)絡(luò)監(jiān)控不足;
4. 缺乏網(wǎng)絡(luò)分段;
5. 補丁管理不善;
6. 系統(tǒng)訪問控制的繞過;
7. 弱或誤配置的多因素認證(MFA)方法;
8. 不充分的網(wǎng)絡(luò)共享和服務的訪問控制列表(ACLs);
9. 糟糕的憑證衛(wèi)生;
10. 無限制的代碼執(zhí)行。
這些配置錯誤說明了許多大型組織——包括那些具有成熟網(wǎng)絡(luò)態(tài)勢的組織的系統(tǒng)性漏洞和攻擊風險,凸顯了軟件開發(fā)商采用“設(shè)計即安全”(secure-by-design)原則的重要性和緊迫性。
以下是每項配置錯誤以及威脅行為者用于濫用這些錯誤配置的戰(zhàn)術(shù)、技術(shù)和程序(TTPs)的詳細介紹。
1. 軟件和應用程序的默認配置
系統(tǒng)、服務和應用程序的默認配置可能允許未經(jīng)授權(quán)的訪問或其他惡意活動。常見的默認配置包括:
(1)默認憑據(jù);
(2)默認業(yè)務權(quán)限和配置設(shè)置;
默認憑證
許多軟件開發(fā)商發(fā)布的商用現(xiàn)貨(COTS)網(wǎng)絡(luò)設(shè)備(通過應用程序或web門戶提供用戶訪問)包含內(nèi)置管理帳戶的預定義默認憑據(jù)。惡意行為者和評估團隊經(jīng)常通過以下方式濫用默認憑證:
(1)通過簡單的網(wǎng)絡(luò)搜索查找憑證,并使用它們獲得對設(shè)備的身份驗證訪問;
(2)通過可預測的忘記密碼問題重置內(nèi)置管理帳戶;
(3)利用默認的虛擬專用網(wǎng)(VPN)憑據(jù)進行內(nèi)部網(wǎng)絡(luò)訪問;
(4)利用公開可用的設(shè)置信息來識別web應用程序的內(nèi)置管理憑據(jù),并獲得對應用程序及其底層數(shù)據(jù)庫的訪問權(quán)限;
(5)利用軟件部署工具上的默認憑證進行代碼執(zhí)行和橫向移動。
除了提供網(wǎng)絡(luò)訪問的設(shè)備外,打印機、掃描儀、安全攝像頭、會議室視聽(AV)設(shè)備、互聯(lián)網(wǎng)協(xié)議語音(VoIP)電話和物聯(lián)網(wǎng)(IoT)設(shè)備通常還包含默認憑據(jù),可以輕松地在未經(jīng)授權(quán)的情況下訪問這些設(shè)備。使問題進一步復雜化的是,打印機和掃描儀可能加載了特權(quán)域帳戶,以便用戶可以輕松地掃描文檔并將其上傳到共享驅(qū)動器或通過郵件發(fā)送。使用默認憑證訪問打印機或掃描儀的惡意行為者,可以使用加載的特權(quán)域帳戶從設(shè)備橫向移動并破壞域。
默認業(yè)務權(quán)限和配置設(shè)置
默認情況下,某些服務可能具有過于寬松的訪問控制或漏洞配置,此外,即使提供者默認不啟用這些服務,如果用戶或管理員啟用了這些服務,惡意行為者也可以很容易地濫用這些服務。
評估小組發(fā)現(xiàn)了以下常見情況:
(1)不安全的Active Directory證書服務;
(2)不安全的遺留協(xié)議/服務;
(3)不安全的SMB(Server Message Block)服務;
不安全的Active Directory證書服務
ADCS(Active Directory Certificate Services)是一項用于管理Active Directory(AD)環(huán)境中的PKI證書、密鑰和加密的功能,ADCS模板用于為組織網(wǎng)絡(luò)中不同類型的服務器和其他實體構(gòu)建證書。
惡意行為者可以利用ADCS和/或ADCS模板配置錯誤來操縱證書基礎(chǔ)結(jié)構(gòu),以頒發(fā)欺詐性證書和/或?qū)⒂脩籼貦?quán)重新升級為域管理員特權(quán),這些證書和域升級路徑可能授予參與者對系統(tǒng)和關(guān)鍵數(shù)據(jù)的未經(jīng)授權(quán)的持久訪問,冒充合法實體的能力,以及繞過安全措施的能力。
不安全的遺留協(xié)議/服務
許多易受攻擊的網(wǎng)絡(luò)服務在默認情況下是啟用的,并且評估團隊已經(jīng)觀察到它們在生產(chǎn)環(huán)境中也是啟用的。具體來說,評估小組觀察到鏈路本地多個名稱解析(LLMNR)和NetBIOS名稱服務(NBT-NS),它們是Microsoft Windows組件,作為主機識別的替代方法。如果在網(wǎng)絡(luò)中啟用了這些服務,參與者可以使用欺騙、中毒和中繼技術(shù)來獲取域散列、系統(tǒng)訪問和潛在的管理系統(tǒng)會話,惡意行為者經(jīng)常利用這些協(xié)議來破壞整個Windows環(huán)境。
不安全的SMB(Server Message Block)服務
SMB服務是一個Windows組件,主要用于文件共享,它的默認配置不需要簽名網(wǎng)絡(luò)消息以確保真實性和完整性。如果SMB服務器不強制SMB簽名,惡意參與者就可以輕松使用machine-in-the-middle(MitM)技術(shù),例如NTLM中繼來實施攻擊。此外,惡意參與者還可以將缺乏SMB簽名與名稱解析中毒問題結(jié)合起來,無需捕獲和破解任何散列就可訪問遠程系統(tǒng)。
2. 用戶/管理員權(quán)限的不當分離
管理員通常會為一個帳戶分配多個角色,這些賬戶可以訪問各種各樣的設(shè)備和服務,允許惡意行為者通過一個受感染的賬戶快速移動網(wǎng)絡(luò),而不會觸發(fā)橫向移動和/或特權(quán)升級檢測措施。
評估小組觀察到以下常見的帳戶分離錯誤配置:
(1)過度的賬戶特權(quán);
(2)提升的服務帳戶權(quán)限;
(3)非必要的特權(quán)帳戶使用;
過度的帳戶特權(quán)
帳戶特權(quán)用于控制用戶對主機或應用程序資源的訪問,以限制對敏感信息的訪問或執(zhí)行最小權(quán)限安全模型,當帳戶權(quán)限過于寬松時,用戶可以看到和/或做他們不應該看到和/或做的事情,這成為一個安全問題,因為它增加了風險暴露和攻擊面。
提升的服務帳戶權(quán)限
應用程序通常使用用戶帳戶來訪問資源,這些用戶帳戶稱為服務帳戶,通常需要更高的權(quán)限。當惡意行為者使用服務帳戶危害應用程序或服務時,他們將擁有與服務帳戶相同的特權(quán)和訪問權(quán)限。
惡意行為者可以利用域內(nèi)提升的服務權(quán)限來獲得對關(guān)鍵系統(tǒng)的未經(jīng)授權(quán)的訪問和控制。服務帳戶是惡意行為者的誘人目標,因為這些帳戶通常被授予域內(nèi)的高級權(quán)限,由于這些因素,kerberos(通過破解服務帳戶憑證實現(xiàn)的一種憑證訪問形式)是一種用于控制服務帳戶目標的常用技術(shù)。
非必要的特權(quán)帳戶使用
IT人員使用域管理員和其他管理員帳戶進行系統(tǒng)和網(wǎng)絡(luò)管理,因為這些帳戶本身具有較高的權(quán)限。當管理員帳戶登錄到受感染的主機時,惡意行為者可以竊取并使用該帳戶的憑據(jù)和AD生成的身份驗證令牌,使用提升的權(quán)限在整個域中移動,使用高級帳戶進行日常的非管理任務會增加帳戶的暴露,從而增加其被泄露的風險。
3. 內(nèi)部網(wǎng)絡(luò)監(jiān)控不足
有些組織沒有為流量收集和終端主機日志配置最佳的主機和網(wǎng)絡(luò)傳感器,這些不充分的配置可能導致未被發(fā)現(xiàn)的對抗性妥協(xié)。此外,不適當?shù)膫鞲衅髋渲孟拗屏嗽鰪娀€開發(fā)所需的流量收集能力,并降低了對異常活動的及時檢測。
評估小組在被評估的網(wǎng)絡(luò)中發(fā)現(xiàn)了不充分的監(jiān)控問題。例如:
(1)評估小組觀察了一個組織,該組織有基于主機的監(jiān)控,但沒有網(wǎng)絡(luò)監(jiān)控。基于主機的監(jiān)控通知防御團隊單個主機上的不良活動,網(wǎng)絡(luò)監(jiān)控則通知穿越主機的惡意活動。在本例中,該組織可以確定受感染的主機,但無法確定感染來自何處,因此無法阻止未來的橫向移動和感染。
(2)評估團隊獲得了對具有成熟網(wǎng)絡(luò)態(tài)勢的大型組織的持續(xù)深入訪問。組織沒有檢測到評估團隊的橫向移動、持久性和C2活動。
4. 缺乏網(wǎng)絡(luò)分段
網(wǎng)絡(luò)分段用安全邊界分隔網(wǎng)絡(luò)的各個部分,缺乏網(wǎng)絡(luò)分段使得用戶網(wǎng)絡(luò)、生產(chǎn)網(wǎng)絡(luò)和關(guān)鍵系統(tǒng)網(wǎng)絡(luò)之間沒有安全邊界,不充分的網(wǎng)絡(luò)分段允許威脅參與者在各種系統(tǒng)中橫向移動。此外,缺乏網(wǎng)絡(luò)隔離使組織更易受到潛在的勒索軟件攻擊和后利用(post-exploitation)技術(shù)的攻擊。
IT和OT環(huán)境之間缺乏分段會使OT環(huán)境處于危險之中。例如,評估小組經(jīng)常通過尋找特殊目的、被遺忘的、甚至是意外的網(wǎng)絡(luò)連接,獲得對OT網(wǎng)絡(luò)的訪問權(quán)限——盡管這些網(wǎng)絡(luò)先前保證是完全氣隙的,不可能與IT網(wǎng)絡(luò)連接。
5. 補丁管理不善
供應商發(fā)布補丁和更新來解決安全漏洞,糟糕的補丁管理和網(wǎng)絡(luò)衛(wèi)生實踐通常使攻擊者能夠發(fā)現(xiàn)開放攻擊向量并利用關(guān)鍵漏洞。薄弱的補丁管理包括:
(1)缺乏定期修補;
(2)使用不支持的操作系統(tǒng)和過時的固件;
缺乏定期修補
未能應用最新補丁可能會使系統(tǒng)暴露于公開可用的漏洞,由于它們很容易被發(fā)現(xiàn)——通過漏洞掃描和開源研究——并被利用,從而導致這些系統(tǒng)淪為攻擊者的直接目標。允許關(guān)鍵漏洞保留在生產(chǎn)系統(tǒng)上而不應用相應的補丁會顯著增加攻擊面,組織應該優(yōu)先修補其環(huán)境中已知的被利用的漏洞。
使用不支持的操作系統(tǒng)和過時的固件
使用供應商不再支持的軟件或硬件會帶來重大的安全風險,因為新的和現(xiàn)有的漏洞不再修補,惡意行為者可以利用這些系統(tǒng)中的漏洞獲得未經(jīng)授權(quán)的訪問,破壞敏感數(shù)據(jù)并執(zhí)行破壞性操作。
6. 系統(tǒng)訪問控制的繞過
惡意行為者可以通過破壞環(huán)境中的替代身份驗證方法來繞過系統(tǒng)訪問控制。如果惡意行為者可以在網(wǎng)絡(luò)中收集哈希,他們可以使用非標準的方式使用哈希傳遞(pass-the-hash,PtH)來利用這些哈希進行身份驗證,通過模仿沒有明文密碼的帳戶,攻擊者可以在不被發(fā)現(xiàn)的情況下擴展和提升他們的訪問權(quán)限。使用kerberos也是在組織網(wǎng)絡(luò)中提升特權(quán)和橫向移動的最省時方法之一。
7. 弱或誤配置的多因素認證(MFA)方法
智能卡或令牌配置錯誤
一些網(wǎng)絡(luò)(通常是政府或國防部網(wǎng)絡(luò))要求賬戶使用智能卡或令牌,多因素需求可能會配置錯誤,因此帳戶的密碼哈希值永遠不會更改。即使不再使用密碼本身(因為需要智能卡或令牌),帳戶的密碼散列仍然可以用作身份驗證的替代憑據(jù),如果密碼哈希值永遠不會改變,一旦惡意行為者獲得了帳戶的密碼哈希值,那么只要該帳戶存在,該行為者就可以通過PtH技術(shù)無限期地使用它。
缺乏抗網(wǎng)絡(luò)釣魚特性的MFA
某些形式的MFA容易受到網(wǎng)絡(luò)釣魚、“推送轟炸”、利用SS7協(xié)議漏洞和/或“SIM卡交換”技術(shù)的攻擊,如果這些嘗試成功,可能允許威脅參與者獲得訪問MFA的身份驗證憑證,或繞過MFA并訪問受MFA保護的系統(tǒng)。
8. 不充分的網(wǎng)絡(luò)共享和服務的訪問控制列表(ACLs)
數(shù)據(jù)共享和存儲庫是惡意行為者的主要目標,網(wǎng)絡(luò)管理員可能錯誤地配置ACL,以允許未經(jīng)授權(quán)的用戶訪問共享驅(qū)動器上的敏感或管理數(shù)據(jù)。
攻擊者可以使用命令、開源工具或自定義惡意軟件來查找共享文件夾和驅(qū)動器。
(1)在一次入侵中,一個團隊觀察到攻擊者使用網(wǎng)絡(luò)共享命令(顯示本地計算機上共享資源的信息)和ntfsinfo命令來搜索受感染計算機上的網(wǎng)絡(luò)共享;在同一次攻擊中,攻擊者使用了自定義工具CovalentStealer,該工具旨在識別系統(tǒng)上的文件共享,對文件進行分類,并將文件上傳到遠程服務器。
(2)勒索軟件參與者使用SoftPerfect網(wǎng)絡(luò)掃描器,netscan.exe(可以ping計算機,掃描端口,并發(fā)現(xiàn)共享文件夾)和SharpShares來枚舉域中可訪問的網(wǎng)絡(luò)共享。
然后,惡意行為者可以從共享驅(qū)動器和文件夾中收集和泄露數(shù)據(jù)。接下來,他們可以將這些數(shù)據(jù)用于各種目的,例如勒索組織或在制定進一步網(wǎng)絡(luò)入侵計劃時作為情報。評估團隊通常會在網(wǎng)絡(luò)共享中發(fā)現(xiàn)敏感信息,這些信息可能會促進后續(xù)活動或提供敲詐勒索的機會,評估團隊能夠很輕松地找到包含服務帳戶、web應用程序甚至域管理員的明文憑據(jù)的驅(qū)動器。
9. 糟糕的憑證衛(wèi)生
糟糕的憑據(jù)衛(wèi)生有助于威脅參與者獲得用于初始訪問、持久性、橫向移動和其他后續(xù)活動的憑據(jù),特別是在未啟用抗網(wǎng)絡(luò)釣魚MFA的情況下。糟糕的憑據(jù)衛(wèi)生行為包括:
(1)易破解的密碼;
(2)明文密碼暴露;
易破解的密碼
易破解密碼是指惡意行為者可以使用相對便宜的計算資源在短時間內(nèi)猜出的密碼,網(wǎng)絡(luò)上容易被破解的密碼通常源于缺乏密碼長度(即短于15個字符)和隨機性(即不是唯一的或可以猜測的)。
在評估過程中,評估團隊順利破解了NTLM用戶、Kerberos服務帳戶票證、NetNTLMv2和PFX存儲的密碼散列,使團隊能夠提升權(quán)限并在網(wǎng)絡(luò)內(nèi)橫向移動。在12小時內(nèi),一個團隊破解了活動目錄中80%以上的用戶密碼,獲得了數(shù)百個有效憑據(jù)。
明文密碼暴露
以明文形式存儲密碼存在嚴重的安全風險,可以訪問包含明文密碼的文件的惡意行為者可以使用這些憑證在合法用戶的偽裝下登錄到受影響的應用程序或系統(tǒng)。在這種情況下,由于任何系統(tǒng)日志都會記錄訪問應用程序或系統(tǒng)的有效用戶帳戶,因此失去了可問責性。
惡意行為者會搜索文本文件、電子表格、文檔和配置文件,以求獲取明文密碼。評估團隊經(jīng)常發(fā)現(xiàn)明文密碼,允許他們快速升級模擬入侵。
10. 無限制的代碼執(zhí)行
如果允許未經(jīng)驗證的程序在主機上執(zhí)行,則威脅參與者可以在網(wǎng)絡(luò)中運行任意惡意有效負載,惡意參與者通常在獲得對系統(tǒng)的初始訪問權(quán)限后執(zhí)行代碼。例如,在用戶落入網(wǎng)絡(luò)釣魚騙局之后,攻擊者通常會說服受害者在其工作站上運行代碼,以獲得對內(nèi)部網(wǎng)絡(luò)的遠程訪問權(quán)限。這些代碼通常是一個未經(jīng)驗證的程序,沒有合法的目的或商業(yè)理由在網(wǎng)絡(luò)上運行。
評估團隊和惡意參與者經(jīng)常以可執(zhí)行文件、動態(tài)鏈接庫(DLL)、HTML應用程序和宏(辦公自動化文檔中使用的腳本)的形式利用不受限制的代碼執(zhí)行,來建立初始訪問、持久性和橫向移動。此外,參與者經(jīng)常使用腳本語言來模糊他們的行為,并繞過允許列表——組織在默認情況下限制應用程序和其他形式的代碼,只允許那些已知和可信的代碼。此外,攻擊者可能會加載易受攻擊的驅(qū)動程序,然后利用驅(qū)動程序的已知漏洞,以最高級別的系統(tǒng)權(quán)限在內(nèi)核中執(zhí)行代碼,從而完全破壞設(shè)備。
緩解建議
NSA和CISA鼓勵網(wǎng)絡(luò)防御者實施本咨詢的“緩解”部分中的建議(包括以下內(nèi)容),以減少惡意行為者利用已識別的錯誤配置的風險。
(1)刪除默認憑證并加固配置;
(2)禁用未使用的服務并實施嚴格的訪問控制;
(3)定期更新并自動化補丁過程,優(yōu)先修補已知且已被利用的漏洞;
(4)減少、限制、審計和密切監(jiān)控管理帳戶和權(quán)限。
NSA和CISA還敦促軟件開發(fā)商通過采用“設(shè)計即安全”策略來提高客戶端的安全性,具體緩解措施建議包括:
(1)從開發(fā)開始到整個軟件開發(fā)生命周期(SDLC),將安全控制嵌入產(chǎn)品架構(gòu)中;
(2)消除默認密碼;
(3)免費為客戶提供高質(zhì)量的,詳細且易于理解的審計日志;
(4)為特權(quán)用戶強制實施多因素認證(MFA),并將MFA作為默認而非可選功能,理想情況下可以防范網(wǎng)絡(luò)釣魚。
NSA和CISA推薦組織利用特定于企業(yè)的MITRE ATT&CK框架映射的威脅行為來演練、測試和驗證組織的安全計劃。此外,還建議測試組織現(xiàn)有的安全控制清單,以評估它們對建議中描述的ATT&CK技術(shù)的性能。
文章翻譯自:https://media.defense.gov/2023/Oct/05/2003314578/-1/-1/0/JOINT_CSA_TOP_TEN_MISCONFIGURATIONS_TLP-CLEAR.PDF如若轉(zhuǎn)載,請注明原文地址
