Este artigo faz parte de uma série que visa educar os profissionais de segurança cibernética sobre as lições aprendidas pelas vítimas de violação. Cada lição incluirá recomendações simples, muitas das quais não exigem que as organizações comprem nenhuma ferramenta.
De acordo com o Sophos Active Adversary Playbook 2021, o uso de contas válidas (por meio de nome de usuário e senha) figurava entre as cinco principais técnicas para acesso inicial em violações (MITRE ATT&CK Technique T1078). Embora as credenciais válidas apareçam fortemente no estágio de acesso inicial, elas obviamente podem ser usadas em toda a cadeia de ataque, incluindo persistência, escalação de privilégios e evasão de defesa.
Uma questão desafiadora
O uso adverso de contas válidas é particularmente desafiador para profissionais de segurança cibernética. É extremamente difícil identificar o uso não autorizado de contas válidas entre todos os usos legítimos, e as credenciais podem ser obtidas de muitas maneiras diferentes. Uma conta válida pode ter vários níveis de autorização dentro de uma organização, desde um direito básico de usuário até privilégios de Administrador de Domínio.
Uma complicação adicional é que você pode configurar contas de teste, contas de serviço para acesso não humano, APIs, contas de terceiros para acessar seus sistemas (por exemplo, um helpdesk terceirizado) ou ter equipamentos com credenciais codificadas.
Sabemos que as pessoas usam as credenciais da organização com serviços online não relacionados e a maioria usa um endereço de e-mail no lugar do nome de usuário, estendendo a exposição a ameaças. A reutilização de senha é comum, portanto, uma vez obtida, ela fornece a chave para muitas outras portas. A pandemia do COVID-19 fez com que as organizações rapidamente se voltassem para permitir o acesso remoto para todos, expondo ainda mais a superfície de ataque ao uso não autorizado de Redes Privadas Virtuais (VPN) e ferramentas de acesso remoto.
Como os agentes de ameaças obtêm nossas credenciais?
A lista de maneiras é extensa, mas vamos explorar algumas. Embora o objetivo final dos adversários seja obter o mais alto nível de privilégio necessário para atingir seus objetivos (por exemplo, desabilitar a segurança, exfiltrar dados, excluir backups e implantar ransomware), eles não esperariam obter contas de administrador de domínio por meio de um e-mail de phishing. eles começam com alvos mais fáceis e vão subindo.
Métodos externos, incluindo phishing (T1598), força bruta (T1110), engenharia social (pode ser tão simples quanto alguém fingindo ser de um provedor de TI confiável e solicitando a criação de uma conta – (T1593.1) e SQL Injection (T1190) às vezes são agregados em Compilations of Many Breaches (COMB) e disponibilizados por uma taxa ou até mesmo gratuitamente.
Os oportunistas tentam combinar as credenciais obtidas com seus métodos de acesso externo (RDP – veja Hindsight #2 , VPN, FTP, Terminal Services, CPanel, ferramentas de acesso remoto como TeamViewer, serviços em nuvem como O365 ou consoles de segurança) em uma técnica conhecida como preenchimento de credenciais para ver se alguma coisa funciona. Como os usuários não podem se lembrar de mais do que algumas senhas, é comum que as credenciais sejam reutilizadas e os nomes de usuário possam ser derivados com base nos formatos de endereço de e-mail. É por esse motivo que a autenticação multifator (MFA/2FA) é importante em todos os acessos externos para internos (consulte Hindsight #1). Depois que um conjunto de credenciais é emparelhado com sucesso com um método de acesso remoto, o agente da ameaça pode se tornar um usuário válido, oculto em sua organização.
Antes de passar para os métodos de escalonamento de privilégios, é importante observar que existem outros métodos de acesso que não exigem credenciais. Exploits (T1212) ou senhas padrão (T1078.1) em concentradores de VPN, Exchange, firewalls / roteadores, servidores web e injeção de SQL foram todos utilizados para ganhar uma posição. Drive-by-downloads também podem ser usados para estabelecer um backdoor (T1189). Uma vez dentro, as contas básicas de usuário ainda têm acesso suficiente para realizar várias técnicas de reconhecimento e mapear uma maneira de dinamizar para acessos mais privilegiados ou criar contas para manter o acesso.
Como ator de ameaças, quero tentar evitar o uso de quaisquer ferramentas que possam colocar uma bandeira vermelha inicialmente, então posso simplesmente:
- Descubra informações sobre o sistema e o ambiente ao redor usando comandos simples como ‘whoami’ e ‘ipconfig’ (T1016)
- Pesquise no dispositivo em que estou (e em qualquer unidade mapeada) arquivos com ‘senhas’ no nome ou conteúdo (T1552.1)
- Pesquise no LDAP para ver quais outras contas podem ser interessantes (T1087.2)
- Pesquise no registro do Windows (T1552.2) as credenciais armazenadas
- Pesquisar cookies da web para credenciais armazenadas (T1539)
- Solte uma ferramenta de comando e controle baseada em PowerShell, para que eu possa voltar mesmo que você altere uma senha ou corrija sua exploração (T1059.1)
- Descubra quais programas estão instalados – ferramentas de acesso remoto e ferramentas administrativas como PSExec e PSKill podem ser super úteis se já existirem (T1592.2)
Em seguida, e somente se necessário, o agente da ameaça pode passar a instalar e/ou usar ‘Programas Potencialmente Indesejados’. O PSExec e o PSKill mencionados acima são ferramentas oficiais de administração da Microsoft, mas têm muitos outros usos. IOBit, GMER, Process Hacker, AutoIT, Nircmd, scanners de porta e sniffers de pacotes foram usados em violações nas quais trabalhamos. Essas ferramentas serão apresentadas no próximo artigo Hindsight Security. O objetivo dessas ferramentas é paralisar qualquer solução de segurança de endpoint, para que o agente da ameaça possa passar para a próxima etapa, onde usar ferramentas que provavelmente levantariam a bandeira vermelha.
Ferramentas populares para encontrar contas de privilégios mais altos incluem Mimikatz, IcedID, PowerSploit e Cobalt Strike. Trickbot era um velho favorito também. Eles contêm habilidades sofisticadas para capturar, interpretar, exportar e manipular as próprias informações que as redes usam para autenticar usuários (por exemplo, Kerberos). Embora os dados sejam criptografados até certo ponto, isso provou ser apenas uma lombada inconveniente para invasores habilidosos. O token criptografado que representa a conta válida geralmente pode ser passado e aceito pela rede, conhecido como técnicas pass-the-hash (T1550.2) e pass-the-ticket (T1550.3). Vastas tabelas de senhas e a aparência de suas versões criptografadas são usadas para combinar rapidamente uma senha criptografada com a versão de texto simples (T1110.2). As ferramentas de registro de teclas podem ser usadas para capturar as teclas digitadas em um dispositivo na próxima vez que alguém efetuar login. Foram encontradas algumas vulnerabilidades que permitem o acesso a credenciais, mesmo sem quaisquer direitos de administração, como HiveNightmare/SeriousSam e PrintNightmare. E se tudo isso não bastasse, existem kits de ferramentas facilmente disponíveis, como o LaZagne, que fazem tudo para você, inclusive recuperando senhas armazenadas em navegadores, software de mensagens instantâneas, bancos de dados, jogos, e-mail e WiFi.
Usando credenciais válidas
Credenciais válidas, especialmente com direitos de administração, têm alguns usos significativos. Eles podem ser usados em uma organização para alterar a política de grupo (T1484.1), desabilitar ferramentas de segurança (T1562.1), excluir contas e criar novas. Os dados podem ser exfiltrados e vendidos, usados para extorsão ou espionagem industrial. Eles podem ser usados para ataques de falsificação de identidade e de comprometimento de e-mail comercial com um alto nível de autenticidade. Mas, na maioria das vezes, eles são apenas uma ótima maneira de distribuir e executar qualquer ransomware como serviço que seja popular no dia. E se isso falhar, vimos os adversários apenas usarem a conta válida para ativar o BitLocker (ou mudar a chave).
Protegendo sua organização
O problema é sério, as consequências são reais, mas as soluções são bem conhecidas e abordadas por meio de pessoas, processos e tecnologia. O treinamento de funcionários de segurança cibernética geralmente se concentra nas pessoas:
- Como identificar um e-mail de phishing
- Não reutilizar senhas – as ferramentas de gerenciamento de senhas podem ajudar com isso
- Não usar senhas de trabalho para contas pessoais
- Requisitos de complexidade de senha
- Evitando sites duvidosos
Em termos de processo e tecnologia
- A autenticação multifator deve ser usada o mais amplamente possível
- A superfície de ataque externa deve ser a menor possível e mantida atualizada
- Mantenha o número de contas de nível mais alto no mínimo. Digamos que oito Administradores de Domínio é demais…
- Restringir o uso de direitos de administração local
- Higiene da conta de serviço – remova contas de serviço e teste não usadas
- Controle e monitore o uso de ferramentas administrativas poderosas e programas potencialmente indesejados
- Monitore logins inesperados (por exemplo, geografia e hora)
do original em: https://news.sophos.com/en-us/2021/08/24/hindsight-4-prevent-threat-actors-getting-and-using-your-passwords/?cmp=150147