Ο εξαναγκασμός ελέγχου ταυτότητας αντιπροσωπεύει μια εξελιγμένη και εξελισσόμενη απειλή που στοχεύει περιβάλλοντα Windows και Active Directory σε οργανισμούς παγκοσμίως.
Αυτή η μέθοδος επίθεσης εκμεταλλεύεται τους θεμελιώδεις μηχανισμούς επικοινωνίας που είναι ενσωματωμένοι σε κάθε λειτουργικό σύστημα Windows, χειραγωγώντας μηχανές ώστε να μεταδίδουν αυτόματα ευαίσθητα διαπιστευτήρια σε υποδομές που ελέγχονται από τους εισβολείς.
Η εμφάνιση αυτού του φορέα απειλής αντανακλά μια σημαντική αλλαγή στον τρόπο με τον οποίο οι φορείς απειλών προσαρμόζουν τις στρατηγικές τους για να παρακάμψουν τους ολοένα και πιο εξελιγμένους αμυντικούς μηχανισμούς.
Η πολυπλοκότητα της επίθεσης έγκειται στην ικανότητά της να αξιοποιεί τη νόμιμη λειτουργικότητα των Windows εναντίον της. Οι εισβολείς δημιουργούν κακόβουλους ακροατές που έχουν σχεδιαστεί για να εμφανίζονται ως αξιόπιστοι πόροι στο δίκτυο ενός οργανισμού.
Όταν ένα παραβιασμένο ή στοχευμένο μηχάνημα επιχειρεί να συνδεθεί σε αυτό που πιστεύει ότι είναι νόμιμος διακομιστής, στέλνει αυτόματα κατακερματισμένα διαπιστευτήρια στον εισβολέα.
Αυτή η διαδικασία πραγματοποιείται μέσω των λειτουργιών Κλήσης Απομακρυσμένης Διαδικασίας (RPC), οι οποίες χρησιμεύουν ως η ραχοκοκαλιά για την επικοινωνία μεταξύ των διεργασιών σε υποδομές Windows και Active Directory.
Η επίθεση δεν απαιτεί ειδικές άδειες, καθιστώντας την προσβάσιμη σε φορείς απειλών που λειτουργούν με ελάχιστη τεχνική τεχνογνωσία μόλις καταστούν διαθέσιμα εργαλεία απόδειξης της ιδέας.
Πρόσφατες πληροφορίες απειλών υποδεικνύουν ότι αυτή η μέθοδος επίθεσης ενέχει σημαντικούς κινδύνους λόγω των ευρέως διαδεδομένων δυνατοτήτων εκμετάλλευσης.
Αναλυτές ασφαλείας της Palo Alto Networks αναγνωρισθείς Οι τεχνικές εξαναγκασμού ελέγχου ταυτότητας οπλίζονται μέσω σπάνιων και λιγότερο γνωστών πρωτοκόλλων RPC, επιτρέποντας στους εισβολείς να αποφύγουν τους παραδοσιακούς μηχανισμούς ανίχνευσης.
Οι ερευνητές ασφαλείας σημείωσαν ότι αυτό αντιπροσωπεύει μια ανησυχητική τάση όπου οι φορείς απειλών κάνουν εσκεμμένα κακή χρήση σκοτεινών λειτουργιών RPC για να αποφύγουν την ενεργοποίηση συμβατικών ειδοποιήσεων παρακολούθησης.
Η τεχνική μηχανική του εξαναγκασμού ελέγχου ταυτότητας επικεντρώνεται στα πρωτόκολλα μηνυμάτων RPC και στον χειρισμό των παραμέτρων τους.
.webp.jpeg)
Οι λειτουργίες κλήσης απομακρυσμένης διαδικασίας έχουν σχεδιαστεί τόσο για τοπική όσο και για απομακρυσμένη επικοινωνία συστήματος, με πολλές αποδεκτές διαδρομές της Universal Naming Convention (UNC) ως παραμέτρους.
Όταν οι εισβολείς δημιουργούν κακόβουλα αιτήματα RPC που περιέχουν διαδρομές UNC ελεγχόμενες από τους εισβολείς, η συμπεριφορά αυτόματου ελέγχου ταυτότητας του στοχευόμενου μηχανήματος γίνεται όπλο.
Για παράδειγμα, η συνάρτηση ElfrOpenBELW στο πρωτόκολλο απομακρυσμένης καταγραφής συμβάντων MS-EVEN μπορεί να αξιοποιηθεί με αυτόν τον τρόπο, αν και αυτή η συγκεκριμένη διεπαφή σπάνια εμφανίζεται σε κανονική κίνηση δικτύου οργανισμού.
Μηχανισμοί εξαναγκασμού επαλήθευσης ταυτότητας
Μια λεπτομερής ανάλυση των μηχανισμών εξαναγκασμού ελέγχου ταυτότητας αποκαλύπτει πολλαπλούς φορείς εκμετάλλευσης μέσω διαφορετικών πρωτοκόλλων.
Το πρωτόκολλο απομακρυσμένου συστήματος εκτύπωσης MS-RPRN, το απομακρυσμένο πρωτόκολλο κρυπτογράφησης συστήματος αρχείων MS-EFSR, το πρωτόκολλο διαχείρισης χώρου ονομάτων συστήματος κατανεμημένου συστήματος αρχείων MS-DFSNM και το πρωτόκολλο απομακρυσμένου διακομιστή αρχείων MS-FSRVP, όλα υπάρχουν εκμεταλλεύσιμα δικαιώματα που εκμεταλλεύονται τους παράγοντες απειλής.
.webp.jpeg)
Καλά τεκμηριωμένα εργαλεία, συμπεριλαμβανομένων των PrinterBug, PrintNightmare, PetitPotam, DFSCoerce και ShadowCoerce δείχνουν πώς τα άμεσα διαθέσιμα πλαίσια εκμετάλλευσης απλοποιούν την εκτέλεση αυτών των επιθέσεων.
Ο αντίκτυπος του επιτυχούς εξαναγκασμού επαλήθευσης ταυτότητας εκτείνεται πολύ πέρα από την απλή κλοπή διαπιστευτηρίων. Οι οργανισμοί αντιμετωπίζουν πλήρη σενάρια παραβίασης τομέα όπου οι εισβολείς κλέβουν κατακερματισμούς NTLM κρίσιμης υποδομής, συμπεριλαμβανομένων των ελεγκτών τομέα και των διακομιστών της Αρχής Πιστοποιητικών.
Αυτά τα διαπιστευτήρια επιτρέπουν την πλευρική κίνηση, την κλιμάκωση των προνομίων μέσω επιθέσεων DCSync και τη δημιουργία μηχανισμών μόνιμης πρόσβασης.
Σε τεκμηριωμένα περιστατικά, οι φορείς απειλών έχουν εκτελέσει επιθέσεις αναμετάδοσης NTLM αξιοποιώντας κλεμμένους κατακερματισμούς λογαριασμού μηχανήματος έναντι αρχών πιστοποιητικών, δημιουργώντας μονοπάτια για μακροπρόθεσμη επιμονή και διείσδυση ευαίσθητων δεδομένων.
Οι οργανισμοί πρέπει να εφαρμόζουν ισχυρές στρατηγικές ανίχνευσης που εστιάζουν σε ανώμαλα μοτίβα κυκλοφορίας RPC, συμπεριλαμβανομένων ασυνήθιστων συνδυασμών πηγής-προορισμού, ύποπτων παραμέτρων διαδρομής UNC και κλήσεων που στοχεύουν σπάνια διασυνδέσεις.
Τα κρίσιμα προληπτικά μέτρα περιλαμβάνουν την επιβολή υπογραφής SMB σε τομείς, την απενεργοποίηση αχρησιμοποίητων υπηρεσιών RPC σε κρίσιμα στοιχεία, την εφαρμογή Εκτεταμένης προστασίας για έλεγχο ταυτότητας και τη χρήση φίλτρων RPC των Windows μέσω βοηθητικών προγραμμάτων netsh.
Οι σύγχρονες πλατφόρμες ανίχνευσης και απόκρισης τελικού σημείου παρέχουν δυνατότητες ανάλυσης συμπεριφοράς που είναι απαραίτητες για τον εντοπισμό αυτών των λεπτών μοτίβων επιθέσεων πριν από την επιτυχή συλλογή διαπιστευτηρίων.
