NSA和CISA紅藍團隊揭示“10大網絡安全配置錯誤”
近日,美國國家安全局(NSA)和網絡安全與基礎設施安全局(CISA)聯合發布了一份網絡安全咨詢報告,以強調大型組織中最常見的網絡安全配置錯誤,并詳細介紹了威脅行為者濫用這些錯誤配置的戰術、技術和程序(TTPs)。
通過NSA和CISA紅藍團隊的評估,以及NSA和CISA捕獲和事件響應團隊的活動,這些機構確定了以下10個最常見的網絡安全配置錯誤:
1. 軟件和應用程序的默認配置;
2. 用戶/管理員權限的不當分離;
3. 內部網絡監控不足;
4. 缺乏網絡分段;
5. 補丁管理不善;
6. 系統訪問控制的繞過;
7. 弱或誤配置的多因素認證(MFA)方法;
8. 不充分的網絡共享和服務的訪問控制列表(ACLs);
9. 糟糕的憑證衛生;
10. 無限制的代碼執行。
這些配置錯誤說明了許多大型組織——包括那些具有成熟網絡態勢的組織的系統性漏洞和攻擊風險,凸顯了軟件開發商采用“設計即安全”(secure-by-design)原則的重要性和緊迫性。
以下是每項配置錯誤以及威脅行為者用于濫用這些錯誤配置的戰術、技術和程序(TTPs)的詳細介紹。
1. 軟件和應用程序的默認配置
系統、服務和應用程序的默認配置可能允許未經授權的訪問或其他惡意活動。常見的默認配置包括:
(1)默認憑據;
(2)默認業務權限和配置設置;
默認憑證
許多軟件開發商發布的商用現貨(COTS)網絡設備(通過應用程序或web門戶提供用戶訪問)包含內置管理帳戶的預定義默認憑據。惡意行為者和評估團隊經常通過以下方式濫用默認憑證:
(1)通過簡單的網絡搜索查找憑證,并使用它們獲得對設備的身份驗證訪問;
(2)通過可預測的忘記密碼問題重置內置管理帳戶;
(3)利用默認的虛擬專用網(VPN)憑據進行內部網絡訪問;
(4)利用公開可用的設置信息來識別web應用程序的內置管理憑據,并獲得對應用程序及其底層數據庫的訪問權限;
(5)利用軟件部署工具上的默認憑證進行代碼執行和橫向移動。
除了提供網絡訪問的設備外,打印機、掃描儀、安全攝像頭、會議室視聽(AV)設備、互聯網協議語音(VoIP)電話和物聯網(IoT)設備通常還包含默認憑據,可以輕松地在未經授權的情況下訪問這些設備。使問題進一步復雜化的是,打印機和掃描儀可能加載了特權域帳戶,以便用戶可以輕松地掃描文檔并將其上傳到共享驅動器或通過郵件發送。使用默認憑證訪問打印機或掃描儀的惡意行為者,可以使用加載的特權域帳戶從設備橫向移動并破壞域。
默認業務權限和配置設置
默認情況下,某些服務可能具有過于寬松的訪問控制或漏洞配置,此外,即使提供者默認不啟用這些服務,如果用戶或管理員啟用了這些服務,惡意行為者也可以很容易地濫用這些服務。
評估小組發現了以下常見情況:
(1)不安全的Active Directory證書服務;
(2)不安全的遺留協議/服務;
(3)不安全的SMB(Server Message Block)服務;
不安全的Active Directory證書服務
ADCS(Active Directory Certificate Services)是一項用于管理Active Directory(AD)環境中的PKI證書、密鑰和加密的功能,ADCS模板用于為組織網絡中不同類型的服務器和其他實體構建證書。
惡意行為者可以利用ADCS和/或ADCS模板配置錯誤來操縱證書基礎結構,以頒發欺詐性證書和/或將用戶特權重新升級為域管理員特權,這些證書和域升級路徑可能授予參與者對系統和關鍵數據的未經授權的持久訪問,冒充合法實體的能力,以及繞過安全措施的能力。
不安全的遺留協議/服務
許多易受攻擊的網絡服務在默認情況下是啟用的,并且評估團隊已經觀察到它們在生產環境中也是啟用的。具體來說,評估小組觀察到鏈路本地多個名稱解析(LLMNR)和NetBIOS名稱服務(NBT-NS),它們是Microsoft Windows組件,作為主機識別的替代方法。如果在網絡中啟用了這些服務,參與者可以使用欺騙、中毒和中繼技術來獲取域散列、系統訪問和潛在的管理系統會話,惡意行為者經常利用這些協議來破壞整個Windows環境。
不安全的SMB(Server Message Block)服務
SMB服務是一個Windows組件,主要用于文件共享,它的默認配置不需要簽名網絡消息以確保真實性和完整性。如果SMB服務器不強制SMB簽名,惡意參與者就可以輕松使用machine-in-the-middle(MitM)技術,例如NTLM中繼來實施攻擊。此外,惡意參與者還可以將缺乏SMB簽名與名稱解析中毒問題結合起來,無需捕獲和破解任何散列就可訪問遠程系統。
2. 用戶/管理員權限的不當分離
管理員通常會為一個帳戶分配多個角色,這些賬戶可以訪問各種各樣的設備和服務,允許惡意行為者通過一個受感染的賬戶快速移動網絡,而不會觸發橫向移動和/或特權升級檢測措施。
評估小組觀察到以下常見的帳戶分離錯誤配置:
(1)過度的賬戶特權;
(2)提升的服務帳戶權限;
(3)非必要的特權帳戶使用;
過度的帳戶特權
帳戶特權用于控制用戶對主機或應用程序資源的訪問,以限制對敏感信息的訪問或執行最小權限安全模型,當帳戶權限過于寬松時,用戶可以看到和/或做他們不應該看到和/或做的事情,這成為一個安全問題,因為它增加了風險暴露和攻擊面。
提升的服務帳戶權限
應用程序通常使用用戶帳戶來訪問資源,這些用戶帳戶稱為服務帳戶,通常需要更高的權限。當惡意行為者使用服務帳戶危害應用程序或服務時,他們將擁有與服務帳戶相同的特權和訪問權限。
惡意行為者可以利用域內提升的服務權限來獲得對關鍵系統的未經授權的訪問和控制。服務帳戶是惡意行為者的誘人目標,因為這些帳戶通常被授予域內的高級權限,由于這些因素,kerberos(通過破解服務帳戶憑證實現的一種憑證訪問形式)是一種用于控制服務帳戶目標的常用技術。
非必要的特權帳戶使用
IT人員使用域管理員和其他管理員帳戶進行系統和網絡管理,因為這些帳戶本身具有較高的權限。當管理員帳戶登錄到受感染的主機時,惡意行為者可以竊取并使用該帳戶的憑據和AD生成的身份驗證令牌,使用提升的權限在整個域中移動,使用高級帳戶進行日常的非管理任務會增加帳戶的暴露,從而增加其被泄露的風險。
3. 內部網絡監控不足
有些組織沒有為流量收集和終端主機日志配置最佳的主機和網絡傳感器,這些不充分的配置可能導致未被發現的對抗性妥協。此外,不適當的傳感器配置限制了增強基線開發所需的流量收集能力,并降低了對異常活動的及時檢測。
評估小組在被評估的網絡中發現了不充分的監控問題。例如:
(1)評估小組觀察了一個組織,該組織有基于主機的監控,但沒有網絡監控。基于主機的監控通知防御團隊單個主機上的不良活動,網絡監控則通知穿越主機的惡意活動。在本例中,該組織可以確定受感染的主機,但無法確定感染來自何處,因此無法阻止未來的橫向移動和感染。
(2)評估團隊獲得了對具有成熟網絡態勢的大型組織的持續深入訪問。組織沒有檢測到評估團隊的橫向移動、持久性和C2活動。
4. 缺乏網絡分段
網絡分段用安全邊界分隔網絡的各個部分,缺乏網絡分段使得用戶網絡、生產網絡和關鍵系統網絡之間沒有安全邊界,不充分的網絡分段允許威脅參與者在各種系統中橫向移動。此外,缺乏網絡隔離使組織更易受到潛在的勒索軟件攻擊和后利用(post-exploitation)技術的攻擊。
IT和OT環境之間缺乏分段會使OT環境處于危險之中。例如,評估小組經常通過尋找特殊目的、被遺忘的、甚至是意外的網絡連接,獲得對OT網絡的訪問權限——盡管這些網絡先前保證是完全氣隙的,不可能與IT網絡連接。
5. 補丁管理不善
供應商發布補丁和更新來解決安全漏洞,糟糕的補丁管理和網絡衛生實踐通常使攻擊者能夠發現開放攻擊向量并利用關鍵漏洞。薄弱的補丁管理包括:
(1)缺乏定期修補;
(2)使用不支持的操作系統和過時的固件;
缺乏定期修補
未能應用最新補丁可能會使系統暴露于公開可用的漏洞,由于它們很容易被發現——通過漏洞掃描和開源研究——并被利用,從而導致這些系統淪為攻擊者的直接目標。允許關鍵漏洞保留在生產系統上而不應用相應的補丁會顯著增加攻擊面,組織應該優先修補其環境中已知的被利用的漏洞。
使用不支持的操作系統和過時的固件
使用供應商不再支持的軟件或硬件會帶來重大的安全風險,因為新的和現有的漏洞不再修補,惡意行為者可以利用這些系統中的漏洞獲得未經授權的訪問,破壞敏感數據并執行破壞性操作。
6. 系統訪問控制的繞過
惡意行為者可以通過破壞環境中的替代身份驗證方法來繞過系統訪問控制。如果惡意行為者可以在網絡中收集哈希,他們可以使用非標準的方式使用哈希傳遞(pass-the-hash,PtH)來利用這些哈希進行身份驗證,通過模仿沒有明文密碼的帳戶,攻擊者可以在不被發現的情況下擴展和提升他們的訪問權限。使用kerberos也是在組織網絡中提升特權和橫向移動的最省時方法之一。
7. 弱或誤配置的多因素認證(MFA)方法
智能卡或令牌配置錯誤
一些網絡(通常是政府或國防部網絡)要求賬戶使用智能卡或令牌,多因素需求可能會配置錯誤,因此帳戶的密碼哈希值永遠不會更改。即使不再使用密碼本身(因為需要智能卡或令牌),帳戶的密碼散列仍然可以用作身份驗證的替代憑據,如果密碼哈希值永遠不會改變,一旦惡意行為者獲得了帳戶的密碼哈希值,那么只要該帳戶存在,該行為者就可以通過PtH技術無限期地使用它。
缺乏抗網絡釣魚特性的MFA
某些形式的MFA容易受到網絡釣魚、“推送轟炸”、利用SS7協議漏洞和/或“SIM卡交換”技術的攻擊,如果這些嘗試成功,可能允許威脅參與者獲得訪問MFA的身份驗證憑證,或繞過MFA并訪問受MFA保護的系統。
8. 不充分的網絡共享和服務的訪問控制列表(ACLs)
數據共享和存儲庫是惡意行為者的主要目標,網絡管理員可能錯誤地配置ACL,以允許未經授權的用戶訪問共享驅動器上的敏感或管理數據。
攻擊者可以使用命令、開源工具或自定義惡意軟件來查找共享文件夾和驅動器。
(1)在一次入侵中,一個團隊觀察到攻擊者使用網絡共享命令(顯示本地計算機上共享資源的信息)和ntfsinfo命令來搜索受感染計算機上的網絡共享;在同一次攻擊中,攻擊者使用了自定義工具CovalentStealer,該工具旨在識別系統上的文件共享,對文件進行分類,并將文件上傳到遠程服務器。
(2)勒索軟件參與者使用SoftPerfect網絡掃描器,netscan.exe(可以ping計算機,掃描端口,并發現共享文件夾)和SharpShares來枚舉域中可訪問的網絡共享。
然后,惡意行為者可以從共享驅動器和文件夾中收集和泄露數據。接下來,他們可以將這些數據用于各種目的,例如勒索組織或在制定進一步網絡入侵計劃時作為情報。評估團隊通常會在網絡共享中發現敏感信息,這些信息可能會促進后續活動或提供敲詐勒索的機會,評估團隊能夠很輕松地找到包含服務帳戶、web應用程序甚至域管理員的明文憑據的驅動器。
9. 糟糕的憑證衛生
糟糕的憑據衛生有助于威脅參與者獲得用于初始訪問、持久性、橫向移動和其他后續活動的憑據,特別是在未啟用抗網絡釣魚MFA的情況下。糟糕的憑據衛生行為包括:
(1)易破解的密碼;
(2)明文密碼暴露;
易破解的密碼
易破解密碼是指惡意行為者可以使用相對便宜的計算資源在短時間內猜出的密碼,網絡上容易被破解的密碼通常源于缺乏密碼長度(即短于15個字符)和隨機性(即不是唯一的或可以猜測的)。
在評估過程中,評估團隊順利破解了NTLM用戶、Kerberos服務帳戶票證、NetNTLMv2和PFX存儲的密碼散列,使團隊能夠提升權限并在網絡內橫向移動。在12小時內,一個團隊破解了活動目錄中80%以上的用戶密碼,獲得了數百個有效憑據。
明文密碼暴露
以明文形式存儲密碼存在嚴重的安全風險,可以訪問包含明文密碼的文件的惡意行為者可以使用這些憑證在合法用戶的偽裝下登錄到受影響的應用程序或系統。在這種情況下,由于任何系統日志都會記錄訪問應用程序或系統的有效用戶帳戶,因此失去了可問責性。
惡意行為者會搜索文本文件、電子表格、文檔和配置文件,以求獲取明文密碼。評估團隊經常發現明文密碼,允許他們快速升級模擬入侵。
10. 無限制的代碼執行
如果允許未經驗證的程序在主機上執行,則威脅參與者可以在網絡中運行任意惡意有效負載,惡意參與者通常在獲得對系統的初始訪問權限后執行代碼。例如,在用戶落入網絡釣魚騙局之后,攻擊者通常會說服受害者在其工作站上運行代碼,以獲得對內部網絡的遠程訪問權限。這些代碼通常是一個未經驗證的程序,沒有合法的目的或商業理由在網絡上運行。
評估團隊和惡意參與者經常以可執行文件、動態鏈接庫(DLL)、HTML應用程序和宏(辦公自動化文檔中使用的腳本)的形式利用不受限制的代碼執行,來建立初始訪問、持久性和橫向移動。此外,參與者經常使用腳本語言來模糊他們的行為,并繞過允許列表——組織在默認情況下限制應用程序和其他形式的代碼,只允許那些已知和可信的代碼。此外,攻擊者可能會加載易受攻擊的驅動程序,然后利用驅動程序的已知漏洞,以最高級別的系統權限在內核中執行代碼,從而完全破壞設備。
緩解建議
NSA和CISA鼓勵網絡防御者實施本咨詢的“緩解”部分中的建議(包括以下內容),以減少惡意行為者利用已識別的錯誤配置的風險。
(1)刪除默認憑證并加固配置;
(2)禁用未使用的服務并實施嚴格的訪問控制;
(3)定期更新并自動化補丁過程,優先修補已知且已被利用的漏洞;
(4)減少、限制、審計和密切監控管理帳戶和權限。
NSA和CISA還敦促軟件開發商通過采用“設計即安全”策略來提高客戶端的安全性,具體緩解措施建議包括:
(1)從開發開始到整個軟件開發生命周期(SDLC),將安全控制嵌入產品架構中;
(2)消除默認密碼;
(3)免費為客戶提供高質量的,詳細且易于理解的審計日志;
(4)為特權用戶強制實施多因素認證(MFA),并將MFA作為默認而非可選功能,理想情況下可以防范網絡釣魚。
NSA和CISA推薦組織利用特定于企業的MITRE ATT&CK框架映射的威脅行為來演練、測試和驗證組織的安全計劃。此外,還建議測試組織現有的安全控制清單,以評估它們對建議中描述的ATT&CK技術的性能。
文章翻譯自:https://media.defense.gov/2023/Oct/05/2003314578/-1/-1/0/JOINT_CSA_TOP_TEN_MISCONFIGURATIONS_TLP-CLEAR.PDF如若轉載,請注明原文地址
