2赵阳-确保AD域控安全应对网络高级威胁攻击（22页）.pdf

1、赵阳/总经理/Tenable中国区现任Tenable中国区总经理，超过20年的安全及IT领域从业经验，有着丰富的网络安全技术及销售背景，了解国内外最新的安全技术动态，也曾参与国内多家大型金融机构及企业的网络安全项目建设。演讲主题：确保AD域控安全应对网络高级威胁攻击赵阳赵阳Tenable中国区总经理确保确保AD域控安全应对域控安全应对网络高级威胁攻击网络高级威胁攻击AD是网络基础设施的核心单元是网络基础设施的核心单元Active Directory拥有进入拥有进入企业内网的钥匙企业内网的钥匙控制身份验证，保留所有密码管理着对每一项重要资产的访问权是一款已有20年历史的产品设计升级AD配置更新多

2、年的技术债务积累了太多问题Active Directory实现干净的实现干净的AD是一个神话是一个神话黑客知道如何利用它的弱点黑客知道如何利用它的弱点USERS&CREDENTIALSICS&SCADAE-M AILAPPLICATIONSCLOUD RESOURCESCORPORATE DATA几乎每起登上头版头条的信息泄露信息泄露事件背后都与已知漏洞和不安全的不安全的 Active Directory 有关！广泛被攻击的根本原因广泛被攻击的根本原因6UNITED NATIONSJanuary 2020SINGHEALTHOctober 2018CARBANAKFebruary 2015AU

3、RORAJanuary 2010SONYNovember 2014BALTIM OREJune 2019TARGETDecember 2013NORSK HYDROM arch 2019的企业存在严重关键配置错误的的企业存在严重关键配置错误的ACTIVE DIRECTORY问题，根据全球组织进行的评估问题，根据全球组织进行的评估80%新恶意软件包括特定代码新恶意软件包括特定代码以攻击以攻击ACTIVE DIRECTORY为目标为目标利用利用CVE-2020-14725小时内，从初始网络小时内，从初始网络钓鱼到域管理员钓鱼到域管理员RYUK企业或组织企业或组织依赖依赖ACTIVE DIRECTO

4、RY服务服务 95%RYUK 勒索软件勒索软件案例案例8通过网络钓鱼攻击作为附件分发的恶意文档文件（Dropper）用户被邀请打开附件，然后运行恶意代码（1）下载附加代码：Trickbot或EmotetTrojan.W97M.POWLOADTrojanSpy.Win32.TRICKBOTOrTrojanSpy.Win32.EM OTETDropper下载Trickbot（2）或Emotet（2）用于：窃取凭据Active Directory侦察使用AD执行横向移动：M S17-010漏洞（SM B攻击）网络共享（泄露帐户）PsExec当检测到AD错误配置（攻击路径）时，将下载代码（3）的最后一

5、部分并将其部署到企业中执行后，它将执行其加密例程：本地和共享文件被加密，赎金notes被激活Ransom.Win32.RYUK等待等待AD配置错误配置错误TRICKBOTDomainGrabberAV和和EDR被停用被停用1231223DomainGrabber代码是执行代码是执行Active Directory侦察的特定侦察的特定“工具工具”AD 安全技能不足安全技能不足危险的信任关系危险的信任关系管理员权限不清管理员权限不清脆弱配置脆弱配置无心之过无心之过(错误配置错误配置)461087定期安全评估定期安全评估基线检查基线检查渗透测试渗透测试水上水上AD GPO策略梳理策略梳理针对针对AD

6、特定攻击检测特定攻击检测持续攻击持续攻击/后门程序检测后门程序检测5119123AD安全面临的挑战安全面临的挑战水下水下渗透测试渗透测试合规与审计工具合规与审计工具基于基于SIEM 的相关性的相关性基于基于Agent的行为检测的行为检测目前采用的常见方法目前采用的常见方法Active Directory安全遇到的问题安全遇到的问题10二十年二十年AD安全基础未变安全基础未变 经过多年的发展和重组，AD可能会存在数百个隐藏的弱点和攻击途径 也是横向移动的机会1.存在大量的弱点可被利用存在大量的弱点可被利用 在大型组织中，每天都会出现多种新的攻击途径 复杂的威胁参与者从最初的感染到控制域只需要短短