103赵阳-确保AD域控安全应对网络高级威胁攻击（20页）.pdf

1、赵阳赵阳Tenable中国区总经理确保确保AD域控安全应对域控安全应对网络高级威胁攻击网络高级威胁攻击AD是网络基础设施的核心单元是网络基础设施的核心单元Active Directory拥有进入拥有进入企业内网的钥匙企业内网的钥匙控制身份验证，保留所有密码管理着对每一项重要资产的访问权是一款已有20年历史的产品设计升级AD配置更新多年的技术债务积累了太多问题Active Directory实现干净的实现干净的AD是一个神话是一个神话黑客知道如何利用它的弱点黑客知道如何利用它的弱点USERS&CREDENTIALSICS&SCADAE-MAILAPPLICATIONSCLOUD RESOURCE

2、SCORPORATE DATA几乎每起登上头版头条的信息泄露信息泄露事件背后都与已知漏洞和不安全的不安全的 Active Directory 有关！广泛被攻击的根本原因广泛被攻击的根本原因4UNITED NATIONSJanuary 2020SINGHEALTHOctober 2018CARBANAKFebruary 2015AURORAJanuary 2010SONYNovember 2014BALTIMOREJune 2019TARGETDecember 2013NORSK HYDROMarch 2019的企业存在严重关键配置错误的的企业存在严重关键配置错误的ACTIVE DIRECTOR

3、Y问题，根据全球组织进行的评估问题，根据全球组织进行的评估80%新恶意软件包括特定代码新恶意软件包括特定代码以攻击以攻击ACTIVE DIRECTORY为目标为目标利用利用CVE-2020-14725小时内，从初始网络小时内，从初始网络钓鱼到域管理员钓鱼到域管理员RYUK企业或组织企业或组织依赖依赖ACTIVE DIRECTORY服务服务95%现代安全攻杀链框架现代安全攻杀链框架针对选定目标针对选定目标的钓鱼活动的钓鱼活动初始端点初始端点中招中招公司基础公司基础设施制图设施制图本地权限本地权限获取获取横向移动横向移动特权帐户上的特权帐户上的凭据重现凭据重现AD的特权的特权升级升级后利用（持久后

4、利用（持久性、植入后门）性、植入后门）业务资源业务资源篡改篡改使用侧通道使用侧通道渗出数据渗出数据目标识别目标识别渗透测试渗透测试合规与审计工具合规与审计工具基于基于SIEM的相关性的相关性基于基于Agent的行为检测的行为检测AD安全问题，我们安全工程师关注太安全问题，我们安全工程师关注太少少黑客关注太多黑客关注太多目前采用的常见方法目前采用的常见方法RYUK 勒索软件勒索软件案例案例7通过网络钓鱼攻击作为附件分发的恶意文档文件（Dropper）用户被邀请打开附件，然后运行恶意代码（1）下载附加代码：Trickbot或EmotetTrojan.W97M.POWLOADTrojanSpy.Wi

5、n32.TRICKBOTOrTrojanSpy.Win32.EMOTETDropper下载Trickbot（2）或Emotet（2）用于：窃取凭据Active Directory侦察使用AD执行横向移动：MS17-010漏洞（SMB攻击）网络共享（泄露帐户）PsExec当检测到AD错误配置（攻击路径）时，将下载代码（3）的最后一部分并将其部署到企业中执行后，它将执行其加密例程：本地和共享文件被加密，赎金notes被激活Ransom.Win32.RYUK等待等待AD配置错误配置错误TRICKBOTDomainGrabberAV和和EDR被停用被停用1231223DomainGrabber代码是执

6、行代码是执行Active Directory侦察的特定侦察的特定“工具工具”Active Directory安全遇到的问题安全遇到的问题8二十年二十年AD安全基础未变安全基础未变 经过多年的发展和重组，AD可能会存在数百个隐藏的弱点和攻击途径 也是横向移动的机会1.存在大量的弱点可被利用存在大量的弱点可被利用 在大型组织中，每天都会出现多种新的攻击途径 复杂的威胁参与者从最初的感染到控制域只需要短短17分钟的时间2.不断涌现新的攻击途径不断涌现新的攻击途径4.数十年无助的检测技术数十年无助的检测技术 一些最恶性的攻击（例如DCSync和DCShadow）留下零跟踪，无法被老式基于日志和代理的检