ENW ostatnim czasie w zakresie bezpieczeństwa bardzo dużo się dzieje, od ataków na całe sieci po wysublimowane ransomware typu Petya / WannaCry. Praktycznie każdy atak wykorzystuje podnoszenie uprawnień oraz konta uprzywilejowane, które pozwalają na sięganie do poświadczeń innych kont (np. w pamięci systemu operacyjnego), swobodne szyfrowanie danych czy wyłączanie systemów ochrony / tworzenie ścieżek backdoor / usuwanie logów.
Ostatnio w ramach pracy z narzędziami Cyberark trafiłem na bezpłatne narzędzie, które pozwala na wykonanie analizy pod względem wykorzystania oraz podatności kont uprzywilejowanych (konta administracyjne, współdzielone, serwisowe, aplikacyjne itp.). Program jest bardzo prosty w użyciu i nie wymaga dogłębnej analizy dokumentacji / przeprowadzania szkoleń.
Uruchomienie następuje poprzez wskazanie typu skanu (windows / linux, lokalnie, z domeny) oraz podanie odpowiednich poświadczeń (co istotne dane pozostają na stacji skanującej, bez dostępu do sieci zewnętrznej, aplikacja nie wymaga instalacji).
W przypadku trybu „ostrożnego” narzędzie nie zostawia żadnych śladów w systemach oraz na stacji z której wykonywane jest skanowanie, rozwiązanie posiada również tryb obszerny (do wyboru na wstępie skanowania) dzięki któremu wykonywana jest symulacja kradzieży poświadczeń kont uprzywilejowanych. Daje to dodatkową wartość dla działów bezpieczeństwa, gdyż nie tylko wykrywamy konta uprzywilejowane, skalę potencjalnej propagacji w sieci organizacji poprzez ataki takie jak pass-the-hash ale również pokazujemy gdzie dane dostępowe się znajdują i skąd intruz może je wykraść.
Do uruchomienia wymagane są poświadczenia domenowe dające uprawnienia do skanowania stacji i serwerów, albo poświadczenia wprowadzone indywidualnie do poszczególnych systemów (np. poprzez zdefiniowany plik csv).
Z danych powstaje raport, który daje odpowiedzi na takie pytania jak:
- ile kont uprzywilejowanych znajduje się w środowisku lokalnym oraz domenowym
- jaka jest skala wykorzystania kont serwisowych, zarówno lokalnych jak i domenowych
- jakie podatności związane kontami uprzywilejowanymi posiada organizacja, np. hasło konta uprzywilejowanego nie było zmieniane przez 14 lat (przykład jednego ze skanów), słabości związane z kluczami SSH, np brak ich rotacji, słabe algorytmy, klucze zagubione itp.
- jaka jest skala użycia ataku pass-the-hash, dzięki której widzimy możliwości propagacji w środowisku w przypadku przejęcia konkretnego konta w konkretnym systemie (stacji lub serwerze)
- możliwość wykonania ataku Golden Ticket w środowisku domenowym – jakie konta i stacje/serwery narażają organizację
- gdzie w aplikacjach zaszyte są konta uprzywilejowane oraz jakie, jakie mogą być tego skutki
- gdzie nadużywane są konta uprzywilejowane (np. lokalne konta administracyjne do celów biznesowych)
Wraz z moimi klientami wykonywałem wiele takich skanów. Co mnie zaciekawiło w wielu przypadkach pomimo stosowania konwencjonalnych systemów zabezpieczeń potencjalne przejęcie „podrzędnej stacji” pracownika może powodować niezauważalny przeskok w środowisku nie tylko na poziom serwerów, ale również kontrolerów domeny, skutkiem czego intruz może dostać się do dowolnego oprogramowania instytucji korzystającego z protokołów kerberos czy NTLM. Skan dzięki pokazaniu zależności pokazuje również które konta borykają się z problemem: „nie mogę zmienić hasła / klucza” bo wiem iż dane konto używane jest przez serwisy ale nie do końca wiem które. Rozwiązanie pozwala na neutralne spojrzenie na stan obecny środowiska od strony kont uprzywilejowanych, wprowadzenia korekt i zmniejszenia ryzyka ataku.
Dla zainteresowanych podaję nasz formularz, dzięki któremu mogę wygenerować klucz do uruchomienia programu oraz przesłać narzędzie.