组策略攻击：如何防御

阻止组策略攻击的最佳方法是采用深度防御方法，该方法涵盖 NIST 网络安全框架 (CSF) 详细说明的所有支柱。本文解释了您需要了解的内容：组策略目前如何受到攻击、使组策略成为如此有吸引力的目标的具体因素，以及您的组织可以实施的核心策略来保护您的组策略以及您的业务。

现实世界中滥用组策略的网络攻击的剖析

Mandiant 开发的手册展示了组策略滥用如何适应更广泛的网络攻击。虽然人们通常根据网络攻击的结果来考虑网络攻击（例如勒索软件加密公司的所有数据），但事实是，大多数网络攻击都会在相当长的一段时间内小心地展开。 Mandiant 行动手册概述了以下五个操作阶段：

1. 生活在边缘——首先，对手需要进入受害者的网络。 （当然，恶意内部人员可以完全跳过此阶段，因为他们已经在网络内部。）Mandiant 指出，攻击者经常通过破坏路由器、VPN、防火墙和邮件等边缘基础设施组件来获得（或重新获得）对目标环境的访问权限。服务器。
2. 靠陆地生活——一旦进入，恶意行为者就会想要在环境中移动，同时逃避检测。一项关键技术是使用操作系统组件和预安装软件等内置工具，以便它们的活动与正常的日常操作融为一体。
3. 攻击 GPO - 通常，网络犯罪分子的访问权限相对有限，例如对普通用户帐户的控制。但这些权利通常不足以实现诸如窃取有价值的数据或通过在一个用户工作站之外传播勒索软件来使操作陷入停顿等目标。因此，他们花费数天、数周、数月甚至数年的时间小心翼翼地努力扩大他们的影响力。滥用组策略是特权升级的有效策略。
4. 破坏和拒绝——一旦对手获得了所需的访问权限，他们就会部署勒索软件、文件擦除器和其他恶意负载。组策略在此操作阶段也可能被滥用，因为它的许多合法用途之一是跨网络中的设备部署软件。
5. 传达“成功”——最后，对手使用 Telegram 等即时通讯服务来传播成功破坏的故事。正如 Mandiant 指出的那样，他们这样做并不考虑攻击的实际影响。

这本剧本在实践中是什么样的？让我们回顾一下最近发生的一些事件，看看恶意行为者在破坏受害者组织后是如何滥用组策略的。

SwiftSlicer：滥用组策略在联网计算机上分发恶意软件

2023 年 1 月，乌克兰国家通讯社遭到 SwiftSlicer 的攻击，该恶意软件旨在擦除文件，甚至瘫痪整个 Windows 域。此次袭击归咎于俄罗斯支持的组织“沙虫”。

在本例中，组策略用于将恶意软件分发到网络上的多台计算机。在早期的攻击中，Sandworm 使用相同的滥用组策略技术来植入其他擦除器恶意软件，例如 HermeticWiper 和 CaddyWiper。

UNC3810：滥用组策略来分发和执行恶意软件

UNC3810 是一个与俄罗斯军事情报部门 (GRU) 有联系的威胁组织，近年来针对乌克兰组织开展了许多间谍和破坏行动。 针对政府机构的一次攻击采用了 CADDYWIPER 恶意软件，该恶意软件旨在枚举文件系统的物理驱动器并用空字节覆盖文件内容和分区。

在该事件中，UNC3810通过两种方式滥用组策略：

• 与 SwiftSlicer 一样，他们更改了 GPO，以便在加入受害组织 Active Directory 域的所有系统上部署恶意软件。
• 他们还使用组策略创建执行恶意软件的计划任务。

Mango Sandstorm：滥用组策略来盲目防御控制并传播到云端

2023 年 4 月，微软威胁情报报告了与伊朗情报和安全部有联系的恶意软件团伙 Mango Sandstorm（以前称为 Mercury 或 Muddywater）发起的攻击。该事件始于受害者的本地环境，并扩展到云端，破坏了服务器场、存储帐户、虚拟机和虚拟网络。

在这种情况下，威胁行为者通过两种方式滥用组策略：

• 他们修改了 GPO 以削弱组织的安全控制，从而使他们能够在不被发现的情况下传播恶意软件。
• 与 UNC3810 一样，他们使用组策略注册计划任务来部署勒索软件。

滥用组策略的关键技术

这些事件揭示了攻击者通过滥用组策略实现的四个关键目标：

• 避免被发现
• 从一台设备或系统转移到其他设备或系统
• 增加他们的访问权限
• 部署恶意软件

但恶意行为者究竟如何使用来实现这些目标呢？以下是一些最常见的技术。

禁用防御控制以避免被发现

许多安全解决方案都有组策略界面。例如，IT 专业人员可以使用组策略来配置和管理某些 Microsoft Defender 防病毒设置。不幸的是，对手可能会滥用这种能力。例如，他们可以从 Microsoft Defender 防病毒扫描中排除某些文件或文件夹，以便他们可以在系统上植入恶意代码或其他文件而不被检测到和阻止。

事实上，这种类型的组策略滥用是前面描述的 Mango Sandstorm 攻击的关键部分：该组织使用组策略损害受害者组织的防病毒软件，以便他们在植入和执行勒索软件时可以避免检测。

创建计划任务来部署恶意软件

Windows 任务计划程序服务可以运行在特定时间或发生特定事件时自动运行的任何可执行文件。通过将此功能与组策略相结合，管理员可以执行各种有用的任务，例如每当用户注销时执行某些清理操作。不幸的是，攻击者可以轻松地滥用此功能来创建计划任务来执行恶意软件，就像 Mango Sandstorm 和 UNC3810 事件一样。

此外，还有其他方法可以滥用计划任务。例如，攻击者可以创建一个即时任务并在 AD 用户帐户下运行它：该任务将在用户登录后立即运行，启动该帐户有权运行的任何可执行文件，然后将其自身删除。这种技术既可以实现横向移动，也可以实现特权升级；例如，对手可以进行凭证转储以危害其他帐户。对手还可以以 SYSTEM 而不是特定用户身份运行任务，如果这对他们当前的目标更有利的话。

更重要的是，该活动实际上是不可见的，因为它是以合法用户身份运行的；即使帐户被滥用的用户也不知道发生了这种情况。

以 SYSTEM 身份执行启动脚本

计划任务需要外部可执行文件，这在某些情况下可能会成为障碍。为了解决这个问题，攻击者可以将脚本与 GPO 打包并将其设置为在启动或关闭时执行。换句话说，脚本存储在组策略对象中，为攻击者提供了完全独立的选项。

此技术的主要缺点是脚本可以设置为仅在启动或关闭时运行，而计划任务可以在特定时间或特定事件时触发。因此，攻击者很难准确知道脚本何时执行。

为什么组策略是首要目标

为了针对利用组策略的攻击制定有效的防御策略，准确考虑为什么组策略对攻击者如此有吸引力的目标是有用的。组策略的关键因素是：

• 无处不在 - 网络犯罪日益成为组织良好的团体的工具，包括以利润为目的的勒索软件团伙和一心想要破坏和破坏的民族国家。为了最大限度地提高其有效性，这些恶意行为者会针对在高比例环境中使用的技术。组策略完全符合要求，因为它是 Active Directory 的一个组成部分，并且当今几乎每个组织都拥有 Active Directory。即使将工作负载迁移到云的组织通常也会维护其本地 Active Directory，因为他们需要支持遗留工作负载、遵守严格的数据安全要求等。
• 灵活 - GPO 在链接到至少一个站点、域、组织单位 (OU) 或其他 Active Directory 容器之前不会执行任何操作。这种链接很快就会变得非常复杂！任何给定的容器都可以（并且经常）有多个与其链接的 GPO。如果这些 GPO 的设置存在冲突，则有一些规则可以确定 GPO 的应用顺序以及哪些设置生效。对手滥用这种灵活性；例如，他们可以使用 Windows Management Instrumentation (WMI) 过滤器更改哪些 GPO 应用于哪些设备。
• 任何人都可读 - 根据设计，每个用户不仅可以看到存在的 GPO，还可以看到它们的应用位置以及谁有权访问它们。这意味着接管任何用户帐户的黑客也可以看到所有这些信息。由于 IT 团队通常为 Active Directory 中的对象选择描述性名称以简化管理，因此攻击者可以轻松找到指导和完善攻击所需的信息。
• 难以使用本机审核进行监控 - 默认情况下，不启用本机组策略审核。即使是这样，检查安全日志的管理员也可以看到 GPO 已被更改，但不能确切地看到所做的更改。另外，细节相当神秘；例如，GPO 通过其 GUID 来标识，这并不是特别有用。最后，没有足够的 IT 专业人员接受过使用本机工具监视和管理组策略所需的深入 Active Directory 培训。
• 极其强大 - 组策略使 IT 管理员能够集中管理 AD 域中的用户和计算机，包括 IT 管理员等高权限用户和域控制器 (DC) 等关键服务器。此外，组策略提供了数千种设置，并在非常特权的进程下运行。通过获得组策略的控制权，对手几乎可以做任何他们想做的事情，而不必花费数周或数月的时间来努力完成他们的任务。
• 经常被渗透测试人员忽视——渗透测试人员接受过像对手一样思考的培训，但他们根本不具备像实际对手那样行事的风险承受能力。毕竟，攻击者想要造成损害，而红队的目标是在不造成任何损害的情况下证明漏洞存在。正如我们所看到的，组策略既复杂又强大，渗透测试人员通常缺乏有效更改它的专业知识，也缺乏在测试完成后将其恢复正常的信心。因此，他们的报告通常无法详细说明组策略如何容易受到攻击。

保护组策略的深度防御方法

芒果沙尘暴攻击后，微软为寻求提高防御能力的组织提供了指导。不幸的是，他们关于保护组策略的建议只是让组织配置其移动设备管理 (MDM) 解决方案，以便客户端忽略组策略。出于多种原因，这不是一个很好的解决方案；最重要的一点是 MDM 解决方案不适用于服务器，这对于组策略来说是一个巨大的风险因素。

提高组策略安全性的更好方法是使用经过时间考验的框架（如 NIST CSF）的深度防御策略。它详细介绍了需要关注的五个（很快将是六个）关键功能：识别、保护、治理（正在进行中）、检测、响应和恢复。让我们探讨您的组织如何提高每个关键领域的组策略安全性。

识别：发现 GPO 攻击路径。

了解哪些 GPO 适用于最关键（第 0 层）资产（例如域控制器和域管理员等高特权用户）至关重要。但组策略很复杂，大多数组织甚至没有充分了解他们拥有哪些第 0 层资产。

SpecterOps Bloodhound Enterprise 将自动为您编目您的第 0 层资产，并识别适用于任何这些第 0 层资产的所有 GPO。组织常常对分析揭示的内容感到震惊。例如，通常有一台服务器将本地目录同步到 Microsoft 云。该服务器显然是一项关键资产，但通常它与域控制器不在同一 OU 中。相反，它隐藏在一些通用服务器 OU 中，因此应用于它的 GPO 不适合其敏感级别。许多组织还发现所有经过身份验证的用户都拥有至少某些组策略对象的权限。 Bloodhound Enterprise 以清晰的可视化方式呈现此信息，以便您准确了解哪些策略适用于哪些资产。

保护：锁定您的关键 GPO。

您还希望防止最关键的 GPO 被更改。这样，对手将更难控制您的 IT 环境，这总是一件好事。正确的变革管理解决方案将为您提供这种至关重要的超能力。

治理：实施 GPO 治理。

各种规模的组织通常拥有大量可以修改组策略的帐户。这为攻击者提供了很多机会：通过危害其中任何一个帐户，他们就可以控制 Active Directory 的一项极其强大的功能。

降低这种风险的一个好方法是投资组策略管理解决方案。这样，您就拥有一组用于管理组策略的凭据。所有委托均在治理工具内处理。您通常还会获得其他有价值的好处，例如版本控制、回滚功能和审批工作流程。

检测并响应：使用 GPO 感知审核。

您还需要高级 Active Directory 审核，以便可以监控组策略周围的活动、获取有关可疑事件的实时警报、详细了解发生的更改，并及时恢复不需要的更改并采取其他响应操作。如前所述，本机审核根本无法提供如此广泛的可见性和控制，但第三方 Active Directory 审核解决方案可以。确保您选择的任何解决方案都完全支持 GPO。

恢复：确保您可以恢复组策略。

最后但并非最不重要的一点是，您必须为灾难做好准备。即使攻击并非专门针对您的组策略，如果您的 Active Directory 被清除，您的 GPO 也会随之被清除。

重要的是要了解，简单的数据备份无法让您恢复 Active Directory 和组策略。您需要一个详细的 Active Directory 灾难恢复策略，并由完全 GPO 感知的企业级 Active Directory 备份和恢复解决方案提供支持。

结论

组策略是攻击者越来越常见的目标 — 如此常见，以至于 Mandiant 将其五步手册中的整个步骤都专门用于 GPO。保护组织的最佳方法是构建涵盖 NIST CSF 详细说明的所有支柱的深度防御方法。