Active Directory 中的攻击路径：您应该了解的内容

攻击路径是当今网络安全讨论的最前沿。但攻击路径到底是什么？为什么 Active Directory (AD) 特别容易受到攻击？您可以采取哪些措施来保护您的组织？这篇博文涵盖了所有这些问题以及更多问题。

什么是攻击路径？

了解什么是攻击路径的最佳方法是了解它不是什么。 IT 专业人员非常熟悉保护 Active Directory 安全的两个重要最佳实践：修补和漏洞管理。修补是应用更新来修复可能被攻击者利用的基于代码的漏洞的过程，例如 Microsoft Windows Server 操作系统中的缺陷。漏洞管理通过识别和修复 Active Directory 中可能被攻击者利用的错误配置（例如允许他们无限制地尝试猜测用户的密码）来增加另一层安全性。

攻击路径不是基于代码的漏洞或单个错误配置。相反，攻击路径是一系列可滥用的权限和操作，这些权限和操作可以使攻击者通过危害用户帐户来获得管理权限，甚至完全控制 IT 环境。

为什么 Active Directory 特别容易受到攻击？

攻击路径对于任何身份和访问管理 (IAM) 系统来说都是一个问题，因为控制身份平台会让对手完全控制组织的所有用户、系统和数据。

但由于多种原因，Active Directory 的问题最为严重。首先，Active Directory 是迄今为止使用最广泛的目录服务：据广泛报道，财富 1000 强公司中有 95% 使用 Active Directory。因此，专注于了解和利用 Active Directory 中攻击路径的对手有大量目标可供选择。此外，他们还拥有各种工具可供使用，包括 BloodHound、Mimikatz 和 Responder，这些工具是专门为滥用 Active Directory 和 Windows 功能而设计的。

使 Active Directory 容易受到攻击路径的另一个因素是其复杂性和缺乏透明度。 AD 管理员有多种向帐户授予权限的选项，包括直接授予权限和通过 Active Directory 安全组授予权限，并且组策略提供了数千种也会影响访问控制的设置。同时，几乎不可能准确地审核权限以确定谁拥有特定 AD 对象的权限或已授予安全组哪些有效权限。

同样，正确管理组策略对象 (GPO) 的权限也可能很困难；您不仅需要考虑 GPO 本身的权限，还需要考虑组策略创建者所有者组、AD 中的 System/Policies 文件夹、域控制器 (DC) 上的 sysvol 文件夹以及域根和组织上的 gpLink 和 gpOptions 属性单位 (OU)。此外，发现并克服继承阻塞、链接优先级不正确以及未能将计算机放置在正确的 OU 等问题是一个真正的挑战。

最后，是时间无情的前进。 Active Directory 已经存在了二十多年，对于许多组织来说，有足够的时间以复杂的策略、深度嵌套的特权等形式建立大量的技术债务。这些因素共同使得攻击路径在任何 Active Directory 环境中几乎不可避免，并且成为非常紧迫的网络安全问题。

网络攻击的五个阶段

正如我们所见，攻击路径使攻击者能够控制 Active Directory。控制 AD 使他们能够实现真正的目标：窃取数据、释放勒索软件、造成停机等等。

这个过程一般需要时间；事实上，入侵者在 IT 生态系统中的平均停留时间现在达到惊人的 287 天，即超过 9 个月。为了了解这一切是如何运作的，让我们回顾一下网络攻击的五个阶段。

1. 侦察

对手首先确定目标组织并收集有关它们的信息。主要关注点包括他们可能能够窃取哪些有价值的数据、他们可以从勒索软件攻击中获得多大的回报以及任务可能有多困难。侦察可以是被动的，包括使用税务记录、职位发布和社交媒体等公共资源来发现组织使用的系统和应用程序、员工姓名等。侦察还可以涉及网络和端口扫描等主动技术，以了解目标组织的网络架构、防火墙和入侵检测程序、操作系统和应用程序以及其端口上托管的服务。

2. 规划

接下来，攻击者确定使用哪个攻击向量进行渗透。示例包括利用零日漏洞、发起网络钓鱼活动或贿赂员工提供凭据或部署恶意软件。

3. 入侵

然后，攻击者使用所选的攻击向量来尝试突破组织的网络边界。例如，攻击者可能会成功猜测员工的用户 ID 和密码，通过未修补或配置错误的系统获得访问权限，或者诱骗员工启动隐藏在网络钓鱼电子邮件恶意附件中的恶意软件。

4.横向移动和权限升级

一旦进入网络，对手将寻求升级其权限并危害其他系统，以便定位敏感数据或访问其他关键资源。他们还想保持访问权限。为了实现这种持久性，他们可能会创建新的用户帐户、修改设置甚至安装后门。

这就是攻击路径发挥作用的地方。通过利用攻击路径，攻击者可以将其权限从普通用户升级为管理员，甚至域管理员，这使他们在域中拥有无限的权力。

此外，通过危害授权用户和管理员帐户，攻击者可以使他们的活动难以被发现。一旦他们声称拥有足够的权限，他们就可以通过使系统错误地报告一切正常来进一步逃避检测。

5. 渗漏和清理

最后，攻击者会窃取或加密组织的数据，或者可能破坏系统以扰乱业务运营。此外，他们还经常试图掩盖自己的踪迹，以阻止调查并阻止组织加强对未来攻击的防御。技术包括卸载攻击中使用的程序或脚本，删除它们创建的任何文件夹或帐户，以及修改、损坏或删除审核日志。

有哪些常见的攻击路径？

攻击路径通常涉及隐藏权限、嵌套组成员身份和 AD 架构中固有的安全漏洞的组合。让我们看几个例子。

实施例1

首先，假设攻击者泄露了用户 Alex 帐户的凭据。这为攻击者提供了分配给 Alex 的所有权限，无论是通过直接权限分配、直接组成员身份还是嵌套组成员身份。在本例中，Alex 帐户是 HelpDesk 组的成员，而 HelpDesk 组又是 Workstation Admins 组的成员，如下所示：

这种安全组的嵌套非常常见，它可以为普通用户帐户提供比其应有的更多的权限，并且远远超出任何人意识到的权限。在这种情况下，工作站管理员组具有 PCI-Server-01 计算机的本地管理员权限，该计算机具有来自 AD 服务帐户 SVC_PRDRMV 的登录会话：

对于攻击者来说，滥用 Windows 令牌模型并获取此服务帐户的凭据是微不足道的，这为他们提供了对域管理员组的“添加成员”权限。将帐户添加到该组后，攻击者就完成了对攻击路径的利用，现在他们可以完全控制 Active Directory。

实施例2

其他示例在点播网络广播“不安全的 GPO 如何在 AD 中创建真实攻击路径”中共享。您应该观看网络广播，了解 GPO 如何在攻击路径中发挥作用的完整说明，但这里是一种攻击路径的简要说明：考虑一个被委派编辑 GPO 权限的用户帐户。通过泄露用户的凭据，攻击者就拥有了控制 AD 域的攻击路径。通过修改 GPO，他们可以导致另一个用户帐户在下次登录时执行恶意 PowerShell 脚本。该脚本将使攻击者能够控制该帐户 - 该帐户拥有域管理员组的通用权限。结果，攻击者可以将他们喜欢的任何帐户添加到域管理员中，游戏就结束了：他们控制了 Active Directory。

如何查找并关闭攻击路径：攻击路径管理

请注意，在上面的两个示例中都没有发现未修补的系统或简单的错误配置。因此，补丁管理和漏洞管理都无法阻止攻击，当威胁管理解决方案发现攻击时，对手将是域管理员。

为了获得强大的 Active Directory 安全性，需要进行攻击路径管理。攻击路径管理不是孤立地查看漏洞或配置错误，而是分析 Active Directory 中的对象之间的关系以及它们之间应用的复杂权限，以识别攻击者可能采取的攻击步骤序列普通用户帐户可以控制关键资产甚至 Active Directory 本身。

当然，仅仅识别攻击路径是不够的。您还希望能够修复它们以防止对手接管您的 AD。但现实情况是，在大多数组织中，存在数千甚至数百万条攻击路径。一一阻拦，根本行不通。相反，您需要一个攻击路径管理工具来识别多个攻击路径共享的阻塞点。阻塞点是许多攻击路径事件链中的最后一段。通过修复阻塞点，您可以消除依赖它的所有攻击路径。

例如，假设 92% 的用户帐户可用于滥用一种特定的攻击路径，21% 的用户帐户可作为另一种攻击路径的可能起点，57% 的用户帐户可用于启动第三种攻击路径（总数超过 100%）因为任何特定帐户都可能是多个攻击路径的第一步）。通过修复第一个攻击路径的阻塞点，您可以消除通过其下面的所有用户帐户的攻击路径，这可以显着减少攻击面。

另一个重要组成部分：攻击路径监控

虽然修复阻塞点是解决攻击路径问题的理想解决方案，但立即采取行动并不总是可行。事实上，许多组织无法快速解决所有瓶颈，因为他们的 Active Directory 中有太多技术债务。 Active Directory 中的对象之间的关系以及它们之间应用的权限非常复杂，以至于进行更改会带来破坏事物的风险，例如依赖于特定权限的关键应用程序。

因此，将攻击路径识别与攻击路径监控相结合至关重要 - 持续观察是否有任何攻击路径实际上被利用，以便您可以迅速采取行动，而不是让入侵者有延长的停留时间沿着攻击路径前进您的关键 IT 资产。特别是，寻找实时威胁监控和变更管理解决方案，该解决方案将：

• 实时监控 Active Directory 的活动攻击和妥协指标 (IOC)，例如 AD 数据库渗透尝试、黄金票据漏洞和 DCSync 攻击。
• 通过阻止更改和访问特权组、GPO 和 NTDS.dit 文件等关键资产，阻止攻击者利用攻击媒介。
• 审核 Active Directory 和 Azure AD 环境中的安全更改。

结论

重要的是要记住，攻击路径管理不是“一劳永逸”的任务。现代计算环境复杂且高度动态，帐户、权限、应用程序和 GPO 不断变化。因此，新的攻击路径一直在出现，因此您需要定期主动寻找它们，并及时采取措施进行修复或至少监控它们。