AD安全最佳实践和攻击

Active Directory 安全（AD 安全）至关重要，原因很简单：Active Directory 本身至关重要。

Active Directory 提供大多数业务运营所需的基本身份验证和授权服务。 AD 安全性中的弱点可能会使恶意行为者能够加密或泄露您的敏感数据，甚至清除您的域控制器 (DC)，从而使您的业务陷入停顿。

AD 安全是我已经讨论过很多次的话题，但今天我将采取不同的方法，分析过去几个月中一些最严重的 Active Directory 攻击，并就可以学到的关键经验教训提供我的看法从他们。我希望这提供了您可以采取的可行步骤来增强 Active Directory 环境的安全性。我将从一些快速提示开始，然后转向一些更深入的策略。

为什么 AD 安全比以往任何时候都更加重要

在深入了解细节之前，让我们先从整体上看一下为什么 AD 安全在今天比以往任何时候都更加重要。通过回顾最近的网络攻击，我已经能够确定与 AD 安全高度相关的几个关键趋势。

Microsoft 不断投资于云安全控制，因此攻击者继续瞄准本地环境。

Microsoft 认识到在 Microsoft 365 和 Azure AD（现为 Entra ID）中获得可靠的基准安全性是多么重要。他们一直在稳步推出技术和政策来帮助组织保护其云生态系统。例如，Azure AD 多重身份验证 (MFA) 通过要求第二种身份验证方法（例如电话、短信、移动应用通知或 OAuth 令牌）来帮助使被盗的凭据变得无用。 Azure 基于角色的访问控制 (RBAC) 可通过分配适当的角色来精细控制用户的访问级别。

但发现云环境大门紧闭的对手并不会轻易放弃。相反，他们寻找另一种方式进入网络。这通常意味着攻击本地环境。事实上，我毫不费力地找到了大量本地 Active Directory 攻击并在这篇文章中介绍。这意味着 AD 安全必须仍然是组织的首要关注点。

我们看到勒索软件市场的全球化。

与 AD 安全相关的另一个重要趋势是攻击的来源。人们倾向于认为商业勒索软件运营商或勒索软件作为一种服务是东欧现象。虽然进行可靠的归因总是很困难，但很明显，我们开始看到更多的网络攻击来自其他地区，特别是中美洲、南美洲和中东。这种趋势导致了我们所看到的网络攻击的数量和种类。

网络犯罪，尤其是勒索软件，现在已成为一门生意。

网络犯罪分子现在以价值数百万美元的集团形式运作。说明这一趋势的一个事件是与俄罗斯有联系的网络犯罪团伙 LockBit 针对英国邮政和快递公司皇家邮政 (Royal Mail) 发起的勒索软件攻击。高达 8000 万美元（6700 万英镑）的赎金要求引发了双方之间的长时间对话——这些对话记录在已发布的聊天记录中，显然是由 LockBit 发布的。 LockBit代表反复使用“谈判”这个词，并表示，“我和你一样想赚钱，你和我在金钱方面有相同的动机，你的任务是尽可能降低价格，我的任务是”就是要得到最大的金额。 ” 他们甚至邀请皇家邮政“还价”。 ”

LockBit团伙在另一起事件中也展现了其商业思维。它对病童医院 (SickKids) 发起了勒索软件攻击，这是一家位于多伦多的教学和研究医院，专注于为儿童提供医疗保健。袭击事件成为新闻后不久，该团伙采取了史无前例的步骤，为网络攻击道歉，并向医院提供解密密钥。该声明充满了商业语言：它指的是发起攻击的“合作伙伴”，称他们“违反了我们的规则”，并声称他们不再“在我们的联盟计划中”。对这些行为的一种解释是，LockBit 团伙毕竟是有心的。但另一个原因是他们正在做出战略决策：攻击医疗保健组织对商业不利，因为它往往会刺激政府和其他防御者对勒索软件“行业”采取行动。 ”

网络犯罪日益成为治国之道的工具。

以营利为目的的网络犯罪集团并不是 AD 安全团队需要担心的唯一威胁。尽管多年来民族国家一直被指责为包括 Stuxnet 和 NotPetya 在内的一系列网络攻击的罪魁祸首，但攻击的频率、强度和复杂性似乎都在不断增加。

而且，参与的参与者数量正在不断扩大。美国网络安全和基础设施安全局 (CISA) 目前维护着包含有关来自中国、俄罗斯、朝鲜和伊朗的国家支持的网络威胁的情报的网页。但有证据表明袭击也与其他国家有关，包括印度、越南、白俄罗斯、阿拉伯联合酋长国和沙特阿拉伯。

现在，让我们看看我们可以从最近针对 Active Directory 的特定攻击中学到哪些 AD 安全经验教训。

LastPass 上的网络攻击

密码管理器提供商 LastPass 披露了两起漏洞，攻击者获得了产品源代码和其他专有技术信息的访问权限，然后访问了 LastPass 使用的第三方云存储服务中的一些客户信息。

据 LastPass 称，攻击者通过瞄准一名开发人员的家用计算机并利用易受攻击的媒体软件执行远程代码来获得最初的立足点。通过部署键盘记录器恶意软件，威胁行为者能够在员工通过 MFA 进行身份验证后，在输入时捕获员工的主密码，从而获得对开发人员的 LastPass 公司保险库的访问权限。

快速 AD 安全提示：使用特权访问工作站 (PAW)。

虽然要求对特权访问进行多重身份验证是任何 AD 安全性的重要组成部分，但这还不够。由于高特权帐户提供了更高的访问权限，攻击者会无情地瞄准这些帐户。因此，另一个关键的最佳实践是使用特权访问工作站——加固的计算机，这是用户可以使用特权凭据登录的唯一地方。由于 PAW 不允许运行家庭媒体软件等易受攻击的应用程序，因此攻击者要攻破它们的难度要大得多。

使用 PAW 还意味着禁止在其他计算机上使用特权凭据 - 管理员必须使用其常规用户帐户来检查电子邮件或访问网站。这种做法消除了特权帐户的密码哈希值存储在普通用户计算机的本地安全授权子系统 (LSASS) 进程的内存中，从而被对手获取和滥用的风险——这是破坏 AD 安全的常见策略。

供应链攻击

我们还看到攻击者持续追踪供应链中的链接，他们可以利用这些链接在组织之间跳转，直到找到他们想要利用的受害者（或多个受害者！）。企业供应链是首要目标。其中最著名的事件之一是 SolarWinds 漏洞，可疑的民族国家黑客将恶意代码部署到该公司的 IT 监控和管理软件中，使他们能够危害数千名 SolarWinds 客户的数据、网络和系统，并可能危害他们的客户和系统。合作伙伴也是如此。另一个例子是利用 Log4j 中的漏洞，几乎每个使用 Java 的组织都在使用 Log4j 库。在 2023 年迄今为止最严重的黑客攻击之一中，威胁行为者利用 MOVEit Transfer 中的零日漏洞窃取了使用文件传输服务的 1,000 多个组织的数据，影响了超过 6000 万受影响的个人。

但袭击也影响了个人供应链，包括食品和能源。对都乐食品 (Dole Foods) 的勒索软件攻击导致杂货店货架上的新鲜农产品短缺，而对巴西肉类供应商 JBS 的协调网络攻击使其牛肉和猪肉屠宰场瘫痪，影响了美国、加拿大和澳大利亚的设施。对殖民地管道的一次广为人知的袭击导致加油站燃料短缺，引发恐慌性购买和价格急剧上涨。

快速 AD 安全提示：实施强大的供应链管理。

随着这些违规行为继续成为头条新闻，您的客户将越来越多地询问您的供应链。他们会想知道您是否正在使用受到损害的产品或技术。您需要能够回答这些问题。此外，您希望降低答案为“是”的风险。 ”

这需要扩大您对 AD 安全性的理解，以涵盖整个供应链。盘点您使用的第三方产品和服务至关重要。此外，深入研究供应链中实体的安全实践，并使用该信息就您选择与哪些组织开展业务做出明智的决策。

梭鱼

2023 年 6 月，梭子鱼电子邮件安全网关 (ESG) 设备遭到入侵，可修改 BIOS 的签名密钥受到影响。梭子鱼表示，它无法保证能够使这些机器再次清洁和安全，因此该公司建议受影响的客户更换所有受损的设备；梭子鱼免费提供新设备。

快速 AD 安全提示：确保您拥有灵活的恢复选项。

虽然这次检修肯定很不方便，但至少相当简单：很容易准确判断数据中心中的哪些设备是梭子鱼 ESG 设备。但假设攻击者能够对特定品牌的主板执行类似的攻击。您甚至能准确地说出您的哪些机器具有特定供应商的主板吗？我们大多数人都没有这种程度的可见性。

为了做好应对此类攻击的准备，您的 AD 安全策略必须包含强大的灾难恢复计划，为您提供灵活的恢复选项。特别是，如果您的物理基础设施受到损害并且您无法信任您的硬件，则您需要能够恢复到云。

快速切片器

2023 年 1 月，乌克兰国家通讯社遭到 SwiftSlicer 的攻击，这是一种数据擦除恶意软件，旨在破坏文件，甚至瘫痪整个 Windows 域。这次袭击是由俄罗斯支持的组织 Sandworm 发起的。

快速 AD 安全提示：保护组策略。

SandWorm 通过滥用 Active Directory 组策略将恶意软件分发到网络上的计算机。在早期的攻击中，该组织使用相同的策略来策划其他擦除器恶意软件，例如 HermeticWiper 和 CaddyWiper。

增强AD安全性的一个重要方法是保护组策略免受不当更改。某些更改管理解决方案使您能够主动阻止对组策略对象 (GPO) 的更改，以及对其他敏感对象（例如高特权安全组）的更改。

伏特台风

现在让我们深入研究最近的攻击，看看它们对 AD 安全意味着什么。 2023 年 5 月，微软强调了由中国政府资助的组织 Volt Typhoon 的恶意活动，指出其目的是开发“在未来危机期间可能破坏美国和亚洲地区之间关键通信基础设施的能力”。该活动影响了各个领域的组织，包括通信、制造、公用事业、交通、建筑、政府、信息技术和教育。

关键要点：对手试图避免被发现。

我们倾向于根据网络攻击的最终结果来考虑网络攻击，例如屏幕上出现的赎金要求或服务失败。但事实是，许多网络攻击是在几天、几周甚至几个月的时间内发生的，因为对手努力获得完成任务所需的访问权限。在此期间，他们会尽力避免触发任何警报。

伏特台风就是一个很好的例子。根据微软的分析，Volt Typhoon 广泛依赖于 live-off-the-land (LOTL) 技术，即使用环境中已有的工具，而不是安装自己的代码或脚本。例如，他们滥用本地安全机构子系统服务（LSASS）转储凭据，并使用命令行工具 Ntdsutil.exe 从域控制器（DC）创建安装介质。

AD 安全提示：审核可疑活动。

因此，任何 AD 安全的一个重要支柱必须是有效的 Active Directory 审核，以查找正在进行的攻击迹象和妥协指标 (IOC)。例如，异常的域复制活动可能表明有人正在使用 DCSync 或其他技术来窃取密码哈希值，这可能是即将发生金票攻击的迹象。

Volt Typhoon 中使用的一种策略是提取 Active Directory 数据库 (NTDS.dit) 的副本。该文件包含有关 AD 域及其中对象的信息 - 包括 AD 帐户密码的哈希值。窃取 dit 文件副本的对手可以提取哈希值并悠闲地离线破解它们以危害帐户。或者他们可以通过诸如传递哈希 (PtH) 之类的技术按原样使用哈希。通过在早期阶段发现此类可疑活动并及时做出响应，您也许能够阻止对手完成攻击。

风暴-0558

2023年7月，微软透露中国黑客组织Storm-0558侵入了美国政府机构的电子邮件系统。这次攻击可能已经泄露了数十万条信息，包括美国驻华大使、负责东亚事务的助理国务卿、商务部部长和其他高级官员的电子邮件。美国官员将这次袭击描述为间谍活动；事实上，这一时机表明黑客是在美国国务卿计划访问北京之前寻找信息。

攻击者使用他们获得的 Microsoft 签名密钥来伪造帐户的 Azure AD 访问令牌。泄露的密钥还可能被用来为其他 Microsoft 服务创建访问令牌，包括 OneDrive、SharePoint、Teams 和客户创建的第三方应用程序。

关键要点：微软将发布更多信号 - 这将使 AD 安全审核变得更加困难。

CISA 表示，当客户在其审核日志中发现异常 MailItemsAccessed 事件时，它发现了 Storm-0558 活动，这些事件仅适用于拥有 Microsoft 顶级（且最昂贵）许可证的客户。幸运的是，该组织很快就获得了 E5 许可证。

自然，微软因为这个消息而受到了极大的关注。该公司宣布将免费为客户提供更广泛的云安全日志访问权限。

AD 安全提示：通过将审核重点放在重要的事情上来避免警报疲劳。

AD 安全团队已经有大量数据需要处理来寻找威胁，现在还会有更多信号。为了避免不知所措，了解要注意什么至关重要。

关键是要了解网络攻击的目标是攻击您的关键系统和数据，通常是通过危害您环境中最强大的帐户来实现。这些称为您的第 0 层资产或控制平面。它们包括您的域控制器 (DC) 和其他功能强大的服务器，以及对林、域或 DC 具有直接或间接管理控制权的所有帐户。您可能会想到的帐户是属于您的 IT 专业人员的帐户。但另一个常见的例子是被授予更高权限的服务帐户。

另外，请注意我说的是“直接或间接控制”。 ” 发现可以获得更高权限的帐户也很重要，例如域管理员的成员身份。此过程中涉及的一系列操作称为攻击路径，通常涉及滥用隐藏权限、嵌套组成员身份和 AD 架构中固有的安全漏洞等。组织通常有数百甚至数千个这样的攻击路径，其中许多可能只涉及少数步骤。对手可以使用名为 BloodHound 的开源工具来详细绘制它们。

通过准确了解您的第 0 级资产，您可以将审计重点放在重要的事情上。此外，您可以采取措施减少您拥有的这些资产的数量。例如，通过攻击路径管理，您可以阻止意图获得提升权限的攻击者。还可以考虑反击那些声称其应用程序的服务帐户需要强大安全组（如域管理员）的成员身份的供应商。请记住，您需要监控的第 0 层资产越少，就越容易密切关注它们并发现真正的威胁。

无授权

2023 年 4 月，Microsoft 收到有关 nOAuth 的通知，这是开放授权 (OAuth) 流程中的一个问题，使客户面临帐户被盗和数据丢失的风险。为了利用该缺陷，攻击者会创建一个 Azure AD 管理员帐户并将其电子邮件地址修改为目标的电子邮件地址。然后，他们可以利用易受攻击的应用程序或网站上的单点登录 (SSO) - 如果该应用程序未经验证就合并用户帐户，那么攻击者现在可以完全控制受害者的帐户。

要点：攻击者将进入您的网络。事实上，他们已经在里面了。

AD 安全专家建议采取假设违规的心态。为了使 nOAuth 攻击起作用，组织必须使用电子邮件声明作为访问令牌中的唯一标识符。尽管此配置违反了最佳实践和 Microsoft 文档，但研究人员能够快速识别容易受到攻击的多个组织。

如果您的组织没有犯此配置错误，请不要急于表扬自己。您还违反了哪些其他最佳实践？您未能识别和缓解哪些漏洞？至少，您使用的供应商将被零日漏洞利用，根据定义，这些漏洞以前未被发现。

事实上，没有任何组织可以保证外部攻击者不会在其网络中站稳脚跟。此外，始终存在内部威胁的风险，这种威胁可能是由于恶意、疏忽或缺乏培训而引起的。例如，2023年6月，一名空军国民警卫队士兵因在社交媒体上发布机密国防信息而被起诉。他已经接受了审查并获得了绝密许可，但事实证明这种信任是错误的。无论他的动机是否恶意，这些文件都被泄露了。

AD 安全提示：强制执行最小权限。

最小权限原则是 AD 安全最佳实践的核心，这是有充分理由的。通过仅向每个帐户授予其执行任务所需的访问权限，您可以最大限度地减少任何使用该帐户的人可能造成的损害，无论是合法帐户所有者还是控制该帐户的对手。

请注意，最低权限并不限于帐户可以访问的数据。它涉及一个帐户可以执行的所有操作。例如，您需要严格限制需要它来完成工作的（少数！）个人运行 PowerShell 的能力。限制普通用户同意 Azure AD 应用程序的能力也很重要；您可以使用 Microsoft 提供的自动化管理员审批工作流程轻松完成此操作。

芒果沙尘暴（又名水星或泥水）

2023 年 4 月，微软威胁情报检测到与伊朗情报和安全部有联系的威胁组织 Mango Sandstorm 发起的一系列破坏性攻击。这次攻击很可能是与另一个组织 DEV-1084（现称为 Storm-1084）合作进行的。虽然威胁行为者试图将其活动伪装成标准勒索软件活动，但他们的最终目标实际上是破坏和破坏：他们摧毁了服务器场、存储帐户、虚拟机和虚拟网络。虽然之前的 Mango Sandstorm 攻击针对的是本地环境，但这次攻击包括对云资源的破坏。

要点：勒索软件占据头条新闻，但破坏性攻击仍然是明显且现实的危险。

2023 年迄今为止，勒索软件支付总额似乎低于过去几年的水平。这似乎是个好消息，但更深入的分析表明事实并非如此。赎金金额下降并不是因为网络犯罪分子放松了勒索要求，而是因为他们正在转移注意力：他们发起更多攻击，目的是窃取数据或销毁数据，而不是持有数据索取赎金。

关键的 AD 安全策略：关注网络弹性。

这是最重要的 AD 安全课程：关注网络弹性。网络弹性的目标有两个：尽可能保持 IT 环境正常运行，并在发生中断时快速恢复正常运行。

这需要一种包含多个组件的深度防御方法，其中许多组件我在上面已经讨论过。他们包括：

• 网络安全风险管理可减少攻击面
• 身份治理和管理以强制执行最低权限，包括强大的特权访问管理
• 混合 AD 安全和管理，包括有效的 Active Directory 审核、变更管理和攻击路径管理
• 全面的备份和灾难恢复策略，包括为破坏性攻击做好准备

结论

就在15年前，能够发起高度复杂攻击的实体数量一只手就可以数出来——美国、俄罗斯、以色列和中国等强国的国家安全机构。现在，这些攻击不仅由民族国家发起，而且由复杂的勒索软件集团和其他“企业”发起。 ”

此外，勒索软件即服务等选项以及人工智能 (AI) 等技术进步使几乎任何人都可以加入网络犯罪行列。事实上，每次你听到微软谈论“公民开发者”时，我希望你在心里用“公民黑客”这个词代替。 ”

这些趋势使得 AD 安全比以往任何时候都更加重要。通过分析当今影响组织的网络攻击，我们可以发现构建真正有效的 AD 安全策略的最重要策略。