Akun Menarik untuk Pencurian Kredensial

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Serangan pencurian kredensial adalah serangan di mana penyerang awalnya mendapatkan hak akses tertinggi (root, Administrator, atau SISTEM, tergantung pada sistem operasi yang digunakan) ke komputer di jaringan dan kemudian menggunakan alat yang tersedia secara bebas untuk mengekstrak kredensial dari sesi akun login lainnya. Bergantung pada konfigurasi sistem, kredensial ini dapat diekstraksi dalam bentuk hash, tiket, atau bahkan kata sandi teks biasa. Jika salah satu kredensial yang dipanen adalah untuk akun lokal yang kemungkinan ada di komputer lain di jaringan (misalnya, akun Administrator di Windows, atau akun akar di OSX, UNIX, atau Linux), penyerang menyajikan kredensial ke komputer lain di jaringan untuk menyebarkan kompromi ke komputer tambahan dan mencoba mendapatkan kredensial dari dua jenis akun tertentu:

  1. Akun domain istimewa dengan hak istimewa yang luas dan mendalam (yaitu, akun yang memiliki hak istimewa tingkat administrator di banyak komputer dan di Direktori Aktif). Akun-akun ini mungkin bukan anggota dari salah satu grup hak istimewa tertinggi di Direktori Aktif, tetapi mereka mungkin telah diberikan hak istimewa tingkat Administrator di banyak server dan stasiun kerja di domain atau forest, yang membuatnya secara efektif sekuat anggota grup istimewa di Direktori Aktif. Dalam kebanyakan kasus, akun yang telah diberikan hak istimewa tingkat tinggi di seluruh infrastruktur Windows luas adalah akun layanan, sehingga akun layanan harus selalu dinilai untuk hak istimewa yang luas dan mendalam.

  2. Akun domain "Very Important Person" (VIP). Dalam konteks dokumen ini, akun VIP adalah akun apa pun yang memiliki akses ke informasi yang diinginkan penyerang (kekayaan intelektual dan informasi sensitif lainnya), atau akun apa pun yang dapat digunakan untuk memberikan akses penyerang ke informasi tersebut. Contoh akun pengguna ini meliputi:

    1. Eksekutif yang akunnya memiliki akses ke informasi perusahaan sensitif

    2. Akun untuk staf Help Desk yang bertanggung jawab untuk memelihara komputer dan aplikasi yang digunakan oleh eksekutif

    3. Akun untuk staf hukum yang memiliki akses ke dokumen penawaran dan kontrak organisasi, apakah dokumen tersebut untuk organisasi atau organisasi klien mereka sendiri

    4. Perencana produk yang memiliki akses ke rencana dan spesifikasi untuk produk dalam alur pengembangan perusahaan, terlepas dari jenis produk yang dilakukan perusahaan

    5. Peneliti yang akunnya digunakan untuk mengakses data studi, formulasi produk, atau penelitian menarik lainnya kepada penyerang

Karena akun yang sangat istimewa di Direktori Aktif dapat digunakan untuk menyebarkan kompromi dan untuk memanipulasi akun VIP atau data yang dapat mereka akses, akun yang paling berguna untuk serangan pencurian kredensial adalah akun yang merupakan anggota Admin Perusahaan, Admin Domain, dan grup Administrator di Direktori Aktif.

Karena pengendali domain adalah repositori untuk database AD DS dan pengontrol domain memiliki akses penuh ke semua data di Direktori Aktif, pengontrol domain juga ditargetkan untuk disusupi, baik secara paralel dengan serangan pencurian kredensial, atau setelah satu atau lebih akun Active Directory dengan hak istimewa telah disusupi. Meskipun banyak publikasi (dan banyak penyerang) berfokus pada keanggotaan grup Admin Domain saat menjelaskan serangan pencurian pass-the-hash dan kredensial lainnya (seperti yang dijelaskan dalam Mengurangi Permukaan Serangan Direktori Aktif), akun yang merupakan anggota dari salah satu grup yang tercantum di sini dapat digunakan untuk membahayakan seluruh instalasi AD DS.

Catatan

Untuk informasi komprehensif tentang serangan pencurian pass-the-hash dan kredensial lainnya, silakan lihat laporan Mitigasi Serangan Pass-the-Hash (PTH) dan Whitepaper Teknik Pencurian Kredensial Lainnya yang tercantum dalam Lampiran M: Tautan Dokumen dan Pembacaan yang Direkomendasikan. Untuk informasi selengkapnya tentang serangan oleh musuh yang ditentukan, yang terkadang disebut sebagai "ancaman persisten tingkat lanjut" (APTs), silakan lihat Musuh yang Ditentukan dan Serangan Yang Ditargetkan.

Aktivitas yang Meningkatkan Kemungkinan Kompromi

Karena target pencurian kredensial biasanya merupakan akun domain dengan hak istimewa dan akun VIP, penting bagi administrator untuk sadar akan aktivitas yang meningkatkan kemungkinan keberhasilan serangan pencurian info masuk. Meskipun penyerang juga menargetkan akun VIP, jika VIP tidak diberikan hak istimewa tingkat tinggi pada sistem atau domain, pencurian kredensial mereka memerlukan jenis serangan lain, seperti merekayasa sosial VIP untuk memberikan informasi rahasia. Atau penyerang harus terlebih dahulu mendapatkan akses istimewa ke sistem tempat kredensial VIP di-cache. Karena itu, aktivitas yang meningkatkan kemungkinan pencurian kredensial yang dijelaskan di sini terutama difokuskan pada mencegah akuisisi kredensial administratif yang sangat istimewa. Aktivitas ini adalah mekanisme umum di mana penyerang dapat membahayakan sistem untuk mendapatkan kredensial istimewa.

Masuk ke Komputer Tidak Aman dengan Akun Istimewa

Kerentanan inti yang memungkinkan serangan pencurian kredensial berhasil adalah tindakan masuk ke komputer yang tidak aman dengan akun yang secara luas dan sangat istimewa di seluruh lingkungan. Logon ini dapat menjadi hasil dari berbagai kesalahan konfigurasi yang dijelaskan di sini.

Tidak Mempertahankan Kredensial Administratif Terpisah

Meskipun ini relatif jarang, dalam menilai berbagai instalasi AD DS, kami telah menemukan karyawan IT menggunakan satu akun untuk semua pekerjaan mereka. Akun ini adalah anggota dari setidaknya salah satu grup yang paling istimewa di Direktori Aktif dan merupakan akun yang sama dengan yang digunakan karyawan untuk masuk ke stasiun kerja mereka di pagi hari, memeriksa email mereka, menelusuri situs Internet, dan mengunduh konten ke komputer mereka. Saat pengguna berjalan dengan akun yang diberikan hak dan izin Administrator lokal, mereka mengekspos komputer lokal untuk menyelesaikan penyusupan. Ketika akun tersebut juga merupakan anggota grup yang paling istimewa di Direktori Aktif, mereka mengekspos seluruh forest untuk disusupi, sehingga mudah bagi penyerang untuk mendapatkan kontrol penuh atas Direktori Aktif dan lingkungan Windows.

Demikian pula, di beberapa lingkungan, kami telah menemukan bahwa nama pengguna dan kata sandi yang sama digunakan untuk akun root pada komputer non-Windows seperti yang digunakan di lingkungan Windows, yang memungkinkan penyerang untuk memperluas kompromi dari sistem UNIX atau Linux ke sistem Windows dan sebaliknya.

Masuk ke Stasiun Kerja yang Disusupi atau Server Anggota dengan Akun Istimewa

Ketika akun domain yang sangat istimewa digunakan untuk masuk secara interaktif ke stasiun kerja atau server anggota yang disusupi, komputer yang disusupi dapat memanen kredensial dari akun apa pun yang masuk ke sistem.

Stasiun Kerja Administratif Tidak Aman

Di banyak organisasi, staf IT menggunakan beberapa akun. Satu akun digunakan untuk masuk ke stasiun kerja karyawan, dan karena ini adalah staf IT, mereka sering memiliki hak Administrator lokal di stasiun kerja mereka. Dalam beberapa kasus, UAC dibiarkan diaktifkan sehingga pengguna setidaknya menerima token akses terpisah saat masuk dan harus meningkatkan kapan hak istimewa diperlukan. Ketika pengguna ini melakukan aktivitas pemeliharaan, mereka biasanya menggunakan alat manajemen yang diinstal secara lokal dan memberikan kredensial untuk akun istimewa domain mereka, dengan memilih opsi Jalankan sebagai Administrator atau dengan memberikan kredensial saat diminta. Meskipun konfigurasi ini mungkin tampak sesuai, konfigurasi ini mengekspos lingkungan untuk disusupi karena:

  • Akun pengguna "reguler" yang digunakan karyawan untuk masuk ke stasiun kerja mereka memiliki hak Administrator lokal, komputer rentan terhadap serangan unduhan drive-by di mana pengguna yakin untuk menginstal malware.
  • Malware diinstal dalam konteks akun administratif, komputer sekarang dapat digunakan untuk mengambil penekanan tombol, konten clipboard, cuplikan layar, dan kredensial residen memori, yang salah satunya dapat mengakibatkan paparan kredensial akun domain yang kuat.

Masalah dalam skenario ini adalah dua kali lipat. Pertama, meskipun akun terpisah digunakan untuk administrasi lokal dan domain, komputer tidak aman dan tidak melindungi akun dari pencurian. Kedua, akun pengguna reguler dan akun administratif telah diberikan hak dan izin yang berlebihan.

Menelusuri Internet dengan Akun Dengan Hak Istimewa Tinggi

Pengguna yang masuk ke komputer dengan akun yang merupakan anggota grup Administrator lokal di komputer, atau anggota grup istimewa di Direktori Aktif, dan yang kemudian menelusuri Internet (atau intranet yang disusupi) mengekspos komputer lokal dan direktori untuk disusupi.

Mengakses situs web yang dibuat dengan berbahaya dengan browser yang berjalan dengan hak istimewa admin dapat memungkinkan penyerang untuk menyimpan kode berbahaya di komputer lokal dalam konteks pengguna istimewa. Jika pengguna memiliki hak Administrator lokal di komputer, penyerang dapat menipu pengguna untuk mengunduh kode berbahaya atau membuka lampiran email yang memanfaatkan kerentanan aplikasi dan memanfaatkan hak istimewa pengguna untuk mengekstrak kredensial yang di-cache secara lokal untuk semua pengguna aktif di komputer. Jika pengguna memiliki hak administratif di direktori berdasarkan keanggotaan di grup Admin Perusahaan, Admin Domain, atau Administrator di Direktori Aktif, penyerang dapat mengekstrak kredensial domain dan menggunakannya untuk membahayakan seluruh domain atau forest AD DS, tanpa perlu membahayakan komputer lain di forest.

Mengonfigurasi Akun Istimewa Lokal dengan Kredensial yang Sama di seluruh Sistem

Mengonfigurasi nama dan kata sandi akun Administrator lokal yang sama pada banyak atau semua komputer memungkinkan kredensial yang dicuri dari database SAM di satu komputer untuk digunakan untuk membahayakan semua komputer lain yang menggunakan kredensial yang sama. Minimal, Anda harus menggunakan kata sandi yang berbeda untuk akun Administrator lokal di setiap sistem yang bergabung dengan domain. Akun Administrator Lokal juga dapat diberi nama unik, tetapi menggunakan kata sandi yang berbeda untuk setiap akun lokal istimewa sistem cukup untuk memastikan bahwa kredensial tidak dapat digunakan pada sistem lain.

Overpopulation dan Overuse of Privileged Domain Groups

Memberikan keanggotaan dalam grup EA, DA, atau BA di domain membuat target untuk penyerang. Semakin besar jumlah anggota grup ini, semakin besar kemungkinan bahwa pengguna istimewa mungkin secara tidak sengaja menyalahgunakan kredensial dan mengeksposnya ke serangan pencurian kredensial. Setiap stasiun kerja atau server tempat pengguna domain istimewa masuk menyajikan mekanisme yang mungkin dengan kredensial pengguna istimewa dapat dipanen dan digunakan untuk membahayakan domain dan forest AD DS.

Pengontrol Domain Yang Kurang Aman

Pengendali domain menampung replika database AD DS domain. Dalam kasus pengontrol domain baca-saja, replika lokal database berisi kredensial hanya untuk subset akun di direktori, yang tidak satu pun merupakan akun domain istimewa secara default. Pada pengontrol domain baca-tulis, setiap pengontrol domain mempertahankan replika penuh database AD DS, termasuk kredensial tidak hanya untuk pengguna istimewa seperti Admin Domain, tetapi akun istimewa seperti akun pengendali domain atau akun Krbtgt domain, yang merupakan akun yang terkait dengan layanan KDC pada pengendali domain. Jika aplikasi tambahan yang tidak diperlukan untuk fungsionalitas pengendali domain diinstal pada pengontrol domain, atau jika pengendali domain tidak di-patch dan diamankan dengan ketat, penyerang dapat membahayakan mereka melalui kerentanan yang tidak dikirim, atau mereka dapat memanfaatkan vektor serangan lain untuk menginstal perangkat lunak berbahaya langsung pada mereka.

Elevasi dan Penyebaran Hak Istimewa

Terlepas dari metode serangan yang digunakan, Direktori Aktif selalu ditargetkan ketika lingkungan Windows diserang, karena pada akhirnya mengontrol akses ke apa pun yang diinginkan penyerang. Namun, ini tidak berarti bahwa seluruh direktori ditargetkan. Akun, server, dan komponen infrastruktur tertentu biasanya merupakan target utama serangan terhadap Direktori Aktif. Akun-akun ini dijelaskan sebagai berikut.

Akun Hak Istimewa Permanen

Karena pengenalan Active Directory, dimungkinkan untuk menggunakan akun yang sangat istimewa untuk membangun forest Direktori Aktif dan kemudian untuk mendelegasikan hak dan izin yang diperlukan untuk melakukan administrasi sehari-hari ke akun yang kurang istimewa. Keanggotaan di grup Admin Perusahaan, Admin Domain, atau Administrator di Direktori Aktif hanya diperlukan untuk sementara waktu dan jarang di lingkungan yang menerapkan pendekatan hak istimewa paling sedikit untuk administrasi harian.

Akun dengan hak istimewa permanen adalah akun yang telah ditempatkan dalam grup istimewa dan meninggalkannya dari hari ke hari. Jika organisasi Anda menempatkan lima akun ke dalam grup Admin Domain untuk domain, kelima akun tersebut dapat ditargetkan 24 jam sehari, tujuh hari seminggu. Namun, kebutuhan aktual untuk menggunakan akun dengan hak istimewa Admin Domain biasanya hanya untuk konfigurasi di seluruh domain tertentu, dan untuk waktu yang singkat.

Akun VIP

Target yang sering diabaikan dalam pelanggaran Direktori Aktif adalah akun "orang yang sangat penting" (atau VIP) dalam organisasi. Akun istimewa ditargetkan karena akun tersebut dapat memberikan akses kepada penyerang, yang memungkinkan mereka untuk membahayakan atau bahkan menghancurkan sistem yang ditargetkan, seperti yang dijelaskan sebelumnya di bagian ini.

Akun Direktori Aktif "Privilege-Attached"

Akun Active Directory "Privilege-attached" adalah akun domain yang belum dijadikan anggota salah satu grup yang memiliki tingkat hak istimewa tertinggi di Direktori Aktif, tetapi sebaliknya telah diberikan hak istimewa tingkat tinggi di banyak server dan stasiun kerja di lingkungan. Akun-akun ini paling sering merupakan akun berbasis domain yang dikonfigurasi untuk menjalankan layanan pada sistem yang bergabung dengan domain, biasanya untuk aplikasi yang berjalan di bagian besar infrastruktur. Meskipun akun-akun ini tidak memiliki hak istimewa di Direktori Aktif, jika mereka diberikan hak istimewa tinggi pada sejumlah besar sistem, akun tersebut dapat digunakan untuk membahayakan atau bahkan menghancurkan segmen besar infrastruktur, mencapai efek yang sama dengan penyusupan akun Direktori Aktif istimewa.