凭据容易被盗的帐户

  • 项目

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

在凭据盗窃攻击中,攻击者最初获得对网络上计算机的最高特权(根、管理员或 SYSTEM,具体取决于使用的操作系统)访问,然后使用可用工具从其他登录帐户的会话中提取凭据。 根据系统配置,这些凭据可以哈希、票证甚至是纯文本密码的形式提取。 如果获取的任何凭据用于网络上的其他计算机上可能存在的本地帐户(例如,Windows 中的管理员帐户,或 OSX、UNIX 或 Linux 中的根帐户),则攻击者会将这些凭据提供给网络上的其他计算机,将入侵传播到其他计算机并尝试获取两种特定类型帐户的凭据:

  1. 具有广泛特权和深层特权的特权域帐户(即在许多计算机和 Active Directory 中具有管理员级别权限的帐户)。 这些帐户可能不是 Active Directory 中任何最高特权组的成员,但它们可能已被授予跨域或林中的许多服务器和工作站的管理员级别权限,这使得它们可以与 Active Directory 中特权组的成员一样强大。 在大多数情况下,在 Windows 基础结构中被授予高级别特权的帐户是服务帐户,因此应始终评估服务帐户的特权广度和深度。

  2. “非常重要的人员”(VIP) 域帐户。 在本文档的上下文中,VIP 帐户是有权访问攻击者想要的信息(知识产权和其他敏感信息)的任何帐户,或者可用于授予攻击者访问该信息的任何帐户。 这些用户帐户的示例包括:

    1. 其帐户有权访问公司敏感信息的高管

    2. 负责维护高管所使用的计算机和应用程序的技术支持人员帐户

    3. 有权访问组织的投标和合同文档的法律工作人员的帐户,无论文档是针对自己的组织还是客户组织

    4. 有权访问公司开发管道中的产品计划和产品规格的产品规划人员,无论公司生产的是哪种类型的产品

    5. 其帐户用于访问研究数据、产品配方或攻击者感兴趣的任何其他研究的研究人员

由于 Active Directory 中的高特权帐户可用于传播入侵并操纵 VIP 帐户或他们可以访问的数据,因此凭据容易被盗的帐户是 Active Directory 中企业管理员、域管理员和管理员组成员的帐户。

由于域控制器是 AD DS 数据库的存储库,并且域控制器可以完全访问 Active Directory 中的所有数据,因此域控制器也会成为入侵的目标,无论是与凭据盗窃攻击同时发生,还是发生在一个或多个高特权 Active Directory 帐户遭到入侵之后。 尽管许多发布(和许多攻击者)在描述传递哈希和其他凭据盗窃攻击(如减少 Active Directory 攻击面中所述)时都将重点放在域管理组成员身份上,但此处列出的任何组成员的帐户都可用来破坏整个 AD DS 安装。

注意

有关哈希传递和其他凭据盗窃攻击的综合信息,请参阅附录 M:文档链接和建议阅读中列出的缓解哈希传递 (PTH) 攻击和其他凭据盗窃技术白皮书。 有关确定的对手攻击(有时称为“高级持久性威胁”(APT))的详细信息,请参阅确定的对手攻击和有针对性的攻击

增加入侵可能性的活动

由于凭据被盗的目标通常是高特权的域帐户和 VIP 帐户,因此管理员必须注意会增加凭据盗窃攻击成功可能性的活动。 尽管攻击者还针对 VIP 帐户,但如果 VIP 在系统或域中没有获得高级别特权,则窃取其凭据采用其他类型的攻击,例如就 VIP 进行社交工程来获取机密信息。 或者,攻击者必须首先获取对缓存 VIP 凭据的系统的特权访问权限。 因此,此处所述的增加凭据被盗可能性的活动主要侧重于防止获取高特权管理凭据。 这些活动是攻击者能够入侵系统以获取特权凭据的常见机制。

使用特权帐户登录到不安全的计算机

凭据盗窃攻击得以成功的核心漏洞是使用在整个环境中具有又广又深特权的帐户在不安全的计算机上登录。 这些登录可能是此处所述的各种错误配置的结果。

不维护单独的管理凭据

尽管这种情况相对不常见,但在评估各种 AD DS 安装时,我们发现 IT 员工使用单个帐户完成所有工作。 该帐户是 Active Directory 中至少一个特权最高的组的成员,并且是员工在早上登录其工作站、查看其电子邮件、浏览 Internet 站点以及将内容下载到计算机时所使用的同一帐户。 当用户使用被授予本地管理员权限的帐户开展工作时,会使本地计算机暴露在被完全入侵的风险中。 当这些帐户也是 Active Directory 中最高特权组的成员时,它们会使整个林遭到入侵,从而使攻击者可以轻而易举地获得对 Active Directory 和 Windows 环境的完全控制。

同样,在某些环境中,我们发现非 Windows 计算机上的根帐户使用与 Windows 环境中相同的用户名和密码,这让攻击者可以将入侵范围从 UNIX 或 Linux 系统延伸到 Windows 系统,反之亦然。

使用特权帐户登录到遭到入侵的工作站或成员服务器

当使用高特权域帐户以交互方式登录到遭到入侵的工作站或成员服务器时,遭到入侵的计算机可能会从登录到系统的任何帐户中获取凭据。

不安全的管理工作站

在许多组织中,IT 人员使用多个帐户。 一个帐户用于登录到员工的工作站,由于是 IT 员工,因此他们通常对工作站具有本地管理员权限。 在某些情况下,UAC 处于启用状态,以便用户至少可以在登录时收到一个拆分的访问令牌,并且必须在需要特权时提升权限。 当这些用户执行维护活动时,他们通常会使用本地安装的管理工具并提供其域特权帐户的凭据,方法是选择“以管理员身份运行”选项或在出现提示时提供凭据。 尽管此配置看起来可能合适,但它会使环境遭到入侵,因为:

  • 员工用于登录其工作站的“常规”用户帐户具有本地管理员权限,计算机易受到用户被说服安装恶意软件所导致的偷渡式下载攻击。
  • 恶意软件安装在管理帐户环境中,计算机现在可用于捕获击键、剪贴板内容、屏幕截图和内存驻留凭据,这些都可能导致泄露功能强大的域帐户的凭据。

这种情况下的问题有两方面。 首先,尽管本地和域管理使用单独的帐户,但计算机不安全,不能保护帐户免遭盗窃。 其次,常规用户帐户和管理帐户被授予了过多的权限。

使用高特权帐户浏览 Internet

用户使用属于计算机本地管理员组成员或 Active Directory 中特权组成员的帐户登录计算机,然后浏览 Internet(或遭到入侵的 Intranet)会使本地计算机和目录遭到入侵。

使用以管理权限运行的浏览器访问恶意制作的网站,攻击者可以在特权用户环境中将恶意代码存入本地计算机。 如果用户在计算机上具有本地管理员权限,攻击者可能会欺骗用户下载恶意代码或打开利用应用程序漏洞的电子邮件附件,并利用用户的权限提取计算机上所有活动用户的本地缓存凭据。 如果用户以 Active Directory 中的企业管理员、域管理员或管理员组中的成员身份对目录拥有管理权限,则攻击者可以提取域凭据并使用这些凭据来入侵整个 AD DS 域或林,而无需入侵林中的任何其他计算机。

在多个系统中使用相同凭据配置本地特权帐户

在多台或所有计算机上配置相同的本地管理员帐户名和密码,会让从一台计算机上的 SAM 数据库盗取的凭据可用于入侵使用相同凭据的所有其他计算机。 对于每个已加入域的系统的本地管理员帐户,至少应使用不同的密码。 本地管理员帐户也可以使用唯一命名,不过对每个系统的特权本地帐户使用不同的密码足以确保不能在其他系统上使用凭据。

特权域组的过度填充和过度使用

授予域中 EA、DA 或 BA 组中的成员身份会成为攻击者的目标。 这些组的成员数量越大,特权用户无意中滥用凭据并导致遭受凭据盗窃攻击的可能性就越大。 特权域用户登录的每个工作站或服务器都提供了一种可能的机制,通过该机制可以获取特权用户的凭据,并将其用于入侵 AD DS 域和林。

安全性差的域控制器

域控制器包含域的 AD DS 数据库的副本。 对于只读域控制器,数据库的本地副本仅包含目录中一部分帐户的凭据,默认情况下这些帐户都不是特权域帐户。 在读写域控制器上,每个域控制器会维护 AD DS 数据库的完整副本,不仅包括特权用户(如域管理员)的凭据,还包括特权帐户(例如域控制器帐户或域的 Krbtgt 帐户,该帐户与域控制器上的 KDC 服务关联)的凭据。 如果在域控制器上安装了域控制器功能不需要的其他应用程序,或者域控制器未经过严格修补和保护,攻击者可能会通过未修补的漏洞来对其进行入侵,或者利用其他攻击途径直接在域控制器上安装恶意软件。

特权提升和传播

无论使用哪种攻击方法,当 Windows 环境受到攻击时,Active Directory 始终会成为攻击的目标,因为攻击者所需的任何访问权限最终都由它控制着。 但这并不意味着整个目录都是攻击目标。 特定帐户、服务器和基础结构组件通常是针对 Active Directory 的攻击的主要目标。 这些帐户的说明如下。

永久特权帐户

由于引入了 Active Directory,因此可以使用高特权帐户生成 Active Directory 林,然后将执行日常管理所需的权限委派给特权较低的帐户。 仅在以最低权限进行日常管理的环境中,才会暂时用到或很少用到 Active Directory 中的企业管理员、域管理员或管理员组中的成员身份。

永久特权帐户是放置在特权组中并一直保留在该位置的帐户。 如果组织将五个帐户放入一个域的“域管理员”组中,那么这五个帐户将成为全天候的攻击目标。 但是,实际需要使用具有域管理员特权的帐户通常仅在进行域范围特定的配置时,并且时间很短。

VIP 帐户

Active Directory 漏洞中经常被忽视的目标是组织中“非常重要的人员”(VIP) 的帐户。 特权帐户之所以成为目标,是因为这些帐户可以授予攻击者访问权限,从而允许攻击者入侵甚至破坏目标系统,如本节前面所述。

“附加特权”的 Active Directory 帐户

“特权附加”的 Active Directory 帐户是尚未成为 Active Directory 中具有最高级别特权的任何组成员的域帐户,但在环境中的许多服务器和工作站上被授予了高级别特权。 这些帐户通常是基于域的帐户,配置为在已加入域的系统上运行服务,通常用于在基础结构的大部分区域上运行的应用程序。 尽管这些帐户在 Active Directory 中没有特权,但如果在大量系统上授予这些帐户高特权,则它们可用于入侵甚至破坏基础结构的大部分区域,从而达到与入侵特权 Active Directory 帐户相同的效果。