通过NSA和CISA红蓝团队的评估,以及NSA和CISA捕获和事件响应团队的活动,这些机构确定了以下10个最常见的网络安全配置错误:
1. 软件和应用程序的默认配置;
2. 用户/管理员权限的不当分离;
3. 内部网络监控不足;
4. 缺乏网络分段;
5. 补丁管理不善;
6. 系统访问控制的绕过;
7. 弱或误配置的多因素认证(MFA)方法;
8. 不充分的网络共享和服务的访问控制列表(ACLs);
9. 糟糕的凭证卫生;
10. 无限制的代码执行。
这些配置错误说明了许多大型组织——包括那些具有成熟网络态势的组织的系统性漏洞和攻击风险,凸显了软件开发商采用“设计即安全”(secure-by-design)原则的重要性和紧迫性。
以下是每项配置错误以及威胁行为者用于滥用这些错误配置的战术、技术和程序(TTPs)的详细介绍。
1. 软件和应用程序的默认配置
系统、服务和应用程序的默认配置可能允许未经授权的访问或其他恶意活动。常见的默认配置包括:
(1)默认凭据;
(2)默认业务权限和配置设置;
默认凭证
许多软件开发商发布的商用现货(COTS)网络设备(通过应用程序或web门户提供用户访问)包含内置管理帐户的预定义默认凭据。恶意行为者和评估团队经常通过以下方式滥用默认凭证:
(1)通过简单的网络搜索查找凭证,并使用它们获得对设备的身份验证访问;
(2)通过可预测的忘记密码问题重置内置管理帐户;
(3)利用默认的虚拟专用网(VPN)凭据进行内部网络访问;
(4)利用公开可用的设置信息来识别web应用程序的内置管理凭据,并获得对应用程序及其底层数据库的访问权限;
(5)利用软件部署工具上的默认凭证进行代码执行和横向移动。
除了提供网络访问的设备外,打印机、扫描仪、安全摄像头、会议室视听(AV)设备、互联网协议语音(VoIP)电话和物联网(IoT)设备通常还包含默认凭据,可以轻松地在未经授权的情况下访问这些设备。使问题进一步复杂化的是,打印机和扫描仪可能加载了特权域帐户,以便用户可以轻松地扫描文档并将其上传到共享驱动器或通过邮件发送。使用默认凭证访问打印机或扫描仪的恶意行为者,可以使用加载的特权域帐户从设备横向移动并破坏域。
默认业务权限和配置设置
默认情况下,某些服务可能具有过于宽松的访问控制或漏洞配置,此外,即使提供者默认不启用这些服务,如果用户或管理员启用了这些服务,恶意行为者也可以很容易地滥用这些服务。
评估小组发现了以下常见情况:
(1)不安全的Active Directory证书服务;
(2)不安全的遗留协议/服务;
(3)不安全的SMB(Server Message Block)服务;
不安全的Active Directory证书服务
ADCS(Active Directory Certificate Services)是一项用于管理Active Directory(AD)环境中的PKI证书、密钥和加密的功能,ADCS模板用于为组织网络中不同类型的服务器和其他实体构建证书。
恶意行为者可以利用ADCS和/或ADCS模板配置错误来操纵证书基础结构,以颁发欺诈性证书和/或将用户特权重新升级为域管理员特权,这些证书和域升级路径可能授予参与者对系统和关键数据的未经授权的持久访问,冒充合法实体的能力,以及绕过安全措施的能力。
不安全的遗留协议/服务
许多易受攻击的网络服务在默认情况下是启用的,并且评估团队已经观察到它们在生产环境中也是启用的。具体来说,评估小组观察到链路本地多个名称解析(LLMNR)和NetBIOS名称服务(NBT-NS),它们是Microsoft Windows组件,作为主机识别的替代方法。如果在网络中启用了这些服务,参与者可以使用欺骗、中毒和中继技术来获取域散列、系统访问和潜在的管理系统会话,恶意行为者经常利用这些协议来破坏整个Windows环境。
不安全的SMB(Server Message Block)服务
SMB服务是一个Windows组件,主要用于文件共享,它的默认配置不需要签名网络消息以确保真实性和完整性。如果SMB服务器不强制SMB签名,恶意参与者就可以轻松使用machine-in-the-middle(MitM)技术,例如NTLM中继来实施攻击。此外,恶意参与者还可以将缺乏SMB签名与名称解析中毒问题结合起来,无需捕获和破解任何散列就可访问远程系统。
2. 用户/管理员权限的不当分离
管理员通常会为一个帐户分配多个角色,这些账户可以访问各种各样的设备和服务,允许恶意行为者通过一个受感染的账户快速移动网络,而不会触发横向移动和/或特权升级检测措施。
评估小组观察到以下常见的帐户分离错误配置:
(1)过度的账户特权;
(2)提升的服务帐户权限;
(3)非必要的特权帐户使用;
过度的帐户特权
帐户特权用于控制用户对主机或应用程序资源的访问,以限制对敏感信息的访问或执行最小权限安全模型,当帐户权限过于宽松时,用户可以看到和/或做他们不应该看到和/或做的事情,这成为一个安全问题,因为它增加了风险暴露和攻击面。
提升的服务帐户权限
应用程序通常使用用户帐户来访问资源,这些用户帐户称为服务帐户,通常需要更高的权限。当恶意行为者使用服务帐户危害应用程序或服务时,他们将拥有与服务帐户相同的特权和访问权限。
恶意行为者可以利用域内提升的服务权限来获得对关键系统的未经授权的访问和控制。服务帐户是恶意行为者的诱人目标,因为这些帐户通常被授予域内的高级权限,由于这些因素,kerberos(通过破解服务帐户凭证实现的一种凭证访问形式)是一种用于控制服务帐户目标的常用技术。
非必要的特权帐户使用
IT人员使用域管理员和其他管理员帐户进行系统和网络管理,因为这些帐户本身具有较高的权限。当管理员帐户登录到受感染的主机时,恶意行为者可以窃取并使用该帐户的凭据和AD生成的身份验证令牌,使用提升的权限在整个域中移动,使用高级帐户进行日常的非管理任务会增加帐户的暴露,从而增加其被泄露的风险。
3. 内部网络监控不足
有些组织没有为流量收集和终端主机日志配置最佳的主机和网络传感器,这些不充分的配置可能导致未被发现的对抗性妥协。此外,不适当的传感器配置限制了增强基线开发所需的流量收集能力,并降低了对异常活动的及时检测。
评估小组在被评估的网络中发现了不充分的监控问题。例如:
(1)评估小组观察了一个组织,该组织有基于主机的监控,但没有网络监控。基于主机的监控通知防御团队单个主机上的不良活动,网络监控则通知穿越主机的恶意活动。在本例中,该组织可以确定受感染的主机,但无法确定感染来自何处,因此无法阻止未来的横向移动和感染。
(2)评估团队获得了对具有成熟网络态势的大型组织的持续深入访问。组织没有检测到评估团队的横向移动、持久性和C2活动。
4. 缺乏网络分段
网络分段用安全边界分隔网络的各个部分,缺乏网络分段使得用户网络、生产网络和关键系统网络之间没有安全边界,不充分的网络分段允许威胁参与者在各种系统中横向移动。此外,缺乏网络隔离使组织更易受到潜在的勒索软件攻击和后利用(post-exploitation)技术的攻击。
IT和OT环境之间缺乏分段会使OT环境处于危险之中。例如,评估小组经常通过寻找特殊目的、被遗忘的、甚至是意外的网络连接,获得对OT网络的访问权限——尽管这些网络先前保证是完全气隙的,不可能与IT网络连接。
5. 补丁管理不善
供应商发布补丁和更新来解决安全漏洞,糟糕的补丁管理和网络卫生实践通常使攻击者能够发现开放攻击向量并利用关键漏洞。薄弱的补丁管理包括:
(1)缺乏定期修补;
(2)使用不支持的操作系统和过时的固件;
缺乏定期修补
未能应用最新补丁可能会使系统暴露于公开可用的漏洞,由于它们很容易被发现——通过漏洞扫描和开源研究——并被利用,从而导致这些系统沦为攻击者的直接目标。允许关键漏洞保留在生产系统上而不应用相应的补丁会显著增加攻击面,组织应该优先修补其环境中已知的被利用的漏洞。
使用不支持的操作系统和过时的固件
使用供应商不再支持的软件或硬件会带来重大的安全风险,因为新的和现有的漏洞不再修补,恶意行为者可以利用这些系统中的漏洞获得未经授权的访问,破坏敏感数据并执行破坏性操作。
6. 系统访问控制的绕过
恶意行为者可以通过破坏环境中的替代身份验证方法来绕过系统访问控制。如果恶意行为者可以在网络中收集哈希,他们可以使用非标准的方式使用哈希传递(pass-the-hash,PtH)来利用这些哈希进行身份验证,通过模仿没有明文密码的帐户,攻击者可以在不被发现的情况下扩展和提升他们的访问权限。使用kerberos也是在组织网络中提升特权和横向移动的最省时方法之一。
7. 弱或误配置的多因素认证(MFA)方法
智能卡或令牌配置错误
一些网络(通常是政府或国防部网络)要求账户使用智能卡或令牌,多因素需求可能会配置错误,因此帐户的密码哈希值永远不会更改。即使不再使用密码本身(因为需要智能卡或令牌),帐户的密码散列仍然可以用作身份验证的替代凭据,如果密码哈希值永远不会改变,一旦恶意行为者获得了帐户的密码哈希值,那么只要该帐户存在,该行为者就可以通过PtH技术无限期地使用它。
缺乏抗网络钓鱼特性的MFA
某些形式的MFA容易受到网络钓鱼、“推送轰炸”、利用SS7协议漏洞和/或“SIM卡交换”技术的攻击,如果这些尝试成功,可能允许威胁参与者获得访问MFA的身份验证凭证,或绕过MFA并访问受MFA保护的系统。
8. 不充分的网络共享和服务的访问控制列表(ACLs)
数据共享和存储库是恶意行为者的主要目标,网络管理员可能错误地配置ACL,以允许未经授权的用户访问共享驱动器上的敏感或管理数据。
攻击者可以使用命令、开源工具或自定义恶意软件来查找共享文件夹和驱动器。
(1)在一次入侵中,一个团队观察到攻击者使用网络共享命令(显示本地计算机上共享资源的信息)和ntfsinfo命令来搜索受感染计算机上的网络共享;在同一次攻击中,攻击者使用了自定义工具CovalentStealer,该工具旨在识别系统上的文件共享,对文件进行分类,并将文件上传到远程服务器。
(2)勒索软件参与者使用SoftPerfect网络扫描器,netscan.exe(可以ping计算机,扫描端口,并发现共享文件夹)和SharpShares来枚举域中可访问的网络共享。
然后,恶意行为者可以从共享驱动器和文件夹中收集和泄露数据。接下来,他们可以将这些数据用于各种目的,例如勒索组织或在制定进一步网络入侵计划时作为情报。评估团队通常会在网络共享中发现敏感信息,这些信息可能会促进后续活动或提供敲诈勒索的机会,评估团队能够很轻松地找到包含服务帐户、web应用程序甚至域管理员的明文凭据的驱动器。
9. 糟糕的凭证卫生
糟糕的凭据卫生有助于威胁参与者获得用于初始访问、持久性、横向移动和其他后续活动的凭据,特别是在未启用抗网络钓鱼MFA的情况下。糟糕的凭据卫生行为包括:
(1)易破解的密码;
(2)明文密码暴露;
易破解的密码
易破解密码是指恶意行为者可以使用相对便宜的计算资源在短时间内猜出的密码,网络上容易被破解的密码通常源于缺乏密码长度(即短于15个字符)和随机性(即不是唯一的或可以猜测的)。
在评估过程中,评估团队顺利破解了NTLM用户、Kerberos服务帐户票证、NetNTLMv2和PFX存储的密码散列,使团队能够提升权限并在网络内横向移动。在12小时内,一个团队破解了活动目录中80%以上的用户密码,获得了数百个有效凭据。
明文密码暴露
以明文形式存储密码存在严重的安全风险,可以访问包含明文密码的文件的恶意行为者可以使用这些凭证在合法用户的伪装下登录到受影响的应用程序或系统。在这种情况下,由于任何系统日志都会记录访问应用程序或系统的有效用户帐户,因此失去了可问责性。
恶意行为者会搜索文本文件、电子表格、文档和配置文件,以求获取明文密码。评估团队经常发现明文密码,允许他们快速升级模拟入侵。
10. 无限制的代码执行
如果允许未经验证的程序在主机上执行,则威胁参与者可以在网络中运行任意恶意有效负载,恶意参与者通常在获得对系统的初始访问权限后执行代码。例如,在用户落入网络钓鱼骗局之后,攻击者通常会说服受害者在其工作站上运行代码,以获得对内部网络的远程访问权限。这些代码通常是一个未经验证的程序,没有合法的目的或商业理由在网络上运行。
评估团队和恶意参与者经常以可执行文件、动态链接库(DLL)、HTML应用程序和宏(办公自动化文档中使用的脚本)的形式利用不受限制的代码执行,来建立初始访问、持久性和横向移动。此外,参与者经常使用脚本语言来模糊他们的行为,并绕过允许列表——组织在默认情况下限制应用程序和其他形式的代码,只允许那些已知和可信的代码。此外,攻击者可能会加载易受攻击的驱动程序,然后利用驱动程序的已知漏洞,以最高级别的系统权限在内核中执行代码,从而完全破坏设备。
缓解建议
NSA和CISA鼓励网络防御者实施本咨询的“缓解”部分中的建议(包括以下内容),以减少恶意行为者利用已识别的错误配置的风险。
(1)删除默认凭证并加固配置;
(2)禁用未使用的服务并实施严格的访问控制;
(3)定期更新并自动化补丁过程,优先修补已知且已被利用的漏洞;
(4)减少、限制、审计和密切监控管理帐户和权限。
NSA和CISA还敦促软件开发商通过采用“设计即安全”策略来提高客户端的安全性,具体缓解措施建议包括:
(1)从开发开始到整个软件开发生命周期(SDLC),将安全控制嵌入产品架构中;
(2)消除默认密码;
(3)免费为客户提供高质量的,详细且易于理解的审计日志;
(4)为特权用户强制实施多因素认证(MFA),并将MFA作为默认而非可选功能,理想情况下可以防范网络钓鱼。
NSA和CISA推荐组织利用特定于企业的MITRE ATT&CK框架映射的威胁行为来演练、测试和验证组织的安全计划。此外,还建议测试组织现有的安全控制清单,以评估它们对建议中描述的ATT&CK技术的性能。
文章翻译自:https://media.defense.gov/2023/Oct/05/2003314578/-1/-1/0/JOINT_CSA_TOP_TEN_MISCONFIGURATIONS_TLP-CLEAR.PDF如若转载,请注明原文地址