ADVERTISEMENT
美國網路安全和基礎設施安全局 (CISA) 表示,2023 年針對某個不透露名稱的聯邦機構進行的紅隊演習,揭露了一連串的安全漏洞,這些缺陷曝露了該機構最關鍵的資產。
CISA 將這些演習稱為 SILENTSHIELD 評估。該機構的專門紅隊會挑選一個聯邦民用行政部門 (FCEB) 機構進行探測,且事先不知會,同時試圖模擬長期敵對國家威脅組織的行動。
根據該機構對此次演習的描述,紅隊能夠透過利用目標機構 Oracle Solaris 環境中未修補的漏洞 (CVE-2022-21587 - 9.8) 獲得初始存取權限,進而導致完全入侵。
值得注意的是,CVE-2022-21587 是一個未經身份驗證的遠端程式執行 (RCE) 錯誤,具有接近最高的 9.8 CVSS 評級,已於 2023 年 2 月加到 CISA 的已知漏洞 (KEV) 目錄中。CISA 紅隊的初步入侵發生在 2023 年 1 月 25 日。
CISA 的報告中提到:「在獲得存取權限後,團隊立即通知了該機構受信的代理人有關未修補設備(存在漏洞的設備)的情況。然而,該機構花了超過兩週的時間才安裝可用的修補程式。此外,該機構沒有對受影響的伺服器進行徹底調查,這本來可以發現入侵指標(IOCs),並應該引發全面的事件回應。」
「在團隊獲得存取權限大約兩週後,漏洞利用程式碼被公開發表到一個流行的開源漏洞利用框架中。CISA 確定該漏洞被一個未知的第三方利用。CISA 於 2023 年 2 月 2 日將此 CVE 加到其已知漏洞目錄中。」
漏洞被加到 KEV 目錄意味著幾件事。首先,它們是嚴重的,已知被網路犯罪分子利用,並且可能導致嚴重的後果。其次,當錯誤被加到目錄中時,它們還附帶了 FCEB 機構必須修補它們的截止日期。
自從引入 KEV 目錄以來,CISA 一直對聯邦機構達到這些截止日期的程度諱莫如深,但這個案例表明它們並不總是被遵守。
在上個月的牛津網路論壇上,《The Register》向 CISA 主任 Jen Easterly 提出了關於截止日期遵守情況的問題,她說(沒有提及當時她無法獲取的具體數字)「遵守率非常高」。此外,最近的一項調查顯示,該目錄也正在幫助私營部門。
CISA 的紅隊在成功入侵 Solaris 系統環境後,發現無法進一步滲透到目標機構的 Windows 網路部分。這是因為他們缺乏必要的憑證,儘管他們已經取得了數月對敏感的網路應用程式和資料庫的存取權限。
CISA 不氣餒,在對目標機構的不明身份成員進行網路釣魚攻擊後,成功進入 Windows 網路,其中一次攻擊取得了成功。
CISA 的紅隊認為,在這個階段,真正的攻擊者可能會採用長時間的密碼噴灑攻擊,而不是網路釣魚的方式。這是因為他們發現該機構的數個服務帳戶使用了弱密碼,容易受到密碼噴灑攻擊的影響。
密碼噴灑攻擊(password spraying)是一種網路攻擊手法,攻擊者會使用常見的密碼,針對大量的帳戶進行嘗試登入。由於服務帳戶通常不會像個人帳戶那樣頻繁更改密碼,且可能使用較弱的密碼,因此容易成為攻擊目標。
在獲得存取權限後,紅隊注入了一個持久的遠端存取木馬(RAT),後來發現了未受保護的管理員憑證,這基本上意味著被評估的機構遊戲結束了。
CISA 表示:「儘管這些伺服器在網路中具有敏感性和關鍵功能,但它們都沒有任何明顯的額外保護或網路存取限制。」
CISA 將此描述為「完全域入侵」,使攻擊者能夠取得最高管理權限。
報告中寫道:「團隊在一個開放的行政 IT 共享上發現了一個前任員工留下的密碼檔案,其中包含多個特權服務帳戶的明文使用者名稱和密碼。透過收集的輕量級目錄存取協定 (LDAP) 資訊,團隊確定其中一個帳戶具有系統中心操作管理器 (SCOM) 管理員權限和父域的域管理員權限。他們還發現另一個帳戶也對域中的大多數伺服器具有管理權限。這兩個帳戶的密碼已經八年多沒有更新,並且沒有註冊到該組織的身份管理(IDM)系統中。」
從這裡開始,紅隊意識到受害組織與多個外部 FCEB 組織具有信任關係,CISA 的團隊隨後利用他們已有的存取權限轉向了這些組織。
團隊對一個合作組織進行了「kerberoasting」攻擊。Kerberoasting 是一種針對 Kerberos 認證協議的攻擊,該協議通常用於 Windows 網絡中對用戶和設備進行身份驗證。然而,由於權限較低,他們無法使用該帳戶進行橫向移動,所以轉而利用這些憑證攻擊第二個受信任的合作組織。Kerberoasting 在第二個外部組織中獲得了一個權限更高的帳戶,其密碼可被破解。
CISA 表示,由於網路所有權、法律協議和/或供應商不透明性,這類跨組織攻擊在評估中很少進行測試。
然而,SILENTSHIELD 評估能夠根據《2021 財年國防授權法案》(NDAA)賦予 CISA 的新權力進行,同樣的權力也使 CISA 的聯邦攻擊面測試(FAST)滲透測試程式能夠運作。
在這種演習中能夠探索這些途徑至關重要,因為在真實世界,對手在探索這些系統時不會有任何保留。
披露時間
在評估的前五個月中,目標 FCEB 機構未能檢測或修復任何 SILENTSHIELD 活動,引起了人們對其發現真正惡意活動能力的擔憂。
早在評估過程中就懷疑存在檢測問題。例如,在 Solaris 階段注入的 RAT 透過其指揮控制(C2)就已經造成了 8GB 的網路流量,但這似乎沒有引起機構任何人的警覺。
在 CISA 最終結束了該機構的困境後,每週都與其安全團隊和系統管理員舉行會議,這導致「對已知技術的響應時間和基於行為的檢測有了可衡量的改進,揭示了先前未知的技術。」
事後討論的主要問題之一是該機構的日誌收集,被認為是「無效且效率低下」。各種問題阻礙了該機構收集日誌的能力,你可以在完整的報告中閱讀相關內容,但 CISA 對 Solaris 和 Windows 主機的入侵產生了重大影響,因為數據包捕獲發生在這裡,所以 CISA 能夠中斷這個過程。
被評估的機構過於依賴已知的入侵指標 (IoCs) 來檢測入侵,此外,各種系統錯誤配置和程序問題阻礙了對網路活動的分析。
CISA 表示,該演習表明 FCEB 機構需要應用縱深防禦原則,多層檢測和分析措施以達到最大效果。建議進行網路分段,紅隊希望強調過度依賴已知 IOCS 的危險。
如果不提及其安全設計推廣,這就不是一份 CISA 的通訊了。它表示,不安全的軟體助長了目標機構面臨的問題,並重申了其呼籲:消除預設密碼,向客戶提供免費日誌記錄,以及供應商應與 SIEM 和 SOAR 提供商合作,以更好地利用這些日誌。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!