2023/2024年度十大被黑原因解析
作者:Jordan Drysdale 和 Kent Ickler
BHIS通过传统和持续渗透测试(CPT)服务积累了大量的测试数据。本十大列表基于近两年渗透测试报告的分析结果,重点关注导致系统沦陷的发现项。我们排除了与SSL/TLS、SSH密码相关的内容,尽管这使研究结果略有偏颇,但近几年攻击技术变化不大,初始访问、横向移动、代码执行、权限提升和数据访问等技术仍与过去十年相似。
第十名:防火墙问题
更准确的描述应为“缺乏基于防火墙的限制”。组织应在工作站和服务器上启用东西向防火墙,允许无限制访问工作站网络存在严重风险。如果通过组策略主动禁用工作站和服务器防火墙,建议追溯该配置的文化历史,因为这不是安全的好策略——实际上非常糟糕。缺乏网络分段以及在VLAN和可路由网络上使用任意对任意规则集也是值得关注的问题。
我们认为,最危险的暴露端口是SMB TCP端口445。关闭它,并禁止其出口网络。远程过程调用允许从配置更改到安全内存访问的一切操作,现在是时候减少这种暴露了。
第九名:消息完整性
不知道这是什么?这很正常。消息完整性检查(MIC)为验证发送者或会话发起者提供了基础。此外,这可能意味着通过客户端和服务器验证的快速消息摘要交换向远程文件共享证明身份。更简单地说?服务检查以确保你是你声称的那个人。
为什么?消息完整性检查减少并大多消除了凭据中继攻击的有效性。我们作为攻击者使用的两种主要中继攻击是SMB中继和LDAP中继,这两种协议都支持消息签名。
- SMB签名:https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/overview-server-message-block-signing
- LDAP签名:https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/enable-ldap-signing-in-windows-server
第八名:默认设置
默认配置设置包括:
- 默认机器账户配额
- 缺乏SMB和LDAP签名
- 高保真端点日志记录
- 非常糟糕的密码策略
- NTLM认证
- 未保护的用户
- 注册者提供主题(ADCS ESC1)
- LLMNR、mDNS和NBNS
- 明文LAPS密码
- SCCM和MECM凭据
- Panther unattend.xml
- 浏览器WPAD
- 攻击技术盲点
利用这些弱默认设置的方法很多。作为测试者,我们使用上述列表的某些组合来建立立足点、提升权限和在网络中移动。
第七名:补丁管理
下一个截图来自CISA对2023年被黑原因的等效但不同的解释:https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-317a。
这些发现令人痛心,不仅因为漏洞武器化的速度不断加快,还因为常见的发现表明甚至过去几年有补丁的漏洞仍未解决。
你注意到了什么?一些常规、可修补的漏洞仍然对我们的对手可访问。显然,根据CISA,数量足够多,值得报告。
从花费大量时间评估内部网络安全的人的角度来看,我可以证明打补丁很困难。维护支持合同很难。保持设备、软件包和网络设备的更新是一项非常繁重的任务。库存控制也难以维护。
第六名:弱协议滥用
LLMNR还在吗?浏览器还在请求WPAD配置吗?mDNS还在潜伏吗?
是的,所有这些协议仍然导致沦陷。
第五名:Web应用
有什么比将某些东西暴露在互联网上更令人担忧?如何暴露一个具有多个过时和脆弱框架组件的应用程序?再加上认证组件以及地址跟踪和购买历史。别忘了应用程序某处可能还存储电子邮件地址、用户名和密码。
一个基本的电子商务网站突然听起来像是承载着数字世界的重量。显然,应用程序24/7暴露于对手网络的事实意味着漏洞发现的持续性是现实。许多这些漏洞直到公司发现有针对特定服务集的活跃活动才被报告。
无论如何,我们报告了许多与Web应用程序、其框架组件、底层编码库、代码逻辑、验证和输入相关问题以及会话管理整洁性相关的漏洞。
第四名:员工因素
最近在Wild West Hackin’ Fest的一个客串中分享了一个故事。我们的持续渗透测试(CPT)团队直到2024年10月的头号初始进入技术是帮助台呼叫、社会工程和密码重置。
第三名:可见性
威胁可见性作为一类检测能力正在改善。也就是说,检测到入侵仍然需要很长时间。根据IBM(像Verizon一样进行年度和持续的宏观违规评估和统计分析)的数据,一些事情正在改善:https://newsroom.ibm.com/2024-07-30-ibm-report-escalating-data-breach-disruption-pushes-costs-to-new-highs
这篇文章包含另一个重击引用:“企业陷入违规、遏制和后果的连续循环中。”
第二名:ADCS
请调查你的证书环境。通过弱注册模板和Web注册服务进行域沦陷的一致性可能正在减弱,但是……ADCS攻击链是一个五分钟完成的沦陷场景。
不要搞错。审计你的模板。在证书颁发机构上启用审计。
- https://github.com/ly4k/Certipy
- https://github.com/GhostPack/Certify
- https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/audit-certification-services
第一名:凭据
弱密码策略导致用户使用弱密码。90天轮换周期导致了SeasonYear密码紊乱……作为组织领导,我们可以争取更好——通行短语!?
文件共享、脚本、源代码和描述属性仍然提供了逃脱有限权限的手段。
浏览器数据泄漏和信息窃取器已经产生了大量的电子邮件、用户名和密码。由于密码重用,出现了一个新的严重问题——你的员工的密码可能已被用于在企业外部创建账户。一旦被攻破,违规、遏制和后果的循环继续。
监控数据泄露。了解你的暴露情况。
所以,这就是基本形式的列表。如果我们在参与中看到的额外细分得到一些关注或兴趣,也许我们可以做一些后续的博客系列。
一如既往地 cheers,感谢阅读!
-jd / ki