Att lägga fotanglar i ditt nätverk

Veckans blogginlägg handlar om proaktivt nätverksförsvar.

Det närmar sig jul och både radio och TV försöker att med våld få julkänslan att infinna sig genom att plåga oss med julmusik och genom att visa julfilmer som Die Hard och Ensam Hemma. Varje gång Ensam Hemma kommer på tal tänker jag på ett citat av en okänd kollega i branschen som sägs ha sagt att filmerna är de perfekta analogierna för hur man ska tänka vid försvaret av en IT-miljö.

Huvudpersonen Kevin använder all sin uppfinningsrikedom för att göra livet surt för de två inbrottstjuvarna som försöker bryta sig in i familjens hem, och även om ingen enskild åtgärd egentligen stoppar tjuvarna innebär den samlade effekten att inbrottstjuvaran bittert ångrar att de lever och bara med turen på sin sida överlever upplevelsen överhuvudtaget.

I en scen sprider Kevin ut improviserade fotanglar i form av julgranskulor framför ett fönster. Tjuvarna kliver så klart på dem barfota.

En fotangel är en finurlig men enkel konstruktion som används som ett hinder för att sakta ned fiendens framfart. En fotangel kan se ut på många vis men består i regel av spikar som är sammansatta på ett sådant sätt att när fotangeln kastas på marken pekar en spik uppåt. Som Kevin visar kan samma effekt uppnås med hjälp av julgranskulor.

En ensam fotangel är långt ifrån ett perfekt försvar, utan är endast ett mindre irritationsmoment om den ens upptäcks, men sätts de in i volym vid viktiga platser tvingas angriparen antingen att hantera fotanglarna eller välja en annan väg.

Det är välkänt att cyberangrepp kan ha mycket snabba förlopp efter att en inkräktare tagit sig in i IT-miljön. Om en högt privilegierad användare lurats att köra skadlig kod eller en sårbarhet i ett kritiskt system utnyttjats kan hela domänen komprometteras inom timmar eller till och med minuter, och även i de fall angriparens initiala förutsättningar är något sämre än kontroll över ett administratörskonto kan en skicklig hotaktör snabbt röra sig över nätverket och hitta en väg till högre rättigheter.

Det finns ett antal “lågt hängande frukter” som inkräktare ofta griper efter när de har etablerat ett första fotfäste i IT-miljön hos sitt offer. Det här blogginlägget kommer att demonstrera hur man kan dissekera två av metoderna och hur det är möjligt att gillra fällor för angriparen.

Öppna nätverksmappar (Mitre ATT&CK T1135)
Kerberoasting (Mitre ATT&CK T1558)

Öppna nätverksmappar

Öppna nätverksmappar är attraktiva för angripare eftersom de kan missbrukas på många sätt. De kan innehålla:

Stöldbegärlig information
Autentiseringsuppgifter i textfiler och skript
Interna program och verktyg

Nätverkskataloger kan också användas som språngbräda för fortsatta angrepp. En nätverkskatalog som är skrivbar kan användas till reläattacker eller för att stjäla lösenordshashar från användare.

Active Directory loggar inte aktivitet på nätverkskataloger som standard, utan detta måste konfigureras. Detta kan göra via grupprinciper genom att konfigurera alternativen under Computer Configuration -> Policies -> Windows Settings -> Advanced Audit Policy Configuration -> Object Access.

Efter att loggning har konfigurerats kommer alla system som omfattas av principen att börja skapa lokala loggar med följande EventID:

Audit File Share – 5140-5144, 5168
Audit Detailed File Share – 5145
Audit File System – 4656, 4658, 4663, 4664, 4985, 5051, 4670

En utmaning med att övervaka nätverkskataloger är att det kan genereras stora volymer av loggar, speciellt om IT-miljön är större och affärsverksamheten bygger på användning av nätverkskataloger. Ett bakgrundsbrus som alltid kommer att finnas är till exempel alla maskinkonton som regelbundet besöker SYSVOL för att leta efter uppdaterade grupprinciper.

Hur hittar man då den metaforiska nålen i höstacken? Kanske genom att locka angriparen att besöka en mindre höstack!

Genom att skapa en ny nätverkskatalog med ett lockande namn och fylla den med bete ökar sannolikheten att en angripare upptäcker den och försöker interagera med katalogen och dess innehåll. (Exemplet har gjorts på en domänkontrollant i en labbmiljö, välj definitivt en mer lämplig server för nätverkskataloger om ni inte vill ha ett Gevalia-moment till jul.)

Nätverksmappen IT-Administration skapad som lockbete

En angripare öppnar en av filerna, som visar sig innehålla en meme.

EventID 5140 genereras över åtkomsten till nätverkskatalogen.

EventID 4663 genereras över att lockbetesfilen öppnas.

Hur är då detta en fotangel? En amatörmässig angripare som sväljer betet kommer att generera loggar som kan larmsättas med låg risk för falskpositiva larm, eftersom nätverkskatalogen och dess innehåll bara är attrappper och aldrig bör interageras med i den legitima verksamheten. Det kan liknas med en att någon trampar på fotangeln och skriker rätt ut.

En försiktig angripare kanske inser att katalogen och innehållet är en fälla, och kommer då att behöva välja sitt nästa steg med omsorg. Angreppets tempo blir då lägre och försvararna vinner förhoppningsvis mer tid för att vräka den ovälkomna gästen innan hotaktören uppnår sina mål.

Notera att Audit File System endast loggar händelser kopplade till filer och mappar med auditing explicit konfigurerat. Detta görs till exempel genom att högerklicka på nätverkskatalogen under Computer Management -> System Tools -> Shared Folders och välja Properties -> Security -> Advanced -> Auditing.

Konfiguration av auditing för nätverkskatalog

Kerberoast Honeypots

På samma tema är det möjligt att gillra fällor för angripare som försöker sig på Kerberoasting.

Kerberoasting är en teknik som används för att försöka erhålla lösenord till konton som konfigurerats med ett Service Principal Name (SPN), i praktiken oftast servicekonton. Idén bakom attacken är att begära ut en service ticket för ett eller flera konton, vilket är fullt tillåtet för alla domänens användare. En service ticket är krypterad med respektive kontos NTLM-hash, vilket innebär att det är möjligt att använda den för en lösenordsknäckning. Om lösenordet är förutsägbart eller svagt är det möjligt att erhålla lösenordet i klartext.

Slarvigt utförd Kerberoasting är ganska lätt att upptäcka genom analys av de loggar som genereras av angreppet, framförallt EventID 4769 som genereras på domänkontrollanter när en service ticket skapas. En angripare som inte väljer ut enstaka konton för Kerberoasting utan gör angreppet mot alla servicekonton med ett SPN konfigurerat kommer att producera en abnorm volym av sådana loggrader vilket enkelt kan urskiljas ur det normala bruset.

Men ibland kan det vara svårt att avgöra om en service ticket skapats under legitima omständigheter eller om det rör sig om ett angrepp. Skulle man inte kunna gillra en fälla här också?

Genom att skapa ett falskt servicekonto och ge det ett långt (28 tecken eller längre) lösenord är risken oerhört låg att en angripare skulle komma över det i klartext. Efter att ett SPN konfigurerats för kontot är det möjligt att angripa det genom Kerberoasting.

servicePrincipalName-attributet konfigureras

För att öka sannolikheten att en angripare vill interagera med kontot kan det med fördel “sminkas” lite, till exempel genom att ändra AdminCount-flagan till 1 och därmed signalera att det har höga privilegier eller genom att skriva någonting intressant i informationsattributet. Det är också möjligt att skapa falska grupper för att ge sken av att kontot har extra åtråvärda rättigheter.

Informationsfältet innehåller en lockande text.

Kerberoasting av det falska servicekontot

Händelse med EventID 4769 för det falska servicekontot.

Ett genererat event med ID 4769 som involverar det falska kontot har en mycket hög tillförlitlighet och låg risk för att vara falskpositivt. Det finns inga legitima omständigheter som föranleder att en service ticket någonsin skulle begäras ut för det aktuella kontot.

Återigen har vi två möjliga utfall, antingen kommer angriparen att svälja betet och interagera med vår honeypot och vi har då starka indikatorer för vår larmövervakning, eller så drar angriparen öronen åt sig och fortsätter sin framfart varsammare.

Förhoppningsvis kan det här blogginlägget inspirera till fler små enkla fällor ni kan gillra i era nätverk. Låt inte era inkräktare få en god jul!

Avslutningsvis bjuds på följande länktips som har inspirerat veckans blogg.

Länktips

Projekt för att snabbt bygga en labbmiljö för att testa detektion – https://www.detectionlab.network/
Five ways I got caught before lunch – https://www.youtube.com/watch?v=qIbrozlf2wM
Fördjupad läsning om Kerberoasting Honeypots – https://adsecurity.org/?p=3513
Mitre ATT&CK om nätverkskataloger – https://attack.mitre.org/techniques/T1135/
Mitre ATT&CK om Kerberoasting – https://attack.mitre.org/techniques/T1558/

 Publicerat 2022-12-16 Skrivet av Robin Sjögren