Azure Security Center 如何使用管理工具檢測漏洞

撰 /  Azure 安全中心高級軟體工程師 Dotan Patrich 和 Azure 安全中心安全軟件工程師實習生 Yossi Weizman 撰寫。

譯 / Fu-Hsuan Liu

2017 年早些時候,Rob Mead 撰寫了一篇關於 Azure 安全中心用於檢測威脅的技術的大文章。在本文中,我們將詳細討論一個這樣的示例,使 Azure 安全中心能夠檢測 backdoor user 帳戶創建的使用情況。

backdoor user 帳戶是由攻擊者創建的作為攻擊一部分的帳戶,稍後用於獲取對網絡中其他資源的訪問權限,打開網絡的新入口點並實現持久性。 MITRE 將創建賬戶策略列為階段的憑證訪問意向的一部分,並列出了使用此技術的多個工具包。

乍看之下,檢測這種惡意賬戶創建行為很容易,但通常情況並非如此,因為創建新賬戶主要是合法行政操作的一部分。因此,安全產品通常不會對此提醒,因為大多數組織都難以應付需要進行分類的警報量。這使得賬戶創建策略成為強大的對手戰術。

本月早些時候,Azure 安全中心發布了一項新的分析,以檢測可能用作 backdoor user 帳戶的可疑帳戶創建操作。該分析包括幾個標準,用於區分良性行政賬戶創建和需要提醒的可疑活動。其中一些來源於許多租戶的規模。

與所有作為 Azure 安全中心一部分發布的安全分析一樣,正在對其進行監控並進行調查,以查看其噪聲比,性能和正確性。監控用戶創建分析揭示了一個有趣的案例,表明如果沒有通過良性工具完成,創建的帳戶也可能有系統漏洞的症狀。由於沒有對主機採取惡意行為,因此該漏洞不會被其他類型的安全警報標記,但用戶必須知道其環境中存在潛在的高風險漏洞。

深入了解 Azure 安全中心最近提出的這類警報,展示了用指令行創建用戶帳戶的情況,該指令行包含純文本中的用戶名和密碼。更令人感興趣的是,對這些事件的深入研究表明,用戶創建操作不是由對手執行的,而是由來自知名供應商的技術支持軟件執行的。

對該軟件的進一步調查顯示,它不僅在不同的安裝中使用相同的用戶名,而且還使用相同的密碼。

惡意攻擊者可能會探測不同的機器並嘗試使用這些憑據登錄。在主機配置為允許遠程管理連接的情況下,使用 PowerShell、WMI 或遠程桌面等,進而進入網絡的入口點。在惡意攻擊者已經在網絡上紮根的情況下,他可以使用這些憑證,在網絡上橫向移動到任何安裝了支持工具的機器,從而暴露這些機器上的所有信息,包括登錄到那些機器的任何其他帳戶。鑑於此帳戶是由支持工具創建的,管理員很可能會安裝它,因此這些主機可能會緩存可能被利用的高權限帳戶的憑據。

而且,當我們將軟件安裝在作為域控制器的計算機上時,創建的帳戶被設置為域用戶。這代表在這樣的情況,軟件的安裝會導致整個域的安全漏洞。

關鍵是要確保審查和評估網絡中的任何帳戶創建操作,包括本地帳戶。 此外,評估每個工具安裝所做的配置更改對於評估和減輕與其相關的任何風險至關重要。

通過 Azure 安全中心,可以更輕鬆地自動執行評估帳戶創建操作的過程,並通過異常用戶創建警報檢測異常配置。 因此,如果您在 Azure 訂閱中看到這樣的警報,請務必查看它: