Por Microsoft Staff

Muitos dos profissionais de TI, que contacte o nosso serviço de atendimento ao cliente e grupo de apoio têm dúvidas comuns relacionadas a incidentes de segurança e estão em busca de orientação sobre a forma de melhor mitigar as ameaças de determinados adversários. Tendo em conta o nível de interesse em esta informação e situações comuns que existem entre diferentes organizações, estamos publicando uma série com várias partes que irá detalhar os incidentes de segurança comum as organizações enfrentam e fornecer recomendas mitigações baseadas na orientação da nossa equipe de suporte Segurança. 

É importante observar que cada fase tem um ou mais técnicos e, mais importante ainda, controles administrativos que poderiam ter sido utilizados para bloquear ou atrasar o ataque. As mitigações são listadas após cada fase. Cada mitigação aborda comportamentos específicos e vetores de ataque que foram vistos anteriormente em vários incidentes de segurança.

Fase um: o ponto de entrada
Inicialmente, o invasor é capaz de comprometer uma ou mais máquinas. Isso pode acontecer por phishing, ataques direcionados naweb, serviços expostos, ou outros meios.

O método mais comum observaoa pela nossa equipe de suporte segurança com sucesso, é  comprometer um sistema por meio vulnerabilidades de software. Na grande maioria dos casos, essas são as vulnerabilidades do software para que as atualizações estão disponíveis, mas não foram aplicadas. Na resolução de problemas com os clientes, temos encontrado que estes ataques geralmente têm como alvo plug-ins, leitores de documentos para formatos comuns e comuns da web application frameworks.

MITIGAÇÃO: é fundamental para os profissionais de TI para aplicar atualizações de segurança oportunas para todos os softwares instalados em sua organização. Isso inclui tanto os produtos da Microsoft, bem como software de terceiros. Infra-estrutura da Microsoft, tais como o System Center Configuration Manager (SCCM) e Windows Server Update Services (WSUS) pode aplicar as atualizações para os produtos da Microsoft, mas eles não cobrem produtos de terceiros, a menos que 3.ª parte tenha lançado um manifesto para os seus produtos. Este deve ser o caso, se o software foi centralmente implementado ou instalado por usuários finais. Isso também inclui quaisquer estruturas de aplicativos usados em aplicativos baseados na web.

Vulnerabilidades de Software é um dos mais comuns do ponto de entrada que os atacantes utilizam para causar danos maliciosos. Isto torna-se ainda mais crítica quando executando um sistema em modo de administrador local, os invasores podem tentar instalar produtos que podem introduzir novas vulnerabilidades. Aplicar atualizações em tempo hábil deve ser feito para todos os produtos instalados.

Fase Dois: Ganhando Controle do administrador
Após o compromisso, o intruso vai querer obter privilégios LocalSystem. 

Em nossa experiência, ganhando privilégios LocalSystem é muitas vezes mais fácil porque o sistema que estava comprometido foi configurado como um administrador. O atacante vai geralmente se concentrar no conta privilegiada dos usuários para que eles possam obter o controle.

MITIGAÇÃO:  minimizar o número de sistemas executando como administrador local tanto para estações de trabalho e servidores. Use contas privilegiadas somente quando necessário.

Fase Três: Estabelecer Raízes

Uma vez que o invasor é capaz de executar como LocalSystem, instalam malware para fornecer persistência no host, capturam as credenciais do usuário e controlam remotamente a máquina.

MITIGAÇÃO:  monitore regularmente o seu anti-virus/solução anti-malware. Muitas vezes as ferramentas usadas em um ataque foram detectados pelos anti-malware, mas não limpo ou gerenciado. Nestes cenários, o invasor poderá instalar outros software mal-intencionados. Além disso, o malware pode desativar o software de segurança ou fazer as alterações de configuração, tais como adicionar exceções.

MITIGAÇÃO:  usar um aplicativo abordagem  de whitelisting como o AppLocker para ajudar a evitar a introdução de software indesejado.

Fase quatro: Roubo de credenciais
Agora que a terceira parte é capaz de executar malware persistente, credenciais se tornam o principal alvo. As credenciais são geralmente roubadas de contas locais, contas de serviço e os usuários que fazem login na máquina infectado. O objetivo aqui é o de localizar credenciais com privilégios, incluindo contas de administrador de domínio, para usar.

MITIGAÇÃO:  usar senhas únicas para a conta de administrador local em cada host em sua empresa. Quando um intruso descobre que a conta de administrador local tem a mesma senha em cada, ou mesmo em um grupo de hosts, eles vão usar isso para se mover lateralmente através de qualquer host que partilha a mesma senha. É melhor ainda desativar esta conta inteiramente em toda a empresa e acompanhar a tentativa de uso. Consulte este artigo para obter mais informações sobre Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques esta e outras credenciais-relacionado com fatores atenuantes.

MITIGAÇÃO:  Evitar contas de Administrador do Domínio de logon em máquinas que podem ser comprometidas por um menos usuário privilegiado. Contas administrativas de domínio nunca devem fazer o logon em estações de trabalho ou servidores do domínio. Eles devem usar contas de usuário limitadas e utilizar um Servidor de Terminal gateway para o RDP em servidores com as suas contas de administrador de domínio, conforme necessário. A abordagem mais simples para isso é usar a diretiva de grupo para remover o Logon local     dos direitos dos administradores de domínio de todas as máquinas, exceto para os controladores de domínio.

MITIGAÇÃO:  muitos serviços são executados como LocalSystem. Esta é uma conta altamente privilegiada. Sempre que possível use contas LocalService e NetworkService para executar os serviços em vez de contas de administrador do domínio onde as senhas são mantidas em texto claro na memória do processo LSA espaço enquanto o sistema está funcionando.

Mais informações sobre as contas de serviço: 

Os serviços são os aplicativos que são executados quando o sistema é inicializado. Tal como qualquer outro processo no sistema, os serviços devem ser executados sob algum tipo de identidade do usuário. Quando o serviço é iniciado, o sistema operacional vai autenticar a conta utilizada para o serviço. Para fazer isso, ele precisa de um nome de utilizador e uma palavra-passe, que é armazenado no Local Security Authority (LSA) Secrets. A LSA Secrets são mantidas pelo LSA para manter determinadas informações sensíveis, tais como as credenciais de conta do computador, as chaves de criptografia, e credenciais de contas de serviço.

A LSA Secrets são criptografadas no disco e descodificados pelo sistema operacional quando a máquina é inicializada. Em seguida, são realizadas em texto claro no processo LSA do espaço de memória enquanto o sistema está funcionando. Para obter essa informação, o terceiro deve conectar um depurador para o LSA. Isso pode soar assustador, mas existem utilitários projetados especificamente para extrair segredos de LSA. Note-se que o LSA está funcionando como LocalSystem, não apenas qualquer pessoa pode prender um depurador para um processo em execução; no entanto, qualquer usuário que tenha o SeDebugPrivilege nos (o que é required to debug and adjust the memory of a process owned by another account) pode fazê-lo. Por padrão, isso significa que apenas os administradores são capazes; no entanto, este privilégio também pode ser concedida para outros usuários.

Fase cinco: roubo de dados
Neste cenário, o atacante agora tem acesso completo às contas privilegiadas e podem agir como essas contas - administradores de domínio, os administradores do servidor, os VIPs - na rede para causar danos maliciosos. Com este acesso, eles podem ser capazes de obter uma importante propriedade intelectual e outros dados. Eles também podem se conectar em  controladores de domínio e reunir credenciais para todos os usuários do domínio. 

MITIGAÇÃO: Nenhuma. É fundamental que o intruso já foi contido e controlado por as atenuações que foram listados anteriormente. Controles detectivos são importantes nesta fase para encontrar atividades maliciosas. 

Discussão: antes de ocorrer um incidente, os clientes devem identificar os dados críticos e fixar usando os controles  como criptografia, no disco e no trânsito, bem como pré-definir que grupos empresariais devem ter acesso a quais dados. Porque os administradores do domínio podem alterar as listas de controle de acesso (ACLs) em arquivos e pastas, isto não é uma forma de mitigação, no entanto, o uso de um sistema como o Microsoft's podem ser Rights Management Services usados para controlar o acesso aos dados. Dados críticos de negócios deve ser localizado no armazenamento seguro e backup em um sistema seguro, bem como externamente para recuperar do site-wide, e testes freqüentes de restaurações devem ser realizados.

Obviamente, estes são apenas alguns exemplos de cenários e práticas recomendadas de segurança. Recomendamos que os clientes com base no que estamos vendo nas no momento. Em termos do ciclo de vida do ataque, os atacantes conseguem comprometer no contexto dos administradores logados, em seguida, usar pass-a-hash ataques para elevar seus privilégios para administradores do domínio. Com essas credenciais, podem descarregar o arquivo ntds.dit e, ao fazê-lo, os hashes de cada conta no AD. Em seguida, seu alvo são as informações que eles estão procurando e filtrar dados usando um número de diferentes mecanismos de ação. 

Veja a próxima etapa desta série, que abrangem algumas das coisas que você pode fazer para se preparar para um incidente de segurança. Para obter mais informações sobre o pass-the-Hash,  roubo de credenciais e outras abordagens, consulte a o artigo Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft . Para obter mais informações sobre as ameaças em panoramas globais, consulte a Microsoft Security Intelligence Report.

Neil Carpenter
Engenheiro Sénior de Segurança Escalada 
Equipe de segurança CSS