ドメイン コントローラーに移動する: ゼロ トラスト ツールを使用した保護と軽減策

In part 1 of this blog series, we looked at how discovery methods can be used in an initial compromise. The second showed an example of identity theft using pass-the-hash techniques combined with remote access tools for lateral movement. In this final part, we look at how to mitigate against lateral movement. We have already discussed the practical example of the two complementary approaches that enable lateral movement: application-level and network-level.

ネットワークレベルとは、実際にはネットワークを介したホスト間通信を意味し、必ずしもスイッチやルーターなどのネットワークデバイスを意味するわけではないことは明らかです。ホストは、ドメイン コントローラー マシンのようなワークロードであり、データベース サーバー マシンは物理、仮想、またはコンテナ化のいずれかです。アプリケーションレベルは、ホスト自体の内部で何が起こるかも指します。たとえば、ディスク上のバイナリ、メモリ内のプロセス、レジストリ アクションなどです。

前のブログで説明したラテラル ムーブメントでは、Windows LSASS プロセス メモリからハッシュ化された資格情報を取得することにより、アプリケーション レベルで Mimikatz 対応のハッシュ渡し手法がオペレーティング システム内で使用されました。

その後、その攻撃から派生した昇格されたアクセス トークンを使用して、Windows SCM を利用した PAexec ツールを使用してリモート アクセスを有効にしました。

Analysing this specific attack sequence against the two levels described above, the application-level of the system would have to prevent the use of Mimikatz first or failing that PAexec, based on default-deny using an allowlist of applications. Alternatively, we would have to detect the process launch in memory by, for example, monitoring loaded DLLs or API calls. The network-level would have to enforce microsegmentation at the host level to prevent movement between systems even if they may be on the same subnet or VLAN. Traffic baselining will also make it possible to detect any anomalies like data exfiltration.

次の図は、Mimikatz バイナリと PAExec バイナリの両方と、インポートされた DLL などのシステム依存関係の静的分析を示しています。

メモリ内で実行中のプロセスは、Mimikatz pass-the-hash とその後のドメイン コントローラーへの PAExec 接続の両方に使用された cmd のプロセス ツリーを示します。

宛先システム (この場合はドメイン コントローラー) のフォレンジックでは、リモート管理 (この場合は横方向の移動) を容易にするために、ドメイン コントローラーで使用されるバイナリも表示されます。

また、下の画像は、関連するサービスも示しています。

デフォルトでは、バイナリ名と結果のプロセス名の両方に標準の名前付け規則が使用されます。もちろん、これは脅威アクターによって変更される可能性があります。

Therefore, it is important that mitigation approaches take these levels of attack into consideration – protections that look at the application-level threats and protections that look at network-level security with a focus on the host-to-host communication. This will then mean that the security stays and moves with the host or workload being protected (e.g., the domain controller machine as a workload and the endpoint machines that access the domain controller).

この 2 レベルの概念をドメインと関連するサーバーとクライアントに適用すると、次のインフォグラフィックは、このブログ シリーズで説明されているように、ドメイン コントローラーやその他のドメイン システムに対する脅威から保護するための重要なセキュリティ上の考慮事項のいくつかを示しています。

A good starting point of information is Microsoft's Best Practices for Securing Active Directory, which details common-sense approaches, like no logging on to unsecured computers with privileged accounts or browsing the Internet normally with a highly privileged account or even directly from domain controllers. Effective privilege management and application allow lists can also automate the restriction of privileged account usage across the domain and prevent the use of unsanctioned applications.

たとえば、システム保護のアプリケーションレベルでは、エンドポイント検出と応答(EDR)をゼロトラストに基づくIdentity & Privilege Managementソリューションと組み合わせることで、MimikatzやRubeusなどのツールを使用して、認証情報の盗難やLSASSメモリ操作など、ドメインシステム上のアプリケーションレベルの脅威に対処するのに役立ちます(メモリ内でのみ実行され、ディスクに触れない場合でも)。

以下の例は、EDR ソリューションである CrowdStrike Falcon が、一連の悪意のあるアプリケーションおよびシステムレベルの動作を検出する例を示しています。

At the network-level of the system, like with the domain controller and other domain systems, host-based microsegmentation solutions like Illumio Core can provide Zero Trust security and microsegmentation. Illumio Edge extends this protection to the endpoints in and outside the domain. This is especially true for cases of zero-day vulnerabilities and in cases where threats are missed by application- and system-level endpoint security.

最新のネットワークのほとんどは、特にリモートワークの時代において、異種混在で複雑で拡張されています。この結果、最初に焦点を絞った戦略を持たずにセキュリティを確保することは特に簡単ではありません。特に大規模なネットワークの場合、さまざまなセキュリティポリシーを持つ異種で複雑なシステムが多数あるため、効果的なセキュリティを実現することはほとんど不可能に思えるかもしれません。したがって、基本に立ち返って次のことが重要です。

1. 自分が持っているものを知る
2. 彼らが何をしているのかを知る
3. それらを保護します

これは、ワークロードがデータセンターまたはクラウドに保存されている場合に特に当てはまります。何を持っているかを知る最も簡単で効果的な方法は、最初にシステムを場所、環境、アプリケーションなどの特定の属性でグループ化することです。これにより、重要なシステムやアプリケーショングループ、グループ間で使用されるコアサービス、その他の重要度の低いシステムやアプリケーションを簡単に特定できます。当然のことながら、最も重要な資産、最高の宝石アプリケーション、およびコアサービスに主な焦点が当てられるようになります。

効果的なセキュリティは単独で存在するものではないため、どのアプローチでも次の重要な考慮事項を考慮する必要があります。

• 可視
• 統合
• 大規模なパフォーマンス
• 効果

The first important point is visibility. As shown in the example below from Illumio's Core solution for Zero Trust workload protection, application dependency mapping and showing different application groups and their connections paves the way for informed policy definition and provisioning directly on host systems like domain controllers, database servers, and other critical workload systems in the domain – physical, virtual, containers, or cloud. This means that microsegmentation can be applied even in a flat brownfield environment with systems that span different geographic locations and exist on different platforms. This helps in knowing what your systems do on the network. The example below shows the application groups and their traffic relationships in an application dependency map.

このような有用なシステムレベルの情報は、SIEM、脆弱性スキャナー、CMDBなどの既存のセキュリティ投資に統合することもできます。次の例では、ホストベースのマイクロセグメンテーションソリューションからの情報がSIEMまたはセキュリティ分析ソリューションに供給されます。この例は、Splunk SIEMとの統合を示しています。

そして、この 2 番目の例では、QRadar を使用します。

これは、新しいソリューションを既存のセキュリティ投資と組み合わせて、ドメインシステム全体を保護できることを意味します。コンテナやクラウド移行などの固定環境とアジャイル環境の両方でセキュリティをスケールアップまたはスケールダウンできるように、大規模なセキュリティソリューションのパフォーマンスと有効性も重要な考慮事項である必要があります。

これらすべてが整うと、すべてのシステムで一貫したセキュリティポリシーを簡単に定義して、異常な動作を監視、検出、防止できます。次の図は、ネットワークレベルであるホスト間のリアルタイムトラフィックパターンに基づいて適用できるさまざまなタイプのマイクロセグメンテーションポリシーを示しています。

In newer versions of Windows, such as Windows 10 and Server 2016, auditing for event 4768 - a Kerberos authentication ticket (TGT) was requested and event 4769 - Kerberos service ticket was requested, and subsequent correlation can point to the beginning of golden or silver ticket attacks. Microsoft has also implemented new protections like Credential Guard, which aims to protect against credential dumping. In the event that a cyber incident occurs, it is important that a cyber incident response strategy is already in place.

Both the application-level and network-level protections should be underpinned by an ‘assume breach’ strategy, so that, overall, active threat hunting supported by analytics, continuous monitoring, and detection is always in force in an automated and structured manner.