设为首页加入收藏
群晖首页图片
网站标志
新闻详情
 
当前位置
新闻搜索
 
 
Fortinet防特网 【威胁研究】浅谈攻击与防御之组策略和登录脚本 科汇科技 飞塔企业级安全产品 分销商
作者:管理员    发布于:2021-07-12 16:00:03    文字:【】【】【
这是“浅谈攻击与防御”系列文章的第三部分。在该系列文章中,我们着重介绍了恶意攻击者为实施网络攻击而采用的多种不同策略和技术,以及组织该如何进行检测并最终阻止它们。


简介

在本文中,我们将介绍 Windows 操作系统中的组策略对象 (GPO:Group Policy Objects)。具体来说,如何使用 GPO 在 Active Directory 环境中的目标设备上部署和执行恶意有效负载。我们还将研究如何使用该技术降低攻击者带来的风险。在 MITRE ATT&CK 知识库中,该技术被称为组策略修改,最近被频繁用于针对性勒索软件攻击。

组策略101



简言之,GPO 是 Windows 和 Active Directory 中的内置配置管理技术。管理员可以使用它们来执行各种管理任务,例如:



    系统的一般锁定

    安全加固

    Internet Explorer 配置

    登录和退出脚本更改

    驱动器和打印机映射

    设置本地管理员–本地组成员




GPO 存储在两个位置:



1、组策略容器 (GPC:Group Policy Container)

GPC 存储在 Active Directory 环境中的每个域控制器中,包含属性信息,例如状态和版本控制信息、对客户端扩展 (CSE) 的引用、组策略模板 (GPT) 的路径和软件安装包等。需要注意的是,GPC 由 GPO GUID(全局唯一标识符)引用。

2、组策略模板 (GPT:Group Policy Templates)

GPT 作为文件系统文件夹存储在域策略子文件夹的系统卷文件夹 (SysVol) 中。它包含您在策略中定义的特定设置的相关信息,例如安全设置、脚本文件等。


【Figure 1. Path of SYSVOL and GUID on a Domain Controller】

您可以按用户或计算机应用 GPO,并且每 90 分钟在后台更新一次,随机偏移量为 0 到 30 分钟。但是,域控制器的更新频率要高得多,大约每 5 分钟更新一次。值得注意的是,GPO 只有在做出更改后才会更新。



创建组策略后,您需要将其关联或应用到站点、域或组织单位。此外,所有 Windows 设备上都有一个本地 GPO,但是如果将 GPO 关联到 GPC 或 GPT,则该 GPO 将取代本地 GPO 上的任何配置。这是因为尽管一台计算机和一个用户可以有多个 GPO,但是如果发生冲突,最后应用的 GPO 具有最高的优先级,除非您启用了“阻止继承”设置。以下是应用顺序:



    本地 GPO

    站点 GPO

    域 GPO

    组织单位 GPO


您还可以使用安全组— Windows Management Instrumentation (WMI) 过滤对 GPO 的应用方式进行更精细的过滤。这种过滤可以基于操作系统、设备的品牌和型号、时区等条件来应用决策,也支持项目级目标选择,从而实现按设置过滤。图 2 提供了这些设置类型的示例。



接下来我们将讨论另一个功能 - GPO 的实施。从上面的信息可以看出,有许多 GPO 和关联机会。如前所述,如果发生任何冲突,优先级关联顺序将解决该问题。这个概念似乎很简单,但是当您有多个 GPO、GPO 关联、阻止的继承并且能够实施 GPO 时,便难以理解哪些 GPO 会应用而哪些 GPO 不会应用了。

实施 GPO 是解决此管理问题的一种方法。实施 GPO 意味着具有关联 GPO 的父容器无法阻止或覆盖其设置,而是始终应用实施的 GPO。以下示例直观展示了无论是继承或阻止继承,实施的 GPO 始终将被应用。


滥用组策略对象

从上一节可以看到,管理 GPO 具有很大的灵活性或复杂性。因此,此处适用一项重要的安全准则:复杂性通常使攻击者有机会利用错误的配置。我们来看看攻击者如何滥用 GPO。

首先,GPO 中有大量非常重要的信息,因此,攻击者在 Active Directory (AD) 环境中进行侦察时,这些信息非常有用。另外,默认情况下,AD 中通过身份验证的任何用户都可以查询 GPO 中的信息,并获得有效的响应(即查看谁有权访问哪些内容),无需为此任务升级权限。



多年来,开发人员创建了多款开源工具,以实现侦察活动的自动化,从而绘制 GPO 环境。以下是目前应用于攻击防御的一些方法:



    PowerView

    这是 PowerSploit 中的一款 PowerShell 工具。它用于在 Active Directory 环境中获得情景感知。该工具提供了有关用户、组、特权等的有用信息。


    BloodHound

    该工具可在 Active Directory 中查找关系,然后可以将其用作攻击路径。它还使用图论来识别漏洞,攻击者有可能利用这些漏洞在网络上横向移动并提升权限。


    Grouper2

    该工具有助于在 Active Directory 组策略中查找与安全相关的错误配置。


最明显的 GPO 滥用(至少在我看来是如此)是更改设置,旨在应用 GPO 的设备上交付并执行恶意有效负载。在发起针对性攻击时,攻击者通常会获得对环境的正确访问,修改组策略设置,然后部署破坏性有效负载(如勒索软件)。这些攻击者通过修改或创建 Windows 首选项(例如计划任务 (Schedule Task) 或登录/退出脚本)来执行此操作。

一些设置还可以引用外部路径,这些路径可能不具有与 GPO 相同的安全访问权限。这样,如果它们不能修改 GPO,但是可以访问引用的路径,便可以用恶意文件替换合法文件。下图说明了如何手动创建可立即计划的任务。

【Figure 4. Creating a Scheduled Task in GPO】

攻击者一旦能够更改 GPO 设置,便可以执行许多其他操作,例如更改安全设置以允许其他恶意操作,通过添加新的本地管理员帐户或通过运行恶意文件(例如创建和运行新服务)提供对设备的管理员访问权限。

由于 GPO 是基于以上继承而应用的,因此将攻击者关联到正确的访问权限可以关联和解除 GPO 的关联。这使他们能够完成特定任务,例如通过修改域组成员或更改 Windows 设备上的安全策略来提升访问权限,这可能会增加攻击者的攻击面。  

还有许多潜在的 GPO 滥用问题尚未讨论,但我们今天将到此为止。如果您想深入研究对 GPO 的更多攻击,请查看 GPT 重定向、管理员模板滥用以及干扰 registry.pol 文件的 starter GPO 攻击。

防御

您可以采取多种措施来防御 GPO 攻击,但首要原则是不要让攻击者获得管理员访问权限。我们可以使用多种工具来实现此目标,例如密码保护、阻止权限提升攻击和异常检测,本文将不一一赘述。简单来说,这些攻击需要正确的访问权限才能执行,尽管攻击者在没有管理员访问权限的情况下仍能完成攻击,但这将需要更多的时间和步骤。因此,您有更多的机会来识别环境中的可疑活动。

访问权限方面的建议是删除为通过身份验证的用户提供 GPO 安全过滤读取访问权限的默认设置筛选。您可以考虑将其修改为域计算机,这将使攻击更加难以确定您的安全状态。上述多款侦察工具(PowerView、BloodHound 和 Grouper2)都需要 GPO 的读取权限,才能提供黑客所需的所有信息。它们可能仍会提供一些有用的信息,但不是全部信息。您可以通过限制攻击者的可视性,增加其攻击的难度。



此外,防御者也可以使用相同的侦察工具来了解您的总体 GPO 和 AD 安全状态。例如,如果您在 AD 环境中运行 Grouper2 工具,便可以快速了解可能被攻击者利用的所有 GPO 错误配置。下图所示的 Grouper2 结果便是一个典型示例。


 【Figure 6. Grouper2 tool GPO misconfiguration results】

您可以看到我配置了一个 7zip 的 MSI 软件包进行安装。虽然该文件不再存在,但它仍然有权写入指向的目录。这意味着攻击者可以将其恶意有效负载名称更改为 7z1900-x64.msi,并将其复制到该特定路径,从而在此策略应用的每台设备上加载并执行恶意有效负载。

防御者还可以使用另一款侦察工具 BloodHound 进行防御。



我想要介绍的最后一个防御措施是实施 AD 管理分层模型(AD Administrative Tier Model)。AD 分层模型的概念与网络分段非常相似。基本上是通过在 AD 中设置区域来控制访问权限。实施分层模型后,即使攻击者拥有某种类型的管理权限,也很难从一个层转移到另一个层。该模型由 3 个级别的管理帐户组成,概述如下:



第 0 层

该层是最高级别的层,由负责活动目录管理控制的所有 AD 对象组成,包括林、域、域控制器等。只有负责维护 AD 的管理员用户才能访问该层。

第 1 层

该层由企业服务器和应用组成,包括服务器管理员可以访问的典型云服务。

第 2 层

这一最低级别的层包含用户工作站和设备。您通常会看到支持中心,其他支持人员可以访问该层的资源。

通过使用此分层模型,即使攻击者升级为第 2 层管理员,仍需研究如何访问第 1 层和第 0 层。虽然这不是一款完整的保护解决方案,但它需要攻击者执行更多步骤,才能获得各个层的访问权限。如果在整个网络上部署了适当的安全控制措施,则攻击者需要采取的步骤越多,防御者越有可能检测到其活动。

结语

AD 环境中的漏洞会导致 GPO 交付和执行恶意有效负载(例如勒索软件)并破坏加固配置,从而增加攻击面并使系统更容易受到攻击。在本文中,我们重点介绍了 GPO 的基础知识,攻击者收集有关 AD 网络(包括 GPO)信息的各种工具和方法,以及如何利用这些信息来执行网络攻击。

重要的是从攻击者的角度看待您的环境。使用本文介绍的工具不仅可以帮助您更好地了解潜在的安全漏洞以及攻击者可能采取的攻击路径,还可以让您从网络攻击者的角度重新审视您的环境。知彼知己才能百战不殆。

保护解决方案

在防范组策略修改方面,我认为不存在一对一的关系。修改策略本身不一定是恶意活动,您需要注意攻击者可能在任何组策略修改技术之前和之后执行的技术。

我们在托管检测与响应和 IR 客户中经常会看到,攻击者首先通过使用操作系统凭据转储技术来获得对 GPO 进行修改的正确访问权限,然后修改 GPO,以便在所有 Windows 系统中下载并执行勒索软件等恶意软件。在这种情况下,您可以使用 FortiEDR终端检测与响应方案 等 EDR 解决方案来抵御攻击前和攻击后操作,因为该解决方案可以识别并阻止恶意活动的执行。

IT解决方案:

下一代防火墙部署场景:化繁为简、加密云接入、可视化与自动化、默认FortiEDR和FortiXDR保护会自动检测并拦截本文中描述的攻击,且无需进行其他更新
以更低的复杂性提供业内首屈一指的威胁防护和性能、网络与安全的融合、集成安全架构、多重检查引擎、统一控制管理、高级威胁防御、内置反病毒引擎、终端测的安全防护、全自动威胁检测、全自动威胁调查、全自动威胁响应

飞塔防火墙服务:应用控制、Web过滤、反病毒、FortiCloud 沙箱、入侵防御、病毒爆发防护服务、内容消除与重建、IP 信誉和反僵尸网络

品类:零信任网络访问(ZTNA)、下一代防火墙、FortiClient终端安全、FortiManager集中管理平台 、 FortiAuthenticator身份管理平台、HPC基础架构、雾计算基础架构、网络安全生态系统、集成式安全方法、入侵防御系统、网络访问控制、智能边缘、自动化安全架构、恶意设备检测、端点检测、高级威胁检测、事件分析溯源

方案适用机型:

机框设备:FortiGate 7060E 、FortiGate 7040E 、FortiGate 7030E 、FortiGate 5001E
超高端设备:FortiGate 6300F\6301F\6500F\6501F
高端设备:FortiGate 3980E、FortiGate 3960E 、FortiGate 3800D 、FortiGate 3700DFortiGate 3600E 、FortiGate 3400E、FortiGate 3200D、FortiGate 3100D 、FortiGate 3000D 、FortiGate 2500E、FortiGate 2000E、FortiGate 1500D 、FortiGate 1200D 、FortiGate 1000D
中端设备:FortiGate 900D 、FortiGate 800D 、FortiGate 600E、FortiGate 500E 、FortiGate 400E 、FortiGate 300E、FortiGate 200E 、FortiGate 100E
入门级设备:FortiGate 80E、FortiGate 60E、FortiGate 50E、FortiGate 30E 、FortiGate 60D – Rugged
Virtual Machines:FortiGate-VM00 、FortiGate-VM01, -VM01V 、FortiGate-VM02, -VM02V、FortiGate-VM04, -VM04V 、FortiGate-VM08, -VM08V 、FortiGate-VM16, -VM16V 、FortiGate-VM32, -VM32V 、FortiGate-VMUL, -VMULV

专有型号/系列:FortiOS 7.0、Fortinet SASE、FortiXDR

服务区域:

四川 飞塔 Fortinet:成都 飞塔 Fortinet、绵阳 飞塔 Fortinet、自贡 飞塔 Fortinet、攀枝花 飞塔 Fortinet、泸州 飞塔 Fortinet、德阳 飞塔 Fortinet、

广元 飞塔 Fortinet、遂宁 飞塔 Fortinet、内江飞塔 Fortinet、乐山 飞塔 Fortinet、资阳 飞塔 Fortinet、宜宾 飞塔 Fortinet、南充 飞塔 Fortinet、

达州 飞塔 Fortinet、雅安 飞塔 Fortinet、阿坝藏族羌族自治州飞塔 Fortinet、凉山彝族自治州 飞塔 Fortinet、广安 飞塔 Fortinet、巴中 飞塔 Fortinet、眉山 飞塔 Fortinet

重庆 飞塔 Fortinet

贵州飞塔 Fortinet:贵阳飞塔 Fortinet、遵义飞塔 Fortinet、铜仁飞塔 Fortinet、安顺飞塔 Fortinet、毕节飞塔 Fortinet 、六盘水飞塔 Fortinet、黔南州飞塔 Fortinet、黔西南州飞塔 Fortinet 、黔东南州飞塔 Fortinet

云南飞塔 Fortinet:昆明飞塔 Fortinet 、曲靖飞塔 Fortinet 、玉溪飞塔 Fortinet 、昭通飞塔 Fortinet 、临沧飞塔 Fortinet 、保山飞塔 Fortinet 、

丽江飞塔 Fortinet 、普洱飞塔 Fortinet、红河哈尼飞塔 Fortinet、德宏飞塔 Fortinet、楚雄飞塔 Fortinet 、文山飞塔 Fortinet 、

西双版纳飞塔 Fortinet 、怒江飞塔 Fortinet

西藏自治区飞塔 Fortinet:拉萨飞塔 Fortinet、昌都飞塔 Fortinet、林芝飞塔 Fortinet、山南飞塔 Fortinet、日喀则飞塔 Fortinet、那曲飞塔 Fortinet、阿里飞塔 Fortinet

飞塔自身关键词:

飞塔防火墙,飞塔官网,飞塔公司,fortigate防火墙,飞塔防火墙配置

飞塔相关关键词

网络安全,安全SD-WAN,Fortinet FortiGate-VM,Fortinet,VPN保护,Web过滤,

网络分段,网络微分段,物联网平台保护

 

 

更多机型和方案请咨询

成都科汇科技有限公司 — 专业安全服务商。

无论您的IT架构是 本地化、云端、还是混和云 都能提供一站式安全方案。

地址:四川省成都市人民南路四段一号时代数码大厦18F

电话咨询热线:400-028-1235

QQ:132 5383 361

手机:180 8195 0517(微信同号 )

脚注备案信息
群晖技术群