网络攻击者使用你的特权用户凭证的3种隐藏方式

防止攻击者在您的网络中执行横向移动的能力不仅是威胁检测功能，还是一种网络卫生功能。接下来，我们将回顾一些在企业网络中获得特权用户凭证的最不可见且最常见的方式。

众所周知，域名管理员或其他高性能凭据对网络攻击者而言属于高价值目标。通过这些“通往财富王国的钥匙”，他们可以轻松地、悄无声息地从一个系统移动至另一个系统，更改域名属性，添加权限，更改密码甚至是连接到域中的任何计算机设备。大多数企业都投入了大量资源来仔细管理活动目录（Active Directory），并使用各种技术和实践来控制访问权限。但我们的实际经验表明，即便是在投入最多、组织最有序的企业中，攻击者也能轻而易举地从中获取到特权用户凭证。

1.“孤立的”证书

在日常的IT支持活动中，可能会在不经意间遗留下强大的凭证信息。假设财务部门的员工打电话给内部服务台，询问连接或应用程序问题。该服务台人员使用域管理员凭据远程访问系统，进行故障排除并解决问题，但其可能会在没有正确注销的情况下结束会话。如此一来，这些域管理员凭据就可能会保留在最终用户的系统上，直到他/她注销网络或重新启动系统。虽然这种情况并非恶意，并且这种情况最终会自行纠正，但它会创建一个无形的漏洞窗口，攻击者可以在正确的时间和正确的地方利用这种漏洞窗口。金融、人力资源和其他领域的系统可能特别容易受到这种攻击影响，因为这些领域的用户对安全性的认知普遍较低，并且经常会成为网络钓鱼和恶意软件活动的攻击目标。

2. 不良的地方管理做法

IT操作和安全性之间长期存在的“孤岛”问题，或缺乏协调的现状可能会在危险的系统部署实践中表现出来。从安全性角度来看，企业通常不应允许创建本地管理员，因为它们可以在活动目录域的控制之外运行，使系统更容易受到恶意软件的攻击，并为一系列安全违规行为敞开大门。但是，出于提高效率的目的，标准端点通常由包含默认本地管理员用户的系统映像（黄金映像）和相同的默认密码构建。虽然这可能会方便IT管理员的操作，但攻击者现在也有机会使用单个密码访问多台计算机。雇员或攻击有了本地管理员权限，者也可以更轻易地创建未授权的本地用户，通常只能通过查询每台机器来发现这些用户。

3. “影子”管理员

就好的方面来说，分层防御体系结构包含某种形式的特权用户监控（PUM）或特权访问管理（PAM），以便通过适当程度的风险缓解来处理这些凭证。但是，如果没有适当的注意，这可能会导致一种虚假的安全感。通过操作活动目录访问控制列表（ACL），网络攻击者可以提升用户权限，从而创建“影子管理员”——具备域管理员级别访问权限，但不属于域管理员组别。

当然，恶意IT人员或其他内部人员可以故意创建“影子”管理员，也可能会是意外创建出来的。鉴于服务器权限结构和组织要求的复杂程度，这种错误很容易出现，并最终授予超出用户功能要求的权限。

通过可见性进行控制

随着Bloodhound（一款强大的内网域渗透提取分析工具）和其他有助于自动横向移动的攻击 工具 的出现，防止滥用特权凭证的必要性变得更加迫切。强制执行特权访问策略不仅仅是正确配置活动目录的问题；凭证违规可能非常难以管理，其主要有以下两个关键原因：

·这是典型的“大海捞针”问题。安全数据体量庞大，一些严重的问题很容易被忽略掉；

·凭证格局——我们称之为“访问足迹”——即使是在运营最好的企业中也在不断变化。在用户功能发生变化时，很难对身份和访问管理变更进行检测，因此与访问相关的安全漏洞变得很常见，但即便是通过正常的业务运营，凭证也会存储并隐藏在各种不同的地方；

即使在相对较小的企业中，试图不断识别和纠正凭据违规行为也会消耗掉整个安全团队的解决这种助长能量。从实际角度来看，自动化是必需的。这也正是Illusive公司的“攻击面管理解决方案”（Attack Surface Manager）所面临的挑战之一。能够识别该解决方案标识域管理凭据的位置，不断发现凭据违规行为，并提供自动化流程以帮助纠正这些行为，以便您可以发现并快速恶意横向移动的情况。

攻击者偶尔会突破你的防御布局的现象是不可避免的，但是通过不断减少你的内部攻击面，你将能够降低特权用户凭证落入攻击者手中的风险，并且极大的阻碍他们实现恶意目标的能力。