16.08.2022

Autor: Patryk Ginter

Kategorie: Aktualności, Artykuł

Bezpieczeństwo danych jest niezwykle istotne w branży IT. Szczególnie, że często dochodzi do ataków cyberprzestępców na infrastrukturę Active Directory. Część z nich jest skutecznie odpierana, jednak nie zawsze tak się dzieje. Dlatego warto dowiedzieć się, w jaki sposób dochodzi do takich ataków i jak się przed nimi skutecznie bronić.

Z jakiego powodu przeprowadzane są ataki na Active Directory?

 

W dzisiejszych czasach wszelki informacje podlegają digitalizacji. Tyczy się to również wrażliwych danych, których pełno jest w firmach.

 

Aby przeprowadzić skuteczny atak, cyberprzestępcy naruszają jedną bądź więcej gałęzi triady CIA (Confidentiality, integrity and availability) w celu przeniknięcia do infrastruktury i zdobycia dostępu do użytkowników, aplikacji oraz ukrytych danych.

Data breach w AD na podstawie realnego przykładu

 

Próby przełamania zabezpieczeń infrastruktury informatycznej zdarzają się niemal codziennie. Z tego powodu warto wiedzieć, jak taki atak może wyglądać w rzeczywistości. Poniżej prezentujemy przykład firmy dystrybuującej swoje rozwiązania do klientów:

  • Na początku uzyskano nieautoryzowany dostęp do kont użytkowników oraz samej sieci firmowej za pomocą podatnego potencjalnie wyłączonego konta użytkownika.
  • Po uzyskaniu dostępu, atakujący zdecydowali się na pozostanie w ukryciu z zachowaniem czujności na aktywność sieciową w firmie.
  • W czasie ukrywania swojej obecności, zdobyto dostęp do serwerów oraz oprogramowania. Za pomocą złośliwego kodu przetestowali możliwość uzyskania dostępu do aplikacji i zainfekowania jej. Gdy to się udało, przekierowano działania na flagowe oprogramowanie firmy, które zaczęło dostarczać skażone aktualizacje.
    Utworzono również backdoory w celu obejścia zabezpieczeń uwierzytelniających.
  • Po zakończeniu infekcji atakujący nie rozpoczęli od razu działań. Dali czas na rozprzestrzenienie się zawirusowanego oprogramowania. Po paru miesiącach atakujący ponownie włamali się do sieci firmy za pomocą wcześniej stworzonego backdoora.
  • Atakujący wykorzystali integrację AD-DNS w celu monitorowania i ingerowania w topologię DNS. Pozwoliło im to ustalić serwery nazw domen najwyższego poziomu, gdzie celowali w domeny najwyższego poziomu .gov oraz .com
  • Kolejnym krokiem było rozprzestrzenienie się z firmy IT zainfekowanych aktualizacji i innych powiązanych dostaw oprogramowania.
  • Skażony kod spowodował, że AD zostało naruszone do stopnia w którym naruszone zostały podstawowe dane kont użytkowników. Umożliwiło to kontrolę nad zainfekowanymi kontami, zmianę polityk oraz rozbudowę botnetu.
  • Za pomocą tej infekcji, atakujący mieli możliwość szpiegowania sieci kluczowych agencji rządowych oraz najważniejszych organizacji prywatnych.

Na powyższym przykładzie możemy zauważyć jak ignorowanie nietypowych aktywności w naszej sieci może przyczynić się do fatalnej w skutkach eskalacji zainfekowanego oprogramowania i reperkusji od strony klienta.

Jak się obronić przed atakiem?

 

Przede wszystkim nie powinniśmy bagatelizować ostrzeżeń i nietypowych aktywności. Należy monitorować aktywność sieciową oraz serwery w naszej organizacji. W celu zwiększenia ochrony warto skorzystać ze specjalistycznego oprogramowania. Jednym z nich jest OpManager który umożliwia:

  • Monitorowanie sieci w czasie rzeczywistym
Dostęp do dashboardu umożliwiającego monitorowanie wybranych elementów
  • Fizyczne i wirtualne monitorowanie serwerów
Wbudowane monitorowanie urządzeń wirtualnych oraz fizycznych
  • Ustalenie wielopoziomowych wartości progowych
Możliwość ustawienia alertów w czasie rzeczywistym z wybranym stopniem zagrożenia
  • Konfigurowalne pulpity nawigacyjne
Możliwość tworzenia własnych dashboardów
  • Monitorowanie połączenia WAN

Jeżeli jesteś zainteresowany zabezpieczeniem własnego środowiska Active Directory, zapraszamy do przetestowania aplikacji OpManager. Podczas 30 dniowego darmowego Proof of Concept będziesz mógł, wspólnie z naszym technikiem, poznać pełne możliwości tego narzędzia.

 

16.08.2022

Autor: Patryk Ginter

Kategorie: Aktualności Artykuł

Patryk Ginter

Patryk Ginter

Junior ME Product Engineer

Posiada wiedzę związaną z obszarem IT software. Hobbystycznie działa w bazach danych, analizie danych oraz w Pythonie. W MWT Solutions odpowiada za wsparcie klientów końcowych w funkcjonalności i sprawności produktów ManageEngine z dziedziny IT Operations, IT Security oraz AD.

Newsletter. Bądź na bieżąco.

Kontakt

MWT SOLUTIONS S.A.

ul. Szyperska 14, 61-754 Poznań

Napisz do nas: