TL;DR
- Incidentes de double extortion acontecem por meio da combinação de duas condutas ligadas à extorsão: a que ameaça as vítimas de ter seus dados vazados com a que indisponibiliza o acesso aos dados usando ransomware.
- É um equívoco considerar que os ataques de double extortion sejam um ataque de malware tradicional. Na verdade, se trata de um ataque mais nocivo, em que os operadores atuam como pentesters, procurando falhas variadas e adaptando suas técnicas de acordo com o alvo. Portanto, não há uma “bala de prata” para o problema. Embora a maioria das táticas e recursos em uso sejam fartamente documentados.
- Abordamos neste relatório a atividade dos operadores das oito ameaças mais prolíficas do momento: Maze, Snake, RagnarLocker, Clop, REvil (Sodinokibi), Netwalker (Mailto), DoppelPaymer e Nefilim.
- Segundo estudos publicados até o momento, os operadores destas ameaças se dividem em onze grupos distintos.
- Os grupos usam técnicas variadas, algumas delas demandando conhecimento aprofundado.
- Dezesseis vulnerabilidades em diversas tecnologias são exploradas durante o processo de ataque. A mais antiga foi divulgada em 2015 e a mais nova, no último dia 10 de junho.
- Diversas vulnerabilidades de gestão de segurança também são exploradas pelos grupos
- Há indícios de que parte destes operadores estejam formando um cartel, em que compartilham recursos e dividem os lucros de acordo com as especialidades de cada um.
Sobre o ataque
Incidentes de double extortion acontecem por meio da combinação de duas condutas ligadas à extorsão: a que ameaça as vítimas de ter seus dados vazados com a que indisponibiliza o acesso aos dados cifrando-os, usando ransomwares para isso. Caso a vítima não chegue a um acordo com os operadores da ameaça, estes vazam seus dados sensíveis.
Os criminosos atuam como um pentester, porém com objetivo malicioso, usando técnicas variadas, selecionadas de acordo com as características de cada alvo para invadir o ambiente das empresas, se movimentar pela rede em busca de sistemas com informações críticas, roubar gigabytes em dados e ativar o ransomware.
Comumente, a vítima toma conhecimento do ataque quando ocorre a paralização do seu ambiente por causa da cifragem dos dados pelo ransomware, na fase final da campanha. No entanto, os atacantes podem ter passado dias coletando dados da empresa.
Há relatos em que a rede da vítima tinha sido comprometida em ataques anteriores e seu acesso foi vendido a operadores de ransomware para conduzirem ataques de double extortion.
Ameaças analisadas
Este documento contempla informações de diversas fontes de inteligência a respeito das oito principais ameaças usadas nessa modalidade de crime.
Maze — Ameaça mais usada e sobre a qual há mais material de análise. Contabiliza o maior número de vítimas, 110 organizações atacadas até o fechamento deste relatório. Dentre as vítimas, há empresas brasileiras.
Há três grupos usando esta ameaça. Um deles é o FIN6, o qual possui longo histórico de operação em fraudes bancárias. Cada grupo usa técnicas diferentes nas diversas fases do ataque e os três grupos exploram, pelo menos, oito vulnerabilidades para tomar o controle dos alvos.
Snake — Ameaça usada no recente incidente contra uma grande montadora e sobre a qual há um histórico de ataques contra ambientes industriais. Pode explorar, pelo menos, três vulnerabilidades em seus ataques.
RagnarLocker — Foi usado no começo de abril contra uma empresa de energia portuguesa cujo resgate foi estabelecido em aproximadamente 10 milhões de dólares.
Clop — Operado pelo mesmo grupo que está por trás do trojan bancário Dridex, do Locky ransomware e da botnet Necrus.
REvil (Sodinokibi) — Ameaça bastante ativa que criptografa todos os arquivos elegíveis em unidades mapeadas de rede se estiver rodando com privilégios de nível de sistema.
Netwalker (Mailto) — documentado inicialmente em maio do ano passado, esta ameaça tem sido usada com frequência em ataques contra instituições de saúde.
DoppelPaymer — recentemente envolvido em um ataque contra uma empresa que presta serviços para a NASA.
Nefilim — Ameaça com histórico de ataques contra alguns alvos, especialmente no Brasil.
Vulnerabilidades em produtos
Abaixo as vulnerabilidades em produtos de tecnologia que são exploradas pelos operadores de cada ameaça.
CVE-2018–4878 — Uma vulnerabilidade de user-after-free em versões do Adobe Flash Player anteriores a 28.0.0.161, permite a execução arbitrária de código. Corrigida em fevereiro de 2018 e predominantemente explorada por operadores do Maze.
CVE-2018–8174 — Vulnerabilidade de execução remota de código no modo em que o VBScript engine lida com objetos em memória. Afeta o Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10, Windows 10 Servers. Corrigida em agosto de 2018 e predominantemente explorada por operadores do Maze.
CVE-2019–19781 — Um problema encontrado no ADC (Citrix Application Delivery Controller) e no Gateway 10.5, 11.1, 12.0, 12.1, e 13.0. Eles permitem ataques de Directory Traversal. Corrigida em dezembro de 2019 e explorada por operadores do Maze, Nefilim, Snake e DoppelPaymer.
CVE-2020–0796 — Vulnerabilidade de execução remota de código na forma como o protocolo Microsoft Server Message Block 3.1.1 (SMBv3) lida com certas solicitações, também conhecida como CoronaBlue e SMBGhost. Corrigida em março de 2020 e explorada por operadores do Maze, RagnarLocker e Netwalker (Mailto).
CVE-2020–12695 — Vulnerabilidade no protocolo Universal Plug and Play (UPnP) chamada CallStranger. Pode permitir ataques de negação de serviço e a extração de dados burlando produtos de segurança. A falha pode afetar dispositivos de até 190 fabricantes. Explorada por operadores do Maze e RagnarLocker.
CVE-2018–1150 — O NUUO NVRMini2 com versões inferiores a 3.8.0 contém um backdoor que permite o acesso a um atacante remoto não autenticado. Corrigida em setembro de 2018 e predominantemente explorada por operadores do Maze.
CVE-2018–15982 — Vulnerabilidade de user-after-free nas versões 31.0.0.153 e anteriores e 31.0.0.108 e anteriores do Flash Player. A exploração bem sucedida pode levar à execução arbitrária do código. Corrigida em dezembro de 2018 e predominantemente explorada por operadores do Maze e predominantemente explorada por operadores do Maze.
CVE-2019–11510 — Vulnerabilidade no Pulse Secure Pulse Connect Secure (PCS) 8.2 em versões anteriores a 8.2R12.1; 8.3 em versões anteriores a 8.3R7.1, e 9.0 em versões anteriores a 9.0R3.4. Permite que um atacante remoto não autenticado possa enviar uma URI especialmente criada para executar uma leitura arbitrária de arquivo. Corrigida em abril de 2019 e explorada por operadores do Maze, Snake e REvil (Sodinokibi).
CVE-2017–0213 — Vulnerabilidade de escalação de privilégios que ocorre quando o atacante executa uma aplicação especialmente criada. Afeta várias versões do Windows. Corrigida em novembro de 2017 e predominantemente explorada por operadores do Nefilim.
CVE-2020–0549 — Erros de limpeza no comportamento do cache de alguns processadores Intel(R). Pode permitir que um usuário autenticado obtenha informações via acesso local. Divulgada em janeiro de 2020, mas depende da aplicação dos fabricantes de sistemas operacionais. Explorada pelos operadores do Snake e do RagnarLocker.
CVE-2019–0708 — Conhecida por Bluekeep, trata-se de uma vulnerabilidade de execução remota de código Remote Desktop Services. Afeta várias versões do Windows. Corrigida em maio de 2019 e predominantemente explorada por operadores do Nefilim.
CVE-2019–1978 — Uma vulnerabilidade no componente de remontagem do Cisco Firepower Threat Defense Software, Cisco FirePOWER Services Software for ASA e Cisco Firepower Management Center Software. Permite que um atacante remoto não autenticado contorne proteções de filtragem. Corrigida em agosto de 2019 e predominantemente explorada por operadores do DoppelPaymer.
CVE-2019–2725 — Vulnerabilidade no componente Oracle WebLogic Server do Oracle Fusion Middleware. Facilmente explorável, a falha permite que atacantes não autenticados com acesso à rede via HTTP tomem o controle do Oracle WebLogic Server. Corrigida em abril de 2019 e predominantemente explorada por operadores do REvil (Sodinokibi).
CVE-2018–8453 — Vulnerabilidade de escalação de privilégios no Windows. Ocorre quando o componente Win32k não lida adequadamente com objetos em memória. Afeta o Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2019, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10, Windows 10 Server. Corrigida em setembro de 2018 e predominantemente explorada por operadores do REvil (Sodinokibi).
CVE-2015–1701 — O Win32k.sys nos drivers de modo kernel no Microsoft Windows Server 2003 SP2, Vista SP2 e Server 2008 SP2 permite aos usuários locais escalarem privilégios. Corrigida em maio de 2015 e predominantemente explorada por operadores do Netwalker (Mailto).
CVE-2019–1458 — Vulnerabilidade de escalação de privilégios no Windows quando o componente Win32k não lida adequadamente com objetos em memória. Afeta várias versões do sistema operacional. Corrigida em outubro de 2019 e predominantemente explorada por operadores do Netwalker (Mailto).
Vulnerabilidades na Gestão da Tecnologia
As vulnerabilidades nas diversas tecnologias expostas na seção acima não são o único meio usado pelos criminosos para obter o controle dos ambientes. Na verdade, mais importante até, são as falhas na gestão de segurança da tecnologia. As principais são descritas abaixo:
Remote Desktop expostos à Internet — Há uma predileção pelo uso do RDP (Microsoft Remote Desktop) expostos à internet. Muitos deles, com segurança falha.
Falhas de Configuração — Servidores com configurações padrão, geralmente insegura, expostos à Internet.
Phishing — Ausência de treinamento e conscientização que ajude as pessoas a identificarem ataques deste tipo.
Sistemas desatualizados ou sem suporte — Ausência de processo para aplicação de patches e atualização de versões de software.
Falhas na gestão de usuários — Deficiência ou ausência de controle rígido sobre as credenciais de acesso em todas as tecnologias.
Ausência de políticas de senha — Ineficiência em forçar a adoção de senhas fortes e com troca periódica.
Ausência de MFA — Falta na adoção de múltiplos fatores de autenticação.
Ausência de controle de acesso — Ambientes em que usuários comuns possuem privilégios de acesso muito altos na tecnologia.
Shadow IT — Capacidade de as pessoas instalarem tecnologia sem aprovação das áreas responsáveis por avaliar seus riscos.
Criação de Usuário — Ausência de controles que impeçam que uma pessoa não autorizada crie usuários com privilégio de administrador no computador ou no domínio.
Agendamento de tarefas — Ausência de controles que impeçam que uma pessoa não autorizada possa agendar tarefas no computador.
Mudanças no registro — Ausência de controles que impeçam que uma pessoa não autorizada altere o registro do Windows.
Falhas no monitoramento — Ausência no monitoramento e na geração de alertas que identifiquem atividades suspeitas como:
- Criação de usuários
- Mudanças nos acessos dos usuários
- Mudanças em GPOs
- Alteração em pastas do sistema operacional
- Mudança no registro do Windows
- Criação e execução de tarefas
- Instalação de software
- Atividades em horários fora do padrão
- Anomalias de rede
Ausência de controle da cadeia de suprimentos — Falhas em controlar os dados que são trocados com fornecedores e os acessos que estas empresas possuem no ambiente.
Ausência na revisão periódica de tecnologias expostas — Falhas no controle sobre quais ativos estão expostos, mantendo na internet somente o que é necessário.
Técnicas em uso
Não há um padrão nas técnicas usadas por cada um dos operadores de cada ameaça, pois eles se adaptam às condições de cada alvo. No entanto, por meio de análises publicadas recentemente pela FireEye e pela CarbonBlack sobre a atividade do Maze e do Snake é possível mapear este comportamento usando a classificação de táticas e técnicas catalogadas pelo MITRE ATT&CK®.
Maze Group 1
Initial Access — T1133: External Remote Services e T1078: Valid Accounts.
Execution — T1059: Command-Line Interface, 1086: PowerShell, T1064: Scripting e T1035: Service Execution.
Persistence — T1078: Valid Accounts e T1050: New Service.
Privilege Escalation — T1078: Valid Accounts.
Defense Evasion — T1078: Valid Accounts, T1036: Masquerading, T1027: Obfuscated Files or Information e T1064: Scripting.
Credential Access — T1110: Brute Force e T1003: Credential Dumping.
Discovery — T1087: Account Discovery, T1482: Domain Trust Discovery, T1083: File and Directory Discovery, T1135: Network Share Discovery, T1069: Permission Groups Discovery, T1018: Remote System Discovery
e T1016: System Network Configuration Discovery.
Lateral Movement — T1076: Remote Desktop Protocol e
T1105: Remote File Copy.
Collection — T1005: Data from Local System.
Command and Control — T1043: Commonly Used Port, T1105: Remote File Copy e T1071: Standard Application Layer Protocol.
Exfiltration — T1002: Data Compressed e T1048: Exfiltration Over Alternative Protocol.
Impact — T1486: Data Encrypted for Impact e T1489: Service Stop.
Maze Group 2
Initial Access — T1193: Spearphishing Attachment.
Execution — T1059: Command-Line Interface, T1086: PowerShell, T1085: Rundll32, T1064: Scripting, T1204: User Execution e T1028: Windows Remote Management.
Persistence — T1078: Valid Accounts, T1050: New Service e T1136: Create Account.
Privilege Escalation — T1078: Valid Accounts e T1050: New Service.
Defense Evasion — T1078: Valid Accounts, T1140: Deobfuscate/Decode Files or Information, T1107: File Deletion e T1036: Masquerading.
Credential Access — T1003: Credential Dumping, T1081: Credentials in Files e T1171: LLMNR/NBT-NS Poisoning.
Discovery — T1087: Account Discovery, T1482: Domain Trust Discovery, T1083: File and Directory Discovery, T1135: Network Share Discovery, T1069: Permission Groups Discovery, T1018: Remote System Discovery
e T1033: System Owner/User Discovery.
Lateral Movement — T1076: Remote Desktop Protocol e
T1028: Windows Remote Management.
Collection — T1074: Data Staged, T1005: Data from Local System e
T1039: Data from Network Shared Drive.
Command and Control — T1043: Commonly Used Port, T1219: Remote Access Tools, T1105: Remote File Copy, T1071: Standard Application Layer Protocol e T1032: Standard Cryptographic Protocol.
Exfiltration — T1020: Automated Exfiltration, T1002: Data Compressed e
T1048: Exfiltration Over Alternative Protocol.
Impact — T1486: Data Encrypted for Impact.
Maze Group 3 (FIN6)
Initial Access — T1133: External Remote Services e T1078: Valid Accounts.
Execution — T1059: Command-Line Interface, T1086: PowerShell, T1064: Scripting e T1035: Service Execution
Persistence — T1078: Valid Accounts e T1031: Modify Existing Service.
Privilege Escalation — T1055: Process Injection e T1078: Valid Accounts
Defense Evasion — T1055: Process Injection, T1078: Valid Accounts, T1116: Code Signing, T1089: Disabling Security Tools, T1202: Indirect Command Execution, T1112: Modify Registry, T1027: Obfuscated Files or Information, T1108: Redundant Access e T1064: Scripting.
Credential Access — T1003: Credential Dumping.
Discovery — T1087: Account Discovery, T1482: Domain Trust Discovery, T1083: File and Directory Discovery, T1069: Permission Groups Discovery e
T1018: Remote System Discovery.
Lateral Movement — T1097: Pass the Ticket, T1076: Remote Desktop Protocol, T1105: Remote File Copy e T1077: Windows Admin Shares
Collection — T1074: Data Staged e T1039: Data from Network Shared Drive.
Command and Control — T1043: Commonly Used Port, T1219: Remote Access Tools, T1105: Remote File Copy, T1071: Standard Application Layer Protocol e T1032: Standard Cryptographic Protocol.
Exfiltration — T1002: Data Compressed.
Impact — T1486: Data Encrypted for Impact, T1490: Inhibit System Recovery e T1489: Service Stop.
Snake
Persistence — T1060:Registry Run Keys / Startup Folder e T1067:Bootkit.
Defense Evasion — T1089: Disabling Security Tools, T1045:Software Packing, T1497:Virtualization/Sandbox Evasion e T1089: Disabling Security Tools
Credential Access — T1081: Credentials in Files
Discovery — T1083: File and Directory Discovery, T1057:Process Discovery e T1497:Virtualization/Sandbox Evasion
Collection —T1119:Automated Collection e T1005:Data from Local System
Impact — T1486: Data Encrypted for Impact e T1489: Service Stop.
1. Negócio em transformação
Especialistas em segurança e a imprensa especializada têm documentado algumas modificações na gestão dos recursos usados nestes ataques. Isto porque a facilidade em encontrar empresas cujo ambiente possua vulnerabilidades como as documentadas anteriormente se tornou evidente a muitos cibercriminosos.
Por um lado, esta condição fez com que novos entrantes surgissem; grupos tem se formado a partir do recrutamento de pessoas com as habilidades necessárias para conduzir estes ataques.
Por outro, os grupos mais experientes têm buscado otimizar o processo de ataque e extrair o máximo de dinheiro dos dados. Os controladores do Netwalker (Mailto), por exemplo passaram a recrutar indivíduos em um modelo semelhante ao apelidado como “uberização”. Ou seja, após os criminosos tomarem o controle da tecnologia, estes instalariam o ransomware. A Netwalker (Mailto), por sua vez assumiria o controle da negociação do resgate e da distribuição dos pagamentos ou vazamento das informações.
Os operadores do REvil criaram uma página de leilão para que acumuladores de dados possam dar lances pelas informações das vítimas e há registros também de criminosos tentando criar plataformas que automatizem boa parte do processo de gestão do ransomware e dos pagamentos para afiliados.
Ou seja, este é um mercado criminoso cujas operações ainda estão se acomodando e a última notícia nesse sentido foi a de que alguns destes grupos estariam se organizando em um cartel, por meio do qual compartilhariam esforços e ferramentas para massificar os ataques.
Comentário do Analista e Recomendações
Considerando o modus operandi dos criminosos, descrito nestes documento, e as vulnerabilidades que eles exploram, seja nos produtos que as empresas usam ou em seus problemas em gerir a cibersegurança, é evidente que não há uma “bala de prata”, ou uma única providência a ser tomada que evite o problema. Essencialmente, o que precisa ser feito é aplicar as melhores práticas em segurança da informação, algumas delas discutidas há longo tempo.
No entanto, apresentamos abaixo uma série de medidas práticas, porém não exaustivas, que podem ajudar a prevenir ambientes de ataques como estes:
Desabilite a conta Built-in Administrator — Associe processos e sistemas a contas com privilégios específicos e desative as contas padrão. Esta medida eleva o nível de gestão de credenciais e evita diversos ataques.
Implemente uma política de monitoramento e bloqueio automático de contas — Algo essencial para evitar ataques de força bruta.
Faça um levantamento dos serviços expostos à Internet e certifique-se que não existam serviços desnecessários ou desprotegidos.
Certifique-se de que sistemas como antivírus, endpoint protection e afins estejam ativos e atualizados em todo ambiente. Tanto em estações de trabalho, quanto em servidores.
Implemente uma política de senha forte — medida que impede a criação de senhas fracas por parte dos usuários e força as pessoas a trocarem as senhas de tempos em tempos.
Implemente múltiplos fatores de autenticação — este é um recurso indispensável para evitar ataques, pois requisita um outro fator de autenticação (biometria, token, aplicativo, etc.) para conceder acesso dos usuários ao ambiente.
Restrinja os tipos de logon permitidos — Limitação importante que especifica quais tipos de usuário e condições podem acessar servidores RDP. Implemente usando os parâmetros abaixo.
- Configuração de GPO: Computer Configuration\Policies\Windows Settings\Local Policies\User Rights Assignment
- Política: Deny log on through Remote Desktop Services
- Adicionar o grupo: Local account and member of Administrators group (SID — S-1–5–114)
Com esta configuração, todas as contas locais e atribuídas ao grupo de Administradores serão impedidas de realizar o logon através do RDP. As contas permanecerão ativas e com plenos direitos administrativos, podendo acessar o sistema a partir da rede ou realizar acessos administrativos. Porém, o logon no sistema através do RDP será negado. O valor indicado serve apenas como exemplo e os administradores de cada ambiente precisarão analisar e identificar os valores adequados aos respectivos cenários.
Especifique os horários de acesso: determine quais são usuários que podem acessar os servidores e em quais horários.
Mantenha todos os sistemas atualizados.
Treine seus colaboradores para identificar ataques de phishing.
Desabilite o protocolo WPAD: O Web Proxy Auto-Discovery é um recurso utilizado para a descoberta e configuração automática de endereços de proxy do ambiente. Adversários abusam deste protocolo para obter acesso às credenciais dos usuários. Em alguns casos, é possível obter credenciais com acesso privilegiado.
- Configuração de GPO: User Configuration\Preferences\Windows Settings
- Clique com botão direito em Registry e selecionar a opção New — Registry item
- Selecione o hive: HKEY_CURRENT_USER
- Navegue até o caminho: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad
- No campo Value name, configure com o nome: WpadOverride
- No campo Value type, selecione a opção DWORD
- Defina o valor decimal 1
- Clique em Ok.
Desabilitando o serviço: É possível configurar uma GPO na unidade organizacional das estações de trabalho e servidores membros do domínio com as seguintes diretrizes:
- Configuração de GPO: Computer Configuration\Policies\Windows Settings\Security Settings\System Services;
- Configurar o serviço: WinHTTP Web Proxy Auto-Discovery Service
- Status: Disabled
- Clicar em OK.
Desabilite o protocolo Link-Local Multicast Name Resolution (LLMNR): Os adversários podem falsificar uma fonte autorizada para resolução de nomes no ambiente, respondendo ao tráfego LLMNR (UDP 5355) / NBT-NS (UDP 137) como se eles conhecessem a identidade do host solicitado, envenenando o serviço para que as vítimas se comuniquem com o sistema controlado pelo adversário. Se o host solicitado pertencer a um recurso que requer autenticação, o nome de usuário e o hash NTLMv2 serão enviados ao sistema controlado pelo adversário.
É possível configurar uma GPO na unidade organizacional das estações de trabalho e servidores membros do domínio com as seguintes diretrizes:
- Configuração de GPO: Computer Configuration\Administrative Templates\Network\DNS Client;
- Configurar o parâmetro: Turn Off Multicast Name Resolution
- Selecionar a opção Enabled
- Clicar em OK.
Desabilite o Wdigest: Depois que o usuário faz logon no sistema, uma variedade de credenciais é gerada e armazenada no processo LSASS (Local Security Authority Subsystem Service) na memória. Essas credenciais podem ser coletadas por um usuário administrativo ou SYSTEM. O WDigest é um dos protocolos que mantém as informações de credenciais armazenadas em texto plano na memória do sistema operacional. É possível configurar uma GPO na unidade organizacional das estações de trabalho e servidores membros do domínio com as seguintes diretrizes:
- Configuração de GPO: Computer Configuration\Preferences\Windows Settings
- Clicar com botão direito em Registry e selecionar a opção New -> Registry Item
- Selecionar o Hive: HKEY_LOCAL_MACHINE
- Configurar o caminho: System\CurrentControlSet\Control\SecurityProviders\Wdigest
- Configurar o Value Name: UseLogonCredential
- Definir o Value Type como: REG_DWORD
- Definir o Value Data: 0
- Clicar em Ok.
Elimine o uso de senhas padrão para a conta de Administrador local com mesma senha em diversos ativos — É comum encontrar nos ambientes as contas de usuário Built-in Administrator habilitada e configurada com a mesma senha para todos os sistemas do ambiente. Este cenário é um facilitador para que adversários, uma vez com acesso administrativo em um ativo, sejam capazes de se movimentar lateralmente por diversos ativos do ambiente em busca de outras credenciais administrativas a nível de domínio. Para dificultar esses passos, é importante garantir que as senhas desta conta privilegiada sejam aleatórias e únicas por cada ativo. A Microsoft disponibiliza gratuitamente a ferramenta LAPS, que realiza a randomização da senha da conta de administrador interna do sistema e armazena a informação da senha em um atributo do objeto conta de computador, dentro do Active Directory.
Impeça a autenticação de contas locais através de sistemas remotos: Credenciais locais com mesma senha são intensamente utilizadas por adversários no momento de realizar movimentações laterais através da rede em busca de credenciais de domínio. É possível configurar uma GPO na unidade organizacional das estações de trabalho e servidores membros do domínio com as seguintes diretrizes:
- Configuração de GPO: Computer Configuration\Policies\Windows Settings\Local Policies\User Rights Assignment;
- Configurar o direito de usuário: Deny access to this computer from the network;
- Adicionar o grupo: Local account and member of Administrators group (SID — S-1–5–114);
- Clicar em OK.
A partir desta configuração, mesmo que um adversário obtenha acesso a uma estação de trabalho ou servidor membro do ambiente com a credencial de administrador local, ele não será capaz de se movimentar lateralmente para os demais computadores do ambiente, mesmo que estes possuam a mesma conta de usuário e senha definidos.
Restrinja os tipos de logon que são permitidos: Um passo importante na tentativa de dificultar a movimentação lateral dos adversários é implementar restrições às credenciais privilegiadas de acessarem todos os ativos do ambiente. Credenciais administrativas de domínio, em teoria, só devem acessar os sistemas de gerenciamento do domínio, enquanto para o gerenciamento de estações de trabalho e servidores membro deve-se ser criadas credenciais administrativas especificamente nestes tipos de sistema. Desta forma, ao obter acesso a uma estação de trabalho ou servidor membro, os adversários terão menos chances de encontrar credenciais administrativas em nível de domínio nestes ativos. Após a devida segmentação e atribuição de privilégios para contas específicas, é possível configurar uma GPO na unidade organizacional das estações de trabalho e servidores membros do domínio com as seguintes diretrizes:
- Configuração de GPO: Computer Configuration\Policies\Windows Settings\Local Policies\User Rights Assignment;
- Configurar o direito de usuário: Deny log on locally;
- Adicionar o grupo: Domain Admins, Enterprise Admins, Administrators (grupos do domínio);
- Clicar em OK;
- Configurar o direito de usuário: Deny log on as a batch job;
- Adicionar o grupo: Domain Admins, Enterprise Admins, Administrators (grupos do domínio);
- Clicar em OK;
- Configurar o direito de usuário: Deny log on as a service;
- Adicionar o grupo: Domain Admins, Enterprise Admins, Administrators(grupos do domínio);
- Clicar em OK.
Desta forma, as credenciais administrativas de domínio não serão expostas nas estações de trabalho e servidores membro do domínio, dificultando o caminho dos adversários encontrarem uma credencial valiosa.
Habilite a opção “Account is sensitive and cannot be delegated” nas propriedades dos usuários pertencentes aos grupos ‘Domain Admins’, ‘Enterprise Admins’ e ‘Administrators’: A autenticação delegada ocorre quando um serviço de rede aceita uma solicitação de um usuário e assume a identidade desse usuário para iniciar uma nova conexão com um segundo serviço de rede. Permitir que credenciais super privilegiadas possam ser personificadas aumentam as chances de adversários conseguirem elevar seus privilégios. É possível verificar na console Active Directory Users and Computers (DSA.MSC) as propriedades das contas de usuários pertencentes aos grupos: Domain Admins, Enterprise Admins e Administrators;
- Em cada conta de usuário, habilitar a caixa de seleção: Account is sensitive and cannot be delegated
- Clicar em Ok.