fisht22 часа назад

Как хакеры обошли 2FA и захватили облачную инфраструктуру

Простой

5 мин

8.8K

Информационная безопасность *

Кейс

-6

Комментарии 8

mayorovp 22 часа назад

Что-то ваше описание атаки оставляет одни вопросы без ответов…

Shadow RDP что, вообще никаких паролей для входа не просит? Не верю…
Откуда у атакующего взялся доступ чтобы настраивать реестр? Для этого же права администратора нужны? И если они права администратора у него уже были, зачем вообще понадобилось воровать сеанс?
Судя по описанию, mstsc был запущен на вашем сервере. Почему именно так? И откуда у злоумыгленника взялась учётная запись чтобы запускать mstsc на сервере?

fisht 21 час назад

На момент атаки у злоумышленников уже были права Domain Admin в on-prem среде.
Перемещение по сети не представляло проблем. Злоумышленники не могли получить доступ к облаку, так как на админской учетке была установлена 2FA.

itoolsy 21 час назад

Так это самое интересное - как они domain admin получили, имея только rdp от пользователя. Дальше - не интересно, ибо все ключи у них уже есть.

propell-ant 20 часов назад

А там на картинке:
"Компрометация учетных данных подрядчика через старую утечку ..." - no comments.

Но статья про то, что в "умелых" руках 2FA не спасает, это (для меня например) неожиданно.

lyric 21 час назад

Del, промахнулся с веткой

Ranlod 15 часов назад

Я может не совсем понял статью, но вроде речь идет про перехват существующей сессии в локальной сети подрядчика и тут mfa вроде не при делах. Как и облачные хранилища не при делах, весь взлом происходил в сети подрядчика на его устройствах. Если я правильно понял.

Другой вопрос как так получилось что

MFA- запросы -> Отсутствуют после захвата

Т.е хакер отключил MFA в облаке? Если да то как он это смог сделать? Ведь для отключения MFA всегда нужен код подтверждения от MFA чего у хакера не было он был у оригинального админа.

Ну и присоединяюсь к вопросу выше, не понятно как хакер с обычной учетки подрядчика смог заполучить себе доступ админскгого уровня если речь про облако?

fisht 8 часов назад

Добрый день!
Статья не про то, как они осуществили первый вход в инфру и как они продвигались и повышали свои привилегии в системе, а про то, как сделали переход из no-prem в облако. Хакеры получили полный доступ к no-prem среде, но доступа к управлению облаком у них не было. Из пункта 6 в этапе атаки говорится, что их цель зайти на Azure portal, на котором установлена MFA, для управления облачными ресурсами.

Портал Azure — это веб‑консоль для управления ресурсами Microsoft Azure. Он позволяет создавать, администрировать и отслеживать различные облачные ресурсы: от простых веб‑приложений до сложных инфраструктурных решений. С помощью портала можно управлять подпиской Azure через графический интерфейс

Основные возможности

Создание ресурсов. Портал предоставляет мастера и шаблоны для быстрого развёртывания виртуальных машин, баз данных, хранилищ, сетей и других сервисов.
Управление ресурсами. Можно изменять настройки существующих ресурсов, масштабировать их, управлять доступом и правами.
Мониторинг и оповещения. Интеграция с Azure Monitor позволяет отслеживать состояние сервисов в реальном времени, настраивать оповещения и анализировать метрики.
Управление затратами. Встроенные инструменты аналитики помогают отслеживать расходы, оптимизировать бюджет и избегать непредвиденных затрат.
Безопасность. Поддержка управления доступом на основе ролей (RBAC), интеграция с Azure Security Center для мониторинга соответствия требованиям безопасности.
Панели мониторинга. Возможность создавать настраиваемые панели для визуализации ключевых ресурсов и метрик. Панели можно сохранять, клонировать и делиться с другими пользователями.
Совместная работа. Поддержка совместной работы с контролем доступа для разных пользователей и команд.

В процессе расследования, мы обнаружили, что хакеры нашли компьютер администратора, который отвечал за управление облаком. Но как получить доступ к облаку, ведь там же 2FA!Злоумышленниками были произведены действия с компьютером администратора (смотри статью) и они стали ждать...

долго ждать, когда администратор войдет в свой браузер, откроет портал Azure, введет логин и пароль + 2FA, а еще не закроет сессию в конце своего рабочего дня.

mayorovp 7 часов назад

Ну, это у вас просто злоумышленник был того уровня, когда нужен ручной доступ. Скрипт в планировщике или там расширение в браузере - и никаких RDP для управления облаком не потребуется вообще.

2FA защищает от кражи пароля, а не от доступа с подконтрольной злоумышленнику машины.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий