4 атаки на сервисные аккаунты и способы защиты от них

Что такое сервисный аккаунт?

По сути, это учетная запись, которая нужна для запуска служб или приложений, а не для работы конкретных сотрудников или администраторов. Проблема в том, что у таких аккаунтов часто есть расширенные права доступа к компьютерам, программам и данным. Именно поэтому они становятся главной целью для злоумышленников.

В чем сложность защиты сервисных аккаунтов?

Так как сервисный аккаунт не привязан к конкретному человеку, стандартные методы защиты здесь не работают. Хороший пример — парольная политика. С одной стороны, для таких учетных записей можно задавать максимально длинные и запутанные пароли, ведь никто не боится, что сотрудник их забудет.

Но с другой стороны, регулярно менять их по графику не получится: если сбросить пароль у сервисного аккаунта, связанное с ним приложение может просто упасть. В итоге, если хакеры узнают этот пароль, они смогут пользоваться им очень долго, ведь менять его никто не спешит.

Как злоумышленники используют сервисные аккаунты?

1. Разведка LDAP через PowerShell

С помощью этого метода хакеры находят служебные учетные записи внутри ИТ-инфраструктуры, оставаясь незаметными для систем мониторинга.

Платформа Active Directory дает много плюсов для управления сетью, но одновременно облегчает жизнь и взломщикам. Из-за особенностей архитектуры AD хакеру достаточно попасть на любой компьютер в домене, чтобы начать слать запросы к каталогу и изучать его структуру. Поскольку в базовых настройках Active Directory нет автоматического аудита и алертов на такие странные запросы, злоумышленники спокойно собирают нужные данные. Получив полный список сервисных аккаунтов, они переходят к активным действиям.

2. Извлечение паролей сервисных аккаунтов с помощью Kerberoasting

Этот метод опасен тем, что для него не нужны права администратора домена. Сама атака проводится легко, а заметить её почти нереально.

Kerberoasting использует штатные функции протокола Kerberos, чтобы собирать хэши паролей в Active Directory. Любой подтвержденный пользователь в домене может запросить сервисные билеты для конкретной учетной записи через её имя (SPN). Сервер выдачи билетов (Ticket Granting Service, TGS) на контроллере домена вернет этот билет, но зашифрован он будет как раз NTLM-хэшем нужного пароля.

В итоге, найдя нужные SPN на этапе разведки, хакер собирает билеты по всем сервисным аккаунтам. Затем он уводит эти данные в офлайн и спокойно подбирает пароли перебором (brute force). Никакого риска блокировки аккаунта или обнаружения при этом нет. Злоумышленнику потребуется всего несколько минут для получения доступа к домену, сбора билетов и начала процесса взлома. После этого остается только ждать, пока не будет взломана один или несколько сервисных аккаунтов, которые можно будет использовать для кражи или шифрования конфиденциальных данных и нанесения другого ущерба.

3. Атака с «серебряным билетом» (Silver Tickets)

Серебряные билеты — это фальшивые билеты TGS, которые хакер создает сам, используя хэш пароля от уже взломанного сервисного аккаунта.

У этой схемы есть несколько серьезных преимуществ для взломщика:

• Скрытность: Хакеру не нужно проходить проверку на контроллере домена, чтобы получить фальшивый TGS. Он действует локально, не создавая лишнего сетевого трафика и следов в журналах событий.

• Гибкость: Такой билет можно выписать на любое имя, даже вымышленное. Это позволяет использовать сервисный аккаунт незаметно, без риска, что админы что-то заподозрят и сбросят пароль.

• Повышение прав: Поле PAC (Privileged Attribute Certificate) внутри билета помогает поднять уровень доступа в домене. Чаще всего контроллер домена просто не перепроверяет PAC при выдаче TGS.

Допустим, хакер взломал сервисный аккаунт базы данных SQL. Изначально у этой учетной записи может не быть админских прав, и зайти на компьютер напрямую через нее нельзя. Но «серебряный билет» позволяет искусственно расширить её полномочия и забрать под контроль все базы на этом SQL-сервере. И главное — обнаружить такие действия крайне трудно.

4. Захват всего домена через «золотой билет» (Golden Tickets)

Главный сервисный аккаунт в любой сети Active Directory — это учетная запись KRBTGT. Именно она отвечает за выдачу билетов Kerberos, по которым пользователи получают доступ к системам и данным. Если хакер доберется до хэша пароля этого аккаунта в центре распределения ключей (KDC), он сможет подделать билет для абсолютно любого профиля в AD. Это дает полный и практически невидимый контроль над всей корпоративной сетью.

Вычислить такую атаку тяжело, ведь поддельные «золотые билеты» выглядят в точности как обычные TGT (билеты для удостоверения личности). Но есть одна зацепка: хакеры обычно выписывают их со сроком действия в 10 лет или даже больше, что намного превышает стандартные настройки Active Directory.

Сами временные метки TGT не попадают в обычные логи аутентификации Kerberos, но специализированные ИБ-системы умеют их отслеживать. Если вы нашли признаки «золотых билетов» в своей сети, придется дважды сбросить пароль для аккаунта KRBTGT. Процедура серьезная и может повлиять на многие процессы, так что делать это нужно аккуратно.

Как защитить сервисные аккаунты

Есть вполне конкретные шаги, которые помогут перекрыть хакерам эти лазейки. В первую очередь стоит запретить для сервисных аккаунтов интерактивный вход в систему и автоматизировать управление их паролями.

Вовремя заметить атаку на служебную учетную запись — задача непростая, но система Гарда DCAP дает необходимую видимость для полной защиты инфраструктуры Active Directory. С его помощью можно:

• Находить уязвимости в Active Directory и понимать, какие бреши нужно закрывать в первую очередь.

• Устранять риски прямо в консоли: управлять учетными записями через интерфейс системы, настраивать и запускать сценарии автоматического реагирования.

• Контролировать состояние сети: видеть актуальный статус пользователей и групп, права доступа, а также настройки групповых политик.

• Повысить общий уровень защищенности всей ИТ-инфраструктуры компании.