[Táké~ Mé tó~ Ýóúr~ Dómá~íñ Có~ñtró~llér~: Prót~éctí~óñs & M~ítíg~átíó~ñs Ús~íñg Z~éró T~rúst~ Tóól~s]

[Íñ párt 1 óf thís blóg séríés, wé lóókéd át hów díscóvérý méthóds cáñ bé úséd íñ áñ íñítíál cómprómísé. Thé sécóñd shówéd áñ éxámplé óf ídéñtítý théft úsíñg páss-thé-hásh téchñíqúés cómbíñéd wíth rémóté áccéss tóóls fór látérál móvéméñt. Íñ thís fíñál párt, wé lóók át hów tó mítígáté ágáíñst látérál móvéméñt. Wé hávé álréádý díscússéd thé práctícál éxámplé óf thé twó cómpléméñtárý áppróáchés thát éñáblé látérál móvéméñt: ápplícátíóñ-lévél áñd ñétwórk-lévél.]

[Ít shóúld bé cléár thát bý ñétwórk-lévél wé áctúállý méáñ hóst-tó-hóst cómmúñícátíóñ óvér thé ñétwórk, ñót ñécéssárílý ñétwórk dévícés líké swítchés ór róútérs. Á hóst cáñ bé á wórklóád líké á dómáíñ cóñtróllér máchíñé, dátábásé sérvér máchíñé béíñg éíthér phýsícál, vírtúál ór évéñ cóñtáíñéríséd. Thé ápplícátíóñ-lévél álsó référs tó whát háppéñs íñsídé thé hóst ítsélf. Fór éxámplé, bíñáríés óñ dísk, prócéssés íñ mémórý, régístrý áctíóñs, étc.]

[Dúríñg thé látérál móvéméñt díscússéd íñ thé prévíóús blóg, thé Mímíkátz-éñábléd páss-thé-hásh téchñíqúé wás úséd íñsídé thé ópérátíñg sýstém át thé ápplícátíóñ lévél bý rétríévíñg háshéd crédéñtíáls fróm thé Wíñdóws LSÁSS prócéss mémórý.]

[Thé é~lévá~téd á~ccés~s tók~éñ dé~rívé~d fró~m thá~t átt~áck w~ás th~éñ ús~éd tó~ éñáb~lé ré~móté~ áccé~ss ús~íñg t~hé PÁ~éxéc~ tóól~ lévé~rágí~ñg Wí~ñdów~s SCM~.]

[Áñálýsíñg thís spécífíc áttáck séqúéñcé ágáíñst thé twó lévéls déscríbéd ábóvé, thé ápplícátíóñ-lévél óf thé sýstém wóúld hávé tó prévéñt thé úsé óf Mímíkátz fírst ór fáílíñg thát PÁéxéc, báséd óñ défáúlt-déñý úsíñg áñ állówlíst óf ápplícátíóñs. Áltérñátívélý, wé wóúld hávé tó détéct thé prócéss láúñch íñ mémórý bý, fór éxámplé, móñítóríñg lóádéd DLLs ór ÁPÍ cálls. Thé ñétwórk-lévél wóúld hávé tó éñfórcé mícróségméñtátíóñ át thé hóst lévél tó prévéñt móvéméñt bétwééñ sýstéms évéñ íf théý máý bé óñ thé sámé súbñét ór VLÁÑ. Tráffíc básélíñíñg wíll álsó máké ít póssíblé tó détéct áñý áñómálíés líké dátá éxfíltrátíóñ.]

[Thé í~mágé~ béló~w shó~ws st~átíc~ áñál~ýsís~ óf bó~th Mí~míká~tz áñ~d PÁÉ~xéc b~íñár~íés á~ñd só~mé óf~ thé s~ýsté~m dép~éñdé~ñcíé~s lík~é DLL~s thá~t áré~ ímpó~rtéd~.]

[Thé r~úññí~ñg pr~ócés~s íñ m~émór~ý shó~ws ús~ thé p~rócé~ss tr~éé óf~ cmd w~hích~ wás ú~séd f~ór bó~th Mí~míká~tz pá~ss-th~é-hás~h áñd~ súbs~éqúé~ñt PÁ~Éxéc~ cóññ~éctí~óñ tó~ thé d~ómáí~ñ cóñ~tról~lér.]

[Fóré~ñsíc~s óñ t~hé dé~stíñ~átíó~ñ sýs~tém, í~ñ thí~s cás~é thé~ dómá~íñ có~ñtró~llér~, wíll~ álsó~ shów~ thé b~íñár~ý úsé~d óñ t~hé dó~máíñ~ cóñt~róll~ér tó~ fácí~lítá~té ré~móté~ máñá~gémé~ñt áñ~d, íñ t~hís c~ásé, l~átér~ál mó~vémé~ñt.]

[Áñd t~hé ím~ágé b~élów~ álsó~ shów~s thé~ ássó~cíát~éd sé~rvíc~é.]

[Bý dé~fáúl~t, ít ú~sés t~hé st~áñdá~rd ñá~míñg~ cóñv~éñtí~óñ fó~r bót~h thé~ bíñá~rý áñ~d rés~últí~ñg pr~ócés~s ñám~és. Th~ís cá~ñ óf c~óúrs~é bé c~háñg~éd bý~ á thr~éát á~ctór~.]

[Théréfóré, ít ís ímpórtáñt thát mítígátíóñ áppróáchés táké thésé lévéls óf áttáck íñtó cóñsídérátíóñ – prótéctíóñs thát lóók át thé ápplícátíóñ-lévél thréáts áñd prótéctíóñs thát lóók át ñétwórk-lévél sécúrítý wíth á fócús óñ thé hóst-tó-hóst cómmúñícátíóñ. Thís wíll théñ méáñ thát thé sécúrítý stáýs áñd móvés wíth thé hóst ór wórklóád béíñg prótéctéd (é.g., thé dómáíñ cóñtróllér máchíñé ás á wórklóád áñd thé éñdpóíñt máchíñés thát áccéss thé dómáíñ cóñtróllér).]

[Ápplýíñg thís twó-lévél cóñcépt tó thé dómáíñ áñd ássócíátéd sérvérs áñd clíéñts, thé íñfógráphíc bélów shóws sómé óf thé ímpórtáñt sécúrítý cóñsídérátíóñs tó prótéct ágáíñst thréáts tó thé dómáíñ cóñtróllérs áñd óthér dómáíñ sýstéms ás díscússéd íñ thís blóg séríés.]

[Á góód stártíñg póíñt óf íñfórmátíóñ ís Mícrósóft's Bést Práctícés fór Sécúríñg Áctívé Díréctórý, whích détáíls cómmóñ-séñsé áppróáchés, líké ñó lóggíñg óñ tó úñsécúréd cómpútérs wíth prívílégéd áccóúñts ór brówsíñg thé Íñtérñét ñórmállý wíth á híghlý prívílégéd áccóúñt ór évéñ díréctlý fróm dómáíñ cóñtróllérs. Éfféctívé prívílégé máñágéméñt áñd ápplícátíóñ állów lísts cáñ álsó áútómáté thé réstríctíóñ óf prívílégéd áccóúñt úságé ácróss thé dómáíñ áñd prévéñt thé úsé óf úñsáñctíóñéd ápplícátíóñs.]

[Ás áñ éxámplé, át thé ápplícátíóñ-lévél óf thé sýstém prótéctíóñ, Éñdpóíñt Détéctíóñ áñd Réspóñsé (ÉDR), cómbíñéd wíth Ídéñtítý & Prívílégé Máñágéméñt sólútíóñs báséd óñ Zéró Trúst, cáñ hélp déál wíth ápplícátíóñ-lévél thréáts óñ thé dómáíñ sýstém, líké crédéñtíál théft áñd LSÁSS mémórý máñípúlátíóñ, úsíñg tóóls líké Mímíkátz ór Rúbéús (évéñ íf théý áré rúñ íñ mémórý óñlý áñd dó ñót tóúch dísk).]

[Thé é~xámp~lé bé~lów s~hóws~ súch~ áñ éx~ámpl~é fró~m áñ É~DR só~lútí~óñ, Cr~ówdS~trík~é Fál~cóñ, d~étéc~tíñg~ á sér~íés ó~f mál~ícíó~ús áp~plíc~átíó~ñ- áñd~ sýst~ém-lé~vél b~éháv~íór.]

[Át thé ñétwórk-lévél óf thé sýstém, líké wíth thé dómáíñ cóñtróllér áñd óthér dómáíñ sýstéms, hóst-báséd mícróségméñtátíóñ sólútíóñs líké Íllúmíó Córé cáñ próvídé Zéró Trúst sécúrítý áñd mícróségméñtátíóñ. Íllúmíó Édgé éxtéñds thís prótéctíóñ tó thé éñdpóíñts íñ áñd óútsídé thé dómáíñ. Thís ís éspécíállý trúé fór cásés óf zéró-dáý vúlñérábílítíés áñd íñ cásés whéré thréáts áré mísséd bý ápplícátíóñ- áñd sýstém-lévél éñdpóíñt sécúrítý.]

[Móst módérñ ñétwórks áré hétérógéñéóús, cómpléx, áñd éxtéñdéd, éspécíállý íñ thís érá óf rémóté wórkíñg. Ás á résúlt óf thís, ít ís ñót pártícúlárlý éásý tó éñsúré sécúrítý wíthóút fírst hávíñg á fócúséd strátégý. Íñ thé cásé óf lárgé ñétwórks éspécíállý, ít máý séém álmóst ímpóssíblé tó áchíévé éfféctívé sécúrítý dúé tó thé shéér ñúmbér óf díspáráté, cómpléx sýstéms wíth váríéd sécúrítý pólícíés. Théréfóré, ít ís ímpórtáñt tó gó báck tó básícs tó:]

1. [Kñów~ whát~ ýóú h~ávé]
2. [Kñów~ whát~ théý~ dó]
3. [Sécú~ré th~ém]

[Thís ís éspécíállý trúé whéré wórklóáds áré stóréd íñ thé dátá céñtér ór clóúd. Thé éásíést áñd móst éfféctívé wáý tó kñów whát ýóú hávé ís tó fírst gróúp thé sýstéms bý spécífíc áttríbútés líké théír lócátíóñ, éñvíróñméñt, áñd ápplícátíóñ. Thís wíll máké ít éásý tó ídéñtífý crítícál sýstéms áñd ápplícátíóñ gróúps, córé sérvícés úséd ácróss gróúps, áñd óthér léss crúcíál sýstéms áñd ápplícátíóñs. Ñátúrállý, thé prímárý fócús wíll théñ bé óñ thé móst crítícál ásséts, crówñ jéwél ápplícátíóñs, áñd córé sérvícés.]

[Éffé~ctív~é séc~úrít~ý dóé~s ñót~ éxís~t íñ í~sólá~tíóñ~, só áñ~ý ápp~róác~h mús~t ták~é thé~sé ké~ý cóñ~sídé~rátí~óñs í~ñtó á~ccóú~ñt:]

• [Vísí~bílí~tý]
• [Íñté~grát~íóñ]
• [Pérf~órmá~ñcé á~t Scá~lé]
• [Éffé~ctív~éñés~s]

[Thé fírst ímpórtáñt póíñt ís vísíbílítý. Ás shówñ íñ thé éxámplé bélów fróm Íllúmíó's Córé sólútíóñ fór Zéró Trúst wórklóád prótéctíóñ, ápplícátíóñ dépéñdéñcý máppíñg áñd shówíñg dífféréñt ápplícátíóñ gróúps áñd théír cóññéctíóñs pávés thé wáý fór íñfórméd pólícý défíñítíóñ áñd próvísíóñíñg díréctlý óñ hóst sýstéms líké dómáíñ cóñtróllérs, dátábásé sérvérs, áñd óthér crítícál wórklóád sýstéms íñ thé dómáíñ – phýsícál, vírtúál, cóñtáíñérs, ór clóúd. Thís méáñs thát mícróségméñtátíóñ cáñ bé ápplíéd évéñ íñ á flát brówñfíéld éñvíróñméñt wíth sýstéms thát spáñ dífféréñt géógráphíc lócátíóñs áñd éxíst óñ dífféréñt plátfórms. Thís hélps íñ kñówíñg whát ýóúr sýstéms dó óñ thé ñétwórk. Thé éxámplé bélów shóws thé ápplícátíóñ gróúps áñd théír tráffíc rélátíóñshíps íñ áñ ápplícátíóñ dépéñdéñcý máp.]

[Súch úséfúl sýstém-lévél íñfórmátíóñ cáñ álsó bé íñtégrátéd íñtó éxístíñg sécúrítý íñvéstméñts líké SÍÉMs, vúlñérábílítý scáññérs, ór CMDBs. Íñ thé éxámplé bélów, íñfórmátíóñ fróm thé hóst-báséd mícróségméñtátíóñ sólútíóñ ís féd íñtó á SÍÉM ór sécúrítý áñálýtícs sólútíóñ. Thís éxámplé shóws thé íñtégrátíóñ wíth Splúñk SÍÉM:]

[Áñd í~ñ thí~s séc~óñd é~xámp~lé, wí~th QR~ádár~:]

[Thís méáñs thát ñéw sólútíóñs cáñ bé cómbíñéd wíth éxístíñg sécúrítý íñvéstméñts tó prótéct thé óvéráll dómáíñ sýstéms. Pérfórmáñcé áñd éfféctívéñéss óf sécúrítý sólútíóñs át scálé shóúld álsó bé áñ ímpórtáñt cóñsídérátíóñ só thát sécúrítý cáñ bé scáléd úp ór dówñ, bóth íñ fíxéd áñd ágílé éñvíróñméñts, súch ás cóñtáíñérs ór clóúd mígrátíóñs.]

[Óñcé thésé áré áll íñ plácé, ít ís éásý tó défíñé cóñsístéñt sécúrítý pólícíés ácróss áll sýstéms tó móñítór, détéct áñd prévéñt áñómálóús béhávíór. Thé ímágé bélów shóws thé dífféréñt týpé óf mícróségméñtátíóñ pólícíés thát cáñ bé ápplíéd báséd óñ réál-tímé tráffíc páttérñs hóst-tó-hóst whích ís thé ñétwórk-lévél.]

[Íñ ñéwér vérsíóñs óf Wíñdóws, súch ás Wíñdóws 10 áñd Sérvér 2016, áúdítíñg fór évéñt 4768 - á Kérbérós áúthéñtícátíóñ tíckét (TGT) wás réqúéstéd áñd évéñt 4769 - Kérbérós sérvícé tíckét wás réqúéstéd, áñd súbséqúéñt córrélátíóñ cáñ póíñt tó thé bégíññíñg óf góldéñ ór sílvér tíckét áttácks. Mícrósóft hás álsó ímpléméñtéd ñéw prótéctíóñs líké Crédéñtíál Gúárd, whích áíms tó prótéct ágáíñst crédéñtíál dúmpíñg. Íñ thé évéñt thát á cýbér íñcídéñt óccúrs, ít ís ímpórtáñt thát á cýbér íñcídéñt réspóñsé strátégý ís álréádý íñ plácé.]

[Bóth thé ápplícátíóñ-lévél áñd ñétwórk-lévél prótéctíóñs shóúld bé úñdérpíññéd bý áñ ‘ássúmé bréách’ strátégý, só thát, óvéráll, áctívé thréát húñtíñg súppórtéd bý áñálýtícs, cóñtíñúóús móñítóríñg, áñd détéctíóñ ís álwáýs íñ fórcé íñ áñ áútómátéd áñd strúctúréd máññér.]