安全
幸運なことに、彼らはプロのレッドチームの選手でした。残念なことに、彼らはネットワークを抵当に入れました
PWNE PWNED へようこそ。このコラムでは、私たち全員が他の人の間違いから学ぶことができることを願って、重大なセキュリティの失敗を記録します。今週は、物理的なセキュリティが欠如していると、攻撃者がネットワークをどのように制御できるかについて説明します。
誰かがネットワークに空きスペースを残したという話はありますか? pwned@sitpub.com まで共有してください。ご要望に応じて匿名での対応も可能です。
私たちの話は、オフィスやネットワークに侵入してセキュリティ システムの穴を見つけることで報酬を得ている 2 人のプロのレッド チームの話から来ています。クリストファー・ジョンソンは、2023 年にエシェロン・リスク + サイバーで攻撃的セキュリティー・コンサルタントとして働いており、彼のマネージャーはデイビッド・シュロスでした。私たちは二人に話をしました。
ジョンソン氏とマイケルという名前の別の従業員は、シュロス氏が遠隔監視している間、セキュリティに異議を唱えるために顧客のオフィスに呼び出された。冬だったので整備員が整備扉を開けていました。彼らはそこを通り抜けて郵便室に入ると、女性が彼らに立ち向かい、そこで何をしているのかと尋ねました。
2 人の勇敢なテスターが会社のメンテナンス チームと会話し、彼らが勤務バッジを持たない新入 IT 従業員であることを明らかにしました。彼は氷の上で滑りそうになったので雪かきを手伝うと申し出たが、メンテナンスチームはその申し出を受け入れたという。
マイケルが整備員の雪かきを手伝っている間、ジョンソンさんは、二階に上がってマイケルのラップトップを仕事用にセットアップできるよう、整備員に中に入れてもらえないかと尋ねた。パートナーが雪と氷の大部分を取り除く間、彼らは彼を自由に建物内を探索できる場所に行かせた。
建物の中で、ジョンソンさんは Raspberry Pi を接続する場所を探しました。そのアイデアは、このシングルボード コンピューターをネットワークに接続し、リモートからアクセスして、ネットワークをリモートで攻撃するために使用できるようにするというものでした。彼は Raspberry Pi を AV クローゼットのイーサネット ポートに接続しようとしましたが、会社がネットワーク アクセス制御を有効にしていたため、接続できませんでした。 Raspberry Pi には LTE 無線が搭載されていましたが、クローゼットに接続することさえできませんでした。
そこでジョンソン氏は代わりに、Raspberry Pi を会議室の中央に持って行き、ネットワーク アクセス コントロールが有効になっていないアクティブなネットワーク ポートを見つけました。しかし、パイは会議室に入る人なら誰でも見ることができ、不審に思われる可能性があることに彼は気づきました。そこで彼はゴミ箱をいくつか持ってきて、それを使ってデバイスを隠しました。
その後、ジョンソンさんは建物から出るのが困難になった。彼は玄関から出ようとしたが、そのためには彼が持っていないバッジをスワイプする必要があり、見知らぬ人が彼のためにバッジをスワイプすることはなかった。しかし、彼がメンテナンス用の入り口を通って戻ったとき、彼らは彼を外に出すことに非常に満足していました。彼はマイケルが雪かきを終えるまで車の中で待った。
翌日、ジョンソンさんは自分のセキュリティ侵害が発覚したことを知りました。彼女とマイケルが会社の連絡先に会いに来ると、セキュリティ責任者が彼らと対峙します。彼らが「捕まった」のは、メンテナンス担当者が IT 部門にやって来て、Michael が雪かきを手伝ってくれたことに対して IT チームに感謝の意を表したためです。しかし、IT チームにはマイケルまたはクリストファーという名前の新入社員の記録がなかったため、疑惑が生じました。
彼らがプロのレッドチームであることを知る前に、建物の警備員は不審に思い、彼らの活動を追跡するカメラの映像を確認しました。彼らはまた、ジョンソンのレンタカーからナンバープレート情報を入手しようとしました。しかし、Raspberry Pi は見つからず、会議室の Ethernet ポートに 2 週間接続されたままでした。
その間、ジョンソン氏のチームは会社の Active Directory に接続し、ドメイン コントローラーの場所を特定し、アカウントにパスワード スプレーを開始してアクセスできるかどうかを確認することができました。彼は「Winter2023!」というパスワードを追加しました。使ってみました。従業員の間で 50 ~ 60 件のヒットがありました。
「そこで、私たちはそれらの資格情報を使用してネットワークの残りの部分をマッピングしました」とジョンソン氏は言いました。 登録する。 「ネットワーク共有などを検討し、テストの最後に証明書サービスである ADCS (Active Directory Certificate Services) を列挙しました。」
Red Teamers は、ESC1 および ESC4 フォールドに対してオープンな 8 つのテンプレートを発見しました。また、認証局が ESC8 に敏感であることも判明しました。その後、それらのホールを悪用してドメイン管理アクセスを取得することができました。管理人は侵入から 2 週間後に Raspberry Pi を発見しましたが、時すでに遅しでした。
ここには多くの教訓がありますが、チームメンバー全員が、バッジを持たずに外部から入ってくる人々を、何を言っても何をしていても疑うよう訓練することから始まります。シュロス氏は、誰かがその場所に属しているかのように見え、行動している場合、ほとんどの人がそのように扱うだろうと述べました。
「何よりもまず、ほとんどの人は犯罪は犯罪ではないと信じています。これは犯罪がどのようなものであるかについてのハリウッドの神話です」とシュロス氏は語った。 「私はこれをスキーマスクバイアスと呼んでいます。誰かがスキーマスクをして銃を持って叫びながら入ってくるまで、誰もが強盗に遭わないと思っています。」
この会社の保守チームは、たとえ雪かきを手伝うつもりであっても、新入社員と称してスワイプインを要求する人々をもっと疑うべきだった。
また、企業は、Raspberry Pi などの未知のデバイスがその場所にイーサネット接続できないように、会議室のポートへのネットワーク アクセスを制限する必要があります。
最終的に、会社はヒーローたちが「Winter2023!」と言えないように、より強力なパスワード ポリシーを実装する必要がありました。数十のアカウントを見つけることを防ぎます。パスワードとして。また、それらのアカウントには多要素認証も実装する必要があります。 ®










Leave a Reply