シャドウ管理者によってもたらされる脅威に光を当てる

ジュニアスタッフに自分の個人的なプロジェクトで一人で飛ばせる前に意図的に大きな責任を負わせる組織はほとんどありませんが、それは事実上、あまりにも多くの企業ネットワーク内で起こっています。組織は、特定の特権を実行できるように、ユーザーアカウントへの特定の管理アクセスを委任します。タスク、そして彼らはすぐにそれを忘れます。これらの「シャドウ管理者」アカウントは、攻撃者と脅威アクターを除くすべての人に無視されることがよくあります。

シャドウ管理者

シャドウ管理者は、これらのアカウントがActive Directoryオブジェクトに対して制限された管理機能を実行するための特権アクセスを持っているため、組織に脅威をもたらします。AD管理者は、管理者権限を委任して、パスワードのリセット、アカウントの作成と削除、またはその他のタスクを実行できます。

危険なのは、これらがレーダーから外れる可能性があることです。つまり、セキュリティチームの完全な監視なしに動作することがよくあります。脅威アクターがこれらのアカウントの1つを制御する場合、攻撃をさまざまな方法で拡張できます。おそらく、認識されないまま、横方向の移動や特権の昇格の機会を探すことができます。

通常、徹底的な監査を実施する以外に、これらの委任された管理者アカウントを見つける簡単な方法はありません。つまり、完全に定量化されていないことが多い脅威をもたらす可能性があります。問題を見つけてその程度を測ることができない場合、どのように準備することができますか?

暗闇の中へ

脅威アクターは、攻撃者に与えることができる特権とステルス性のために、シャドウ管理者アカウントを探します。これらのアカウントは特権ユーザーのグループの一部ではないため、それらのアクティビティが見過ごされる可能性があります。アカウントがActiveDirectory(AD)グループの一部である場合、AD管理者はそのアカウントを監視できるため、異常な動作を特定するのは比較的簡単です。

ただし、シャドウ管理者は、直接割り当てによって特定の特権を取得するため、グループのメンバーではありません。脅威アクターがこれらのアカウントの1つを制御すると、すぐにある程度の特権アクセスが可能になります。このアクセスにより、防御側の監視を回避しながら、攻撃を微妙かつ巧妙に進めて、さらなる特権と許可を求めることができます。

組織のADにシャドウ管理者アカウントを残すことは、特定のタスクを実行するために自分の王国にキーを渡してから、誰がキーを持っているか、いつそれを要求するかを追跡するのを忘れるよりも最善のリスクです。AD管理者グループが役立つ、特権アクセスを正確に持っているのは誰かを知ることは有益です。

逆に、シャドウ管理者アカウントの存在は、攻撃が進行中であることを示している可能性があります。脅威アクターがこれらのアカウントを作成する権限を自分に付与してから、より高い特権を割り当てることができれば、攻撃をさまざまな方向に拡大できます。

シャドウ管理者とは何ですか?

シャドウ管理者は、ADにあるオブジェクトに適用されるアクセス制御リスト(ACL)を使用して割り当てられたアクセス許可を通じて特権を取得します。これらのオブジェクトは、ファイル、イベント、プロセス、またはセキュリティ記述子を持つその他のものにすることができます。重要なのは、シャドウ管理者は特権ADグループのメンバーではないアカウントです。

ADは、ネットワークとそのすべてのアカウント、アセット、グループ、システム、GPOなどを定義するオブジェクトのツリーで構成されています。各ADオブジェクトには、ACLを構成するACE(アクセス制御エントリ)と呼ばれる個別のアクセス許可のリストがあり、オブジェクトのACLは、その特定のオブジェクトに対するアクセス許可を持つユーザーと、そのオブジェクトに対して実行できるアクションを定義します。「フルコントロール」などの一般的な権限と、「書き込み」、「削除」、「読み取り」などの個別の権限、さらには「User-Force-Change-Password」などの「拡張権限」もあります。

特権アカウントには、主に4つのカテゴリがあります。

  • ドメイン管理者ユーザーやDCHP(動的ホスト構成プロトコル)管理者などのドメイン特権アカウント
  • エンドポイントとサーバーのローカル管理者、UnixおよびLinuxシステムの「ルート」などのローカル特権アカウント
  • DBまたはSharePoint管理者などのアプリケーションおよびサービスアカウント
  • 金融ユーザーや企業のソーシャルメディアアカウントなどの特権ビジネスアカウント。

シャドウ管理者を見つける方法

残念ながら、シャドウ管理者アカウントの性質上、それらを見つけることは、口で言うほど簡単ではありません。この場合の最善の治療法は予防です。これは、新しくインストールしたADを使用している場合は問題ありませんが、ADがしばらく存在し、その寿命にわたって蓄積された傷、結び目、節を持っている場合は注意が必要です。合併や買収で見られる大混乱の増加に言及します。

シャドウ管理者アカウントを識別するネイティブな方法は、AD内のすべてのACLエントリの徹底的な監査を実施することです。このプロセスは時間がかかり、またその手動の性質がこれらの危険なアカウントを見落とす必然的なチャンスを意味するため、非効率的です。

セキュリティコミュニティは現在、ADコントローラーレベルでシャドウ管理者アカウントを過剰な特権エクスポージャーとして識別できるイノベーションの出現を目の当たりにしています。組織がこれらの新しいツールを使用する場合、可視性を向上させ、シャドウ管理者、ドメインコントローラーへのアクセス、およびその他のリスクを示す公開されたAPIキー、クレデンシャル、およびシークレットの検出を提供するための早期の貴重な洞察を得ることができます。

欺瞞でテーブルを回す

将来を見据えた組織は、偽のアカウントを使用して敵を検出し、おとりにリダイレクトすることで、シャドウ管理者が敵に魅力的であるという事実を利用することもできます。欺瞞および隠蔽技術は、ドメインまたはシャドウ管理者アカウントなどの特権を持つアカウントへのアクセスを隠したり拒否したりする可能性があります。

その後、防御側はおとりアカウントをその場所に配置できます。これにより、脅威の攻撃者がおとりアカウントにアクセスしたり、本番アセットからおとり環境に誤って誘導したりした場合にアラートがトリガーされます。

組織がキルチェーンの他の段階でおとりを展開する場合、攻撃者を鏡のホールで罠にかけ、被害を制限することができます。一方、防御側は自分たちの技術を研究し、システムの脆弱性や敵が使用した新しいエクスプロイトに関するさらに多くの情報を収集できます。脅威アクターがおとりにアクセスすると、セキュリティチームとシステムはその動作を綿密に分析し、貴重な脅威インテリジェンスを蓄積して、将来の攻撃を防ぐのに役立ちます。

成熟した組織のネットワークにシャドウ管理者が潜んでいるのは当然のことです。おそらく、それらを見つけて、攻撃パスの可視化ツールと欺瞞および隠蔽技術を使用して、それらを有利に機能させるときです。