Verovatno negde koristite nasleđene aplikacije, a napadači ih vide kao ranjive mete. Ovi saveti će zaštititi nasleđene aplikacije od pretnji. Tipična poslovna mreža ima bar jednu nasleđenu aplikaciju, a verovatno više nego što administratori žele da priznaju: nasleđeni server ili radna stanica na kojoj se izvršava drevni deo poslovnog softvera koji jednostavno ne možete sami da uklonite. Ako imate sreće, aplikacija se nalazi na virtuelnoj mašini koju možete brzo da premestite. Ako niste srećni, nalazi se na starom hardveru za koji se nadate da neće otkazati. Kao što Microsoftov Aaron Margosis napominje na svom blogu, idealno bi bilo da povučete nasleđene aplikacije i pređete na novu podržanu, bezbednu aplikaciju. U stvarnosti, organizacije koriste nasleđene sisteme.
Jessica Payne je na nedavnom Microsoft-ovom samitu o virtualnoj bezbednosti govorila o zaštiti ovih nasleđenih sistema na Windows mrežama. Ovo su neki saveti koje ona i Margosis nude:
Proverite ovlašćenja za prijavljivanje
Pregledajte da li se na taj sistem prijavljuje sa ovlašćenjima administratora domena. Nasleđeni sistemi često heš vrednosti ovlašćenja čuvaju u sistemu, pa se mogu lako pokupiti koristeći široko dostupne alate za prikupljanje ovlašćenja kao što je mimikatz. Obezbedite da se na ove sisteme ne prijavljuje sa visoko privilegovanim ovlašćenjima.
Pregledajte mrežne veze
Pregledajte kako se nasleđeni sistemi povezuju s vašom Windows mrežom i koji portovi i protokoli su potrebni nasleđenoj aplikaciji. Pomoću alata kao što su Wireshark i Process Monitor odredite TCP portove i protokole koje nasleđeni sistem koristi. Zatim upotrebite Windows Firewall i ograničite nasleđeni sistem da sluša i odgovara samo na te portove. Blokirajte mrežni obod od nasleđenih sistema kako biste osigurali da ih napadači ne iskoriste za sticanje pristupa vašoj mreži.
Identifikujte registarske ključeve i foldere aplikacija
Da biste bolje zaštitili aplikaciju, posebno ako ona zahteva administratorska prava, koristite LUA Buglight da biste identifikovali ključeve registra i foldere koji moraju da budu otvoreni da bi aplikacija radila bez administrativnih prava. LUA Buglight efikasno pomaže u određivanju neophodnih prilagođavanja operativnog sistema kako bi starije nasleđene aplikacije radile na modernim sistemima.
Postavite odgovarajuće dozvole
Da bi aplikacija radila bez administrativnih prava, kao što Aaron Margosis ističe, mogli biste da: „… Izmenite instalacioni program putem transformera ili post-instalerskih skripti (za„ run-Once“ pitanja kad aplikacija treba da se izvrši sa administratorskim pravima samo kod prvog pokretanja). Druga opcija je da dodate spojeve ili simboličke veze direktorija. Možete pustiti da UAC virtualizacija fajlova/registara uradi svoj posao. (Za starije aplikacije u kojima bi file/reg virtualizacija funkcionisala, ali su obnovljene novijim verzijama Visual Studio-a, koji dodaje ugrađeni manifest koji deklariše kompatibilnost sa UAC-om i isključuje virtualizaciju.) Za pisanje u .ini fajlove u zaštićenim direktorijumima koristite preusmeravanje IniFileMapping; za pisanje u HKCR, napravite unapred ekvivalentne ključeve pod HKCUSoftvareClasses. “ Poslednja opcija, za koju možete da koristite LUA Buglight, je da „hirurški menjate dozvole za fajlove, direktorijume, ključeve registra ili druge objekte“. Za razliku od drugih opcija, ova uvodi rizik od neovlašćenog povećanja privilegija, pa je potreban oprez.
Posmatrajte svoju mrežu kao napadač
Poželećete da znate kako vaša mreža izgleda napadaču, posebno ako je deo vaše mrežne infrastrukture nasleđeni server. Alatka BloodHound će u Active Directoryju potražiti neobične veze koje napadač može da upotrebi protiv vas. BloodHound postoji na nekoliko platformi, uključujući Linux, MacOS i Windows. Kao što je navedeno u ovom postu na blogu, da biste koristili Bloodhound moraćete da instalirate bazu podataka Neo4J. Najlakši način da počnete da radite sa BloodHound-om je korišćenje desktop verzije Neo4J. Tako će se instalirati potrebno Java okruženje. Pošto instalirate NeoJ, pokrenite program da biste postavili lozinku baze podataka. Ova baza podataka sadrži ključne informacije o vašoj mreži, zato postavite jaku lozinku.
Zatim preuzmite i instalirajte softver BloodHound. Prilikom izdvajanja softvera postavite korenski folder sa kratkim imenom jer ako koristite podrazumevana podešavanja može se javiti problem “long file path name” (dugo ime putanje fajla). Morate da zapamtite svoju Neo4j lozinku za kasnije. Poslednji, i svakako najteži korak u tom podešavanju, je da preuzmete alatku SharpHound3 koja vrši analizu vaše mreže. Morao sam da ga preuzmem na Windows 7 mašini jer bi moj Windows 10 sa omogućenim Advanced Threat Protection zaustavio instalaciju i ne bi mi dozvolio da ga pokrenem u svojoj mreži. Vaš antivirusni program mogao bi da uradi to isto. Možda ćete morati fajl da „pokrenete kao administrator“ ili da ga „deblokirate“ jer će imati oznaku veb atributa i neće prikupljati podatke dok se ta podešavanja ne uspostave.
Pošto pokrenete SharpHound, on pripremi zip fajl koji sadrži analizu vaše mreže. Pokrenite BloodHound i dobićete upozorenje da imate praznu bazu podataka. Na desnoj strani pronađite dugme za upload i otpremite svoj SharpHound zip fajl. U odeljku upita možete pregledati uobičajene upite koje napadači mogu da koriste protiv vas. Ti uobičajeni upiti uključuju “Find shortest paths to domain admins” (Pronađi najkraće staze do administratora domena), “Find principals with DCSync rights” (Pronađi principale sa pravima DCSync), “Map Domain Trusts” (Mape domena od poverenja), “Shortest Paths from Kerberoastable Users” (Najkraće staze od Kerberoastable korisnika) i tako dalje. Za dublju analizu vaše mreže postoje dodatni resursi, poput FireEye-ove virtuelne mašine Commando koja je unapred pripremljena za testiranje upada. Preuzimanje Github-a vam daje matičnu podršku za Windows i Active Directory pomoću virtuelne mašine sa koje je mnogo bezbednije koristiti i analizirati mrežu. Sa poboljšanjem Linux podsistema za Windows u sistemu Windows 10 2004, možete čak i da pokrenete Linux iz Windows-a. Takođe možete da koristite Docker (skup proizvoda platforme kao servisa koji koristi virtualizaciju operativnog sistema za isporuku softvera u kontejnerima) koji se koristi i za testiranje platformi.
Odvojite vreme da pogledate kako izgledate napadačima. Vidite gde su vaši nesigurni delovi i šta napadači mogu lako da iskoriste iz tih starijih sistema. Znam da ću na starijim sistemima raditi stvari kao što je isključivanje RDP-a bez autentifikacije u više koraka, kako bih obezbedio da napadači ne mogu da prikupe ovlašćenja sa njih.
Izvor: IDG Insider