Přednáška: Microsoft Entra ID – Lateral movement & persistence

U ransomware útoků jsou útočníci nejlepší ve fázi laterálního pohybu. Velice dobře znají interní fungování Active Directory a z běžného uživatele dokáží rychle eskalovat až na oprávnění doménového administrátora (přístupu do celé sítě).

Entra ID však funguje jinak. Obdobné ransomware útoky se zde zatím nevyskytují (resp. není mi známo) a i techniky pro laterální pohyb budou muset být jiné (Entra ID vnitřně funguje jinak). A jak často říkám, abych věděl, jak mám bránit, musím nejprve poznat, jak útočníci útočí.

Během letních prázdnin jsem seděl ve studijních materiálech a dal jsem dohromady sérii interních školení. Jedná se o 3 díly (skoro 6 hodin videa):

• Entra ID: Attack Surface
• Entra ID: Lateral movement and persistence (tento článek)
• Entra ID: Obrana

Microsoft Entra ID – Lateral movement & persistence

V předchozím díle jsem ze začátku vysvětloval, jak se Entra ID (AAD: Azure Active Directory) liší oproti Active Directory a proč je třeba se začít Entra ID věnovat. A pak už jsme jen rozebírali, jakými možnými způsoby lze získat initial foothold (prvotní vektor průniku) do Entra ID/O365 prostředí.

V tomto díle budeme pokračovat:

• Smysl útoku: tímto jsem měl celou sérii začít, ale nevzpomněl jsem si.🤷‍♂️ Proč útočníci útoky provádí a jak nám znalost jejich cíle pomáhá v obraně.
• Lateral movement/privilege escalation (laterální pohyb / eskalování privilegií): jak útočníci získávají přístup k dalším datům, zařízením a vyšším uživatelským oprávněním.
• Persistence: jak si útočníci udržují přístup do napadeného prostředí po co nejdelší dobu i přes pokusy správců je z něj dostat.

Jako vždy, doufám, že se vám školení bude líbit a přinese vám nové informace, znalosti či pohled na věc.

Nechť jsou vaše sítě bezpečné.

Martin