U ransomware útoků jsou útočníci nejlepší ve fázi laterálního pohybu. Velice dobře znají interní fungování Active Directory a z běžného uživatele dokáží rychle eskalovat až na oprávnění doménového administrátora (přístupu do celé sítě).
Entra ID však funguje jinak. Obdobné ransomware útoky se zde zatím nevyskytují (resp. není mi známo) a i techniky pro laterální pohyb budou muset být jiné (Entra ID vnitřně funguje jinak). A jak často říkám, abych věděl, jak mám bránit, musím nejprve poznat, jak útočníci útočí.
Během letních prázdnin jsem seděl ve studijních materiálech a dal jsem dohromady sérii interních školení. Jedná se o 3 díly (skoro 6 hodin videa):
- Entra ID: Attack Surface
- Entra ID: Lateral movement and persistence (tento článek)
- Entra ID: Obrana
Microsoft Entra ID – Lateral movement & persistence
V předchozím díle jsem ze začátku vysvětloval, jak se Entra ID (AAD: Azure Active Directory) liší oproti Active Directory a proč je třeba se začít Entra ID věnovat. A pak už jsme jen rozebírali, jakými možnými způsoby lze získat initial foothold (prvotní vektor průniku) do Entra ID/O365 prostředí.
V tomto díle budeme pokračovat:
- Smysl útoku: tímto jsem měl celou sérii začít, ale nevzpomněl jsem si.🤷♂️ Proč útočníci útoky provádí a jak nám znalost jejich cíle pomáhá v obraně.
- Lateral movement/privilege escalation (laterální pohyb / eskalování privilegií): jak útočníci získávají přístup k dalším datům, zařízením a vyšším uživatelským oprávněním.
- Persistence: jak si útočníci udržují přístup do napadeného prostředí po co nejdelší dobu i přes pokusy správců je z něj dostat.
Jako vždy, doufám, že se vám školení bude líbit a přinese vám nové informace, znalosti či pohled na věc.
Nechť jsou vaše sítě bezpečné.
Martin