เป็นคำถามที่ดีมาก
สิ่งแรกสิ่งแรก - ฉันคิดว่า "การทดสอบการเจาะ" ส่วนใหญ่จะเป็นสคริปต์เด็ก ความลำเอียงของฉันอาจไม่ยุติธรรมหรือถูกต้อง แต่ฉันใส่ในข้อจำกัดความรับผิดชอบนี้ดังนั้นหากคุณตรวจพบความเห็นถากถางดูถูกในน้ำเสียงของฉันคุณรู้ว่ามันมาจากไหน ฉันไม่ได้บอกว่าไม่มีเพนเทอร์สที่มีทักษะ แต่นี่คือการกวาดทั่วไปของฉัน
(ทีมสีน้ำเงินเพื่อชีวิต!)
คำถามของฉัน: 1) มีวิธีรับ Active Directory เพื่อบันทึกคำขอชื่อผู้ใช้ที่ล้มเหลวเหล่านี้ในตำแหน่งศูนย์กลางหรือไม่เพื่อให้เราสามารถสังเกตเห็นขัดขวางได้
คุณไม่ได้ให้ข้อมูลที่เพียงพอสำหรับทุกคนที่จะสามารถตอบคำถามนี้ได้อย่างทั่วถึงและด้วยความมั่นใจ คุณบอกว่าใบสมัครของคุณพบว่ามีข้อบกพร่องที่ทำให้ผู้โจมตีสามารถระบุบัญชีผู้ใช้ ฉันพยายามที่จะเข้าใจในสิ่งที่คุณรู้สึกว่าโฆษณาต้องการทำการบันทึกสำหรับแอปพลิเคชันของคุณ
เห็นได้ชัดว่าความล้มเหลวที่เคยปรากฏในบันทึกเหตุการณ์ท้องถิ่นของเซิร์ฟเวอร์ที่ติดตั้งแอปพลิเคชัน
เห็นได้ชัดว่าความล้มเหลวปรากฏขึ้นในบันทึกเหตุการณ์บนเซิร์ฟเวอร์? หรือความล้มเหลวไม่แสดงขึ้นในแฟ้มบันทึกเหตุการณ์บนเซิร์ฟเวอร์หรือไม่ ถ้าเป็นเช่นนั้นเหตุการณ์พูดอะไรกันแน่? ใครเข้าสู่ระบบพวกเขา? ใบสมัครของคุณ? หรือ Windows ไปหาคำตอบและฉันอาจจะเพิ่มคำอธิบายเพิ่มเติมให้กับคำตอบของฉัน
ฉันจะออกไปที่นี่โดยมีข้อสันนิษฐานของคุณว่าเหตุการณ์เหล่านี้ควรได้รับการบันทึกโดย Active Directory อย่างใด ... ถ้าเพนเดอร์ของคุณไม่ได้ใช้ประโยชน์จากข้อบกพร่องในแอปพลิเคชันของคุณเลยจริงๆ แต่แทนที่จะใช้ เป็นข้อบกพร่องที่รู้จักกันดีใน Kerberos เพื่อระบุชื่อผู้ใช้หรือไม่ Kerberos มีสิ่งที่ฉันจะพิจารณาข้อบกพร่องในการออกแบบซึ่งผู้โจมตีสามารถลอง "การพิสูจน์ตัวตนก่อนล่วงหน้า" เป็นพัน ๆ ครั้ง (เช่นการโจมตีด้วยกำลังดุร้าย) และ KDC จะตอบสนองแตกต่างกันไปขึ้นอยู่กับว่าบัญชีผู้ใช้นั้นมีอยู่จริงหรือไม่ นี่ไม่ใช่พฤติกรรมเฉพาะ Active Directory แต่ใช้เช่นเดียวกับ MIT Kerberos, Heimdal ฯลฯ KDC จะตอบสนองด้วยKDC_ERR_PREAUTH_REQUIREDหากชื่อผู้ใช้ที่ถูกต้องถูกนำเสนอโดยไม่มีข้อมูลก่อนการตรวจสอบแม้ว่าจะไม่ได้พยายามตรวจสอบความถูกต้องจริง ด้วยวิธีนี้คุณสามารถระบุชื่อผู้ใช้จาก KDC แต่เนื่องจากผู้โจมตี (หรือเครื่องมือที่ผู้โจมตีใช้เช่น KrbGuess - เพราะเพนเทอร์สเตอร์นั้นดีที่สุดเมื่อพวกเขาใช้เครื่องมือของคนอื่น) จึงไม่จำเป็นต้องมีการพิสูจน์ตัวตนเต็มรูปแบบต่อไปไม่มีการบันทึกอะไรเลยเพราะไม่มี พยายามรับรองความถูกต้องจริง!
ตอนนี้คำถามต่อไปของคุณ:
2) หากไม่มีวิธีที่ดีที่สุดในการติดตามและตรวจจับการโจมตีประเภทนี้ในอนาคตคืออะไร (หวังว่าจะไม่ต้องซื้ออุปกรณ์ใหม่มากเกินไป)
สองสิ่ง
อันดับแรกมีการจ่ายเงินผลิตภัณฑ์ระดับองค์กรที่ออกแบบมาเพื่อตรวจจับการโจมตีเหล่านี้ (ในจำนวนอื่น ๆ ) ผู้ค้าจำนวนมากเสนอผลิตภัณฑ์ดังกล่าวและคำแนะนำผลิตภัณฑ์นั้นเป็นหัวข้อสำหรับ Serverfault แต่พอเพียงที่จะบอกว่าพวกเขาไม่อยู่ ที่นั่น ผลิตภัณฑ์เหล่านี้จำนวนมากทำงานโดยกำหนดให้คุณกำหนดค่าพอร์ตมิเรอร์ระหว่างตัวควบคุมโดเมนของคุณและ "ตัวรวบรวมข้อมูล" เหล่านี้เพื่อให้พวกเขาเห็นและวิเคราะห์ตัวอักษรแต่ละแพ็กเก็ตที่เข้าหรือออกจากตัวควบคุมโดเมนของคุณ
(ขออภัยข้อความดังกล่าวตกอยู่ในประโยค "โดยไม่ต้องซื้อสิ่งใหม่มากเกินไป" ของคุณ)
อีกสิ่งที่อาจช่วยคุณได้คือรายการรีจิสทรี:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
LogLevel = 1
เอกสารที่นี่
หากคุณเปิดใช้รายการรีจิสทรีนี้คุณควรจะได้รับน้ำท่วมกับเหตุการณ์ในแฟ้มบันทึกเหตุการณ์การรักษาความปลอดภัยของคุณเกี่ยวกับข้อผิดพลาด Kerberos ที่พูดถึงว่า Kerberos pre-ตรวจสอบความถูกต้อง ตัวอย่างของเหตุการณ์ดังกล่าว:
A Kerberos Error Message was received:
on logon session DOMAIN\serviceaccount
Client Time:
Server Time: 12:44:21.0000 10/9/2012 Z
Error Code: 0x19 KDC_ERR_PREAUTH_REQUIRED
Extended Error:
Client Realm:
Client Name:
Server Realm: DOMAIN
Server Name: krbtgt/DOMAIN
Target Name: krbtgt/DOMAIN@DOMAIN
Error Text:
File: e
Line: 9fe
Error Data is in record data.
แต่สิ่งนี้อาจช่วยหรือไม่ช่วยเหลือคุณหากไม่ได้ระบุว่าสึนามิของคำขอ Kerberos มาจากไหน สิ่งนี้ทำให้เรากลับไปที่ผลิตภัณฑ์ตรวจจับการบุกรุกขององค์กรที่ฉันกล่าวถึงก่อนหน้านี้
และอย่าลืมการส่งต่อเหตุการณ์ของ Windows ที่สามารถให้เซิร์ฟเวอร์ของคุณส่งต่อเหตุการณ์ไปยังสถานที่ส่วนกลางเพื่อวิเคราะห์ด้วยเครื่องมืออะไรก็ตามที่คุณมี
คำตอบทั้งหมดนี้ได้รับการบอกกล่าวล่วงหน้าในโปรโตคอล Kerberos ซึ่งฉันไม่สามารถรับได้เพราะคุณให้รายละเอียดเล็กน้อยในโพสต์ของคุณ อย่างไรก็ตามฉันหวังว่านี่จะช่วยได้อย่างน้อย