Guido Grillenmeier

Los ciberdelincuentes están utilizando nuevas tácticas y técnicas para acceder a Active Directory de forma nuevas formas formas novedosas, lo que hace que sus ataques sean aún más peligrosos y más necesarios de detectar.

Una de las partes más importantes de cualquier estrategia de ciberseguridad es la la detección. Tener la capacidad de detectar al malhechor entrando, moviéndose, o peor aún-administrando-su red es clave para una respuesta rápida. Y con la media de días que un atacante pasa sin ser detectado en su red es de 146según Microsoft, es evidente que los malos son muy buenos trabajando en secreto.

Cuando se trata de detectar acciones potencialmente maliciosas en Active Directory (AD), la mayoría de las organizaciones confían en la consolidación del registro de eventos del controlador de dominio y en las soluciones SIEM para detectar inicios de sesión y cambios anómalos. Todo esto funciona-siempre que la técnica de ataque deje un rastro de registro.

Se han visto algunos tipos de ataques en la naturaleza que no dejan rastro discernible o, al menos, cualquier evidencia de actividad maliciosa. Algunos ejemplos son:

  • DCShadow attack: Uso de la funcionalidad DCShadow dentro de la herramienta hacker Mimikatz, tste ataque primero primero registra un controlador de dominio (DC) falso modificando la partición de configuración de AD. A continuación, el actor de la amenaza realiza falsos cambios maliciosos (por ejemplo, cambios en la pertenencia a grupos de los administradores de dominio).o incluso cambios menos obvios como añadir el SID del grupo de Administradores de Dominio a la partición de Configuración de AD. el sidHistory de un usuario normal comprometido). Esta técnica de ataque elude el registro tradicional basado en SIEM, ya que el DC fraudulento no informa de los cambios.. In lugar de ellolos cambios se inyectan directamente en el flujo de replicación dede los controladores de dominio de producción.
  • Política de grupo ccambios: Un ataque documentado con la participación de Ryuk provocó cambios en un archivo Group Policy que propagó la instalación de Ryuk a puntos finales remotos dentro de la organización víctima. Por defecto, los registros de eventos no incluyen detalles sobre lo que fue cambiado en a Group Policía. Así, si un atacante realiza un cambio malicioso (como en el caso de Ryuk), todo lo que se ve es que una cuenta con acceso a la directiva de grupo realizó un cambio, lo que probablemente no hará saltar ninguna alarma.
  • Cerologon attack: Aespués de una prueba-de-de concepto fue liberado en público, un atacante de atacante con acceso de red a un controlador de dominio pudo enviar un Netlogon especiales consistentes en de cadenas de ceros, forzando la contraseña del controlador de dominio se cambie por una cadena vacía. Así, sin ningún inicio de sesión-es decir, sin conexión-el atacante ahora posees el controlador de dominiopuede realizar cualquier cambio en AD, y puede utilizar esta ruta para atacar otros sistemas de su infraestructura. En is poco probable que sus herramientas de monitorización hoy estén atentas a inesperados inesperados en sus centros de distribución..

 

En no es casualidad que estos ataques no dejen rastro; es por diseño. Los malos dedican mucho tiempo a inspeccionar exactamente cómo funcionan los entornos de sus objetivos y y buscan formas de eludir, ofuscar y sortear cualquier forma de deteccioion-lo que incluye el registro.

Dado que este tipo de ataques existen, la pregunta es qué hacer al respecto.-tanto de forma proactiva como reactiva?

 

Protección contra cambios malintencionados en Active Directory

Existen tres formas de proteger a su organización contra cambios maliciosos en AD:

  1. Supervisar AD para malicioso cerviciosos: Tsto va más allá de SIEM e implica un tercera-para ver todos los cambios realizados en AD, independientemente de quién los realice, en qué DC, con qué solución, etc.-idealmente leer y comprender el tráfico de replicación de los propios DC. Este supervisión debe incluir también los cambios en la directiva de grupo. En muchos casos, las soluciones diseñadas para supervisar los cambios en AD pueden definir políticas de grupo específicas. protegidos objetos protegidos específicos que deben supervisarse ante cualquier cambio-por ejemplo, cambios en la pertenencia a Administradores de Dominio-para que vez que esos protegidos se modifiquen, salten las alarmas. La solución debe cubrir tanto los cambios en las políticas de grupo como la visibilidad de la replicación.
  2. Buscar DCShadow: Mimikatz deja algunos artefactos detrás y hay algunos signos reveladores de que DCShadow se ha utilizado en su red. La revisión de AD en busca de estos signos debe formar parte de una revisión regular de la seguridad de AD. Tenga en cuenta que una vez que encuentre un rastro de Mimikatz DCShadow en su entorno, debe actuar con rapidez, ya que ya será víctima de un ataque. En ese momento, deseará disponer también de una solución que le muestre qué cambios se han realizado a nivel de replicación, que podrá analizar e, idealmente, revertir.
  3. Sea able a recubrir AD: Su organización necesita la capacidad proactiva de recuperar todos y cada uno de los AD en caso de que usted AD ha sido comprometido. En algunos casos, puede estar pensando en términos de copias de seguridad y una estrategia de DR para recuperar AD en un escenario de ciberataque. En caso de que efectivamente necesita recuperar su servicio AD completocomo próxima víctima de un ataque de malwaretenga en cuenta que un buen controlador de dominio de dominio no equivale a una recuperación rápida y sin problemas del servicio de AD. Le conviene haber practicado todo el proceso de recuperación periódicamente, siguiendo las abundante Bosque de Microsoft AD Recuperación Guía. Pero es igualmente valioso buscar soluciones que puedan revertir los cambios hasta el nivel de atributo o incluso revertir automáticamente los cambios para protect cuando se detecten.

 

Orientación Active Directory y modificarlo a conveniencia del atacante es una táctica común adoptada por los ciberdelincuentes de hoy en día-tanto que el antiguo modelo de vigilar AD auditoría de ADs en busca de cambios podría ya no sea viable. Organizaciones que se que se toman en serio la seguridad y la integridad de su AD deben buscar formas adicionales de obtener visibilidad de cada cambio del AD y tener la capacidad de revertir o recuperar cuando sea necesario.