En la parte 1 de esta entrada de blog, hablé sobre la amenaza que DCShadow supone para las organizaciones que utilizan Microsoft Active Directory (AD). En la segunda parte, hablaré de las medidas que puedes tomar para proteger tu organización.
(Recapitulación rápida: DCShadow es una característica de la herramienta de post-explotación Mimikatz que los atacantes utilizan para crear silenciosamente puertas traseras en AD inyectando cambios directamente en el flujo de replicación de AD).
Limitar las pruebas a entornos de laboratorio
Inyectar cambios en AD puede corromper o incluso bloquear su AD. Por lo tanto, si desea simular un ataque DCShadow o experimentar con DCShadow, hágalo únicamente en un entorno de laboratorio aislado.
Refuerce sus defensas
Estos son algunos pasos que puede seguir para defender su entorno de producción contra DCShadow:
Supervisar el acceso privilegiado
Un atacante debe tener acceso privilegiado para usar DCShadow. Y una vez que un atacante tiene acceso privilegiado, realmente no hay nada que puedas hacer para evitar que use DCShadow.
Dado que Mimikatz es un software de código abierto, un atacante puede realizar una modificación trivial en el código para cambiar su firma y evitar ser detectado por los antivirus y el software de protección de endpoints. Y aunque herramientas como Windows Defender Credential Guard pueden impedir que Mimikatz saque contraseñas de la memoria, no defienden contra la función DCShadow (que no se basa en contraseñas).
Por lo tanto, restringir, supervisar y gestionar el acceso privilegiado (por ejemplo, con un sistema PAM) es fundamental para prevenir un ataque DCShadow.
Supervisar los cambios en los sitios y servicios de AD
La aparición de nuevos objetos de servidor transitorios bajo un sitio AD puede indicar un ataque DCShadow. Yo, por lo tanto, recomiendo monitorear la partición de configuración de AD donde se almacenan estos objetos para DCs agregados temporalmente.
Mientras que los cambios inyectados por DCShadow en el flujo de replicación de AD no se capturan en los registros de eventos de seguridad de Windows, el registro (y la eliminación) de servidores en la partición de configuración por parte de DCShadow sí. Así, por ejemplo, puedes configurar notificaciones en tu sistema SIEM para alertar sobre la creación de objetos servidor bajo el contenedor CN=Sites, CN=Configuration. O si está utilizando una herramienta de seguimiento de cambios de AD como Semperis Directory Services (DS) Protector, puede configurar notificaciones allí:
(En este ejemplo, se ha seleccionado servidor como Clase de objeto, y se envía una notificación cuando se añade un objeto servidor a AD Sites and Services).
Desactivar inmediatamente las cuentas comprometidas
Si se detecta un DC falso, desactive inmediatamente la cuenta que lo ha añadido. Dado que DCShadow intenta cubrir sus huellas (al no dejar ninguna), no es el tipo de ataque que deberías dejar que se desarrolle, observar y luego actuar. Lo más probable es que sea demasiado tarde y el atacante ya haya creado puertas traseras, pero aun así deberías desactivar la cuenta para evitar daños mayores.
Ilumina DCShadow
Incluso con las acciones defensivas anteriores, debes asumir que en algún momento, un intruso externo -o un infiltrado que se haya vuelto pícaro- obtendrá acceso privilegiado. Y usted debe asumir que el atacante tiene Mimikatz y sabe cómo usarlo.
Para evitar que su AD se vea comprometido de forma desconocida, y por tanto irreparable, necesita poder ver los cambios realizados por DCShadow. De lo contrario, podría verse obligado a reconstruir AD desde cero, como indica Microsoft en Planning for Compromise.
La mejor y más directa forma de ver los cambios realizados por DCShadow es monitorizar el flujo de replicación de AD.
En teoría, se podrían exponer los cambios realizados por DCShadow volcando el contenido de AD y comparándolo con una copia de seguridad. Sin embargo, es engorroso (si no imposible) hacerlo en la práctica. Por ejemplo, hablé con una organización que intentó un "volcado y comparación" cuando su AD se vio comprometido, y después de tres semanas intentándolo, todavía no estaban seguros de haber encontrado todos los cambios no autorizados.
La supervisión del flujo de replicación de AD también garantiza la visibilidad si un atacante elude el registro de eventos de seguridad de otra forma, por ejemplo, desactivando el registro, deshabilitando los agentes de recopilación, eliminando registros, etc.
Por supuesto, la supervisión no es suficiente: también es necesario poder deshacer inmediatamente los cambios no deseados.
Ambas funciones (supervisión del flujo de replicación de AD y reversión inmediata de los cambios) están disponibles en Semperis DS Protector. Para ilustrarlo, he grabado una breve demostración (8 minutos) de un ataque DCShadow y su detección/remediación con Semperis.
La demo está disponible aquí.
Tenga en cuenta que si está utilizando una herramienta de seguimiento de cambios de AD que supervisa los cambios de AD mediante la inyección de LSASS, no verá los cambios realizados por DCShadow a menos que el agente LSASS también esté enganchando eventos de replicación. (Normalmente, estos agentes sólo enganchan eventos de cambio).
Mantener una última línea de defensa fiable
Sería negligente si no incluyera un recordatorio sobre la necesidad de buenas copias de seguridad y un proceso de recuperación probado. Si un atacante entra, obtiene permisos y cifra tus sistemas, no querrás recompensarle (o recompensar a los terroristas para los que trabaja) pagando el rescate. Y si tus sistemas están completamente borrados, ni siquiera esa mala opción está disponible. Por lo tanto, mantenga las copias de seguridad fuera de peligro (es decir, sin conexión) y pruebe su proceso de recuperación para Active Directory al menos una vez al trimestre. (Si las pruebas trimestrales de DR le parecen poco razonables, es hora de buscar un nuevo sistema de copia de seguridad/recuperación).
Restaurar la visión de su sistema SIEM
Cuando se lanzó DCShadow, sus creadores advirtieron de que podría "dejar ciego su SIEM de un millón de dólares". Al supervisar el flujo de replicación de AD y reenviar los eventos de cambio a su sistema SIEM, puede devolver la vista a su sistema SIEM, proteger las inversiones en el sistema y salvaguardar la integridad de Active Directory.