El ataque DCShadow aprovecha un interruptor de la utilidad Mimikatz que permite a los usuarios con privilegios inyectar cambios maliciosos en Active Directory (AD) sin ser detectados. DCShadow aprovecha la replicación nativa de AD para evitar el envío de eventos a los registros de seguridad de AD.
Metodología DCShadow:
- DCShadow permite a los atacantes (con derechos de administrador) crear un controlador de dominio (DC) falso que puede distribuir rápidamente los cambios a los DC legítimos utilizando los mecanismos de replicación normales.
- Los usuarios con privilegios crean un objeto DC temporal en el contexto de nomenclatura de la configuración y lo mantienen allí el tiempo suficiente (menos de 30 segundos) para introducir los cambios de AD en un DC de lectura-escritura existente. A partir de ahí, el DC legítimo "de confianza" activa la replicación.
- Ahora, debido a que estos cambios se originaron en el DC falso, los registros de eventos de seguridad no tienen constancia de lo que ocurrió: los SIEM están ciegos ante el inminente asalto. En última instancia, los movimientos del atacante quedan sin control, dejando tras de sí una amenaza persistente.
Vea esta presentación en vídeo para aprender a defenderse contra esta amenaza emergente. Presentado por un MVP de Microsoft con 14 años de experiencia en la nube y los centros de datos, Darren Mar-Elia cuenta con una amplia experiencia en gestión de identidades y accesos y fue director de tecnología y fundador de SDM Software, un proveedor de soluciones de gestión de sistemas de Microsoft.