I criminali informatici stanno utilizzando nuove tattiche e tecniche per ottenere l'accesso ad Active Directory in modo nuovi modi nuovi, rendendo i loro attacchi ancora più pericolosi e più necessari da rilevare.
Una delle parti più importanti di qualsiasi strategia di sicurezza informatica è il il rilevamento. Avere la capacità di individuare i malintenzionati che entrano, si muovono o, peggio, amministrano.-amministraredella vostra rete è fondamentale per una risposta rapida. E con la mediana numero mediano di giorni in cui un attaccante rimane inosservato sulla rete è di 146secondo Microsoft, è evidente che i malintenzionati sono molto bravi a lavorare di nascosto.
Quando si tratta di rilevare azioni potenzialmente dannose all'interno di Active Directory (AD), la maggior parte delle organizzazioni si affida al consolidamento dei log degli eventi dei controller di dominio e alle soluzioni SIEM per individuare accessi e modifiche anomale. Tutto questo funziona-a patto che la tecnica di attacco lasci una traccia di log.
In natura sono stati osservati alcuni tipi di attacchi che non lasciano tracce percettibili o, almeno, non lasciano tracce, alcuna evidenza di dell'attività attività dannosa. Alcuni esempi includono:
- DCShadow attacco: Utilizzo della funzionalità DCShadow all'interno dello strumento hacker Mimikatz, tquesto attacco per prima cosa prende la strada della registrazione di un controllore di dominio (DC) non autorizzato, modificando la partizione Configuration di AD. Poi l'attore della minaccia effettua modifiche false e dannose (ad esempio, modifiche alle appartenenze ai gruppi degli amministratori di dominio).o anche modifiche meno ovvie, come l'aggiunta del SID del gruppo Domain Admins alla partizione Configuration di AD. il gruppo sidHistory di un utente normale compromesso). Questa tecnica di attacco aggira il tradizionale logging basato sul SIEM, in quanto il DC rogue non segnala le modifiche.. Invecemodifiche vengono iniettate direttamente nel flusso di repliche deidei controller di dominio di produzione.
- Politica di gruppo cmodifiche: Un attacco documentato che coinvolge Ryuk ha comportato modifiche a un file Group Pche ha propagato l'installazione di Ryuk. Ryuk agli endpoint remoti dell'organizzazione vittima. Per impostazione predefinita, log degli eventi non includono dettagli su ciò che è stato modificato all'interno di a Group Policità. Quindi, se un attaccante effettua una modifica malevola (come nel caso di Ryuk), tutto ciò che si vede è che un account con accesso ai Criteri di gruppo ha apportato una modifica, che probabilmente non farà scattare alcun allarme.
- Zerologono attack: Adopo una prova-di-di concetto, il codice di exploit è stato rilasciato in pubblico, un attaccante con accesso di rete a un controller di dominio è stato in grado di inviare speciali Netlogon messaggi costituiti da di stringhe di zeri, costringendo la password del computer del controller di dominio a essere cambiata in una stringa vuota. Quindi, senza alcun logon-cioè, con zero logon-l'attaccante ora possiedes il controller di dominioe può eseguire qualsiasi eseguire qualsiasi modifica in AD, e può utilizzare questo percorso per attaccare altri sistemi dell'infrastruttura. Esso iè improbabile che gli strumenti di monitoraggio di monitoraggio oggi siano in grado di rilevare inaspettato inattesi cambi di password sui vostri DC.
Non è Non è un caso che questi attacchi non lascino tracce, ma un progetto. I malintenzionati dedicano un'enorme quantità di tempo a ispezionare esattamente il funzionamento dei loro ambienti bersaglio e e cercano il modo di bypassare, offuscare e aggirare qualsiasi forma di rilevamento e dizione.compresa la registrazione.
Poiché questo tipo di attacchi esiste, la domanda diventa: cosa fare al riguardo?-sia in modo proattivo che reattivo?
Protezione dalle modifiche dannose di Active Directory
Ci sono tre modi per proteggere l'organizzazione da modifiche AD dannose:
- Monitorare l'AD per malicious cmodifiche: TQuesto va oltre il SIEM e coinvolge un terza parte-di terze parti progettata per vedere ogni modifica apportata all'interno di AD, indipendentemente da chi l'ha fatta, su quale DC, con quale soluzione, ecc.-idealmente leggendo e comprendendo il traffico di replica dei DC stessi. Questo monitoraggio deve includere anche i cambiamenti all'interno dei Criteri di gruppo. In molti casi, le soluzioni progettate per il monitoraggio delle modifiche in AD possono definire specifici criteri protetti oggetti protetti da monitorare per qualsiasi modifica-ad esempio, modifiche all'appartenenza agli amministratori di dominio-in modo che ogni ogni volta che questi oggetti protetti oggetti protetti, scatta l'allarme. La soluzione dovrebbe coprire sia le modifiche ai Criteri di gruppo sia la visibilità della replica.
- Cerca DCShadow: Mimikatz lascia dietro di sé alcuni artefatti e ci sono alcuni segni rivelatori del fatto che DCShadow è stato utilizzato sulla rete.. L'esame di AD alla ricerca di questi segni deve far parte di una revisione regolare della sicurezza di AD. Una volta trovata una traccia di Mimikatz DCShadow nel vostro ambiente, dovete agire rapidamente, perché sarete già vittime di un attacco. A quel punto, vorrete avere una soluzione che vi mostri quali modifiche sono state eseguite a livello di replica, per poterle analizzare e, idealmente, ripristinare.
- Essere able a rScoprire AD: La vostra organizzazione ha bisogno di la capacità capacità proattiva di ripristinare tutto l'AD nel caso in cui si dovesse che l'AD sia stato compromesso. In alcuni casi, si può pensare ai backup e a una strategia di DR per ripristinare l'AD in uno scenario di cyberattacco. Nel caso in cui dovesse essere necessario ripristinare l'intero servizio ADpotenzialmente come prossima vittima di un attacco di malwareattenzione al fatto che un buon controller di dominio controller di dominio non equivale a un ripristino del servizio AD rapido e senza interruzioni. È necessario aver fatto pratica dell'intero processo di ripristino periodicamente, seguendo le copioso Foresta di Microsoft AD Rrecupero Guida. Ma è altrettanto importante cercare soluzioni in grado di ripristinare le modifiche fino al livello dell'attributo o addirittura di ripristinare automaticamente le modifiche per proteggere il sistema.t oggetti protetti quando vengono rilevati.
Targeting Active Directory e modificarla per adattarla all'attaccante è una tattica comune adottata dai criminali informatici di oggi.-tanto che il vecchio modello di controllo di AD audit eventos per le modifiche potrebbe non è più praticabile. Le organizzazioni che hanno a cuore la sicurezza e l'integrità dell'AD sicurezza e l'integrità dell'AD devono cercare altri modi per ottenere visibilità su ogni modifica dell'AD e avere la possibilità di gestire le modifiche. la possibilità di di ripristinare o recuperare le modifiche quando necessario.