La scansione del Service Principal Name (SPN) è una tecnica di ricognizione che gli aggressori utilizzano negli ambienti Active Directory. Questo metodo consente agli aggressori di scoprire servizi di valore e account associati, che possono essere potenziali bersagli per ulteriori attacchi come Kerberoasting.
Lettura correlata: Proteggere Active Directory da Kerberoasting
Che cos'è la scansione SPN?
La comprensione e la corretta gestione degli SPN negli ambienti Active Directory è essenziale per garantire un'autenticazione Kerberos sicura e senza interruzioni per i vari servizi della rete.
In contesti Active Directory, gli SPN sono identificatori unici assegnati alle istanze di servizio. Gli SPN sono utilizzati nell'autenticazione Kerberos per associare un'istanza di servizio a un account di accesso al servizio. Questa associazione è fondamentale per il corretto funzionamento di Kerberos in un ambiente Active Directory.
- Quando un client vuole accedere a un servizio su un server, richiede un ticket di servizio al Key Distribution Center (KDC), parte di ogni controller di dominio Active Directory.
- Il client specifica l'SPN del servizio a cui vuole accedere. L'SPN identifica in modo univoco l'istanza del servizio all'interno del dominio.
- Active Directory utilizza l'SPN per trovare l'account di servizio associato e genera un ticket criptato con le credenziali di tale account.
- Il client presenta quindi questo ticket al servizio, che può decifrarlo utilizzando le proprie credenziali, garantendo così l'autenticazione reciproca.
La scansione SPN comporta l'enumerazione degli SPN registrati in un dominio Active Directory. Gli aggressori eseguono la scansione degli SPN per trovare account di servizio che potrebbero avere privilegi elevati.
La scansione SPN è spesso furtiva. La tecnica elude i metodi di rilevamento standard utilizzando le funzionalità legittime di Active Directory e Kerberos. A differenza di altri attacchi, la scansione SPN non compromette immediatamente l'account di servizio. Piuttosto, pone le basi per attacchi successivi.
Come funziona la scansione SPN?
Alcuni scenari possono rendere la vostra organizzazione particolarmente vulnerabile alla scansione SPN. La comprensione di queste vulnerabilità è fondamentale per i professionisti dell'IT e della cybersecurity che intendono rafforzare le proprie difese.
Account di servizio con privilegi elevati
Gli account di servizio che hanno privilegi elevati o che amministrano servizi critici sono i primi obiettivi degli aggressori che utilizzano la scansione SPN. La compromissione di questi account può dare agli attori delle minacce un ampio accesso alla rete. Anche gli account utente con diritti amministrativi su servizi cruciali sono a rischio. Gli aggressori possono utilizzare questi account per eseguire operazioni sensibili o accedere a dati critici.
Account scarsamente protetti e pratiche di password deboli
Gli account con password semplici o predefinite sono altamente vulnerabili. La scansione SPN può portare al furto di credenziali se queste password sono facilmente craccabili.
SPN erroneamente configurati o eccessivi
Gli SPN eccessivi o non correttamente configurati aumentano la superficie di attacco. Gli aggressori possono usare questi SPN per identificare potenziali bersagli. Inoltre, una gestione inadeguata degli SPN, come la mancata eliminazione degli SPN per i servizi dismessi, crea vulnerabilità non necessarie.
Sistemi con dati sensibili o servizi critici
Gli ambienti ricchi di dati con sistemi che ospitano dati sensibili (ad esempio, informazioni personali, dati finanziari) sono più a rischio se i loro account di servizio associati vengono compromessi. I servizi di infrastruttura critica che sono fondamentali per le operazioni di rete, come i controller di dominio o i server di database, sono particolarmente vulnerabili, in quanto la loro compromissione può avere un impatto diffuso.
Mancanza di un monitoraggio e di una revisione solidi
Le reti prive di soluzioni efficaci di monitoraggio e auditing potrebbero non riuscire a rilevare attività sospette legate alla scansione SPN. Inoltre, gli ambienti privi di funzionalità avanzate di rilevamento delle anomalie hanno meno probabilità di identificare modelli di query insoliti indicativi della tecnica.
Sistemi obsoleti e pratiche di sicurezza superate
I sistemi legacy che non vengono aggiornati o patchati regolarmente sono particolarmente suscettibili di essere sfruttati una volta che un aggressore ottiene l'accesso iniziale. Affidarsi a protocolli e configurazioni di sicurezza obsoleti può rendere i sistemi vulnerabili al furto di credenziali e al movimento laterale.
Mancanza di consapevolezza e formazione sulla sicurezza
Il personale ignaro delle best practice di sicurezza, in particolare per quanto riguarda la sicurezza delle password e le minacce di phishing, può inavvertitamente aumentare la vulnerabilità alla scansione SPN e ai successivi attacchi.
Processo di attacco con scansione SPN
In che modo gli attori delle minacce utilizzano la scansione SPN per attaccare un'organizzazione? Le fasi seguenti sono tipiche di questo scenario:
- Ricognizione iniziale ed enumerazione SPN. L'obiettivo principale dell'attaccante è identificare gli account di servizio, in particolare quelli con privilegi elevati. Gli aggressori utilizzano spesso strumenti integrati di Windows come setspn, cmdlet di PowerShell (Get-ADServiceAccount, Get-ADUser) o strumenti di terze parti progettati specificamente per interrogare Active Directory per l'enumerazione degli SPN. Queste interrogazioni restituiscono un elenco di SPN associati a vari servizi del dominio.
- Identificazione dell'obiettivo. A partire dagli SPN enumerati, l'aggressore identifica gli account di servizio, cercando in particolare gli account che potrebbero essere scarsamente protetti, con accesso al dominio di alto livello o probabilmente con password deboli. Alcuni tipi di servizio SPN (come MSSQLSvc per i server SQL) possono essere più redditizi, poiché potrebbero essere eseguiti su server critici.
- Attacco ed escalation. Ora che l'aggressore dispone di informazioni sugli SPN in Active Directory, può utilizzare queste conoscenze per attaccare la rete:
- Kerberoasting. Con gli SPN identificati, l'aggressore può quindi eseguire Kerberoasting, che comporta la richiesta di ticket TGS (Ticket Granting Service) dal KDC per quei servizi. Questi ticket TGS sono criptati con la password dell'account del servizio. L'attaccante estrae questi ticket dalla memoria del proprio computer o di un host compromesso.
- Attacchi brute-force offline. L'aggressore può utilizzare tecniche di forza bruta offline per decifrare la parte crittografata dei biglietti TGS. A questo scopo vengono comunemente utilizzati strumenti come John the Ripper o Hashcat. Se l'attacco ha successo, rivela la password dell'account di servizio in chiaro, consentendo all'aggressore di accedere all'account di servizio.
- Escalation. Con il controllo di un account di servizio, l'aggressore potrebbe muoversi lateralmente all'interno della rete, accedendo ad altri sistemi e servizi. Se l'account compromesso ha privilegi amministrativi, questo può portare a una completa compromissione del dominio.
Quali sono i rischi associati alla scansione SPN?
I rischi associati alla scansione SPN in ambienti Active Directory sono significativi e molteplici.
Esposizione delle credenziali e accesso ai dati
La scansione SPN spesso porta alla scoperta di account di servizio, alcuni dei quali potrebbero avere privilegi elevati. Se questi account vengono compromessi (ad esempio, attraverso successivi attacchi Kerberoasting), gli aggressori ottengono l'accesso a servizi e dati critici. Gli account di servizio hanno spesso accesso a dati sensibili. Un aggressore con queste credenziali può accedere a informazioni riservate, causando violazioni dei dati.
Ricognizione interna e mappatura della rete
Enumerando gli SPN, gli aggressori ottengono informazioni preziose sulla struttura della rete, compresi i ruoli dei server e i servizi in esecuzione nel dominio. Questa conoscenza facilita gli attacchi mirati. Gli aggressori possono identificare risorse di alto valore come controller di dominio, server di database o server di applicazioni, che possono essere obiettivi primari in attacchi futuri.
Movimento laterale ed escalation dei privilegi
Gli account di servizio compromessi, in particolare quelli con accesso ad ampio raggio, consentono agli aggressori di muoversi lateralmente attraverso la rete, accedendo a più sistemi. Se un account di servizio ha privilegi amministrativi, gli aggressori possono potenzialmente scalare il loro accesso per ottenere il controllo di porzioni significative della rete, compresi i controller di dominio.
Persistenza e accesso continuo
Con credenziali valide, gli aggressori possono stabilire una presenza a lungo termine nella rete, rendendo difficile la loro individuazione e rimozione. Inoltre, gli account di servizio compromessi possono essere utilizzati per creare backdoor per l'accesso ininterrotto, anche se il punto di ingresso iniziale è protetto.
Bypassare le misure di sicurezza tradizionali
La scansione SPN e i successivi attacchi come il Kerberoasting spesso sfruttano funzionalità legittime di Active Directory e Kerberos, rendendoli più difficili da rilevare con gli strumenti di sicurezza tradizionali. Gli account di servizio e i ticket Kerberos correttamente configurati sono standard negli ambienti Active Directory. Un loro abuso può eludere le misure di sicurezza progettate per rilevare attività dannose più evidenti.
Interruzione dell'attività
La compromissione di account di servizi critici può interrompere le operazioni, causando tempi di inattività e perdite finanziarie. Le violazioni dei dati o le interruzioni evidenti possono anche danneggiare la reputazione di un'organizzazione ed erodere la fiducia dei clienti.
Come si possono rilevare gli attacchi di scansione SPN?
Il rilevamento degli attacchi di scansione SPN negli ambienti Active Directory richiede una combinazione di monitoraggio avanzato, configurazione adeguata e consapevolezza delle attività sospette.
Il fulcro di questo approccio è l'implementazione di un sistema di auditing avanzato e di monitoraggio dei log. Le organizzazioni devono configurare l'auditing di Active Directory e dei server per tracciare meticolosamente le richieste di accesso agli account di servizio e le query SPN, esaminando regolarmente i registri di sicurezza alla ricerca di schemi insoliti, come un elevato volume di query SPN da un singolo utente o indirizzo IP.
Inoltre, l'impiego di sistemi di rilevamento delle anomalie e di analisi del traffico di rete è fondamentale. Gli strumenti di sicurezza in grado di rilevare le anomalie nel comportamento della rete, combinati con soluzioni di analisi comportamentale, possono avvisare gli amministratori di modelli insoliti che potrebbero indicare attività di ricognizione. Gli strumenti di monitoraggio della rete che analizzano il traffico da e verso i controller di dominio possono essere particolarmente rivelatori, in quanto un eccesso di traffico LDAP o Kerberos potrebbe indicare tentativi di scansione SPN o Kerberoasting.
Il monitoraggio degli account di servizio per l'uso non routinario e l'auditing dei servizi per le configurazioni SPN corrette possono portare alla luce bandiere rosse. Allo stesso tempo, gli strumenti di rilevamento e risposta degli endpoint (EDR) che monitorano gli endpoint per l'uso di strumenti di hacking o script associati alla scansione SPN, integrati con informazioni aggiornate sulle minacce, possono offrire informazioni preziose.
Infine, audit e controlli di conformità regolari assicurano che le reti rispettino gli standard di sicurezza e le best practice, riducendo così i rischi associati alla scansione SPN.
Come si può mitigare un attacco di scansione SPN?
La mitigazione degli attacchi di scansione SPN in ambienti Active Directory richiede una combinazione di pianificazione strategica, solide pratiche di sicurezza e monitoraggio proattivo. Una mitigazione efficace non solo riduce il rischio di tali attacchi di ricognizione, ma rafforza anche la postura di sicurezza complessiva contro una serie di minacce.
Implementare politiche di sicurezza forti per gli account di servizio
Garantire che gli account di servizio abbiano password forti e complesse e che vengano cambiate regolarmente è fondamentale per mitigare la scansione SPN. L'applicazione di politiche per la complessità delle password riduce la probabilità di compromissione delle credenziali.
Inoltre, agli account di servizio devono essere concessi solo i permessi necessari per i loro ruoli specifici, aderendo al principio del minimo privilegio. In questo modo si riduce il danno potenziale in caso di compromissione di un account.
Condurre audit regolari e ripulire gli SPN.
L'esecuzione di controlli regolari degli SPN all'interno dell'ambiente Active Directory può aiutare a identificare e rimuovere gli SPN non necessari o obsoleti, riducendo così la superficie di attacco. Una corretta gestione degli SPN comprende l'eliminazione degli SPN per i servizi dismessi e la garanzia che gli SPN siano configurati correttamente e associati agli account di servizio appropriati.
Migliorare il monitoraggio e il rilevamento delle anomalie
L'implementazione di soluzioni di monitoraggio avanzate in grado di rilevare modelli insoliti di query SPN è fondamentale. Impostate avvisi per attività anomale, come ad esempio un elevato volume di richieste di ricerca SPN, che possono indicare tentativi di ricognizione. Integrate gli strumenti di rilevamento delle anomalie nell'infrastruttura di sicurezza per fornire segnali precoci di potenziali attività di scansione SPN.
Proteggere endpoint e reti
Utilizzare soluzioni EDR e impiegare solide misure di sicurezza di rete per ridurre ulteriormente il rischio. Le soluzioni EDR possono rilevare e rispondere agli indicatori di compromissione sugli endpoint. Le misure di sicurezza della rete, compresi i firewall e i sistemi di rilevamento delle intrusioni, possono monitorare e controllare il traffico verso i server sensibili, in particolare i controller di dominio.
Conduzione di corsi di formazione e sensibilizzazione
È fondamentale educare il team IT e gli utenti finali sulla natura degli attacchi di scansione SPN e sui loro indicatori. Sessioni di formazione e aggiornamenti regolari sulle più recenti minacce informatiche, tra cui la scansione SPN, e la promozione di una cultura della sicurezza in tutta l'organizzazione sono passi fondamentali per promuovere una solida postura di sicurezza e mettere il personale in grado di riconoscere e rispondere efficacemente a tali minacce.
Per gli amministratori di Active Directory che vogliono contrastare efficacemente gli attacchi di scansione SPN, è essenziale un approccio completo e proattivo. La chiave di questa strategia è il miglioramento della sicurezza degli account di servizio.
Questo compito comporta l'imposizione di password forti e complesse e l'applicazione rigorosa del principio del minimo privilegio per limitare le autorizzazioni degli account solo a quanto necessario per i ruoli operativi. Anche in questo caso, è fondamentale condurre controlli regolari degli SPN all'interno di Active Directory. Ciò include la revisione e la rimozione degli SPN obsoleti o non necessari e la verifica che gli SPN esistenti siano configurati correttamente e collegati agli account di servizio appropriati.
Sul fronte tecnico, l'abilitazione di auditing e log di sicurezza avanzati è fondamentale. Gli amministratori devono configurare criteri per registrare e monitorare meticolosamente le richieste di accesso agli account di servizio e le query SPN. Dovrebbero esaminare regolarmente questi registri alla ricerca di segnali di attività insolite, come ad esempio picchi nei volumi di query SPN.
L'implementazione di strumenti di rilevamento delle anomalie e di monitoraggio della rete rafforzerà ulteriormente le difese, consentendo di rilevare tempestivamente modelli di comportamento anomalo nella rete che potrebbero indicare tentativi di ricognizione. Allo stesso tempo, l'implementazione di soluzioni EDR è fondamentale, in particolare per monitorare i segnali di strumenti di attacco o di esecuzioni di script insoliti.
Altri passi cruciali sono l'utilizzo di funzioni avanzate di sicurezza di Active Directory, come il gruppo Utenti protetti e Credential Guard, e la garanzia di aggiornamenti e patch regolari del sistema. Infine, lo sviluppo e la verifica periodica di un piano di risposta agli incidenti ben definito per le potenziali violazioni della sicurezza, che includa le azioni da intraprendere in caso di rilevamento della scansione SPN, garantisce la preparazione e una risposta rapida ed efficace agli incidenti.
In sostanza, gli amministratori di Active Directory devono adottare una strategia di difesa a più livelli, che combini una solida gestione degli account di servizio, sofisticati sistemi di monitoraggio e rilevamento, regolari programmi di formazione e sensibilizzazione e l'uso di funzioni di sicurezza AD avanzate, per mitigare efficacemente i rischi associati agli attacchi di scansione SPN.
Proteggere Active Directory dalla scansione SPN
La scansione SPN è una tecnica di ricognizione fondamentale nell'arsenale dei cyberattaccanti. Questo sofisticato metodo di ricognizione, utilizzato principalmente per identificare obiettivi di alto valore in ambienti Active Directory, sfrutta le funzionalità legittime di Active Directory e Kerberos per scopi malevoli, spesso come precursore di attacchi più aggressivi. La comprensione, il rilevamento e la mitigazione di questo attacco costituiscono una parte fondamentale di una solida postura di cybersecurity per qualsiasi organizzazione che si affida ad Active Directory.