Un piano di ripristino di Active Directory (AD) dovrebbe essere una priorità del vostro piano di rilevamento e risposta alle minacce all'identità (ITDR). Dopo tutto, viviamo in un mondo federato di identità ibride, login zero-touch e lavoro distribuito. In questo panorama digitale, tutto è connesso. Per la maggior parte delle organizzazioni, l'AD è il cuore dell'autenticazione dei lavoratori, che possono così utilizzare applicazioni e servizi connessi a livello globale. Se l'AD non è sicuro, niente lo è.
Ogni organizzazione preferirebbe prevenire un attacco AD piuttosto che recuperarlo. Tuttavia, molti tentativi di attacco all'AD hanno successo. Secondo un rapporto di Enterprise Management Associates, il 50% delle organizzazioni ha subito un attacco all'AD negli ultimi uno o due anni e più del 40% ha indicato che l'attacco all'AD è riuscito. Un altro dato preoccupante del rapporto: I penetration tester hanno dichiarato di aver sfruttato con successo le esposizioni AD nell'82% dei casi.
Scaricate oggi stesso il vostro rapporto d'indagine gratuito sulla valutazione degli ITDR.
Proteggere l'AD è importante, ma la capacità di ripristinare con successo l'AD da un cyberattacco - la componente "risposta" dell'ITDR - è fondamentale data la proliferazione di attacchi sofisticati che prendono di mira l'AD. Approfondiamo il tema dell'AD come vettore di attacco preferito dai criminali informatici e analizziamo uno scenario reale che illustra il complesso processo di recupero di Active Directory.
Perché è necessario un piano per il ripristino di Active Directory
Purtroppo, Active Directory è spesso l'anello debole della catena di sicurezza delle identità. Il problema non è l'AD in sé. Se configurato e implementato correttamente, AD può essere incredibilmente versatile. Sfortunatamente, AD può essere configurato in modo errato in tanti modi quanti sono quelli in cui viene distribuito.
E gli attori delle minacce lo sanno. È per questo che il 90% degli attacchi analizzati dalla società di consulenza sulla sicurezza informatica Mandiant ha coinvolto in qualche modo l'AD. In questi casi, l'AD è stato il vettore di attacco iniziale, è stato preso di mira per ottenere la persistenza o è stato utilizzato per ottenere privilegi e consentire il movimento laterale attraverso la rete.
Il problema è duplice:
- In primo luogo, le debolezze sistemiche di AD lo rendono un bersaglio facile. Poiché l'identità cloud si estende da AD, è un obiettivo primario per l'abuso di credenziali, una tattica coinvolta nell'80% di tutte le violazioni di dati.
- In secondo luogo, il modello zero-trust per l'accesso alla rete ha una svista: presuppone implicitamente che i sistemi su cui viene applicato, compreso AD, mantengano la loro integrità.
Per questi motivi, l'AD è spesso una parte fondamentale della kill chain dei cyberattacchi. Gli attori delle minacce utilizzano l'AD per facilitare qualsiasi cosa, dalle tecniche di persistenza all'escalation dei privilegi, fino all'elusione delle difese.
Lo scenario peggiore del mondo reale
Di recente abbiamo potuto constatare in prima persona l'entità dei danni che gli attori delle minacce possono causare attraverso un'istanza compromessa di Active Directory.
Uno dei nostri partner in EMEA ci ha contattato all'inizio di gennaio. Un cliente di un'infrastruttura critica in Medio Oriente era stato compromesso. Il nostro partner era nel bel mezzo di un'implementazione di rilevamento e risposta degli endpoint (EDR) quando ha scoperto un malware sui controller di dominio del cliente. Non solo vari client e server erano già sotto il controllo degli intrusi, ma la foresta AD era completamente compromessa e controllata dai malintenzionati.
Così ci hanno chiamato.
Per aiutare la vittima a sopravvivere è stata necessaria un'operazione di blocco e recupero coordinata e ben orchestrata tra il cliente e Semperis. La prima cosa che abbiamo fatto è stata creare una rete di sicurezza attraverso il nostro strumento Active Directory Forest Recovery ( ADFR). Abbiamo iniziato creando un backup dell'AD del cliente, disaccoppiato dal sistema operativo. Questo ci ha permesso di evitare brutte sorprese come rootkit e backdoor integrati nel sistema operativo del cliente.
A tal fine, abbiamo anche messo in quarantena tutto ciò che si trovava nei Criteri di gruppo, bloccando le tattiche dannose che sfruttano l'iniezione di script, come il ransomware Ryuk. Ci siamo anche assicurati di aderire alla Microsoft Forest Recovery Guidance. Abbiamo ruotato il ticket Kerberos due volte per prevenire gli attacchi Golden Ticket.
Stabilita la nostra rete di sicurezza, siamo passati alla fase di analisi, dove abbiamo cercato di rispondere a diverse domande fondamentali:
- Come sono entrati gli attori minacciosi?
- Come hanno compromesso l'AD?
- Come hanno acquisito le credenziali del dominio?
- Potrebbero utilizzare ulteriori esposizioni per riguadagnare l'accesso?
- C'erano delle porte sul retro che dovevano essere chiuse?
- Qual era la postura di sicurezza di base del cliente?
- Quali sono le best practice adottate dal cliente?
Mentre tutto ciò avveniva, il cliente, un operatore di infrastrutture critiche, continuava a lavorare come sempre. I tempi di inattività prolungati non erano un'opzione. L'organizzazione doveva continuare a fornire servizi ai propri clienti, anche mentre noi sondavamo i suoi sistemi alla ricerca di segni di attori minacciosi.
Valutazione della causa principale
Ben presto abbiamo scoperto che il client veniva attaccato da più direzioni e da più aggressori, ciascuno indipendente dagli altri. C'erano almeno quattro attaccanti, ciascuno in una fase diversa della catena di uccisione. Alcuni avevano già un account di dominio, altri stavano tentando di spruzzare la password.
Avevamo per le mani un incubo di sicurezza informatica.
Per verificare le esposizioni del sistema, come il collegamento degli oggetti dei Criteri di gruppo (GPO) e le password reversibili, abbiamo sfruttato la tecnologia di Purple Knight. Abbiamo inoltre applicato script, controlli manuali e soluzioni aggiuntive in base alla situazione.
Abbiamo riscontrato più account utente, compresi quelli di amministratore, con SPN definiti: bersagli privilegiati per Kerberoasting. Abbiamo anche scoperto che i computer di dominio non erano in grado di definire alcun certificato nel sistema. Inoltre, abbiamo trovato un account di helpdesk in grado di reimpostare tutte le password del sistema, comprese quelle degli amministratori di sistema.
Recupero di Active Directory
Non avevamo mai affrontato uno scenario del genere. Risolvere il problema sembrava come essere bersagliati da più direzioni mentre cercavamo di cambiare le gomme a un'auto che sfrecciava sull'autostrada a 100 miglia all'ora.
Alla fine abbiamo deciso che la cosa migliore da fare era dividere e conquistare. Il team EDR ha continuato a distribuire i propri EDR sui server, mentre cercava e neutralizzava i centri di comando e controllo. Abbiamo trascorso un'intera giornata e mezza a temprare Active Directory. Le nostre azioni comprendevano:
- Introduzione di un modello di tiering (gli amministratori accedevano alla propria posta elettronica su postazioni di lavoro ordinarie)
- Creazione di account completamente nuovi sfruttando il gruppo di utenti MS Protected
- Individuazione e rimozione di potenziali obiettivi di Kerberoasting
- Configurazione delle autorizzazioni delle unità organizzative (OU) e degli adattamenti GPO
L'ultimo passo è stato il più impegnativo. Dovevamo preservare il cuore dell'implementazione di questa infrastruttura critica, qualcosa di simile a un trapianto di cuore digitale.
Abbiamo aspettato il fine settimana, quando il traffico sarebbe stato minimo, e ci siamo messi al lavoro per mettere tutto offline.
Dopo soli 30 minuti, abbiamo trapiantato un AD pulito e protetto nel sistema. ADFR si è occupato dei dettagli, come i pool RID e i ticket Kerberos, mentre il team EDR si è occupato di 20 sistemi di comando e controllo e ha bloccato centinaia di indirizzi IP. Dopo un rapido riavvio, tutto ciò che rimaneva era un'implementazione AD sicura e completamente funzionante, abilitata con Azure AD Passthrough per Office 365.
Estratto dal fuoco
Active Directory è incredibilmente versatile, ma può anche rappresentare un'enorme minaccia per la sicurezza se configurata in modo improprio. Il nostro cliente lo ha imparato a sue spese. Fortunatamente, disponeva di soluzioni che gli hanno permesso di correggere la rotta, senza significative interruzioni del servizio.
Sebbene il ripristino di Active Directory in questa situazione abbia messo a dura prova tutte le persone coinvolte, la ricompensa per aver respinto gli aggressori è stata impagabile. Come dice spesso Mickey Bresman, CEO di Semperis, la nostra missione è essere una forza per il bene. Il nostro team di Breach Preparedness & Incident Response (BP&IR) prende sul serio questa responsabilità, così come tutti noi di Semperis. In vista del nuovo anno, il nostro proposito è quello di continuare ad aiutare le organizzazioni di tutto il mondo a respingere i cyberattacchi rafforzando la loro posizione ITDR e di utilizzare tutte le risorse disponibili per aiutarvi a recuperare Active Directory nel caso in cui si verifichi il peggio.
Per saperne di più, consultate le seguenti risorse e scaricate il nostro rapporto d'indagine gratuito sulla valutazione degli ITDR.