Come mai prima d'ora, Active Directory (AD) è sotto attacco attacchiattacchi. In questo blog esamineremo come gli attacchi ransomware stanno abusando dell'AD e come le aziende possono evolvere le loro strategie difensive per stare davanti agli aggressori. le aziende possono evolvere le loro strategie difensive per stare al passo con gli aggressori.
Innanzitutto, una breve nota sulla recente vulnerabilità di privilege escalation denominata Zerologonche consente a un aggressore non autenticato con accesso di rete a un controller di dominio di compromettere completamente i servizi di identità di Active Directory. Classificato 10 su 10 per gravità dal Common Vulnerability Scoring System (CVSS), Zerologon ha sollevato serie preoccupazioni sulla sicurezza di AD. A questo proposito, dico che era ora. Zerologon è solo l'ultima delle tante nuove minacce che colpiscono l'AD. È giunto il momento di riesaminare la sicurezza dell'AD.
Attacchi ransomware che sfruttano Active Directory
Il business del ransomware è in piena espansione.
Nell'ultimo anno, gli attacchi ransomware mirati contro agenzie governative, istituti scolastici e fornitori di servizi sanitari hanno alzato la posta in gioco per chi ha il compito di proteggere le organizzazioni. Gli attacchi ransomware non solo danneggiano le attività commerciali, ma mettono a rischio la salute, la sicurezza e le vite umane. Inoltre, le vittime che facilitano le trattative con gli estorsori di ransomware potrebbero incorrere in multe salate da parte del governo federale degli Stati Uniti.
In un passato non troppo lontano, il ransomware era principalmente una minaccia per i consumatori. Oggi, invece, gli attori delle minacce ransomware lanciano campagne sofisticate che ricordano gli attacchi in stile APT, dove gli obiettivi di mantenere la persistenza, il furto di dati e l'estorsione si affiancano agli sforzi per criptare i file.
Piuttosto che gli attacchi indiscriminati e automatizzati storicamente associati al ransomware, gli aggressori moderni conducono campagne di ransomware gestite dall'uomo che utilizzano strumenti come BloodHound, Mimikatz e PowerSploit per raccogliere informazioni utili sull'ambiente Active Directory, eseguire ricognizioni, rubare credenziali e penetrare più a fondo nella rete.
Prendiamo ad esempio il ransomware Ryuk, che la comunità della sicurezza ha collegato a diverse campagne di attacco nell'ultimo anno. In molti di questi attacchi mirati, Ryuk era il payload finale, ma l'attacco iniziava con TrickBot o Emotet. Queste minacce informatiche scaricano a loro volta strumenti come Cobalt Strike e PowerShell Empire. Gli attori delle minacce avrebbero quindi iniziato a condurre ricognizioni e a rubare credenziali, utilizzando il componente di BloodHound chiamato SharpHound per raccogliere informazioni sull'ambiente Active Directory e mappare possibili percorsi di attacco. Ryuk è un attacco con una svolta inquietante per AD: il ransomware verrebbe inviato agli utenti ignari tramite gli oggetti dei criteri di gruppo (GPO) di AD. In un caso, riportato dalla pubblicazione sulla sicurezza Dark Reading, gli aggressori si sono introdotti nei server AD utilizzando il Remote Desktop Protocol (RDP) e hanno inserito Ryuk nello script di accesso ad AD, infettando tutti coloro che si sono collegati a quel server AD.
Purtroppo, questo tipo di abuso di Active Directory non è esclusivo di Ryuk. I malintenzionati che utilizzano il ransomware Maze seguono uno schema simile, distribuendo il ransomware dopo la compromissione e perpetrando il furto di dati. Recentemente, il ransomware è stato collegato a un attacco al sistema scolastico pubblico della contea di Fairfax in Virginia. In un'analisi di Maze del maggio 2020, i ricercatori di FireEye hanno osservato che tra i metodi iniziali di compromissione sono state osservate e-mail dannose e RDP, e gli aggressori hanno cercato di ottenere l'accesso a più account di dominio e di sistema locale. Per aumentare i privilegi e identificare i percorsi di attacco, gli aggressori hanno spesso sfruttato gli strumenti di hacking open-source precedentemente menzionati per penetrare in Active Directory. Dopo l'esfiltrazione dei dati, il ransomware è stato distribuito in vari modi, compreso un caso in cui l'aggressore ha utilizzato un account di amministratore di dominio per accedere e infettare più sistemi.
In un altro esempio di come Active Directory sia preso di mira, i ricercatori di sicurezza hanno recentemente evidenziato un ceppo di ransomware denominato SaveTheQueen che è stato osservato utilizzare la condivisione SYSVOL sui controller di dominio AD per propagarsi in tutto l'ambiente. L'accesso alla condivisione SYSVOL, utilizzata per distribuire policy e script di accesso ai membri del dominio, richiede tipicamente privilegi elevati e indica una grave compromissione di AD.
Mitigazione del rischio per Active Directory
Il rischio elevato che il ransomware rappresenta per Active Directory significa che le organizzazioni devono concentrarsi maggiormente sulla sicurezza e sul ripristino di AD. Dopo la compromissione, Zerologon è esattamente il tipo di vulnerabilità che gli aggressori potrebbero utilizzare per compromettere l'AD e sfruttarla per diffondere malware. Il passo immediato è ridurre la superficie di attacco. L'implementazione di un'efficace segmentazione della rete, del tiering degli amministratori e del principio del minimo privilegio per limitare l'accesso aumenta le difficoltà per gli intrusi. Adottando le best practice e rimediando ai sistemi non patchati, le aziende possono mettere fuori dalla portata degli aggressori un frutto altrimenti poco accessibile.
Esaminando gli attacchi di cui sopra, le organizzazioni possono adottare alcune misure aggiuntive. Il cambiamento di tattica degli operatori di ransomware ricorda l'importanza della difesa in profondità. Le funzionalità antimalware sugli endpoint sono ancora fondamentali per bloccare le infezioni. Inoltre, la presenza non autorizzata di strumenti di pen-testing altrimenti legittimi come BloodHound dovrebbe far scattare l'allarme che qualcosa non va, così come un numero sostanziale di tentativi di accesso falliti con Remote Desktop.
Rafforzare le difese significa anche rendere più difficile l'abuso di Active Directory, il che richiede il monitoraggio di AD alla ricerca di modifiche non autorizzate. Le soluzioni Semperis offrono un monitoraggio continuo e una valutazione delle vulnerabilità di AD, oltre alla possibilità di annullare qualsiasi modifica non autorizzata senza l'intervento dell'amministratore. Ad esempio, se un utente viene aggiunto in modo sospetto a un gruppo privilegiato, questa modifica viene rilevata e annullata automaticamente per evitare potenziali danni. Questo tipo di monitoraggio continuo deve essere esteso ai registri degli eventi, perché molti aggressori cancellano il registro degli eventi di sicurezza per eliminare le tracce della loro attività.
Dal punto di vista del ripristino di Active Directory, le organizzazioni devono adattare i loro piani di risposta per includere i preparativi per gli attacchi ransomware. In questo scenario, qualsiasi sistema connesso alla rete può essere colpito. Per prepararsi, i backup devono essere salvati su un server non collegato al dominio e fuori sede. Sorprendentemente, molte organizzazioni non hanno nemmeno testato i loro piani di cyber disaster recovery AD. Infatti, secondo il nostro sondaggio del 2020 sui leader della sicurezza incentrata sulle identità, il 21% degli intervistati ha dichiarato di non avere alcun piano. Questa scoperta è allarmante, visto l'aumento degli attacchi ransomware in rapida evoluzione e l'impatto diffuso di un'interruzione dell'AD. Una scarsa preparazione aumenterà i tempi di inattività e i costi associati a un attacco ransomware.
È impossibile bloccare tutti gli attacchi, soprattutto quando la forza lavoro remota espande rapidamente la superficie di attacco. Ma potete controllare la vostra resilienza. Il vostro business dipende da questo.