Guido Grillenmeier

Os cibercriminosos estão a utilizar novas tácticas e técnicas para obter acesso ao Active Directory em novas maneiras novas, tornando seus ataques ainda mais perigosos - e mais necessários para detectar.

Uma das partes mais importantes de qualquer estratégia de cibersegurança é a detecção. Ter a capacidade de detectar o mau da fita a entrar, a deslocar-se ou, pior ainda-administrar-a sua rede é fundamental para uma resposta rápida. E com a mediana número médio de dias que um atacante passa sem ser detectado na sua rede é de 146de acordo com a Microsoft, é evidente que os maus da fita estão muito bons em trabalhar de forma furtiva.

Quando se trata de detectar acções potencialmente maliciosas no Active Directory (AD), a maioria das organizações confia na consolidação do registo de eventos do Controlador de Domínio e nas soluções SIEM para detectar registos e alterações anormais. Tudo isto funciona-desde que a técnica de ataque deixe um rasto de registo.

Foram observados alguns tipos de ataques na natureza que não deixam qualquer rasto perceptível ou, pelo menos, qualquer evidência de actividade maliciosa. Alguns exemplos incluem:

  • DCShadow attack: Usando a funcionalidade DCShadow dentro da ferramenta hacker Mimikatz, tste ataque primeiro segue o caminho do registo de um controlador de domínio (DC) desonesto, modificando a partição de configuração do AD. Em seguida o agente da ameaça efectua alterações falsas e maliciosas (por exemplo, alterações nas associações de grupos de Domain Adminsou mesmo alterações menos óbvias, como a adição do SID do grupo Domain Admins ao no sidHistory de um utilizador normal comprometido). Esta técnica de ataque contorna o registo tradicional baseado no SIEM, uma vez que o DC desonesto não comunica as alterações. Im vez dissoalterações são injectadas directamente no fluxo de replicaçãodos controladores de domínio de produção.
  • Política de grupo calterações: Um ataque documentado envolvendo Ryuk resultou na introdução de alterações num ficheiro Group Pque propagaram a instalação do Ryuk para pontos de extremidade remotos dentro da organização vítima. Por defeito, os registos de eventos não incluem detalhes sobre o que foi alterado dentro de a Group Política de grupo. Assim, se um atacante efectuar uma alteração maliciosa (como no caso de Ryuk), tudo o que se vê é que uma conta com acesso à Política de Grupo fez uma alteração, o que provavelmente não disparará nenhum alarme.
  • Zerologon attack: Aapós uma prova-de-conceito, o código de exploração foi divulgado em público, um atacante com acesso de rede a um controlador de domínio foi capaz de enviar mensagens especiais de Netlogon especiais que consistem em de cadeias de zeros, forçando a senha do computador controlador de domínio a ser alterada para uma cadeia vazia. Assim, sem qualquer início de sessão-i.e., com zero logon-o atacante agora possuis o controlador de domínioe pode efectuar quaisquer alterações no AD, e pode utilizar este caminho para atacar outros sistemas da sua infra-estrutura. É iimprovável que as suas ferramentas de monitorização hoje em dia estejam atentas a inesperadas alterações inesperadas de password nos seus DCs.

 

É Não é por acaso que estes ataques não deixam rasto; é por design. Os criminosos estão a gastar imenso tempo a inspeccionar exactamente como funcionam os seus ambientes alvo e e procuram formas de contornar, ofuscar e contornar qualquer forma de detecçãode detecçãoo que inclui o registo.

Uma vez que estes tipos de ataques existem, a questão que se coloca é o que fazer em relação a eles-tanto de forma proactiva como reactiva?

 

Protecção contra alterações maliciosas do Active Directory

Existem três formas de proteger a sua organização contra alterações maliciosas do AD:

  1. Monitorizar o AD para malicioso calterações: TEste aspecto vai para além do SIEM e envolve um terceiro-solução de terceiros concebida para ver todas as alterações efectuadas no AD - independentemente de quem as efectua, em que CD, utilizando que solução, etc.-idealmente através de leitura e compreensão o tráfego de replicação dos próprios DCs. Este monitorização tem de incluir também alterações na Política de Grupo. Em muitos casos, as soluções concebidas para monitorizar as alterações no AD podem definir políticas de grupo específicas protegidos protegidos específicos a serem monitorizados para qualquer alteração-por exemplo, alterações na associação a Admins. do Domínio-para que sempre que que, a qualquer momento, esses protegidos são modificados, os alarmes disparam. A solução deve abranger as alterações às Políticas de Grupo, bem como a visibilidade da replicação.
  2. Procurar por DCShadow: O Mimikatz deixa alguns artefactos para trás e existem alguns sinais que indicam que o DCShadow foi utilizado na sua rede. A análise do AD para detectar estes sinais tem de fazer parte de uma análise regular da segurança do AD. Tenha em atenção que, assim que encontrar vestígios do Mimikatz DCShadow no seu ambiente, deve agir rapidamente, pois já estará a ser vítima de um ataque. Nessa altura, desejará também ter uma solução que lhe mostre quais as alterações efectuadas ao nível da replicação, que poderá analisar e, idealmente, reverter.
  3. Ser able para recover AD: A sua organização precisa a capacidade proactiva de recuperar todo e qualquer AD em caso de você determinar que o AD foi comprometido. Em alguns casos, pode pensar em termos de cópias de segurança e de uma estratégia de recuperação de desastres para recuperar o AD num cenário de ciberataque. Se precisar de facto de recuperar todo o seu serviço ADpotencialmente como a próxima vítima de um ataque de malwaretenha em atenção que um bom controlador de domínio de domínio não equivale a uma recuperação rápida e sem falhas do serviço AD. É necessário ter praticado todo o processo de recuperação periodicamente, seguindo os copiosa Floresta do Microsoft AD Recovery Guide. Mas é igualmente importante procurar soluções que possam reverter as alterações até ao nível do atributo ou mesmo reverter automaticamente as alterações para proteger os utilizadores.t objectos quando detectadas.

 

Direccionamento Directório Activo e modificá-lo para se adequar ao atacante é uma táctica comum utilizada pelos cibercriminosos actuais-de tal forma que o antigo modelo de observar a auditoria do AD auditoria do ADs para detectar alterações pode deixar de ser viável. As organizações que levam que levam a sério a segurança e a integridade do seu AD precisam de procurar formas adicionais de obter visibilidade de todas as alterações do AD e ter a capacidade de reverter ou recuperar quando necessário.