O scanning do Service Principal Name (SPN) é uma técnica de reconhecimento que os atacantes utilizam em ambientes Active Directory. Este método permite que os atacantes descubram serviços valiosos e contas associadas, que podem ser alvos potenciais para outros ataques, como o Kerberoasting.
Leitura relacionada: Proteger o Active Directory contra o Kerberoasting
O que é o rastreio SPN?
Compreender e gerir corretamente os SPNs em ambientes Active Directory é essencial para garantir uma autenticação Kerberos segura e sem falhas para vários serviços na rede.
Nos contextos do Active Directory, os SPNs são identificadores únicos atribuídos a instâncias de serviço. Os SPNs são utilizados na autenticação Kerberos para associar uma instância de serviço a uma conta de início de sessão de serviço. Esta associação é fundamental para que o Kerberos funcione corretamente num ambiente do Active Directory.
- Quando um cliente pretende aceder a um serviço num servidor, solicita um bilhete de serviço ao Centro de Distribuição de Chaves (KDC), parte de cada controlador de domínio do Active Directory.
- O cliente especifica o SPN do serviço a que pretende aceder. O SPN identifica de forma exclusiva esta instância de serviço no domínio.
- O Active Directory utiliza o SPN para localizar a conta de serviço associada e gera um bilhete encriptado com as credenciais dessa conta.
- O cliente apresenta então este bilhete ao serviço, que o pode desencriptar utilizando as suas próprias credenciais, assegurando assim a autenticação mútua.
A pesquisa de SPN envolve a enumeração dos SPNs registados num domínio do Active Directory. Os atacantes pesquisam os SPNs para encontrar contas de serviço que possam ter privilégios elevados.
O rastreio SPN é frequentemente furtivo. A técnica foge aos métodos de deteção padrão utilizando a funcionalidade legítima do Active Directory e do Kerberos. E, ao contrário de outros ataques, o scanning SPN não compromete imediatamente a conta de serviço. Em vez disso, prepara o terreno para ataques subsequentes.
Como é que a verificação SPN funciona?
Certos cenários podem tornar a sua organização particularmente vulnerável ao scanning SPN. Compreender estas vulnerabilidades é fundamental para os profissionais de TI e de cibersegurança que pretendem reforçar as suas defesas.
Contas de serviço com privilégios elevados
As contas de serviço que têm privilégios elevados ou administram serviços críticos são os principais alvos dos atacantes que utilizam a verificação de SPN. O comprometimento destas contas pode dar aos agentes de ameaças um acesso alargado à rede. As contas de utilizador com direitos administrativos para serviços cruciais também estão em risco. Os atacantes podem utilizar estas contas para efetuar operações sensíveis ou para aceder a dados críticos.
Contas mal protegidas e práticas de palavras-passe pouco seguras
As contas com palavras-passe simples ou predefinidas são altamente vulneráveis. A verificação SPN pode levar ao roubo de credenciais se estas palavras-passe forem facilmente decifráveis.
SPNs mal configurados ou excessivos
Os SPNs excessivos ou incorretamente configurados aumentam a superfície de ataque. Os atacantes podem utilizar estes SPNs para identificar potenciais alvos. Além disso, a má gestão dos SPNs, como a não eliminação de SPNs para serviços desactivados, cria vulnerabilidades desnecessárias.
Sistemas com dados sensíveis ou serviços críticos
Os ambientes ricos em dados com sistemas que alojam dados sensíveis (por exemplo, informações pessoais, dados financeiros) correm um risco maior se as suas contas de serviço associadas forem comprometidas. Os serviços de infra-estruturas críticas que são cruciais para as operações de rede, como os controladores de domínio ou os servidores de bases de dados, são particularmente vulneráveis, uma vez que o seu comprometimento pode ter um impacto generalizado.
Falta de controlo e auditoria sólidos
As redes sem soluções eficazes de monitorização e auditoria podem não conseguir detetar actividades suspeitas relacionadas com a exploração de SPN. Além disso, os ambientes sem capacidades avançadas de deteção de anomalias têm menos probabilidades de identificar padrões de consulta invulgares indicativos da técnica.
Sistemas antigos e práticas de segurança desactualizadas
Os sistemas antigos que não são regularmente actualizados ou corrigidos são particularmente susceptíveis de serem explorados quando um atacante obtém o acesso inicial. A dependência de protocolos e configurações de segurança desactualizados pode deixar os sistemas vulneráveis ao roubo de credenciais e ao movimento lateral.
Falta de sensibilização e formação em matéria de segurança
O pessoal que desconhece as melhores práticas de segurança, especialmente no que diz respeito à segurança das palavras-passe e às ameaças de phishing, pode aumentar inadvertidamente a vulnerabilidade ao rastreio de SPN e aos ataques subsequentes.
Processo de ataque de scanning SPN
Então, como é que os agentes de ameaças utilizam o scanning SPN para atacar uma organização? Os passos seguintes são típicos neste cenário:
- Reconhecimento inicial e enumeração de SPN. O principal objetivo do atacante é identificar contas de serviço, especialmente as que têm privilégios elevados. Os atacantes utilizam frequentemente ferramentas integradas do Windows como setspn, cmdlets do PowerShell (Get-ADServiceAccount, Get-ADUser) ou ferramentas de terceiros especificamente concebidas para consultar o Active Directory para enumeração de SPN. Estas consultas devolvem uma lista de SPNs associados a vários serviços no domínio.
- Identificação do alvo. A partir dos SPNs enumerados, o atacante identifica as contas de serviço, procurando particularmente contas que possam estar mal protegidas, que tenham acesso a domínios de alto nível ou que possam ter palavras-passe fracas. Certos tipos de serviços SPN (como MSSQLSvc para servidores SQL) podem ser mais lucrativos, uma vez que podem ser executados em servidores críticos.
- Ataque e escalonamento. Agora que o atacante tem informações sobre SPNs no Active Directory, ele pode usar esse conhecimento para atacar sua rede:
- Kerberoasting. Com os SPNs identificados, o atacante pode então efetuar o Kerberoasting, que envolve o pedido de bilhetes do Ticket Granting Service (TGS) ao KDC para esses serviços. Estes bilhetes TGS são encriptados com a palavra-passe da conta de serviço. O atacante extrai estes bilhetes da memória da sua própria máquina ou de um anfitrião comprometido.
- Ataques de força bruta offline. O atacante pode utilizar técnicas de força bruta offline para decifrar a parte encriptada dos bilhetes TGS. Ferramentas como John the Ripper ou Hashcat são normalmente utilizadas para este fim. Se for bem sucedido, este ataque revela a palavra-passe da conta de serviço em texto simples, dando ao atacante acesso à conta de serviço.
- Escalonamento. Com controlo sobre uma conta de serviço, o atacante pode mover-se lateralmente dentro da rede, acedendo a outros sistemas e serviços. Se a conta comprometida tiver privilégios administrativos, isso pode levar a um comprometimento completo do domínio.
Que riscos estão associados ao rastreio de SPN?
Os riscos associados à verificação de SPN em ambientes Active Directory são significativos e multifacetados.
Exposição de credenciais e acesso a dados
O rastreio SPN conduz frequentemente à descoberta de contas de serviço, algumas das quais podem ter privilégios elevados. Se estas contas forem comprometidas (por exemplo, através de ataques Kerberoasting subsequentes), os atacantes obtêm acesso a serviços e dados críticos. As contas de serviço também têm frequentemente acesso a dados sensíveis. Um atacante com estas credenciais pode aceder a informações confidenciais, levando a violações de dados.
Reconhecimento interno e mapeamento de redes
Ao enumerar os SPNs, os atacantes obtêm informações valiosas sobre a estrutura da rede, incluindo funções de servidor e serviços em execução no domínio. Este conhecimento facilita os ataques direccionados. Os atacantes podem identificar activos de elevado valor, como controladores de domínio, servidores de bases de dados ou servidores de aplicações, que podem ser alvos principais em ataques futuros.
Movimento lateral e escalada de privilégios
As contas de serviço comprometidas, especialmente as que têm um acesso alargado, permitem que os atacantes se desloquem lateralmente pela rede, acedendo a vários sistemas. Se uma conta de serviço tiver privilégios administrativos, os atacantes podem potencialmente aumentar o seu acesso para obter controlo sobre partes significativas da rede, incluindo controladores de domínio.
Persistência e acesso contínuo
Com credenciais válidas, os atacantes podem estabelecer uma presença a longo prazo na rede, tornando difícil a sua deteção e remoção. E as contas de serviço comprometidas podem ser utilizadas para criar backdoors para acesso ininterrupto, mesmo que o ponto de entrada inicial esteja protegido.
Contornar as medidas de segurança tradicionais
A exploração SPN e os ataques subsequentes, como o Kerberoasting, tiram frequentemente partido de funcionalidades legítimas do Active Directory e do Kerberos, tornando-os mais difíceis de detetar com as ferramentas de segurança tradicionais. As contas de serviço corretamente configuradas e os bilhetes Kerberos são padrão nos ambientes Active Directory. A sua utilização abusiva pode contornar as medidas de segurança concebidas para detetar actividades maliciosas mais evidentes.
Perturbação das actividades
O comprometimento de contas de serviços críticos pode perturbar as operações, conduzindo a períodos de inatividade e perdas financeiras. As violações de dados ou interrupções visíveis podem também prejudicar a reputação de uma organização e minar a confiança dos clientes.
Como é que se pode detetar ataques de scanning SPN?
A deteção de ataques de scanning SPN em ambientes Active Directory requer uma combinação de monitorização avançada, configuração adequada e conhecimento de actividades suspeitas.
No centro desta abordagem está a implementação de auditoria avançada e monitorização de registos. As organizações devem configurar o Active Directory e a auditoria do servidor para controlar meticulosamente os pedidos de acesso a contas de serviço e as consultas SPN, ao mesmo tempo que analisam regularmente os registos de segurança para detetar padrões invulgares, como um elevado volume de consultas SPN de um único utilizador ou endereço IP.
Além disso, é crucial utilizar sistemas de deteção de anomalias e análise do tráfego de rede. As ferramentas de segurança que podem detetar anomalias no comportamento da rede, combinadas com soluções de análise comportamental, podem alertar os administradores para padrões invulgares que podem indicar actividades de reconhecimento. As ferramentas de monitorização de rede que analisam o tráfego de e para os controladores de domínio podem ser particularmente reveladoras, uma vez que o tráfego excessivo de LDAP ou Kerberos pode significar tentativas de exploração de SPN ou Kerberoasting.
A monitorização de contas de serviço para utilização não rotineira e os serviços de auditoria para configurações SPN correctas podem revelar sinais de alerta. Simultaneamente, as ferramentas de deteção e resposta de endpoints (EDR) que monitorizam os endpoints quanto à utilização de ferramentas de pirataria informática ou scripts associados à verificação de SPN, integradas com informações actualizadas sobre ameaças, podem oferecer informações valiosas.
Por último, as auditorias regulares e as verificações de conformidade garantem que as redes cumprem as normas de segurança e as melhores práticas, reduzindo assim os riscos associados ao rastreio SPN.
Como é que se pode mitigar um ataque de scanning SPN?
A atenuação dos ataques de exploração SPN em ambientes Active Directory envolve uma combinação de planeamento estratégico, práticas de segurança robustas e monitorização proactiva. A mitigação eficaz não só reduz o risco de tais ataques de reconhecimento, mas também fortalece a postura geral de segurança contra uma variedade de ameaças.
Implementar políticas de segurança fortes para contas de serviço
Garantir que as contas de serviço têm palavras-passe fortes e complexas e são sujeitas a alterações regulares de palavra-passe é fundamental para mitigar a verificação de SPN. A aplicação de políticas de complexidade de senhas diminui a probabilidade de comprometimento de credenciais.
Além disso, às contas de serviço devem ser concedidas apenas as permissões necessárias para as suas funções específicas, respeitando o princípio do menor privilégio. Isto reduz os danos potenciais no caso de uma conta ser comprometida.
Efetuar auditorias regulares e eliminar os SPN
A realização de auditorias regulares aos SPNs no ambiente do Active Directory pode ajudá-lo a identificar e remover SPNs desnecessários ou desactualizados, reduzindo assim a superfície de ataque. A gestão adequada de SPNs inclui a eliminação de SPNs para serviços desactivados e a garantia de que os SPNs estão corretamente configurados e associados às contas de serviço adequadas.
Melhorar a monitorização e a deteção de anomalias
É crucial implementar soluções de monitorização avançadas que possam detetar padrões invulgares de consultas SPN. Configure alertas para actividades anómalas, como um elevado volume de pedidos de pesquisa de SPN, que podem indicar esforços de reconhecimento. Integrar ferramentas de deteção de anomalias na infraestrutura de segurança para fornecer sinais de alerta precoce de potenciais actividades de exploração de SPN.
Proteger pontos de extremidade e redes
Utilize soluções EDR e empregue medidas robustas de segurança de rede para reduzir ainda mais o risco. As soluções EDR podem detetar e responder a indicadores de comprometimento nos pontos terminais. As medidas de segurança da rede, incluindo firewalls e sistemas de deteção de intrusão, podem monitorizar e controlar o tráfego para servidores sensíveis, em especial controladores de domínio.
Realizar acções de formação e sensibilização
É vital educar a equipa de TI e os utilizadores finais sobre a natureza dos ataques de scanning SPN e os seus indicadores. Sessões de formação regulares e actualizações sobre as mais recentes ciberameaças, incluindo o scanning SPN, e a promoção de uma cultura de sensibilização para a segurança em toda a organização são passos fundamentais para promover uma postura de segurança robusta e capacitar o pessoal para reconhecer e responder eficazmente a essas ameaças.
Para os administradores do Active Directory que pretendem contrariar eficazmente os ataques de scanning SPN, é essencial uma abordagem abrangente e proactiva. A chave para essa estratégia é o aprimoramento da segurança da conta de serviço.
Esta tarefa envolve a imposição de palavras-passe fortes e complexas e a aplicação rigorosa do princípio do menor privilégio para limitar as permissões de conta apenas ao necessário para as funções operacionais. Mais uma vez, a realização de auditorias regulares aos SPNs no Active Directory é crucial. Isto inclui a revisão e remoção de SPNs desactualizados ou desnecessários e a verificação de que os SPNs existentes estão corretamente configurados e ligados às contas de serviço adequadas.
Na frente técnica, é vital ativar a auditoria e o registo de segurança avançados. Os administradores devem configurar políticas para registar e monitorizar meticulosamente os pedidos de acesso a contas de serviço e consultas SPN. Devem analisar regularmente estes registos para detetar sinais de actividades invulgares, como picos nos volumes de consultas SPN.
A implementação de ferramentas de deteção de anomalias e de monitorização da rede reforçará ainda mais as defesas, permitindo a deteção precoce de padrões de comportamento anómalos na rede que possam indicar esforços de reconhecimento. Simultaneamente, a implementação de soluções EDR é crucial, especialmente para monitorizar sinais de ferramentas de ataque ou execuções invulgares de scripts.
Outras etapas cruciais incluem o aproveitamento de recursos avançados de segurança do Active Directory, como o grupo Protected Users e o Credential Guard, e a garantia de atualizações e patches regulares do sistema. Por fim, desenvolver e testar regularmente um plano de resposta a incidentes bem definido para potenciais violações de segurança, incluindo as medidas a tomar em caso de deteção de scanning SPN, garante a preparação e uma resposta rápida e eficaz a incidentes.
Essencialmente, os administradores do Active Directory têm de adotar uma estratégia de defesa em várias camadas, combinando uma forte gestão de contas de serviço, sistemas sofisticados de monitorização e deteção, programas regulares de formação e sensibilização e a utilização de funcionalidades avançadas de segurança do AD, para atenuar eficazmente os riscos associados aos ataques de scanning SPN.
Proteger o Active Directory da verificação de SPN
A verificação de SPN é uma técnica de reconhecimento fundamental no arsenal dos ciberataques. Este sofisticado método de reconhecimento, utilizado principalmente para identificar alvos de elevado valor em ambientes Active Directory, tira partido de funcionalidades legítimas do Active Directory e do Kerberos para fins maliciosos, servindo frequentemente como precursor de ataques mais agressivos. Compreender, detetar e mitigar este ataque constitui uma parte crucial de uma postura de cibersegurança robusta para qualquer organização que dependa do Active Directory.