Como nunca antes, Directório Activo (AD) está a ser alvo de ataquedos atacantes. Neste blogue, vamos examinar como os ataques de ransomware estão a abusar do AD e como as empresas podem evoluir as suas estratégias defensivas para se manterem à frente dos atacantes.
Primeiro, uma nota rápida sobre a recente vulnerabilidade de escalonamento de privilégios apelidada de Zerologonque permite a um atacante não autenticado com acesso à rede a um controlador de domínio comprometer totalmente os serviços de identidade do Active Directory. Classificado como 10 em 10 em termos de gravidade pelo Common Vulnerability Scoring System (CVSS), o Zerologon suscitou sérias preocupações relativamente à segurança do AD. A isso, eu digo que já não era sem tempo. O Zerologon é apenas a mais recente de muitas novas ameaças que visam o AD. Está na altura de reexaminar a segurança do seu AD.
Ataques de ransomware que exploram o Active Directory
O negócio do ransomware está a crescer.
No ano passado, os ataques de ransomware direccionados contra agências governamentais, estabelecimentos de ensino e prestadores de cuidados de saúde aumentaram a parada para os responsáveis pela protecção das organizações. Os ataques de ransomware não só prejudicam as empresas, como também põem em risco a saúde, a segurança e a vida das pessoas. Além disso, as vítimas que facilitam negociações com extorsionários de ransomware podem enfrentar multas pesadas do governo federal dos EUA.
Num passado não muito distante, o ransomware era sobretudo uma ameaça para os consumidores. Mas hoje em dia, os agentes de ameaças de ransomware lançam campanhas sofisticadas que lembram os ataques ao estilo APT, em que os objectivos de manter a persistência, o roubo de dados e a extorsão existem juntamente com os esforços para encriptar ficheiros.
Em vez dos ataques indiscriminados e automatizados historicamente associados ao ransomware, os atacantes modernos realizam campanhas de ransomware operadas por humanos que utilizam ferramentas como BloodHound, Mimikatz e PowerSploit para recolher informações úteis sobre o ambiente do Active Directory, efectuar o reconhecimento, roubar credenciais e penetrar mais profundamente na rede.
Tomemos, por exemplo, o ransomware Ryuk, que a comunidade de segurança associou a várias campanhas de ataque no ano passado. Em muitos desses ataques direccionados, o Ryuk foi o payload final, mas o ataque começou com o TrickBot ou o Emotet. Essas peças de malware, por sua vez, descarregavam ferramentas como o Cobalt Strike e o PowerShell Empire. Os agentes da ameaça começavam então a fazer o reconhecimento e a roubar credenciais, utilizando o componente do BloodHound chamado SharpHound para recolher informações sobre o ambiente do Active Directory e mapear possíveis caminhos de ataque. O Ryuk é um ataque com uma reviravolta perturbadora para o AD: o ransomware é enviado para utilizadores insuspeitos através de Objectos de Política de Grupo (GPO) do AD. Num incidente, relatado pela publicação de segurança Dark Reading, os atacantes invadiram os servidores AD utilizando o protocolo de ambiente de trabalho remoto (RDP) e inseriram o Ryuk no script de início de sessão do AD, infectando todos os que iniciaram sessão nesse servidor AD.
Infelizmente, este tipo de abuso do Active Directory não é exclusivo do Ryuk. Os agentes maliciosos que utilizam o ransomware Maze seguem um padrão semelhante, implantando o ransomware após o comprometimento e perpetrando o roubo de dados. Recentemente, o ransomware foi associado a um ataque ao sistema escolar público de Fairfax County, na Virgínia. Numa análise do Maze de Maio de 2020, os investigadores da FireEye observaram que os e-mails maliciosos e o RDP foram observados entre os métodos iniciais de comprometimento, e os atacantes procuraram obter acesso a vários domínios e contas de sistemas locais. Para aumentar os privilégios e identificar caminhos de ataque, os atacantes utilizaram frequentemente as ferramentas de pirataria de código aberto mencionadas anteriormente para invadir o Active Directory. Após a exfiltração de dados, o ransomware foi implementado de várias formas, incluindo um incidente em que o atacante utilizou uma conta de administrador de domínio para iniciar sessão e infectar vários sistemas.
Noutro exemplo de como o Active Directory está a ser visado, os investigadores de segurança destacaram recentemente uma estirpe de ransomware denominada SaveTheQueen que tem sido observada utilizando a partilha SYSVOL nos controladores de domínio AD para se propagar por todo o ambiente. O acesso à partilha SYSVOL - que é utilizada para fornecer scripts de política e de início de sessão aos membros do domínio - requer normalmente privilégios elevados e indica um compromisso grave do AD.
Reduzindo o risco para o Active Directory
O elevado risco que o ransomware representa para o Active Directory significa que as organizações precisam de aumentar o seu foco na segurança e recuperação do AD. Após o comprometimento, o Zerologon é exatamente o tipo de vulnerabilidade que os invasores podem usar para comprometer o AD e aproveitá-lo para espalhar malware. O passo imediato é reduzir a superfície de ataque. A implementação de uma segmentação de rede eficaz, de camadas de administração e do princípio do menor privilégio para restringir o acesso aumenta a dificuldade para os intrusos. Ao adoptarem as melhores práticas e corrigirem os sistemas não corrigidos, as empresas podem colocar fora do alcance dos atacantes os frutos mais fáceis de apanhar.
Examinando os ataques acima, há algumas medidas adicionais que as organizações podem tomar. A mudança de táctica dos operadores de ransomware é uma chamada de atenção para a importância da defesa em profundidade. As capacidades antimalware nos terminais continuam a ser vitais para travar as infecções. Além disso, a presença não autorizada de ferramentas de pen-testing legítimas, como o BloodHound, deve accionar um alerta de que algo está errado, tal como um número substancial de tentativas de início de sessão falhadas envolvendo o Ambiente de Trabalho Remoto.
Reforçar as defesas também significa tornar mais difícil o abuso do Active Directory, o que exige o monitoramento do AD em busca de alterações não autorizadas. Na Semperis, nossas soluções fornecem monitoramento contínuo e avaliação de vulnerabilidades para o AD, bem como a capacidade de reverter quaisquer alterações não autorizadas sem o envolvimento do administrador. Por exemplo, se um usuário for adicionado de forma suspeita a um grupo privilegiado, essa alteração será detectada e automaticamente desfeita para evitar possíveis danos. Este tipo de monitorização contínua deve estender-se aos registos de eventos porque muitos atacantes limpam o registo de eventos de segurança para remover vestígios da sua actividade.
Do ponto de vista da recuperação do Active Directory, as organizações precisam de ajustar os seus planos de resposta para incluir preparações para ataques de ransomware. Nesse cenário, qualquer sistema ligado à rede pode ser afectado. Para se prepararem, as cópias de segurança devem ser guardadas num servidor não ligado ao domínio e fora do local. Surpreendentemente, muitas organizações nem sequer testaram os seus planos de recuperação de desastres cibernéticos do AD. De facto, de acordo com o nosso inquérito de 2020 aos líderes de segurança centrados na identidade, 21% dos inquiridos afirmaram não ter qualquer plano. Essa descoberta é alarmante, dado o aumento dos ataques de ransomware em rápida evolução e o impacto generalizado de uma interrupção do AD. Uma má preparação aumentará o tempo de inactividade e os custos associados a um ataque de ransomware.
É impossível impedir todos os ataques, especialmente porque as forças de trabalho remotas expandem rapidamente a superfície de ataque. Mas pode controlar a sua capacidade de resistência. O seu negócio depende disso.