Darren Mar-Elia | VP de Produtos

O DCShadow é uma técnica facilmente disponível que permite a um atacante estabelecer um acesso privilegiado persistente no Microsoft Active Directory (AD).

Especificamente, o DCShadow permite que um atacante com acesso privilegiado crie e edite objectos arbitrários no AD sem que ninguém saiba. Isto permite que o atacante crie backdoors em todo o AD que não podem ser detectados, mesmo que o acesso privilegiado original o seja.

Muito já foi escrito sobre o DCShadow, mas a maioria das organizações ainda não consegue se defender contra ele.

Embora isso seja uma grande preocupação, não deve ser uma surpresa completa, já que o DCShadow foi projetado especificamente para contornar as medidas de segurança existentes. Então, o que é que se pode fazer?

O que é o DCShadow

O DCShadow é um recurso do utilitário de código aberto Mimikatz (disponível para download aqui). O Mimikatz é a principal ferramenta de pós-exploração para ataques baseados em credenciais do Windows e tem sido utilizado em muitos dos ciberataques mais destrutivos da actualidade, incluindo LockerGoga, NotPetya, WannaCry, SamSam e, sem dúvida, outros que estão para vir.

Como funciona o DCShadow

O DCShadow contorna as medidas de segurança existentes de várias maneiras diferentes:

1. Explora o mecanismo de replicação normal no AD

O DCShadow não está relacionado com uma vulnerabilidade do Windows, pelo que não existe um patch de segurança que possa aplicar para eliminar a sua exposição. Também não está relacionado com a configuração do AD, pelo que não há nenhuma definição que possa alterar para colmatar uma lacuna.

2. Evita a deteção contornando o registo de eventos de segurança do Windows

O DCShadow permite a qualquer servidor Windows fazer-se passar por um controlador de domínio (DC) e injectar alterações directamente no fluxo de replicação do AD. Essas alterações não são registadas nos registos de eventos de segurança e não existe nenhuma definição de auditoria que possa ser ajustada para alterar isso. Como resultado, os sistemas SIEM e a maioria das ferramentas de controlo de alterações do AD não vêem - e não o podem alertar para - as alterações efectuadas pelo atacante para manter o acesso privilegiado (como criar um novo utilizador e torná-lo membro do grupo Admins. do Domínio).

3. Permite a um atacante injetar qualquer alteração no AD

Por exemplo, um atacante pode adicionar o SID de um administrador de empresa ou de domínio ao Histórico de SID de uma conta de utilizador normal e obter acesso privilegiado através dessa conta. Assim, mesmo que restrinja as alterações aos grupos Admins. da Empresa e Admins. do Domínio, um atacante pode obter direitos de administrador da empresa ou do domínio. E, se monitorizar as alterações a grupos de segurança sensíveis, não apanhará um atacante com acesso privilegiado através do Histórico de SID.

O DCShadow é também incrivelmente eficiente: um atacante só tem de utilizar o seu acesso privilegiado original uma vez e pode criar qualquer número de backdoors indetectáveis em apenas um ou dois segundos.

Numa consola Mimikatz, o atacante coloca em fila de espera todos os backdoors que pretende criar no AD (novas contas de utilizador, associações a grupos, histórico de SID, etc.):

Blogue do DCShadow - Adicionar o SID do administrador do domínio

Neste exemplo, o atacante colocou em fila de espera apenas uma alteração (adicionar o SID de um administrador de domínio ao histórico de SID de um utilizador normal), mas o atacante poderia facilmente colocar em fila de espera 15, 20 ou mais alterações.

Numa segunda consola Mimikatz, o atacante "empurra" as alterações para o fluxo de replicação do AD:

DCShadow Blog - Controlador de domínio falso

A injecção de alterações ocorre em apenas um ou dois segundos, incluindo o tempo necessário para registar e anular o registo do falso CD.

O que pode fazer em relação ao DCShadow

Na parte 2 desta publicação do blogue, falarei sobre as medidas que pode tomar para se defender contra o DCShadow.

Como deve calcular, uma forma de o fazer é monitorizar as alterações no fluxo de replicação do AD. Se quiser dar uma espreitadela a essa abordagem - ou uma demonstração de um ataque DCShadow - pode ver um pequeno vídeo (8 minutos) que gravei recentemente. O vídeo está disponível aqui.