O ataque DCShadow explora um interrutor no utilitário Mimikatz que permite que utilizadores privilegiados injectem alterações maliciosas no Active Directory (AD) sem serem detectados. O DCShadow tira partido da replicação nativa do AD para evitar o envio de eventos para os registos de segurança do AD.
Metodologia DCShadow:
- O DCShadow permite que os atacantes (com direitos de administrador) criem um Controlador de Domínio (DC) falso que pode distribuir rapidamente as alterações aos DCs legítimos utilizando mecanismos de replicação normais.
- Os utilizadores privilegiados criam um objeto DC temporário no contexto de nomeação da configuração e mantêm-no lá apenas o tempo suficiente (menos de 30 segundos) para enviar as alterações do AD para um DC de leitura e escrita existente. A partir daí, a replicação é acionada pelo DC legítimo "confiável"
- Agora, como estas alterações foram originadas no DC falso, os registos de eventos de segurança não têm qualquer registo do que aconteceu - os SIEMs estão cegos para o ataque iminente. Em última análise, os movimentos do atacante não são controlados, deixando para trás uma ameaça persistente.
Assista a esta apresentação em vídeo para saber como se defender contra esta ameaça emergente. Apresentado por um Microsoft MVP com 14 anos de experiência em Cloud e Datacenter, Darren Mar-Elia tem uma vasta experiência em Gestão de Identidades e Acessos e foi o CTO e fundador da SDM software, um fornecedor de soluções de gestão de sistemas Microsoft.