Az Active Directory (AD) Group Policy Object (GPO) az egyik legfontosabb eszköz a Windows-alapú rendszerek központosított menedzsmentjében. Segítségével a rendszergazdák egységesen konfigurálhatják az operációs rendszereket, alkalmazásokat és felhasználói beállításokat a teljes tartományban. A szabályzatok végrehajtása azonban nem önmagában a GPO feladata: a valódi munkát a Client-Side Extension (CSE) nevű komponensek végzik a kliensoldalon.
Mi az a CSE és hogyan működik?
A CSE (Client-Side Extension) egy olyan dinamikusan betölthető könyvtár (DLL), amely felelős a csoportházirendek értelmezéséért és végrehajtásáért a kliens gépeken. Minden CSE rendelkezik egy Globálisan Egyedi Azonosítóval (GUID) és regisztrálva van a Windows Registry-ben. A megfelelő működéshez fontos, hogy a CSE helyesen legyen regisztrálva a kliens oldalon, valamint, hogy az összes, a GPO-hoz kapcsolódó attribútum is megfelelően konfigurálva legyen.
Támadási lehetőség – Egyedi, rosszindulatú CSE készítése
A legtöbb védekezési technika az ismert, beépített CSE-k (pl. ütemezett feladatok, fájlmásolások) monitorozására épül. Azonban egy támadó jelentős előnyre tehet szert, ha egyedi, még ismeretlen GUID-dal rendelkező CSE-t hoz létre – ezzel jelentősen növelhető a rejtőzködés esélye. Miután az egyedi CSE regisztrálva és a GPO-hoz társításra került, az minden egyes csoportházirend frissítéskor lefut SYSTEM jogosultsággal – ez kb. 90 percenként a klienseken, és 5 percenként a domain controllereken.
A DLL disztribúciójára több módszer is létezik:
- SYSVOL megosztáson keresztül
- Group Policy Preferences segítségével fájlmásolásként
Nyomok, amiket a védelem felismerhet:
| Észlelési pont | Esemény ID | Mit figyeljünk |
| SYSVOL írás | 5145 | DLL másolat vagy GPO módosítás |
| Folyamatindítás | 4688 | regsvr32, cmd[.]exe, gyanús script-ek |
| GPO attribútum változás | 5136 | gPCMachineExtensionNames módosítása |
Az egyedi CSE-k által jelentett fenyegetések különösen veszélyesek, mivel natív Windows mechanizmust használnak és SYSTEM jogosultsággal futnak, illetve rejtve maradhatnak a hagyományos AV/EDR rendszerek elől.
Az Active Directory GPO rendszerének egyik kevéssé ismert, ám komoly veszélyforrást jelentő aspektusa az egyedi Client-Side Extension használata. Ezek alkalmazásával a támadók tartós, nehezen észlelhető jelenlétet tudnak kialakítani – mindezt a rendszer saját funkcióinak kihasználásával. A védekezés kulcsa a megelőzés: proaktív monitoring, eseményalapú riasztások, valamint a GPO változások észlelése és auditálása.