Egyedi Active Directory bővítmények

Az Active Directory (AD) Group Policy Object (GPO) az egyik legfontosabb eszköz a Windows-alapú rendszerek központosított menedzsmentjében. Segítségével a rendszergazdák egységesen konfigurálhatják az operációs rendszereket, alkalmazásokat és felhasználói beállításokat a teljes tartományban. A szabályzatok végrehajtása azonban nem önmagában a GPO feladata: a valódi munkát a Client-Side Extension (CSE) nevű komponensek végzik a kliensoldalon.

Mi az a CSE és hogyan működik?

A CSE (Client-Side Extension) egy olyan dinamikusan betölthető könyvtár (DLL), amely felelős a csoportházirendek értelmezéséért és végrehajtásáért a kliens gépeken. Minden CSE rendelkezik egy Globálisan Egyedi Azonosítóval (GUID) és regisztrálva van a Windows Registry-ben. A megfelelő működéshez fontos, hogy a CSE helyesen legyen regisztrálva a kliens oldalon, valamint, hogy az összes, a GPO-hoz kapcsolódó attribútum is megfelelően konfigurálva legyen.

Támadási lehetőség – Egyedi, rosszindulatú CSE készítése

A legtöbb védekezési technika az ismert, beépített CSE-k (pl. ütemezett feladatok, fájlmásolások) monitorozására épül. Azonban egy támadó jelentős előnyre tehet szert, ha egyedi, még ismeretlen GUID-dal rendelkező CSE-t hoz létre – ezzel jelentősen növelhető a rejtőzködés esélye. Miután az egyedi CSE regisztrálva és a GPO-hoz társításra került, az minden egyes csoportházirend frissítéskor lefut SYSTEM jogosultsággal – ez kb. 90 percenként a klienseken, és 5 percenként a domain controllereken.

A DLL disztribúciójára több módszer is létezik:

  • SYSVOL megosztáson keresztül
  • Group Policy Preferences segítségével fájlmásolásként

Nyomok, amiket a védelem felismerhet:

Észlelési pont Esemény ID Mit figyeljünk
SYSVOL írás 5145 DLL másolat vagy GPO módosítás
Folyamatindítás 4688 regsvr32, cmd[.]exe, gyanús script-ek
GPO attribútum változás 5136 gPCMachineExtensionNames módosítása

Az egyedi CSE-k által jelentett fenyegetések különösen veszélyesek, mivel natív Windows mechanizmust használnak és SYSTEM jogosultsággal futnak, illetve rejtve maradhatnak a hagyományos AV/EDR rendszerek elől.

Az Active Directory GPO rendszerének egyik kevéssé ismert, ám komoly veszélyforrást jelentő aspektusa az egyedi Client-Side Extension használata. Ezek alkalmazásával a támadók tartós, nehezen észlelhető jelenlétet tudnak kialakítani – mindezt a rendszer saját funkcióinak kihasználásával. A védekezés kulcsa a megelőzés: proaktív monitoring, eseményalapú riasztások, valamint a GPO változások észlelése és auditálása.

(gbhackers)