Windows Active Directory elleni gyakori támadások

A Windows tartományi környezet a támadók egyik gyakori célpontja a szervezetek elleni kibertámadások során. A kezdeti hozzáférést követően ─ miután például adathalász technikával sikerül kompromittálniuk egy felhasználói fiókot ─ a támadók célja az, hogy minél kiterjedtebb hozzáférést szerezzenek (lateral movement támadási szakasz). Ehhez a tartományvezérlők és a Windows domain címtár (Active Directory) igazi kincsesbányának számítanak, ugyanis szenzitív hitelesítési adatokhoz nyújthatnak hozzáférést.

E heti tippünkben néhány gyakori Active Directory elleni támadási módszert és az ellenük való védekezést mutatjuk be.

DCSync támadás

Az Active Directory tartományvezérlők replikálást alkalmaznak a változások szinkronizálásához [erről bővebb információ található a Microsoft oldalán]. A DCSync támadás lényege, hogy a támadó egy számára elérhető tartományvezérlőnél az MS-DRSR protokollt felhasználva a GetNCChanges kérés segítségével szinkronizálást triggerel, így tömeges szenzitív hitelesítési információkhoz férhet hozzá, amiket azután további támadásokhoz használhat fel (lásd pld.: Golden ticket támadás).

Egy ilyen támadás kivitelezhető olyan nyílt forráskódú tool-ok segítségével, mint a Mimikatz vagy az Empire, amennyiben a támadó már hozzáférést szerzett egy domain replikálási joggal rendelkező ─ tipikusan például Domain Admins, Enterprise Admins csoporttag ─ felhasználói fiókhoz.

Védekezés:

Mivel ez a támadás már megszerzett, magas szintű fiók segítségével, legitim AD folyamatokat használ ki, az ellene való védekezés részeként javasolt:

  • a domain replikálási jogosultsággal rendelkező fiókokhoz történő hozzáférés korlátozása;
  • a privilegizált fiókokon erős, egyedi jelszó alkalmazása, használatuk folyamatos monitorozása;
  • rendszeres időközönkénti auditálás;
  • a hitelesítési követelmények szigorítása.

DCShadow támadás

Hasonló a DCSync támadáshoz, a támadó itt is a natív ─ és nem letiltható ─ AD replikálási folyamatot használja fel, ebben az esetben a Mimikatz DCShadow parancsa által. A támadó egy ál-domain controller fiókot regisztrál, amivel replikálási kérést küldhet bármely más DC-nek, például egy új ─ általa létrehozott ─ fiókot adva hozzá a Domain Admins csoporthoz. [A támadásról bővebb információ például itt érhető el.] A támadó számára ez azért előnyös, mert bármilyen általa kívánt változtatást replikálhat, miközben tevékenysége rendkívül nehezen detektálható (legitim replikációs forgalomként mutatkozik).

Védekezés:

A védekezést itt is az alapszintű kiberhigiéniai jó gyakorlatokra alapozhatjuk:

  • Erős jelszavak alkalmazása a kiemelt jogosultságú felhasználói fiókokon.
  • A privilegizált fiókok legjobb irányelveknek megfelelő használata, folyamatos monitorozása
  • Domain admin jogosultságú fiókokat soha ne használjuk a kliensekre való bejelentkezésre!

 

Mindezek mellett SIEM rendszerek segítségével a támadás detektálásra is érdemes figyelmet fordítani:

  • DCShadow támadásra utalhat a Global Catalog server SPN és a Directory Replication Service (DRS) szolgáltatásazonosítók (SPN) hozzárendelése (majd tipikusan törlése) olyan számítógépekhez, amelyek egyébként nem töltenek be domain controller szerepet. Ezt az Event ID 4742 esemény monitorozásával észlelhetjük.
  • Másik árulkodó jel a DC szerverek létrehozásának és törlésének nyomai, amelyekre a DC létrehozásáról (Event ID 5137) és törléséről (Event ID 5141) eseménybejegyzések generálásával és monitorozásával figyelhetünk fel.

Password spray támadás

Egy „örökzöld” brute force-alapú technika, amikor a támadó a tipikus gyenge jelszavakat (például password123) próbálja végig az összes hozzáférhető AD-s fiókon. A támadó minél kevesebb jól ismert jelszót próbál ki, minél több fiókon, és akár huzamosabb időt vár a próbálkozások között, hogy elkerülje a fiók zárolását.

Védekezés:

  • Jelszóhasználati tudatosítás szervezeten belül, fókuszban a komplex jelszavak (javasoltan például a jelmondatok) alkalmazásával.

Pass-the-hash (PtH) támadás

Az Active Directory-ban a felhasználók védelmében a jelszavak nem szabad szöveges formában, hanem lenyomatként (hash) kerülnek tárolásra. A PtH támadás ezeknek a jelszó hasheknek a megszerzésére irányul, amelyeket – az authentikációs protokollok működését kihasználva – új session-ök indításával felhasználhatnak hitelesítésre, anélkül, hogy a tényleges jelszó ismeretére szükségük volna.

Védekezés:

  • Minél kevesebb admin jogosultságú fiók alkalmazása.
  • Egy adott felhasználó lehetőleg ne lehessen helyi admin több rendszeren, egyúttal normál felhasználók ne kapjanak hasonló jogosultságot munkaállomásukon.

Alkalmazzuk a PtH támadások elleni védelemként a fiókfelügyeleti korlátozást (UAC)
registry kulcs:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy
vagy csoportházirendként:
Computer Configuration > [Policies] > Administrative Templates > SCM: Pass the Hash Mitigations: Apply UAC restrictions to local accounts on network logons

  • Megerősített védelmű jumpszerverek alkalmazása az adminisztrátori hozzáféréshez.

Pass-the-ticket támadás

Ez a támadás a Kerberos-alapú hálózati hitelesítési protokollt veszi célba. A támadó megszerzett Kerberos-jegyeket használja fel ahhoz, hogy a felhasználói fiók jelszavának ismerete nélkül, hozzáférjen minél több tartományi erőforráshoz.

Védekezés:

  • Az informatikai környezet általános kiberhigiéniájának növelése.
  • Erős jelszavak alkalmazása az admin és szervízfiókokon.
  • Az OS Credential Dumping technikával szembeni ellenállóképesség növelése.

Golden ticket támadás

Ennek során a támadó a KRBTGT fiók (Active Directory Key Distribution Service Account) NTLM hash-ét próbálja megszerezni, amelynek birtokában tetszőleges Kerberos-jegyeket hozhat létre bármely kiválasztott tartományi erőforrás eléréséhez.

Védekezés:

  • A KRBTGT fiók jelszavának időközönkénti lecserélése.
  • A legkisebb jogosultság elv alkalmazása az AD fiókokon.

SPN-ek elleni „kerberoasting” támadás

Az SPN-ek egyedi szolgáltatásazonosítók, amelyeket a Kerberos is használ az egyes szolgáltatások fiókokhoz történő hozzárendelése során. A kerberoasting támadás alatt az SPN-hez kapcsolódó szolgáltatásfiók feltörésére tett kísérletet értjük.

Védekezés:

  • Extrém hosszú, erős jelszavak alkalmazása a szolgáltatásfiókokon.
  • A felesleges Kerberos-jegyekre vonatkozó létrehozási kérések, valamint a privilegizált fiókok felügyeletét megvalósító detektálási képesség fejlesztése.

Forrás: (bleepingcomputer.com)