A Windows tartományi környezet a támadók egyik gyakori célpontja a szervezetek elleni kibertámadások során. A kezdeti hozzáférést követően ─ miután például adathalász technikával sikerül kompromittálniuk egy felhasználói fiókot ─ a támadók célja az, hogy minél kiterjedtebb hozzáférést szerezzenek (lateral movement támadási szakasz). Ehhez a tartományvezérlők és a Windows domain címtár (Active Directory) igazi kincsesbányának számítanak, ugyanis szenzitív hitelesítési adatokhoz nyújthatnak hozzáférést.
E heti tippünkben néhány gyakori Active Directory elleni támadási módszert és az ellenük való védekezést mutatjuk be.
DCSync támadás
Az Active Directory tartományvezérlők replikálást alkalmaznak a változások szinkronizálásához [erről bővebb információ található a Microsoft oldalán]. A DCSync támadás lényege, hogy a támadó egy számára elérhető tartományvezérlőnél az MS-DRSR protokollt felhasználva a GetNCChanges kérés segítségével szinkronizálást triggerel, így tömeges szenzitív hitelesítési információkhoz férhet hozzá, amiket azután további támadásokhoz használhat fel (lásd pld.: Golden ticket támadás).
Egy ilyen támadás kivitelezhető olyan nyílt forráskódú tool-ok segítségével, mint a Mimikatz vagy az Empire, amennyiben a támadó már hozzáférést szerzett egy domain replikálási joggal rendelkező ─ tipikusan például Domain Admins, Enterprise Admins csoporttag ─ felhasználói fiókhoz.
Védekezés:
Mivel ez a támadás már megszerzett, magas szintű fiók segítségével, legitim AD folyamatokat használ ki, az ellene való védekezés részeként javasolt:
- a domain replikálási jogosultsággal rendelkező fiókokhoz történő hozzáférés korlátozása;
- a privilegizált fiókokon erős, egyedi jelszó alkalmazása, használatuk folyamatos monitorozása;
- rendszeres időközönkénti auditálás;
- a hitelesítési követelmények szigorítása.
DCShadow támadás
Hasonló a DCSync támadáshoz, a támadó itt is a natív ─ és nem letiltható ─ AD replikálási folyamatot használja fel, ebben az esetben a Mimikatz DCShadow parancsa által. A támadó egy ál-domain controller fiókot regisztrál, amivel replikálási kérést küldhet bármely más DC-nek, például egy új ─ általa létrehozott ─ fiókot adva hozzá a Domain Admins csoporthoz. [A támadásról bővebb információ például itt érhető el.] A támadó számára ez azért előnyös, mert bármilyen általa kívánt változtatást replikálhat, miközben tevékenysége rendkívül nehezen detektálható (legitim replikációs forgalomként mutatkozik).
Védekezés:
A védekezést itt is az alapszintű kiberhigiéniai jó gyakorlatokra alapozhatjuk:
- Erős jelszavak alkalmazása a kiemelt jogosultságú felhasználói fiókokon.
- A privilegizált fiókok legjobb irányelveknek megfelelő használata, folyamatos monitorozása
- Domain admin jogosultságú fiókokat soha ne használjuk a kliensekre való bejelentkezésre!
Mindezek mellett SIEM rendszerek segítségével a támadás detektálásra is érdemes figyelmet fordítani:
- DCShadow támadásra utalhat a Global Catalog server SPN és a Directory Replication Service (DRS) szolgáltatásazonosítók (SPN) hozzárendelése (majd tipikusan törlése) olyan számítógépekhez, amelyek egyébként nem töltenek be domain controller szerepet. Ezt az Event ID 4742 esemény monitorozásával észlelhetjük.
- Másik árulkodó jel a DC szerverek létrehozásának és törlésének nyomai, amelyekre a DC létrehozásáról (Event ID 5137) és törléséről (Event ID 5141) eseménybejegyzések generálásával és monitorozásával figyelhetünk fel.
Password spray támadás
Egy „örökzöld” brute force-alapú technika, amikor a támadó a tipikus gyenge jelszavakat (például password123) próbálja végig az összes hozzáférhető AD-s fiókon. A támadó minél kevesebb jól ismert jelszót próbál ki, minél több fiókon, és akár huzamosabb időt vár a próbálkozások között, hogy elkerülje a fiók zárolását.
Védekezés:
- Jelszóhasználati tudatosítás szervezeten belül, fókuszban a komplex jelszavak (javasoltan például a jelmondatok) alkalmazásával.
Pass-the-hash (PtH) támadás
Az Active Directory-ban a felhasználók védelmében a jelszavak nem szabad szöveges formában, hanem lenyomatként (hash) kerülnek tárolásra. A PtH támadás ezeknek a jelszó hasheknek a megszerzésére irányul, amelyeket – az authentikációs protokollok működését kihasználva – új session-ök indításával felhasználhatnak hitelesítésre, anélkül, hogy a tényleges jelszó ismeretére szükségük volna.
Védekezés:
- Minél kevesebb admin jogosultságú fiók alkalmazása.
- Egy adott felhasználó lehetőleg ne lehessen helyi admin több rendszeren, egyúttal normál felhasználók ne kapjanak hasonló jogosultságot munkaállomásukon.
Alkalmazzuk a PtH támadások elleni védelemként a fiókfelügyeleti korlátozást (UAC)
registry kulcs:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy
vagy csoportházirendként:
Computer Configuration > [Policies] > Administrative Templates > SCM: Pass the Hash Mitigations: Apply UAC restrictions to local accounts on network logons
- Megerősített védelmű jumpszerverek alkalmazása az adminisztrátori hozzáféréshez.
Pass-the-ticket támadás
Ez a támadás a Kerberos-alapú hálózati hitelesítési protokollt veszi célba. A támadó megszerzett Kerberos-jegyeket használja fel ahhoz, hogy a felhasználói fiók jelszavának ismerete nélkül, hozzáférjen minél több tartományi erőforráshoz.
Védekezés:
- Az informatikai környezet általános kiberhigiéniájának növelése.
- Erős jelszavak alkalmazása az admin és szervízfiókokon.
- Az OS Credential Dumping technikával szembeni ellenállóképesség növelése.
Golden ticket támadás
Ennek során a támadó a KRBTGT fiók (Active Directory Key Distribution Service Account) NTLM hash-ét próbálja megszerezni, amelynek birtokában tetszőleges Kerberos-jegyeket hozhat létre bármely kiválasztott tartományi erőforrás eléréséhez.
Védekezés:
- A KRBTGT fiók jelszavának időközönkénti lecserélése.
- A legkisebb jogosultság elv alkalmazása az AD fiókokon.
SPN-ek elleni „kerberoasting” támadás
Az SPN-ek egyedi szolgáltatásazonosítók, amelyeket a Kerberos is használ az egyes szolgáltatások fiókokhoz történő hozzárendelése során. A kerberoasting támadás alatt az SPN-hez kapcsolódó szolgáltatásfiók feltörésére tett kísérletet értjük.
Védekezés:
- Extrém hosszú, erős jelszavak alkalmazása a szolgáltatásfiókokon.
- A felesleges Kerberos-jegyekre vonatkozó létrehozási kérések, valamint a privilegizált fiókok felügyeletét megvalósító detektálási képesség fejlesztése.
Forrás: (bleepingcomputer.com)