Bývaly doby, kdy byly kybernetické útoky na infrastrukturu identity a autentizace, jako je Active Directory, nesmírně náročné. Při navrhování plánu pečlivého provádění útoků bylo třeba věnovat hodně předvídavosti a nutností byly pokročilé technické znalosti domén a sítí. Postupem času se však otevřelo nespočet možností, které hackerům tyto útoky podstatně ulehčily.
AD útoky: Pochopení záměru
Cíl útoků na AD nebo útoků na jakoukoli infrastrukturu pro správu identit je docela jednoduchý: získat nejvyšší přístup v co nejkratším čase. Bez ohledu na zdroj útoku nebo místo vniknutí se útočníci vždy snaží eskalovat privilegia. A nejvyšší úroveň přístupu ve službě AD je přístup k řadiči domény (DC), protože poté útočníci získají okamžitý přístup pro správu ke každému kritickému prostředku v síti.
Posloupnost útoku
AD útoky jsou prováděny v několika fázích; útočníci obvykle infikují pracovní stanici koncového uživatele (protože mají mírnější kontroly zabezpečení), prohledávají doménu, zda neobsahují slabá místa nebo nesprávně nakonfigurovaná oprávnění, a využívají je k laterálnímu přesunu a získání přístupu k serveru výše v síťové hierarchii, jako je kritický souborový server nebo řadič domény.
Ale co kdybychom vám řekli, že útočník by se mohl vydávat za samotný doménový řadič a bez povšimnutí extrahovat citlivé informace?
Replikace mezi řadiči domény ve službě AD
IT infrastruktura organizace často potřebuje pro svou AD více než jeden doménový řadič. Aby byly informace mezi řadiči domény konzistentní, musí být objekty AD replikovány.
Většina úkolů souvisejících s replikací je uvedena v protokolu Microsoft Directory Replication Service Remote Protocol (MS-DRSR). Rozhraní Microsoft API, které implementuje protokol, se nazývá DRSUAPI.
Funkce DSGetNCChanges
První doménový řadič odešle požadavek DSGetNCChanges, když chce získat aktualizace objektu AD z druhého řadiče. Odpověď obsahuje sadu aktualizací, které má první řadič použít pro NC repliku (struktura, která ukládá informace o replikaci).
Podívejme se, jak útočníci využívají funkce replikace v AD, kterou nelze vypnout nebo deaktivovat.
Využití oprávnění k replikaci pro přístup k citlivým údajům domény
V dnešní době existuje spousta open-source nástrojů, které mohou využívat specifické příkazy v rámci MS-DRSR k simulaci chování řadiče domény a načítání hashů hesel uživatelů.
Takovým útokům se říká „post-exploitation attacks“, protože útočníci potřebují přístup k uživatelskému účtu, který má ve službě AD oprávnění k replikaci. Administrators, Domain Admins, a Enterprise Admins zpravidla mají požadovaná práva. Přesněji řečeno, jsou vyžadována následující práva:
Jakmile je přístup získán, jsou kroky k provedení útoku poměrně jednoduché:
- Útočník najde řadič domény a požádá o replikaci.
- Pomocí příkazu NLTEST /dclist: [Domainname] zsjistí útočník podrobnosti o naší doméně
- Změny replikace jsou požadovány pomocí funkce GetNCChanges.
- Řadič domény vrací replikační data, včetně hashů hesel, žadateli.
Podívejte se na toto krátké video a podívejte se, jak je útok proveden.
Zmírnění replikačních útoků s ManageEngine LOG360
Nástroj LOG360 kombinuje několik funkcí, pomocí kterých můžete takovýto útok zachytit a zastavit ještě před tím, než napáchá nějakou škodu. S nástrojem LOG360 můžete:
- Sledovat v reálném čase, zda nejsou oprávnění k replikaci přidělena uživatelům bez vašeho vědomí.
- Sledovat členství v privilegovaných skupinách, jako jsou Domain Admins a Enterprise Admins, které mají ve výchozím nastavení oprávnění replikace domény.
- Monitorovat v síti jakékoli neznámé IP adresy DC, které nemají povoleno provádět replikaci.
- Detekovat spuštění škodlivého open-source softwaru sledováním procesů a scriptů Windows.
Díky možnosti konfigurovat upozornění, případně okamžité reakce, jako je vypnutí zařízení, ukončení uživatelské relace či provedení jiné akce na základě předpřipraveného scriptu, si můžete být jisti, že budete vědět o každém podobném pokusu změny konfigurace – o chtěné i nechtěné.