Active Directory уже 21 год остается лучшим решением для управления идентификацией и доступом. Фактически, технология от Microsoft почти не изменилась за это время. И это хорошо известно не только администраторам, но и злоумышленникам.
Организациям необходимо выбрать надежный подход для защиты своей инфраструктуры Active Directory, а также всех ресурсов в сети, где эта служба контролирует и защищает доступ. Хакеры используют чрезвычайно сложные методы атак на Active Directory, как из внешней, так и из внутренней среды. Традиционные инструменты и подходы к безопасности неэффективны из-за роста количества успешных атак и возникновения новых путей атак в Active Directory. Единого решения для устранения проблем безопасности AD не существует, но с помощью правильных инструментов и подходов можно усилить защиту и уменьшить количество атак.
Злоумышленники постоянно находят скрытые пути атаки и разрабатывают сложные инструменты для получения контроля над доменом. Поэтому держать руку на пульсе безопасности Active Directory — ведущая задача компаний.
Научиться работать с AD можно с минимальными усилиями, поскольку за 21 год общий принцип работы остался без существенных изменений. Поэтому предлагаем выделить следующие тезисы, связанные с защитой AD: ● Среда базируется на доменах и лесах (domains and forests) ● Пользователи, группы и компьютеры являются основными объектами атак ● Каждый домен разбит для управления использованием объектов с использованием организационных единиц (OU)● Групповая политика является лучшим методом контроля пользователей и компьютеров ● Такие необходимые службы, как DNS и DHCP, остаются неизменными, хотя требуют постоянных обновлений ● Kerberos и NTLMv2 остаются наиболее распространенными протоколами аутентификации. Kerberos — самый лучший протокол, так как NTLMv2 уже немного устарел. Впрочем, оба пользуются популярностью ● Элементы управления политикой паролей остаются неизменными
На протяжении многих лет Microsoft разработала несколько решений безопасности для on-prem AD, но часто они в конечном итоге теряют поддержку или заменяются другими решениями. Единственная технология, которая остается в авангарде безопасности AD — это Групповая политика. Она совершенствовалась в течение многих лет с учетом многих настроек ADM/ADMX, параметров групповой политики и расширенной политики аудита. Впрочем, основная архитектура групповой политики осталась неизменной.
Другие решения безопасности, представленные на протяжении лет: ● Аудит и расширенный аудит● Мастер конфигурации безопасности (SCW) ● Менеджер соответствия безопасности (SCM) ● Конфигурация желаемого состояния (DCM) ● Локальный пароль администратора (LAPS) ● Группа защищенных пользователей
Общей проблемой каждого из этих решений является невозможность обеспечить высокий уровень защиты большей части среды. Эти решения влияют только на некоторые компьютеры, определенные настройки безопасности и типы атак. Часто, даже если технология является эффективной, она не получает должного продвижения и, следовательно, не внедряется на всех инсталляциях AD.
Статическая инфраструктура и нестабильные решения безопасности создают идеальные условия для хакеров. Количество атак на Active Directory значительно возросло, не говоря уже об их сложности. В течение многих лет злоумышленники стремились атаковать среду без каких-либо следов, и сейчас им это удается.
Новые атаки делают традиционные решения мониторинга неэффективными в плане обнаружения угроз или какой-либо касательной информации. Хакеры используют фундаментальные концепции, на которых построены AD и Microsoft. Это позволяет обходить любое ведение журналов событий или отслеживание изменений, которые эти решения мониторинга AD могли видеть годами. Злоумышленники используют боковое перемещение и эскалацию привилегий, чтобы захватить контроль над каталогами всего за несколько часов или дней.
Вот некоторые из современных атак/концепций, которые сегодня поражают AD: ● DCSync ● DCShadow ● Password spray ● Pass-the-Hash ● Pass-the-Ticket ● Golden ticket ● Service Principal Name ● AdminCount and adminSDHolder
Современные атаки осуществляют разрушительную деятельность скрыто, используя технологии, которые необходимы для работы Microsoft, Windows и непосредственно службы AD. Из-за этого их практически невозможно обнаружить. Злоумышленники применяют различные методы для обхода систем мониторинга и журналов активности.
Впрочем, не все атаки действуют по одному и тому же принципу.
Некоторые атаки происходят медленно, то есть их активность похожа на обычные действия в сети. В то же время они могут за короткий промежуток времени предоставить злоумышленнику чрезвычайно ценную информацию. Эти атаки в основном направлены на получение паролей учетных записей пользователей, без необходимости в повышении прав. Для попытки входа им нужен только доступ к сети.
Одним из таких примеров является Password Spray Attack. Пользователи в любой среде часто используют общеупотребительные пароли. Таким образом, если полный список имен пользователей из Active Directory может получить любой пользователь, то к каждому из них можно попробовать подобрать несколько распространенных паролей. Злоумышленники обычно используют словари и списки общеупотребительных паролей для атаки на учетные записи. Каждый пароль "тестируется" на всех аккаунтах в попытке подобрать верный. Такой метод отличает этот подход от brute force. Главное — использовать меньше паролей, чем позволяет политика блокировки учетных записей, которую также может прочитать любой пользователь в домене.
Microsoft Active Directory была создана в 2000 году, то есть 24 года назад, что для динамичного мира технологий является вечностью. Несмотря на это, Microsoft и сегодня использует те же самые технологии обеспечения бесперебойной коммуникации в AD. Но их эксплуатация со временем тоже сделала систему уязвимой к атакам, ведь злоумышленники могут легко обнаружить информацию о привилегированных аккаунтах в системе.
Рассмотрим несколько таких самых распространенных встроенных технологий: ● Имена главных служб (Service Principal Names) ● Admincount и adminSDHolder SIDHistory ● Идентификатор первичной группы пользователя (User Primary Group ID)
Эти важные аспекты среды были разработаны для обеспечения безопасности и стабильности, но теперь злоумышленники используют их для создания бэкдоров и получения постоянного доступа без обнаружения. Например, атака adminCount и adminSDHolder довольно проста по замыслу: ее почти невозможно остановить без постоянного внимания к деталям. Если кратко, злоумышленник изменяет список контроля доступа (ACL), хранящийся в объекте adminSDHolder, чтобы включить контролируемую учетную запись, предоставив ей права "Изменить" или "Полный контроль". Когда фоновый процесс запускается для размещения ACL на всех объектах, содержащих атрибут adminCount, равный 1, злоумышленник получает разрешения на привилегированные объекты.
Это новые, достаточно сложные и изобретательные атаки. Для их успеха хакеры нуждаются в определенных привилегиях в Active Directory, но поскольку другие атаки уже предоставляют злоумышленникам доступ, их обычно реализуют только после получения этих полномочий. Цель такой атаки с повышенными привилегиями — незаметно закрепиться в системе. К этой категории относятся две угрозы: ● DCSync ● DCShadow
Общая цель DCSync заключается в получении данных учетных записей пользователей, чтобы затем осуществить офлайн-атаки на хеши паролей, похищенных ранее.
DCShadow несколько отличается тем, что она создает фальшивый контроллер домена, который используется для инъецирования атак в поток репликации, изменяя объекты и атрибуты, не оставляя следов.
Обе атаки обходят журналы безопасности. Это возможно, поскольку они имитируют новый контроллер домена, а журнала фальшивого контроллера домена не существует. Под прицелом - организации, которые полагаются на журналы безопасности для отслеживания активности. Мониторинг Active Directory, решения SIEM и даже большинство агентских решений не смогут обнаружить эти инциденты.
Среди атак, которые существуют уже некоторое время, но продолжают появляться в новых вариациях, можно выделить следующие: ● Pass-the-Hash ● Pass-the-Ticket ● Silver Tickets ● Golden Tickets
Эти атаки так или иначе используют похищенные учетные данные, чтобы выдать себя за пользователя. Конечно, украденные учетные данные принадлежат привилегированному пользователю, чтобы преступник мог получить самые высокие права в домене. Pass-the-Hash и Pass-the-Ticket используют нешифрованную хешированную информацию для выдачи себя за пользователя, тогда как Silver Tickets и Golden Tickets перехватывают часть процесса аутентификации Kerberos, что позволяет получить доступ к службам и всем учетным записям в организации.
Каждая организация, использующая Active Directory, должна быть проинформирована об имеющихся проблемах безопасности, которые могут привести к атаке на ее инфраструктуру. К сожалению, решения для мониторинга AD и SIEM не предоставляют такой услуги.
Tenable Identity Exposure для защиты AD информирует об опасности сразу после установки. Система предоставляет список актуальных проблем и неправильных конфигураций, которые требуют немедленного исправления.
Каждой организации нужно не только привести свою текущую безопасность AD в надлежащее состояние, но и осуществлять постоянный мониторинг, чтобы предотвратить неправильные конфигурации и атаки. Многие организации считают, что после повышения уровня безопасности (то есть, применения дополнительных мер безопасности) конфигурации останутся неизменными. Но такой подход не работает ни для одной среды с Active Directory. Конфигурации постоянно меняются из-за ошибок, установки ПО, обновления ОС и атак.
Поэтому, в случае любой неправильной конфигурации или атаки, время — это критический фактор для обнаружения и оповещения организации. Некоторые атаки происходят медленно, тогда как другие могут длиться всего несколько минут. Чем быстрее атаку можно идентифицировать, тем больше вероятность ее нейтрализации.
Решения для мониторинга AD и SIEM полагаются на журналы безопасности, чтобы получить информацию о действиях, происходящих в Active Directory и вокруг него. Tenable Identity Exposure не ждет, пока активность будет зафиксирована в журнале: решение работает по принципу репликации данных AD для получения информации о любых изменениях. Также Tenable Identity Exposure может отправлять найденную информацию в SIEM, поскольку SIEM-системы являются важным компонентом общей безопасности любой организации.
Учитывая популярность и статичность Active Directory, злоумышленники смогли найти новые, инновационные бэкдоры для проникновения в инфраструктуру. Эти хитрые пути атаки позволяют получать информацию с минимальными или вообще без прав, а значит, хакеры остаются незамеченными в сети.
Существуют некоторые атаки, требующие повышенных прав, но они могут обойти журналы безопасности, а следовательно, и решения для мониторинга AD и SIEM. Для обнаружения всех применяемых сегодня атак лучшим решением является проактивный подход, использующий Tenable Identity Exposure. Это решение предоставляет мгновенную информацию о неправильных конфигурациях, а также обнаруживает в режиме реального времени любые новые неправильные конфигурации, пути атак и непосредственно сами атаки. И все это — без агентов и никаких повышенных прав!