Active Directory вже 21 рік залишається найкращим рішенням для керування ідентифікацією та доступом. Фактично, технологія від Microsoft майже не змінилася за цей час. І це добре відомо не лише адміністраторам, а й зловмисникам.
Організаціям необхідно обрати надійний підхід для захисту своєї інфраструктури Active Directory, а також усіх ресурсів у мережі, де ця служба контролює та захищає доступ. Хакери використовують надзвичайно складні методи атак на Active Directory, як із зовнішнього, так і з внутрішнього середовища. Традиційні інструменти та підходи до безпеки неефективні через зростання кількості успішних атак та виникнення нових шляхів атак в Active Directory. Єдиного рішення для усунення проблем безпеки AD не існує, але за допомогою правильних інструментів та підходів можна посилити захист і зменшити кількість атак.
Зловмисники постійно знаходять приховані шляхи атаки та розробляють складні інструменти для отримання контролю над доменом. Тому тримати руку на пульсі безпеки Active Directory — провідне завдання компаній.
Навчитися працювати з AD можна з мінімальними зусиллями, оскільки за 21 рік загальний принцип роботи залишився без суттєвих змін.
Тож пропонуємо виокремити наступні тези, пов'язані із захистом AD: ● Середовище базується на доменах і лісах (domains and forests) ● Користувачі, групи та комп'ютери є основними об'єктами атак ● Кожен домен розбитий для керування використанням об’єктів із використанням організаційних одиниць (OU) ● Групова політика є кращим методом контролю користувачів і комп'ютерів ● Такі необхідні служби, як DNS і DHCP, залишаються незмінними, хоча вимагають постійних оновлень ● Kerberos і NTLMv2 залишаються найбільш розповсюдженими протоколами автентифікації. Kerberos – найкращий протокол, оскільки NTLMv2 вже трохи застарів. Однак обидва мають популярність ● Елементи керування політикою паролів залишаються незмінними
Протягом багатьох років Microsoft розробила кілька рішень безпеки для on-prem AD, але часто вони зрештою втрачають підтримку або замінюються іншими рішеннями. Єдина технологія, яка залишається в авангарді безпеки AD — це Групова політика. Вона вдосконалювалась протягом багатьох років з урахуванням багатьох налаштувань ADM/ADMX, параметрів групової політики та розширеної політики аудиту. Втім, основна архітектура групової політики залишилася незмінною.
Інші рішення безпеки, представлені протягом років: ● Аудит та розширений аудит ● Майстер конфігурації безпеки (SCW) ● Менеджер відповідності безпеки (SCM) ● Конфігурація бажаного стану (DCM) ● Локальний пароль адміністратора (LAPS) ● Група захищених користувачів
Загальною проблемою кожного з цих рішень є неможливість забезпечити високий рівень захисту більшої частини середовища. Ці рішення впливають лише на деякі комп'ютери, певні налаштування безпеки та типи атак. Часто, навіть якщо технологія є ефективною, вона не отримує належного просування а, отже, не впроваджується на всіх інсталяціях AD.
Статична інфраструктура й нестабільні рішення безпеки створюють ідеальні умови для хакерів. Кількість атак на Active Directory значно зросла, не кажучи вже про їхню складність. Протягом багатьох років зловмисники прагнули атакувати середовище без будь-яких слідів, і зараз їм це вдається.
Нові атаки роблять традиційні рішення моніторингу неефективними щодо виявлення загроз або будь-якої дотичної інформації. Хакери використовують фундаментальні концепції, на яких побудовані AD та Microsoft, що дозволяє обходити будь-яке ведення журналів подій або відстеження змін, які ці рішення моніторингу AD могли бачити роками. Зловмисники використовують бічне переміщення та ескалацію привілеїв, щоб захопити контроль над каталогами лише за кілька годин або днів.
Ось деякі із сучасних атак/концепцій, які сьогодні вражають AD: ● DCSync ● DCShadow ● Password spray ● Pass-the-Hash ● Pass-the-Ticket ● Golden ticket ● Service Principal Name ● AdminCount and adminSDHolder
Сучасні атаки здійснюють руйнівну діяльність приховано, використовуючи технології, які необхідні для роботи Microsoft, Windows та безпосередньо служби AD. Через це їх практично неможливо виявити. Зловмисники застосовують різноманітні методи для обходу систем моніторингу та журналів активності.
Втім, не всі атаки діють за одним і тим самим принципом.
Деякі атаки відбуваються повільно, тобто їхня активність схожа на звичайні дії в мережі. Водночас вони можуть за короткий проміжок часу надати зловмисникові надзвичайно цінну інформацію. Ці атаки здебільшого спрямовані на отримання паролів облікових записів користувачів, без потреби у підвищенні прав. Для спроби входу їм потрібен лише доступ до мережі.
Одним із таких прикладів є Password Spray Attack. Користувачі в будь-якому середовищі часто використовують загальновживані паролі. Отже, якщо повний список імен користувачів з Active Directory може отримати будь-який користувач, то до кожного з них можна спробувати підібрати кілька поширених паролів. Зловмисники зазвичай використовують словники та списки загальновживаних паролів для атаки на облікові записи. Кожен пароль “тестується” на всіх акаунтах у спробі підібрати правильний. Такий метод відрізняє цей підхід від brute force. Головне — використовувати менше паролів, ніж дозволяє політика блокування облікових записів, яку також може прочитати будь-який користувач у домені.
Microsoft Active Directory була створена у 2000 році, тобто 24 роки тому, що для динамічного світу технологій є вічністю. Попри це, Microsoft і сьогодні використовує ті ж самі технології забезпечення безперебійної комунікації в AD. Але їх експлуатація з часом теж зробила систему вразливою до атак, адже зловмисники можуть легко виявити інформацію про привілейовані акаунти в системі.
Розглянемо кілька таких найпоширеніших вбудованих технологій: ● Імена головних служб (Service Principal Names) ● Admincount та adminSDHolder SIDHistory ● Ідентифікатор первинної групи користувача (User Primary Group ID)
Ці важливі аспекти середовища були розроблені для забезпечення безпеки та стабільності, але тепер зловмисники використовують їх для створення бекдорів і отримання постійного доступу без виявлення. Наприклад, атака adminCount та adminSDHolder є досить простою за задумом: її майже неможливо зупинити без постійної уваги до деталей. Якщо коротко, зловмисник змінює список контролю доступу (ACL), що зберігається в об'єкті adminSDHolder, щоб увімкнути контрольований обліковий запис, надавши йому права «Змінити» або «Повний контроль». Коли фоновий процес запускається для розміщення ACL на всіх об'єктах, що містять атрибут adminCount, що дорівнює 1, зловмисник отримує дозволи на привілейовані об'єкти.
Це нові, досить складні та винахідливі атаки. Для їхнього успіху хакери потребують певних привілеїв в Active Directory, але оскільки інші атаки вже надають зловмисникам доступ, їх зазвичай реалізують лише після отримання цих повноважень. Ціль такої атаки з підвищеними привілеями — непомітно закріпитися в системі. До цієї категорії належать дві загрози: ● DCSync ● DCShadow
Загальна мета DCSync полягає в отриманні даних облікових записів користувачів, щоб потім здійснити офлайн-атаки на хеші паролів, викрадених раніше.
DCShadow дещо відрізняється тим, що вона створює фальшивий контролер домену, який використовується для ін'єктування атак у потік реплікації, змінюючи об'єкти та атрибути, не залишаючи слідів.
Обидві атаки обходять журнали безпеки. Це можливо, оскільки вони імітують новий контролер домену, а журналу фальшивого контролера домену не існує. Під прицілом — організації, які покладаються на журнали безпеки для відстеження активності. Моніторинг Active Directory, рішення SIEM та навіть більшість агентських рішень не зможуть виявити ці інциденти.
Серед атак, які існують вже певний час, але продовжують з'являтися у нових варіаціях, можна виокремити наступні: ● Pass-the-Hash ● Pass-the-Ticket ● Silver Tickets ● Golden Tickets
Ці атаки так чи так використовують викрадені облікові дані, щоб видати себе за користувача. Звісно, викрадені облікові дані належать привілейованому користувачеві, щоб злочинець міг отримати найвищі права в домені.
Pass-the-Hash і Pass-the-Ticket використовують нешифровану хешовану інформацію для видачі себе за користувача, тоді як Silver Tickets та Golden Tickets перехоплюють частину процесу автентифікації Kerberos, що дозволяє отримати доступ до служб і всіх облікових записів в організації.
Кожна організація, яка використовує Active Directory, повинна бути проінформована про наявні проблеми безпеки, які можуть призвести до атаки на її інфраструктуру. На жаль, рішення для моніторингу AD та SIEM не надають такої послуги.
Tenable Identity Exposure для захисту AD інформує про небезпеку одразу після встановлення. Система надає список актуальних проблем та неправильних конфігурацій, які потребують негайного виправлення.
Кожній організації потрібно не лише упорядкувати свою поточну безпеку AD, але й здійснювати постійний моніторинг, щоб запобігти неправильним конфігураціям та атакам. Багато організацій вважають, що після підвищення рівня безпеки (тобто застосування додаткових заходів безпеки) конфігурації залишаться незмінними. Але такий підхід не працює для жодного середовища з Active Directory. Конфігурації постійно змінюються через помилки, встановлення ПЗ, оновлення ОС та атаки.
Тому, у разі будь-якої неправильної конфігурації або атаки, час — це критичний фактор для виявлення та сповіщення організації. Деякі атаки відбуваються повільно, тоді як інші можуть тривати лише кілька хвилин. Що швидше атаку можна ідентифікувати, то більша ймовірність її нейтралізації.
Рішення для моніторингу AD та SIEM покладаються на журнали безпеки, щоб отримати інформацію про дії, що відбуваються в Active Directory та навколо нього. Tenable Identity Exposure не чекає, поки активність буде зафіксована в журналі: рішення працює за принципом реплікації даних AD для отримання інформації про будь-які зміни. Також Tenable Identity Exposure може надсилати знайдену інформацію до SIEM, оскільки SIEM-системи є важливим компонентом загальної безпеки будь-якої організації.
З огляду на популярність та статичність Active Directory, зловмисники змогли знайти нові інноваційні бекдори для проникнення в інфраструктуру. Ці хитрі шляхи атаки дозволяють отримувати інформацію з мінімальними або взагалі без жодних прав, а отже, хакери залишаються непоміченими в мережі.
Існують деякі атаки, які потребують підвищених прав, але вони можуть обійти журнали безпеки, а отже, й рішення для моніторингу AD та SIEM. Для виявлення всіх атак, що застосовуються сьогодні, найкращим рішенням є проактивний підхід, який використовує Tenable Identity Exposure. Це рішення надає миттєву інформацію щодо неправильних конфігурацій, а також виявляє в режимі реального часу будь-які нові неправильні конфігурації, шляхи атак та безпосередньо самі атаки. І все це — без агентів та жодних підвищених прав!