Атаки на Active Directory? Также, но не только...

Читая во время чтения я наткнулся на один инфографика очень интересно. Должен признать, что инфографика привлекает меня своей способностью четко и непосредственно представлять концепции с помощью диаграмм или рисунков. Такой способ представления часто вызывает у меня любопытство, и так было и в этот раз.

Это сообщение LinkedIn, опубликованное в группе (Ethical Hackers Academy), в которой представлены десять методов атаки на Active Directory (AD).

Итак, я подумал, что было бы уместно углубиться в это на мгновение, поскольку я не раз осознавал, что многие думают, что наличие домена AD может решить проблему безопасности.

Как и все системы, AD дает преимущества в плане безопасности, но не лишена ограничений и уязвимостей (а еще чаще плохой конфигурации!), и об этом мы поговорим в этой статье. 

Но что такое Active Directory? 

Служба каталогов, такая как Active Directory, предоставляет методы для хранения данных каталога и предоставления доступа к ним сетевым администраторам и пользователям. Active Directory хранит информацию об учетных записях пользователей, такую ​​как имена, пароли, номера телефонов и т. д., и позволяет другим авторизованным пользователям в той же сети получать доступ к этой информации. Active Directory использует структурированное хранилище данных в качестве основы для логической и иерархической организации информации каталога и содержит информацию об объектах Active Directory. Эти объекты обычно включают общие ресурсы, такие как серверы, тома, принтеры и учетные записи сетевых пользователей и компьютеров. Безопасность интегрирована с Active Directory посредством аутентификации при входе в систему и управления доступом к объектам в каталоге. С помощью единого входа в сеть администраторы могут управлять данными организации и каталогов по сети, а авторизованные пользователи сети могут получать доступ к ресурсам в любой точке сети. Администрирование на основе политик упрощает управление даже самой сложной сетью.

Так что не будем забывать, что AD выполняет определенные функции и не все из них являются функциями безопасности. AD служит централизованным хранилищем для некоторых данных, такие данные могут быть реплицированы и распространены по всей сложной организации для обеспечения высокой доступности некоторых сервисов, выполняет функции безопасности, позволяя использовать различные типы аутентификации, объекты групповой политики и рабочие процессы, выполняет аудит на некоторые события, которые могут происходить в системе управления идентификацией, такие как аутентификация пользователя, а также могут выполнять функции единого входа.

Поэтому, учитывая количество и важность функций, необходимо уделить особое внимание и задать себе вопрос: что произойдет, если AD подвергнется атаке?

Что ж, не желая быть исчерпывающим, вот некоторые типы атак, которые следует изучить, чтобы сделать их безвредными или, по крайней мере, понять, что вы подвергаетесь атаке.

Кербероастинг. Согласно определению CROWDSTRIKE, это метод атаки после эксплуатации (атака, которая имеет тенденцию расширять и повышать учетные данные человека, когда он уже находится внутри системы). Эта атака заключается в получении хэша пароля учетной записи AD, использующей службу SPN (имя участника-службы: служба управления идентификацией). Как только хэш получен, злоумышленник расшифровывает пароль, и в этот момент у него есть все необходимое, чтобы выдать себя за пользователя и, таким образом, получить доступ ко всем сетям или системам, к которым он авторизован.

Атака с распылением пароля. Также согласно CROWDSTRIKE, этот тип атаки состоит в попытке использовать один и тот же пароль для списка пользователей в одном и том же приложении. Таким образом, это атака грубой силы, которую легче скрыть, чем более распространенную атаку на одного пользователя с несколькими паролями. В этом случае Active Directory используется злоумышленником для сбора списка активных пользователей в системе, но этот сбор информации может производиться и другими способами, поэтому, на мой взгляд, не корректно рассматривать этот вид атаки среди таковых. что взять его нацелены на активные каталоги. И переходим к третьему.

Разрешение имени многоадресной рассылки по локальной сети (ЛЛМНР). Это протокол, который позволяет разрешать имена в локальной сети благодаря использованию многоадресного пакета на порту UDP 5355. В этом случае AD, если он не содержит в своем GPO указание не использовать LLMNR, он играет в игру злоумышленник. Также в этом случае это не слабость AD, а оценка (надеюсь) сетевого администратора, на самом деле в некоторых случаях использование LLMNR полезно, даже если в настоящее время таких случаев стало намного меньше.

Передача хеша с помощью Mimikatz. Этот метод атаки заключается в краже учетных данных из AD. Учетные данные, которые затем можно использовать для выполнения боковых перемещений в атакуемой среде. Для проведения этой атаки необходимо извлечь хэши паролей пользователей домена, которые находятся в файле Ntds.dit, вместе с другой информацией об объектах и ​​группах. Таким образом, благодаря использованию инструмента под названием Mimikatz можно использовать хэши для проведения атаки, выдавая себя за любого пользователя домена. 

LDAP-разведка. Техника, называемая LDAP Reconnaissance, состоит из атаки, проводимой изнутри системы и направленной на сбор информации из LDAP. Затем эта пользовательская информация может использоваться для проведения более изощренных целевых атак.

Разведка ищейки. BloodHound — это инструмент, позволяющий искать уязвимости в AD, но не только. BloodHound использует теорию графов для выявления скрытых взаимосвязей, разрешений, сеансов и возможных путей атаки в домене Windows. Теоретически его цель — помочь специалистам по кибербезопасности защитить свой домен, но, конечно, он также может быть использован злоумышленником. 

Следует сказать, что в принципе это не конкретные атаки или инструменты для AD, но они часто действуют и против других систем.

Список из десяти атак также включает действительно общие методы атак, не связанные напрямую с AD, в частности: учетные данные по умолчанию, жестко запрограммированные учетные данные, повышение привилегий. Эти методы не только против AD, но могут быть использованы против любой компьютерной системы.

Я всегда задаюсь вопросом, почему вещи, особенно когда я пишу. 

Название может иметь большое влияние на привлечение или не привлечение читателей, а читатели не всегда уделяют достаточно внимания тому, что они читают. Результат обычный: на человека оказывают влияние за или против определенного предмета или идеи.

В этом случае из десяти методов атаки на Active Directory, желающих быть широкомасштабными, можно принять во внимание максимум шесть. В любом случае, я благодарю Академию этических хакеров за предоставленную мне возможность для небольшого понимания.

PS Как всегда, спасибо друзьям SICYNT, которые хотели внести свой вклад с предложениями и исправлениями.

_{Для получения дополнительной информации:}

_{- https://www.linkedin.com/posts/mohessa511_activedirectory-kerberos-attac...}

_{- https://www.crowdstrike.com/cybersecurity-101/kerberoasting/}

_{- https://thebackroomtech.com/2018/08/21/explanation-of-service-principal-...}

_{- https://www.crowdstrike.com/cybersecurity-101/password-spraying/} 

_{- https://www.blackhillsinfosec.com/how-to-disable-llmnr-why-you-want-to/}

_{- https://www.blackhillsinfosec.com/?s=Active+Directory}

_{- https://www.advantio.com/blog/attacking-active-directory-by-llmnr-nbsn}

_{- https://blog.netwrix.com/2021/11/30/passing-the-hash-with-mimikatz/}

_{- https://blog.netwrix.com/2021/11/30/extracting-password-hashes-from-the-...}

_{- https://www.netwrix.com/ldap_reconnaissance_active_directory.html}

_{- https://blog.netwrix.com/2022/12/09/bloodhound-active-directory/}

_{- https://learn.microsoft.com/pdf?url=https%3A%2F%2Flearn.microsoft.com%2F...}

_{- https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/sec...} 

_{- https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/sec....}