Шесть путей атаки в Active Directory и способы их устранения

Одной из самых лакомых целей для злоумышленников, проникающих в корпоративные среды, являются доменные службы Active Directory. Существует несколько путей атаки, которые «синяя команда», отвечающая за цифровую оборону организации, должна исправить, чтобы повысить безопасность Active Directory. Исправление и защита от этих атак может потребовать дней или недель работы, но все эти усилия обязательно окупятся в будущем.

В этой статье мы рассмотрим шесть наиболее распространённых среди киберпреступников путей атаки, которые необходимо устранить, чтобы повысить безопасность Active Directory в вашей организации.

1. Слабые и скомпрометированные пароли

Слабые пароли делают вашу среду Active Directory крайне уязвимой. Когда пароли в среде ненадёжны, злоумышленники могут легко угадать или взломать их, используя брутфорс и подобные методы.

Организации могут довольно быстро внедрить новые правила ввода паролей для повышения безопасности. Например, блокировать часто используемые термины, последовательные символы на клавиатуре, а также составить пользовательские словари слов. Тем пользователям, чей пароль будет отмечен как слабый, будет предложено изменить его при следующем входе в систему, чтобы пароль соответствовал новым требованиям.

Однако необходимо учитывать и скомпрометированные пароли. Зачем хакерам тратить время на попытки взлома вашей среды, когда они могут войти в парадную дверь, используя украденные учётные данные? Даже очень надёжные пароли могут быть скомпрометированы, если они используются в нескольких разных учётных записях. Очень важно регулярно сканировать Active Directory на наличие известных скомпрометированных паролей и предлагать конечным пользователям изменить их.

2. Атака Pass-the-hash

В отличие от атак методом перебора, атаки Pass-the-hash, также известные как атаки с передачей хэша, направлены на поиск хэшированной или криптографической формы пароля. Клиентские операционные системы часто хранят это значение в памяти, поэтому злоумышленники могут использовать специализированное вредоносное ПО для извлечения хэшированного пароля из памяти и получения доступа к ресурсам Active Directory без необходимости угадывать пароль.

Администраторы могут исправить положение, если заставят конечных пользователей создавать более длинные пароли (от 15 символов), которые хранятся в надёжном хэш-формате Windows NT. Пароли короче 15 символов также могут храниться в хэше LAN Manager с более слабым шифрованием. Однако в новых установках Active Directory хэш LAN Manager не включён. В старых Active Directory он включён по умолчанию и требует ручного изменения для отключения.

Стоит иметь в виду, что даже если хэш LAN Manager отключён в Active Directory, другие системы все равно могут кэшировать хэш LAN Manager, поэтому установка минимальной длины пароля 15 — единственный надёжный способ убедиться, что они нигде не существуют.

Существуют и дополнительные уровни безопасности для этого типа атак, которые могут отнять у хакеров больше времени на успешную реализации взлома. Внедрение мультифакторной аутентификации (MFA) обеспечит дополнительную защиту в случае взлома пароля. Хотя стоит иметь в виду, что даже MFA — отнюдь не панацея.

Тем временем, повышение безопасности конечных точек поможет защититься от вредоносных программ. Администраторы также могут внедрять новые функции ОС, такие как безопасность на основе виртуализации (Virtualization-Based Security, VBS) в современных операционных системах Windows.

3. Атака Kerberoasting

Kerberoasting — это атака, нацеленная на сервисные учётные записи в доменных службах Active Directory. Злоумышленник, осуществляя такую атаку, сначала получает первоначальный доступ к сети (хватит даже аккаунта с низкими привилегиями), а затем он запрашивает у центра распределения ключей (Key Distribution Center, KDC) в Active Directory билет обслуживания для учётных записей служб высокого уровня.

В ответ KDC выдаёт билет для сервисной учётной записи, зашифрованный паролем. После этого злоумышленник может извлечь этот билет из памяти взломанной локальной машины.

После извлечения зашифрованного билета злоумышленник переводит его в автономный режим и пытается взломать пароль с помощью специальных программ для взлома паролей. Этот способ очень эффективен, поскольку учётные записи служб часто имеют высокие привилегии и разрешения, а парольная атака в автономном режиме имеет меньший риск обнаружения.

Тактика защиты от Kerberoasting-атак:

• Внедряйте политики надёжных паролей — используйте только сложные и надёжные пароли для сервисных учётных записей. Постоянно сканируйте пароли на предмет взлома.
• Регулярно меняйте пароли сервисных учётных записей. Предотвращая устаревание паролей, вы снижаете вероятность того, что злоумышленник сможет использовать старый билет. Однако это действительно практично только в том случае, если у вас есть эффективное стороннее решение для управления этим процессом.
• Отслеживайте сеть на предмет запросов на регистрацию сервисной учётной записи — ищите аномальные закономерности в запросах на регистрацию.
• Убедитесь, что актуальные политики паролей помимо активных и привилегированных учётных записей применяются в том числе и к устаревшим, неактивным учётным записям.

4. Атака DCSync

Контроллеры домена, на которых размещены доменные службы Active Directory, синхронизируют изменения посредством репликации. Злоумышленники же способны искусственно имитировать процесс репликации контроллера домена.

Хакеры делают это с помощью запроса GetNCChanges для сбора хэшей учётных данных от основного контроллера домена. Такие opensource-инструменты, как Mimikatz, находящиеся в свободном доступе, позволяют легко осуществить такую атаку.

Меры защиты от атак методом DCSync:

• Убедитесь, что для контроллеров домена установлены строгие правила безопасности. Обеспечьте безопасность важных учётных записей с помощью надёжных паролей.
• Очистите Active Directory от устаревших и неактивных учётных записей, включая те, которые используются для предоставления услуг.
Внимательно отслеживайте изменения в группах доменов и другие связанные с ними действия.

Как и в случае с Kerberoasting, защита от DCSync-атак со временем потребует многоуровневого подхода. Вам потребуется внедрить протоколы безопасности для вашего контроллера домена и провести аудит Active Directory, чтобы идентифицировать важные и удаляемые учётные записи.

5. Атака Golden Ticket

Атака методом Golden Ticket, также известная как атака с золотым билетом, предполагает получение злоумышленником NTLM-хэша учётной записи службы распространения ключей Active Directory (Active Directory Key Distribution Service Account, KRBTGT).

Имея доступ к паролю KRBTGT, злоумышленник может разрешить себе и другим лицам создавать сервисные билеты. Эту атаку сложно обнаружить, и она может привести к компрометации сети на долгий период.

Стратегии защиты от атак Golden Ticket:

• Регулярно обновляйте пароль учётной записи KRBTGT, в идеале не реже одного раза в 180 дней.
• Внедрите и поддерживайте политику наименьших привилегий в настройках Active Directory. Для правильной реализации доступа с наименьшими привилегиями может потребоваться несколько этапов.
• Обеспечьте использование надёжных паролей с помощью вашей политики паролей. Не давайте злоумышленникам возможности легко закрепиться в вашей среде.

6. Таргетинг на уязвимые приложения, интегрированные с Active Directory

Организации могут иметь в своём рабочем арсенале откровенно устаревшие и уязвимые приложения, интегрированные с Active Directory, которые используют жёстко запрограммированные учётные данные, слабое шифрование, слабые протоколы сетевой безопасности или другую рискованную программную архитектуру. Всё это может дать хакерам возможность взломать непосредственно Active Directory этой организации.

Исправление устаревших, но критически важных для бизнеса приложений может стать серьёзным мероприятием, способным занять месяцы или даже больше времени для успешной реализации защитных мер.

Возможно, потребуется рефакторинг программных приложений или их полная замена, что может быть затруднительно. Важно правильно понимать программный ландшафт и проводить надлежащий аудит безопасности. После этого организация должна решить, оправдывают ли риски, связанные с безопасностью, рефакторинг или перезапись приложений. Если это невозможно, стоит подумать над внедрением других мер безопасности, которые помогут снизить риски.

Заключение

Понимание путей атаки для защиты Active Directory важно для предприятий, использующих доменные службы Active Directory. Некоторые пути атаки могут быть устранены быстрее, чем другие, но одним из наиболее важных шагов, помогающих защититься от большинства путей атаки, является повышение безопасности учётных данных пользователя.

Вы, наверное, заметили, что с точки зрения хакера ключом ко многим из этих путей атаки является первоначальное закрепление через учётную запись в организации. Самый простой способ для них сделать это — использовать слабый или скомпрометированный пароль.

Использование готовых решений, поддерживающих обновляемые политики паролей, позволят надёжно защитить свою среду Active Directory и обезопасить своё предприятие.

Тем не менее, обеспечение по-настоящему высокого уровня безопасности в корпоративной среде Active Directory требует комплексного подхода, который включает в себя также регулярное сканирование на наличие уязвимостей, своевременное обновление критически важных компонентов, ограничение привилегий и повышение осведомлённости пользователей.

Только совокупность подобных мер может эффективно противостоять многочисленным векторам атак злоумышленников и обезопасить доменные службы Active Directory от несанкционированного доступа.

Постоянная бдительность и проактивный подход к защите корпоративной инфраструктуры являются залогом сохранности конфиденциальных данных и непрерывности бизнес-процессов.