Полезные советы по безопасности, которые пригодятся любому администратору.
Одной из самых лакомых целей для злоумышленников, проникающих в корпоративные среды, являются доменные службы Active Directory. Существует несколько путей атаки, которые «синяя команда», отвечающая за цифровую оборону организации, должна исправить, чтобы повысить безопасность Active Directory. Исправление и защита от этих атак может потребовать дней или недель работы, но все эти усилия обязательно окупятся в будущем.
В этой статье мы рассмотрим шесть наиболее распространённых среди киберпреступников путей атаки, которые необходимо устранить, чтобы повысить безопасность Active Directory в вашей организации.
Слабые пароли делают вашу среду Active Directory крайне уязвимой. Когда пароли в среде ненадёжны, злоумышленники могут легко угадать или взломать их, используя брутфорс и подобные методы.
Организации могут довольно быстро внедрить новые правила ввода паролей для повышения безопасности. Например, блокировать часто используемые термины, последовательные символы на клавиатуре, а также составить пользовательские словари слов. Тем пользователям, чей пароль будет отмечен как слабый, будет предложено изменить его при следующем входе в систему, чтобы пароль соответствовал новым требованиям.
Однако необходимо учитывать и скомпрометированные пароли. Зачем хакерам тратить время на попытки взлома вашей среды, когда они могут войти в парадную дверь, используя украденные учётные данные? Даже очень надёжные пароли могут быть скомпрометированы, если они используются в нескольких разных учётных записях. Очень важно регулярно сканировать Active Directory на наличие известных скомпрометированных паролей и предлагать конечным пользователям изменить их.
В отличие от атак методом перебора, атаки Pass-the-hash, также известные как атаки с передачей хэша, направлены на поиск хэшированной или криптографической формы пароля. Клиентские операционные системы часто хранят это значение в памяти, поэтому злоумышленники могут использовать специализированное вредоносное ПО для извлечения хэшированного пароля из памяти и получения доступа к ресурсам Active Directory без необходимости угадывать пароль.
Администраторы могут исправить положение, если заставят конечных пользователей создавать более длинные пароли (от 15 символов), которые хранятся в надёжном хэш-формате Windows NT. Пароли короче 15 символов также могут храниться в хэше LAN Manager с более слабым шифрованием. Однако в новых установках Active Directory хэш LAN Manager не включён. В старых Active Directory он включён по умолчанию и требует ручного изменения для отключения.
Стоит иметь в виду, что даже если хэш LAN Manager отключён в Active Directory, другие системы все равно могут кэшировать хэш LAN Manager, поэтому установка минимальной длины пароля 15 — единственный надёжный способ убедиться, что они нигде не существуют.
Существуют и дополнительные уровни безопасности для этого типа атак, которые могут отнять у хакеров больше времени на успешную реализации взлома. Внедрение мультифакторной аутентификации (MFA) обеспечит дополнительную защиту в случае взлома пароля. Хотя стоит иметь в виду, что даже MFA — отнюдь не панацея.
Тем временем, повышение безопасности конечных точек поможет защититься от вредоносных программ. Администраторы также могут внедрять новые функции ОС, такие как безопасность на основе виртуализации (Virtualization-Based Security, VBS) в современных операционных системах Windows.
Kerberoasting — это атака, нацеленная на сервисные учётные записи в доменных службах Active Directory. Злоумышленник, осуществляя такую атаку, сначала получает первоначальный доступ к сети (хватит даже аккаунта с низкими привилегиями), а затем он запрашивает у центра распределения ключей (Key Distribution Center, KDC) в Active Directory билет обслуживания для учётных записей служб высокого уровня.
В ответ KDC выдаёт билет для сервисной учётной записи, зашифрованный паролем. После этого злоумышленник может извлечь этот билет из памяти взломанной локальной машины.
После извлечения зашифрованного билета злоумышленник переводит его в автономный режим и пытается взломать пароль с помощью специальных программ для взлома паролей. Этот способ очень эффективен, поскольку учётные записи служб часто имеют высокие привилегии и разрешения, а парольная атака в автономном режиме имеет меньший риск обнаружения.
Тактика защиты от Kerberoasting-атак:
Контроллеры домена, на которых размещены доменные службы Active Directory, синхронизируют изменения посредством репликации. Злоумышленники же способны искусственно имитировать процесс репликации контроллера домена.
Хакеры делают это с помощью запроса GetNCChanges для сбора хэшей учётных данных от основного контроллера домена. Такие opensource-инструменты, как Mimikatz, находящиеся в свободном доступе, позволяют легко осуществить такую атаку.
Меры защиты от атак методом DCSync:
Как и в случае с Kerberoasting, защита от DCSync-атак со временем потребует многоуровневого подхода. Вам потребуется внедрить протоколы безопасности для вашего контроллера домена и провести аудит Active Directory, чтобы идентифицировать важные и удаляемые учётные записи.
Атака методом Golden Ticket, также известная как атака с золотым билетом, предполагает получение злоумышленником NTLM-хэша учётной записи службы распространения ключей Active Directory (Active Directory Key Distribution Service Account, KRBTGT).
Имея доступ к паролю KRBTGT, злоумышленник может разрешить себе и другим лицам создавать сервисные билеты. Эту атаку сложно обнаружить, и она может привести к компрометации сети на долгий период.
Стратегии защиты от атак Golden Ticket:
Организации могут иметь в своём рабочем арсенале откровенно устаревшие и уязвимые приложения, интегрированные с Active Directory, которые используют жёстко запрограммированные учётные данные, слабое шифрование, слабые протоколы сетевой безопасности или другую рискованную программную архитектуру. Всё это может дать хакерам возможность взломать непосредственно Active Directory этой организации.
Исправление устаревших, но критически важных для бизнеса приложений может стать серьёзным мероприятием, способным занять месяцы или даже больше времени для успешной реализации защитных мер.
Возможно, потребуется рефакторинг программных приложений или их полная замена, что может быть затруднительно. Важно правильно понимать программный ландшафт и проводить надлежащий аудит безопасности. После этого организация должна решить, оправдывают ли риски, связанные с безопасностью, рефакторинг или перезапись приложений. Если это невозможно, стоит подумать над внедрением других мер безопасности, которые помогут снизить риски.
Понимание путей атаки для защиты Active Directory важно для предприятий, использующих доменные службы Active Directory. Некоторые пути атаки могут быть устранены быстрее, чем другие, но одним из наиболее важных шагов, помогающих защититься от большинства путей атаки, является повышение безопасности учётных данных пользователя.
Вы, наверное, заметили, что с точки зрения хакера ключом ко многим из этих путей атаки является первоначальное закрепление через учётную запись в организации. Самый простой способ для них сделать это — использовать слабый или скомпрометированный пароль.
Использование готовых решений, поддерживающих обновляемые политики паролей, позволят надёжно защитить свою среду Active Directory и обезопасить своё предприятие.
Тем не менее, обеспечение по-настоящему высокого уровня безопасности в корпоративной среде Active Directory требует комплексного подхода, который включает в себя также регулярное сканирование на наличие уязвимостей, своевременное обновление критически важных компонентов, ограничение привилегий и повышение осведомлённости пользователей.
Только совокупность подобных мер может эффективно противостоять многочисленным векторам атак злоумышленников и обезопасить доменные службы Active Directory от несанкционированного доступа.
Постоянная бдительность и проактивный подход к защите корпоративной инфраструктуры являются залогом сохранности конфиденциальных данных и непрерывности бизнес-процессов.
Спойлер: она начинается с подписки на наш канал