0
0
Obter acesso a credenciais de administrador de domínio faz parte do fim do jogo em muitos ataques sofisticados em que os atores de ameaças estão tentando manter a persistência. Uma das maneiras pelas quais os adversários conseguem isso é através de ataques DCSync.
O que é um ataque DCSync?
Um ataque DCSync é um método em que atores de ameaças executam processos que se comportam como um controlador de domínio e usam o protocolo remoto do Directory Replication Service (DRS) para replicar informações do AD. O ataque permite que eles roubem hashes de senha de controladores de domínio reais, que eles podem quebrar mais tarde.
Executar o ataque requer que o invasor já tenha comprometido um usuário com os privilégios adequados de “Replicando Alterações no Diretório” para o domínio de destino. Normalmente, os invasores procuram contas que recebem o privilégio Replicando Alterações de Diretório Todas, pois isso permite replicar as senhas de qualquer conta de domínio.
Esses privilégios são, por padrão, concedidos apenas a administradores e grupos de controladores de domínio. No entanto, se você usar o AzureADconnect para sincronizar algumas de suas contas com o seu inquilino AzureAD, descobrirá que a conta de serviço usada para executar essa sincronização também recebeu esses direitos preciosos. Ao fazer uma solicitação DSGetNCChanges, o invasor pode replicar credenciais do Active Directory.
Um alvo frequente para isso é a conta krbtgt, que é usada pelo AD para criar tickets Kerberos. Com o hash de senha da conta krbtgt, um invasor pode iniciar um ataque Golden Ticket que lhe dará a capacidade de fazer login em qualquer serviço como qualquer usuário.
Os atores de ameaças podem lançar ataques DCSync usando ferramentas como Mimikatz ou o cmdlet Get-ADReplAccount da DSInternals. Essas ferramentas tornam essa técnica relativamente simples para os invasores depois de comprometerem uma conta AD com as permissões necessárias.
Infelizmente, parar ataques DCSync não é tão fácil. Como outras técnicas que aproveitam a funcionalidade legítima – neste caso, o protocolo remoto DRS – não é prático interromper os ataques DCSync desativando o abuso do serviço. A replicação permite redundância, que todas as organizações precisam. No entanto, ainda existem medidas que as organizações podem tomar para prevenir e detectar ataques DCSync contra seu ambiente.
Protegendo contra ataques DCSync
As organizações podem tomar várias medidas para reduzir a probabilidade de que um intruso possa executar ataques DCSync.
O primeiro passo é implementar práticas básicas de segurança e higiene para o Active Directory. O ataque requer que o ator da ameaça já tenha comprometido uma conta de administrador de domínio ou qualquer outra conta que tenha recebido as permissões DCsync. Como tal, monitorar as permissões do seu chefe de domínio é fundamental para que você esteja ciente de quais contas ou grupos receberam as poderosas permissões DCSync. Você pode achar que deve revogar as permissões para alguns usuários que acidentalmente as receberam anos atrás.
Proteger seu Active Directory sempre foi e continuará sendo uma tarefa multicamadas, que vai além de validar as configurações adequadas no AD. Para começar, impedir que os atacantes entrem tão profundamente no ambiente deve ser a prioridade número um: isso significa corrigir os endpoints da organização e se defender contra phishing – que continua sendo um dos principais vetores de ataque para as empresas.
O segundo foco para as empresas deve ser evitar o movimento lateral quando os atacantes violam a rede. As organizações devem controlar o acesso de acordo com o princípio do menor privilégio. Usar um modelo de hierarquização – onde nenhuma conta de domínio faria login em sistemas não envolvidos no gerenciamento do próprio AD – claramente tornará mais difícil para os adversários elevar seus privilégios. Os direitos de acesso devem ser revisados regularmente para garantir que os usuários não tenham privilégios de que não precisam para suas funções. As redes também devem ser adequadamente segmentadas para cumprir os mandatos de conformidade regulatória.
No que se refere especificamente ao AD, o gerenciamento de patches e o monitoramento contínuo são vitais. Ataques DCSync podem ser detectados no fio através da inspeção do tráfego DRS. DSGetNCAlterações solicitações que são roteadas fora dos segmentos de rede DC ou que não se originam desses segmentos podem ser um indicador de atividade suspeita.
Além disso, você deve monitorar continuamente as permissões no seu chefe de domínio para evitar surpresas quando usuários sem privilégios receberem acidentalmente as permissões DCsSync e, assim, causarem uma nova vulnerabilidade para sua infraestrutura de AD.
Evite que ataques DCSync abram caminhos para o seu sistema
Mais de 20 anos após sua introdução, o Active Directory continua sendo um dos principais alvos dos atores de ameaças cibernéticas. Os ataques DCSync são uma maneira astuta para os atacantes manterem a persistência, garantindo que obtenham um amplo nível de acesso que não é trivial de corrigir.
Um ataque DCSync é útil para mais do que apenas roubo de credenciais—também pode ser o primeiro passo para um ataque Golden Ticket. No entanto, com uma mistura de segurança de rede e endpoint, as organizações podem reduzir a probabilidade de um ataque bem-sucedido deslizar sob o radar.
FONTE: HELPNET SECURITY