Active Directory هدف بسیاری از حملات است چرا که منبع اصلی مدیریت هویت و دسترسی در سازمان است.
هکرها معمولا Active Directory را با تکنیک های مختلف حمله هدف قرار می دهند. با هم تعدادی از این حملات و نحوه حفاظت در برابر آنها را مرور خواهیم کرد.
حملات Active Directory مدرن مورد استفاده مهاجمان
بسیاری از حملات با هدف ACTIVE DIRECTORY DOMAIN SERVICES می تواند محیط شبکه را به خطر بیاندازد. به حملات مدرن زیر که علیه ACTIVE DIRECTORY DOMAIN SERVICES استفاده می شود توجه کنید:
1. DCSync
2. DCShadow
3. Password spray
4. Pass-the-Hash
5. Pass-the-Ticket
6. Golden ticket
7. Service Principal name
8. Active Directory minCount
9. Active Directory minSDHolder
DCSync
کنترلرهای دامنه میزبان ACTIVE DIRECTORY DOMAIN SERVICES از نوعی تکرار برای همگام سازی تغییرات استفاده می کنند. یک مهاجم با تجربه می تواند رفتار تکرار قانونی کنترلرهای دامنه را تقلید کرده و از درخواست GetNCChange استفاده کند تا بتواند هش های هویتی از کنترلرهای اصلی دامنه را بگیرد.
ابزار open source و رایگان مختلفی از جمله Mimikatz وجود دارد که در چنین حملاتی به راحتی از آنها استفاده می شود.
حفاظت در برابر حملات DCSync:
• برقرار کردن تدابیر امنیتی معتبر و مناسب برای کنترلرهای دامنه، حفاظت از حساب های کاربری ممتاز و مهم با استفاده از پسوردهای قوی
• حذف حساب های کاربری غیرضروری از ACTIVE DIRECTORY از جمله حسابهای کاربری سرویس
• نظارت بر تغییرات در گروههای دامنه و سایر فعالیت ها
DCShadow
این حملات از جهات زیادی با حملات DCSync شباهت داشته و از ارتباطات ترافیکی قانونی ACTIVE DIRECTORY و کنترلرهای دامنه بهره می برد. به علاوه این حمله از دستورات DCShadow به عنوان بخشی از ماژول Mimikatz Isadump استفاده می کند.
در حمله مذکور دستورالعملهایی در پروتکل Microsoft Directory Replication Service Remote استفاده می شود و به مهاجم اجازه میدهد تا یک کنترلر دامنه در محیط شبکه ایجاد کرده و تغییرات را از طریق این کنترلر به سایر کنترلرهای دامنه در پس زمینه تکثیر کند. این کار می تواند دربرگیرنده اضافه کردن حسابهای کاربری تحت کنترل هکر به گروه مدیران دامنه نیز باشد.
حفاظت در برابر حملات DCShadow:
• از شبکه خود در برابر حملات افزایش امتیاز حفاظت کنید.
• از پسوردهای قوی و راهکاری احراز هویت چند عاملی برای حسابهای کاربری و خدمتی استفاده کنید.
• از اعتبارنامه و مشخصات هویتی ادمین دامنه برای ورود به سایر سیستم های کلاینتی استفاده نکنید.
Password spray
این حمله یک حمله پسوردی بوده که حساب های کاربری با پسورد ضعیف در ACTIVE DIRECTORY DOMAIN SERVICES را هدف قرار میدهد. در این حمله مهاجم از یک پسورد رایج و ضعیف استفاده کرده و از آن برای راهیابی به حسابهای مختلف ACTIVE DIRECTORY استفاده می کند.
مزیتی که این حمله نسبت به حملات brute force دارد این است که باعث قفل شدن اکانت ها نمی شود چرا که مهاجم تنها پسورد را یکبار برای هر حساب کاربری استفاده می کند. در این روش مهاجم می تواند پسوردهای ضعیف در محیط شبکه را پیدا کند.
حفاظت در برابر حملات Password Spray:
• استفاده از پسوردهای قوی و سیاست های انتخاب پسورد مناسب و راهکارهای احراز هویت چند عاملی
• پیشگیری از استفاده از پسوردهای نقض شده یا لو رفته
• پیشگیری از استفاده از پسوردهای تکراری
• تشویق به استفاده از عبارتهای رمز عبور
Pass-the-hash
مانند سایر پایگاه داده های پسورد، ACTIVE DIRECTORY هش پسوردها را در پایگاه داده ای ذخیره می کند. هش به طور ساده نوعی نمایش ریاضی از یک پسورد می باشد که آن را از دید مستقیم حفظ می کند. این نوع حمله ها به مهاجم اجازه دسترسی به هش ها را داده و با استفاده از آن می تواند یک نشست جدید در همان شبکه ایجاد کرده و به منابع دسترسی پیدا کند.
با این حمله، مهاجم از پسورد اطلاعی پیدا نکرده یا آن را کرک نمی کند بلکه فقط به هش آن دسترسی دارد.
حفاظت در برابر حملات Pass-the-hash:
• ایجاد در محدودیت تعداد کاربران با امتیازات ادمین
• استفاده از ایستگاههای کاربری Hardened به عنوان جعبه پرش ادمین
• استفاده از LAPS برای حسابهای کاربری محلی
Pass-the-ticket
محیطهای ACTIVE DIRECTORY مدرن از احراز هویت Kerberos یک پروتکل مبتنی بر تیکت استفاده می کند. این نوع حمله ها از تیکت های به سرقت رفته Kerberos استفاده می کنند تا در محیط احراز هویت شوند.
مهاجم می تواند از اکسپلویت احراز هویت در این حمله برای حرکت در طول یک محیط ACTIVE DIRECTORY استفاده کنند و منابع مورد نیاز خود را احراز هویت کرده و امتیازات خود را افزایش دهد.
حفاظت در برابر حملاتPass-the-ticket :
• استفاده از پسوردهای قوی مخصوصا برای حسابهای کاربری ادمین و سرویس
• حذف پسوردهای نقض شده در محیط شبکه
• افزایش شرایط امنیتی سراسری با استفاده از راهکارهای امنیتی معتبر در شبکه
Golden Ticket
این نوع حمله نوعی حمله سایبری است که مهاجم هش NTLM را از KRBTGT به سرقت می برد. آنها می توانند از این هش در انواع دیگر حملات استفاده کنند. زمانی که مهاجم پسوردی از KRBTGT را داشته باشد، می تواند به خود یا سایرین توانایی ایجاد تیکت دهند.
تشخیص این نوع حملات دشوار بوده و میتواند برای مدت طولانی شبکه را در معرض خطر قرار دهد.
حفاظت در برابر حملات Golden ticket :
• تغییر منظم پسورد KRBTGT، حداقل هر 180 روز یکبار.
• اعمال کمترین امتیازات در محیط ACTIVE DIRECTORY سازمان
• استفاده از پسوردهای قدرتمند
Service Principal Name
SPN یک مشخص کننده هویت خاص برای سرویس ACTIVE DIRECTORY می باشد. Kerberos از SPN برای تخصیص سرویس instance مثل SQL Server همراه با حساب کاربری ACTIVE DIRECTORY استفاده می کند. حملات Kerberosating تلاش می کند تا پسورد یک حساب کاربری سرویس مورد استفاده SPN را کرک کند.
در ابتدا آنها تیکت TGS که در پی درخواست مخرب خود دریافت کرده اند را برای یک سرویس تیکت Kerberos ثبت می کنند. سپس تیکت ثبت شده را آفلاین کرده تا بتوانند از ابزاری مث Hashcat برای کرک کردن پسورد حساب کاربری خدمت استفاده کنند.
حفاظت در برابر حملات Kerberosating:
• نظارت بر رفتارهای مشکوک مثل درخواست های تیکت Kerberos غیرضروری
• استفاده از پسوردهای قوی و ابزار احراز هویت چند عاملی برای حسابهای کاربری خدمت
• نظارت بر استفاده از حساب های کاربری خدمت و سایر حسابهای کاربری مهم.
admin Count
مهاجمان عموما زمانی که دسترسی سطح پایین و محدودی به شبکه پیدا می کنند، از آن برای نظارت و بررسی محیط استفاده می کنند. یکی از اولین وظایف مهاجم ارتقا سطح دسترسی ها و امتیازات خود می باشد. برای افزایش امتیازات لازم است بدانند که چه حسابهای کاربری ای، مهمتر هستند.
یکی از جنبه های ACTIVE DIRECTORY که adminCount نامیده میشود، کاربرانی که به گروه های محافظت شده اضافه می شوند مثل ادمین دامنه را شناسایی می کند. مهاجم می تواند با نظارت بر این خصوصیت اشیایی با امتیازات ادمین را مشخص کند.
محافظت در برابر حملات admin Count:
• نظارت منظم بر adminSDHolder برای یافتن کاربران یا گروههای مشکوک!
• نظارت بر حسابهای کاربری دارای خصوصیت adminCount تنظیم شده روی 1.
• استفاده از پسوردهای قوی برای هر حساب کاربری
adminSDHolder
در دیگر حمله رایج ACTIVE DIRECTORY ، مهاجم از فرآیند Security Descriptor Propagation(SDProp) برای دسترسی به امتیازات و مجوزها سواستفاده می کند.
SDProp چیست؟
SDProp یک فرآیند خودکار در ACTIVE DIRECTORY است که هر 60 دقیقه اجرا شده و ACL را از Active Directory minSDHolder به هر کاربر و گروهی با خصوصیت adminCount تنظیم شده روی 1 کپی می کند. مهاجمان می توانند به صورت بالقوه کاربر یا گروه جعلی در شیadminSDHolder اضافه کنند. سپس این فرآیند مجوزهای کاربر جعلی را برای مطابقت با adminSDHolder ACL تنظیم می کند و در نتیجه امتیازات آنها افزایش می یابد.
محافظت در برابر حملات adminSDHolder:
• نظارت منظم بر adminSDHolder برای یافتن کاربران و گروههای مشکوک
• نظارت بر حسابهای کاربری با adminCount تنظیم شده روی 1
• استفاده از پسوردهای قوی برای همه حسابهای کاربری
راهکاری برای امنیت بیشتر
ACTIVE DIRECTORY از اهداف اصلی مهاجمان و راهی ساده برای به خطر انداختن اطلاعات حساس سازمان محسوب می شود. به کارگیری پسورهای ضعیف، نقض شده و … اغلب می تواند حسابهای کاربری را به خطر بیاندازد. متاسفانه ACTIVE DIRECTORY ابزار داخلی ای برای به کارگیری سیاست های پسورد مدرن یا حفاظت از آنها ندارد.
محافظت از زیرساخت ACTIVE DIRECTORY در برابر حملات باید جزو وظایف اصلی امنیت سایبری باشد، مهاجمان با روشهای مختلفی که ذکر شد به ACTIVE DIRECTORY حمله می کنند. افزایش امنیت پسوردهای مورد استفاده در شبکه کمک می کند تا امنیت ACTIVE DIRECTORY و حسابهای کاربری ممتاز حفظ شود.
استفاده از راهکارهای امنیتی با قابلیت مدیریت پسوردها و همچنین ابزار احراز هویت چندعاملی در این زمینه بسیار موثر خواهد بود. می توانید برای اطلاعات بیشتر و مشاوره با این شرکت تماس حاصل فرمایید، همکاران ما با افتخار پاسخگوی شما خواهند بود.
منبع: https://www.bleepingcomputer.com
