Otključavamo bezbednosne tajne aktivnog direktorijuma

Active Directory (AD) je ključni deo IT infrastrukture mnogih organizacija, koji služi kao centralizovana baza podataka za upravljanje i kontrolu pristupa mrežnim resursima. Međutim, njegova izloženost čini ga privlačnom metom za hakere. U ovom članku ćemo istražiti bezbednosne aspekte aktivnog direktorijuma, objasniti kako funkcioniše, diskutovati o najčešćim metodama napada koje koriste napadači i preporučiti strategije za odbranu od tih pretnji.

Šta je Active Directory?

Active Directory je servis razvijen od strane Microsofta koji obezbeđuje strukturu za upravljanje korisnicima, računarima, grupama i drugim mrežnim resursima unutar Windows domena.

Drugim rečima, Active Directory (AD) je baza podataka i skup usluga koje povezuju korisnike s mrežnim resursima koji su im potrebni za obavljanje svojih poslovnih aktivnosti.

Baza podataka (ili direktorijum) sadrži ključne informacije o vašem okruženju, uključujući informacije o korisnicima i računarima, ko ima ovlašćenje za šta. Na primer, baza podataka može sadržati 100 korisničkih naloga s detaljima poput radnog mesta svake osobe, broja telefona i lozinke. Takođe će zabeležiti njihova ovlašćenja(kojim resursima smeju pristupiti).

AD omogućava centralizovanu autentifikaciju – brine da je svaka osoba ona koja tvrdi da jeste, obično proverom korisničkog ID-ja i lozinke koje unose. Takođe, uloge AD-a su i autorizacija i kontrolu pristupa, odnosno Active Directory omogućava korisnicima da pristupe samo podacima za koje imaju dozvolu. Ove funkcije olakšavajući administratorima efikasno upravljanje velikim mrežama.

Kako funkcioniše Active Directory?

Glavni servis aktivnog direktorijuma je Active Directory Domain Services (AD DS), koji je deo operativnog sistema Windows Server.

Serveri koji pokreću AD DS nazivaju se domen kontroleri (domain controllers - DC). Organizacije obično imaju više DC-ova, pri čemu svaki ima kopiju direktorijuma za celokupni domen. Promene koje se izvrše u direktorijumu na jednom kontroleru domena - kao što je ažuriranje lozinke ili brisanje korisničkog naloga - se replicira na ostale DC-ove kako bi svi bili ažurirani.

Active Directory namenjen je isključivo za on-premises Microsoft okruženja.

Najčešće metode napada na Active Directory:

Aktivni direktorijum kontroliše celokupnu IT infrastrukturu. Pristup aplikacijama, softveru, osetljivim datotekama i najpoverljivijim podacima nalazi se u aktivnom direktorijumu. Upravo to ga čini najprimamljivijom metom za napadače.

Ako napadač može da pristupi AD sistemu, potencijalno može pristupiti svim povezanim korisničkim nalozima, bazama podataka, aplikacijama i svim vrstama informacija. Stoga, ako je bezbednost Aktivnog direktorijuma kompromitovana, posebno ako se napad ne otkrije rano, to može dovesti do posledica od kojih se teško oporavlja.

Zbog svega navedenog od ključne je važnosti da organizacije budu upoznate sa najčešćim načinima na koje napadači mogu da ugroze Active Directory, pa ih navodimo u nastavku.

DCSync:

Ovaj napad omogućava napadaču sa administratorskim privilegijama da replikuje bazu podataka aktivnog direktorijuma i izvuče heš lozinki, kompromitujući ceo domen.

Domen kontroleri koji hostuju Active Directory Domain Services koriste određeni tip replikacije kako bi sinhronizovali promene. Iskusni napadač može da oponaša aktivnost legitimne replikacije domen kontrolera i da koristi zahtev GetNCChanges kako bi zatražio heševa lozinki od primarnog domen kontrolera.

Postoje besplatni i otvoreni alati, poput Mimikatza, koji olakšavaju ovakav tip napada.

Kako se zaštititi?

Da bi se izvršio DCSync napad, napadaču su potrebne više privilegije u sistemu, stoga je ključno sprečiti eskalaciju privilegija odmah.

Dakle, preventivne mere za ovu vrstu napada uključuju zaštitu privilegovanih naloga, primenu snažnih pravila za lozinke i ograničavanje administratorskog pristupa.

Takođe se preporučuje i uklanjanje svih AD naloga koji nisu aktivni i koji se ne koriste, uključujući i servis-naloge, kao i monitoring promena u domen grupama.

_Pročitajte i: Šest često zapostavljenih ranjivih tačaka IT bezbednosti _

DCS-Shadow:

DCS-Shadow je još jedna Mimikatz komanda koja omogućava napadačima sa privilegovanim nalogom da se predstave kao domen kontroler. Napadači ovde koriste proces replikacije aktivnog direktorijuma kako bi napravili lažnog domenskog kontrolera i presreli saobraćaj, manipulišući objektima domena.

Budući da se promene vrše putem replikacije, a ne direktnim korisničkim radnjama, ovi napadi na Active Directory se teško otkrivaju.

Zbog toga je važno da postoji praćenje metapodataka replikacije, da se koristite jake lozinke na svim zaštićenim nalozima i servisnim nalozima, kao i da se ne koriste kredencijali domen administratora za logovanje na lokalne računare

Password spray:

Ovo je situacija u kojoj napadač koristi listu prethodno kompromitovanih lozinki i heševa kako bi metodom isprobavanja različitih kombinacija korisničkih imena pokušao da se probije u nalog.

Ograničavanje broja pokušaja prijave, primena složenih pravila za lozinke i korišćenje višefaktorske autentifikacije mogu umanjiti rizik od uspešnih password spray napada

Podrazumevani pristupni podaci (Default credentials):

Organizacije često zaboravljaju da promene podrazumevane lozinke na mrežnim uređajima/sistemima, a napadači će tražiti takve uređaje/sisteme kako bi provalili u mrežu.

Menjanje podrazumevanih lozinki i redovno proveravanje privilegovanih naloga može sprečiti neovlašćeni pristup.

Organizacije moraju da promene podrazumevane lozinke i održavaju ažuran inventar mrežne opreme. Takođe, može biti korisno koristiti rešenje koje generiše slučajne lozinke za korisnike i uređaje koji su deo poslovnog procesa.

LDAP izviđanje (LDAP Reconnaissance):

Napadači koji već imaju pristup vašem aktivnom direktorijumu mogu koristiti LDAP upite da bi prikupili dodatne informacije o okruženju. Korišćenjem ove metode, napadači mogu otkriti korisnike, grupe i računare, što im pomaže u planiranju sledećeg koraka napada.

Sprečavanje LDAP izviđanja je teško jer je većina informacija u aktivnom direktorijumu dostupna većini korisnika prema po defaultu.

Stoga je potrebno pažljivo pratiti LDAP saobraćaj kako biste otkrili anomalije i osigurali da svaki nalog ima najmanje privilegije neophodne za obavljanje svojih zadataka.

Kerberoasting:

Kerberoasting je česta tehnika hakovanja koju napadači i timovi za testiranje bezbednosti koriste kako bi povećali privilegije i stekli privilegovan pristup aktivnom direktorijumu.

Napadač koristi standardnog korisnika domena da zatraži SPN (Service Principal Name) koji je potpisan NTLM hešem servisnog naloga. Kada se koriste loše lozinke, samo je pitanje vremena kada mašina za dešifrovanje može razbiti heš i otkriti lozinku u tekstualnom obliku, omogućavajući napadaču da zloupotrebi servisni nalog (koji obično ima visoke privilegije).

Strategija odbrane:

Implementacija naprednih rešenja za bezbednost krajnjih tačaka koja mogu otkrivati i reagovati na sumnjive aktivnosti u realnom vremenu može pomoći u zaštiti aktivnog direktorijuma od napada. Jedno od takvih rešenja je Symantec Endpoint Threat Defense for Active Directory.

Ovo rešenje omogućava izolaciju kompromitovanih krajnjih tačaka. Izolacija kompromitovanih uređaja od mreže sprečava lateralno kretanje napadača, smanjujući njihovu sposobnost za eskalaciju privilegija ili izazivanje dalje štete.

Za zaštitu aktivnog direktorijuma brzina je ključni faktor, budući da je napadaču je potrebno manje od 7 minuta da ostvari potpunu dominaciju nad domenom. Endpoint Threat Defense for Active Directory omogućava da se skrate vreme zadržavanja i vremena suzbijanja. Primena proaktivnih tehnika pronalaženja pretnji, korišćenje SIEM-a i automatizacija radnih tokova za reagovanje na incidente omogućavaju brže otkrivanje i suzbijanje napada na Active Directory.

Endpoint Threat Defense for Active Directory ima i mogućnost simulacije napada na vaše Active Directory okruženje. On neprekidno istražuje vaš domen u potrazi za pogrešnim konfiguracijama i ranjivostima. Drugim rečima, predstavlja administratoru domen iz perspektive napadača, pa se tako smanjuje rizika budućeg napada.

Za više informacija o Symantec rešenjima, kontaktirajte sa Net++ technology.

Zaključak

Ključna uloga aktivnog direktorijuma u upravljanju mrežnim resursima čini ga privlačnom metom za hakere koji žele da kompromituju celokupnu infrastrukturu organizacije. Razumevanje uobičajenih metoda napada i primena sveobuhvatne strategije odbrane su ključni za zaštitu aktivnog direktorijuma i smanjenje povezanih rizika.

Primena višeslojne bezbednosne strategije, uključujući redovno ažuriranje sistema i softvera, sprovođenje sigurnosnih procena, primena principa najmanjih privilegija i edukacija zaposlenih o rizicima fisinga i socijalnog inženjeringa, može značajno smanjiti verovatnoću uspešnih napada na AD.