Guía de la Alianza de los Cinco Ojos para detectar y mitigar riesgos Active Directory Compromisos

La Alianza de los Cinco Ojos, dirigido por el Dirección de Señales de Australia (ASD), publicó recientemente un documento clave titulado Detección y mitigación Active Directory Compromisos, destacando el aumento de los ataques de ransomware en Active Directory entornos, especialmente en la región APAC. En este blog, examinaremos algunos de los riesgos más comunes descritos en la guía y destacaremos cómo Silverfort va a ayudar.

¿Qué es la detección y mitigación? Active Directory ¿Orientación sobre compromisos?

La guía sobre detección y mitigación Active Directory Los compromisos describen tácticas, técnicas y procedimientos (TTP) comunes utilizados por los atacantes para violar Active Directory infraestructura y proporciona estrategias de mitigación. Esta guía es una respuesta oportuna a la creciente dependencia de las amenazas a la identidad en ransomware Ataques en APAC, incluidas algunas infracciones notables: 

El ataque del ransomware MediSecure (noviembre de 2023, revelado en julio de 2024)

MediSecure, una empresa de recetas digitales con sede en Australia, sufrió un ataque de ransomware el año pasado que expuso la información personal y de salud de casi 13 millones de personas. Esto también provocó que la empresa se declarara en quiebra. La filtración parecía tener su origen en uno de los sistemas de MediSecure. proveedores externos, lo que sugiere que los atacantes pueden haber obtenido acceso a los datos de MediSecure utilizando credenciales comprometidas.

Ataque de ransomware al puerto de Nagoya (julio de 2023)

Un ataque atribuido a la El grupo LockBit interrumpió el comercio y la logística en el puerto de Nagoya, el puerto marítimo más activo de Japón – un importante centro de exportación de automóviles y un motor importante para la economía japonesa. El ataque provocó pérdidas de dos días, lo que limitó la capacidad del puerto para recibir contenedores de carga. Si bien no se ha revelado públicamente cómo LockBit obtuvo el acceso inicial, su ransomware La estrategia de los atacantes se basa generalmente en correos electrónicos de phishing y en la compra de credenciales robadas. En cuanto obtienen acceso a la red, se mueven lateralmente, extraen credenciales adicionales, aumentan los privilegios, amplían su acceso y cifran los datos críticos. En este caso, se vio comprometida la terminal de Nagoya United (NUTS), que gestiona las operaciones de contenedores. La nota de rescate que dejaron los atacantes afirmaba que los datos de NUTS habían sido cifrados y se exigía un rescate.

El ataque al ICBC (noviembre de 2023)

El Banco Industrial y Comercial de China (ICBC), el mayor prestamista del mundo por activos, fue atacado por un ransomware El ataque estaba dirigido a la división de servicios financieros del banco, US ICBC Financial Services. Se informó que el ataque había causado importantes interrupciones en las operaciones del Tesoro. Según los informes, los atacantes obtuvieron acceso no autorizado a ICBC explotando una vulnerabilidad de Citrix NetScaler ADC y NetScaler Gateway denominada "Citrix Bleed". La explotación de esta vulnerabilidad, advierte CISA (la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos)“podría permitir la divulgación de información confidencial, incluida información del token de autenticación de sesión que podría permitir a un actor de amenazas 'secuestrar' la sesión de un usuario”.

Compromisos comunes de AD descritos en la guía

Si bien describieron más de 15 vulnerabilidades relacionadas con AD, nos centraremos en algunas de las más comunes, a saber, Kerberoasting, AS-REP Roasting, Password Spraying, Delegación sin restriccionesy compromiso de AD CS.

kerberasting 

¿Qué es kerberasting?
kerberasting está explotando el protocolo de autenticación Kerberos. En concreto, Kerberoasting tiene como objetivo cuentas de servicio, aprovechando el hecho de que cualquier usuario autenticado puede solicitar tickets del Servicio de concesión de tickets (TGS) para cualquier servicio. Los atacantes solicitan tickets TGS asociados a nombres principales de servicio (SPN) y luego descifran los tickets cifrados sin conexión para obtener las contraseñas. De esta manera, pueden acceder a áreas restringidas sin ser detectados.

Cómo Silverfort Ayuda a detectar y proteger contra Kerberoasting en tiempo real

Detección 

• Realice un seguimiento de las solicitudes de servicio a los usuarios con SPN y detecte ataques Kerberoasting mediante la detección de anomalías.
• Monitoree las denegaciones sospechosas de MFA y las violaciones de cercas virtuales para detectar credenciales comprometidas.

Protección En Tiempo Real

• Denegar automáticamente las solicitudes de tickets de servicio identificadas como Kerberoatting 
• Hacer cumplir MFA Políticas para cuentas humanas y cercas virtuales para cuentas de servicio para evitar la vulneración de la identidad.

_{Descripción general de Kerberoasting (Fuente: Detección y mitigación de ataques de Microsoft) Active Directory Compromisos)}

AS-REP Tostado

¿Qué es el tostado AS-REP?

El Roasting de respuesta del servidor de autenticación (AS-REP) es un método de ataque dirigido a objetos de usuario configurados para no requerir Kerberos Preautenticación. Si un atacante logra descifrar un ticket AS-REP cifrado con el hash de la contraseña de un usuario, puede obtener la contraseña en texto simple del usuario y autenticarse como tal.

Cómo Silverfort Ayuda a detectar y proteger contra el tostado de AS-REP en tiempo real

Detección

• Silverfort Detecta solicitudes AS-REP sin autenticación previa y marca las sospechosas autenticación intentos.
• Monitorizar patrones sospechosos de MFA negaciones y violaciones de cercas virtuales para detectar intentos exitosos de Roasting AS-REP.

Protección En Tiempo Real

• Establecer políticas de MFA para cuentas humanas y cercas virtuales para cuentas de servicio para defenderse contra el AS-REP Roasting.
• Denegar automáticamente autenticaciones sin autenticación previa.

^{Descripción general del AS-REP Roasting (Fuente: Detección y mitigación de errores de Microsoft) Active Directory Compromisos)} 

Pulverización de contraseña 

¿Qué es el rociado de contraseñas? 

En el caso del robo de contraseñas, los atacantes intentan autenticarse ante varios usuarios utilizando distintas combinaciones de contraseñas hasta que lo consiguen. Estas contraseñas pueden proceder de listas de contraseñas públicas, de contraseñas que se han identificado como reutilizadas en el entorno de destino o incluso de la misma contraseña que se ha probado en varias cuentas. 

Cómo Silverfort Ayuda a detectar y proteger contra el robo de contraseñas en tiempo real 

Detección   

• Detecta intentos de fuerza bruta mediante el seguimiento de ataques repetidos. autenticación Fallos en múltiples cuentas.
• Monitorea la actividad inusual que involucra cuentas de administrador integradas, que son objetivos comunes de los intentos de robo de contraseñas. 
• Supervisar la enumeración de múltiples recursos SMB, una técnica que suele utilizarse para descubrir credenciales en recursos compartidos de archivos no protegidos.

Protección En Tiempo Real  

La guía describe la MFA como una forma eficaz de mitigar la difusión de contraseñas cuando los atacantes intentan obtener acceso inicial, pero una vez que ya han obtenido acceso, no es tan eficaz porque pueden autenticarse directamente en el controlador de dominio (DC) con el NTLM protocolo que no admite MFA. 

Si bien es cierto que NTLM No es compatible con MFA, pero no significa que no haya forma de evitarlo. De hecho, sí la hay y es parte de nuestra integración con Active DirectorySin necesidad de realizar ningún cambio, AD nos reenvía cada solicitud de acceso para una segunda opinión. Esto nos permite aplicar la verificación de MFA en cualquier recurso que utilice AD, incluidos los sistemas heredados y la infraestructura local que utiliza NTLM.

• Proteja las cuentas humanas mediante la implementación de MFA y cuentas de servicio con esgrima virtual.
• Reducir el uso de NTLM siempre que sea posible, así como NTLMV1, LDAP y otros protocolos débiles. 
• Aplicar políticas de verificación de MFA para protocolos heredados como NTLM.

Delegación sin restricciones 

¿Qué es Delegación sin restricciones? 

Con la delegación sin restricciones, un objeto informático puede hacerse pasar por cualquier usuario autenticado y acceder a cualquier servicio. Cuando un objeto de usuario se autentica en un objeto informático con delegación sin restricciones, se almacena localmente una copia del TGT del usuario. 

Si un atacante obtiene acceso de administrador local a una computadora configurada para delegación sin restricciones, puede extraer los TGT de cualquier objeto de usuario que se haya autenticado previamente en el objeto de la computadora. El atacante puede usar estos TGT para hacerse pasar por otros objetos de usuario en el dominio, incluidos los administradores del dominio. 

Cómo Silverfort Ayuda a detectar y proteger contra la delegación sin restricciones en tiempo real 

Detección   

• Los TGT de los usuarios pueden ser robados si se autentican en computadoras configuradas con delegación sin restricciones.
• Utilice las políticas Denegar/Notificar/MFA para monitorear computadoras con delegación sin restricciones en busca de denegaciones de MFA sospechosas y violaciones de cercado virtual. 

Protección En Tiempo Real  

• Configure una política de Denegación/MFA para autenticaciones en computadoras con delegación sin restricciones.
• Aplicar políticas de MFA para cuentas humanas y protección para cuentas de servicio para evitar la vulneración de la identidad. 

Compromiso de AD CS 

¿Qué es un compromiso de AD CS? 

Anuncio CS (Active Directory Los servicios de certificados se utilizan para la emisión y gestión de certificados de infraestructura de clave pública (PKI), que se utilizan habitualmente con fines de autenticación (así como para otros fines, como el cifrado y la firma digital de documentos, pero esto no está relacionado con nuestro tema). La autoridad de certificación (CA) de AD CS ofrece una variedad de plantillas de certificados para ayudar a los usuarios y a las computadoras a obtener certificados para diversos usos. 

Una de las vulnerabilidades más comunes de AD CS es la explotación de plantillas mal configuradas como ESC1. La plantilla ESC1 permite que cualquier usuario solicite un certificado en nombre de cualquier otro usuario. De esta manera, los atacantes pueden autenticarse como ese usuario y heredar sus privilegios. 

Cómo Silverfort Ayuda a detectar y proteger contra ataques de AD CS en tiempo real 

Detección   

• Silverfort Monitorea las autenticaciones sospechosas. En concreto, las solicitudes TGT en las que se utilizó un certificado.

Protección En Tiempo Real  

• Si la autenticación basada en certificados no se utiliza ampliamente en su organización, limite su uso con una política de denegación.
• Asegúrese de que MFA esté habilitado en las cuentas humanas y que el cercado virtual esté habilitado en las cuentas de servicio.

¿Y ahora qué sigue?

La buena noticia es que, a pesar de toda la oscuridad, hay luz, y todas estas vulnerabilidades son, de hecho, detectables y mitigables. Para cada ataque, existe una contraestrategia detallada, que incluye limitar el acceso privilegiado, implementar prácticas de autenticación robustas y minimizar los riesgos de los protocolos heredados. 

En definitiva, lidiar con Active Directory Las amenazas requieren medidas directas y activas. Se trata de identificar y prevenir los mecanismos que utilizan los atacantes. ¿Alguien dijo "detectar y mitigar"?