A Aliança dos Cinco Olhosliderado pelo Diretoria de Sinais Australiana (ASD), divulgou recentemente um documento fundamental intitulado Detectando e Mitigando Active Directory Compromissos, destacando o aumento de ataques de ransomware em Active Directory ambientes, especialmente na região APAC. Neste blog, examinaremos alguns dos comprometimentos mais comuns descritos na orientação e destacaremos como Silverfort podem ajudar.
O que é a detecção e mitigação Active Directory Orientação de compromissos?
A orientação sobre detecção e mitigação Active Directory Os compromissos descrevem táticas, técnicas e procedimentos comuns (TTPs) usados por invasores para violar Active Directory infraestrutura e fornece estratégias de mitigação. Esta orientação é uma resposta oportuna à crescente dependência de ameaças de identidade em ransomware ataques na APAC, incluindo algumas violações notáveis:
O ataque do MediSecure Ransomware (novembro de 2023, revelado em julho de 2024)
A MediSecure, uma empresa de prescrição digital sediada na Austrália, sofreu um ataque de ransomware no ano passado que expôs informações pessoais e de saúde de quase 13 milhões de pessoas. Isso também resultou no pedido de insolvência da empresa. A violação pareceu se originar de um dos MediSecure's fornecedores de terceiros, sugerindo que os invasores podem ter obtido acesso aos dados do MediSecure usando credenciais comprometidas.
Ataque de Ransomware no Porto de Nagoya (julho de 2023)
Um ataque atribuído ao O grupo LockBit interrompeu o comércio e a logística no Porto de Nagoya, o porto de embarque mais movimentado do Japão – um importante centro de exportação de carros e um importante motor para a economia japonesa. Dois dias foram perdidos no ataque, o que restringiu a capacidade do porto de receber contêineres de transporte. Embora não tenha sido divulgado publicamente como a LockBit obteve acesso inicial, seu ransomware A estratégia é tipicamente baseada em e-mails de phishing e compra de credenciais roubadas. Assim que eles ganham acesso à rede, eles se movem lateralmente, extraem credenciais adicionais, escalam privilégios, ampliam seu acesso e criptografam dados críticos. Neste caso, o Nagoya United Terminal System (NUTS), que gerencia operações de contêineres, foi comprometido. A nota de resgate deixada pelos invasores alegou que os dados do NUTS foram criptografados e um resgate foi exigido.
O Ataque do ICBC (novembro de 2023)
O Banco Industrial e Comercial da China (ICBC), o maior credor do mundo em ativos, foi atingido por um ataque de ransomware direcionado à divisão de serviços financeiros do banco, US ICBC Financial Services. Foi relatado que o ataque causou grandes interrupções no Treasury Trades. De acordo com os relatórios, os invasores obtiveram acesso não autorizado ao ICBC explorando uma vulnerabilidade do Citrix NetScaler ADC e NetScaler Gateway chamada “Citrix Bleed”. A exploração desta vulnerabilidade, alerta a CISA (Agência de Segurança Cibernética e de Infraestrutura dos EUA), “poderia permitir a divulgação de informações confidenciais, incluindo informações de token de autenticação de sessão que podem permitir que um agente de ameaça 'sequestre' a sessão de um usuário”.
Compromissos comuns de AD descritos na orientação
Embora eles tenham descrito mais de 15 comprometimentos relacionados ao AD, vamos nos concentrar em alguns dos mais comuns, a saber, Kerberoasting, AS-REP Roasting, Password Spraying, Delegação irrestrita, e AD CS Compromise.
Kerberasting
O que é o Kerberasting?
Kerberasting está explorando o protocolo de autenticação Kerberos. Especificamente, o Kerberoasting tem como alvo contas de serviço, explorando o fato de que qualquer usuário autenticado pode solicitar tickets do Ticket Granting Service (TGS) para qualquer serviço. Os invasores solicitam tickets do TGS associados a Service Principal Names (SPNs) e, em seguida, quebram os tickets criptografados offline para obter senhas. Dessa forma, eles podem acessar áreas restritas sem serem detectados.
Como funciona o dobrador de carta de canal Silverfort Ajuda a detectar e proteger contra Kerberoasting em tempo real
Detecção
- Rastreie solicitações de serviço para usuários com SPNs e detecte ataques Kerberoasting usando detecção de anomalias.
- Monitore recusas suspeitas de MFA e violações de cercas virtuais para detectar credenciais comprometidas.
Proteção Em Tempo Real
- Negar automaticamente solicitações de tíquete de serviço identificadas como Kerberoasting
- aplicar MFA políticas para contas humanas e proteção virtual para contas de serviço para evitar comprometimento de identidade.
Visão geral do Kerberoasting (Fonte: Detectando e atenuando o Microsoft Active Directory Compromissos)
AS-REP Assando
O que é torrefação AS-REP?
O Roasting de Resposta do Servidor de Autenticação (AS-REP) é um método de ataque direcionado a objetos de usuário configurados para não exigir Kerberos pré-autenticação. Se um invasor conseguir quebrar um ticket AS-REP criptografado com um hash de senha de usuário, ele poderá obter a senha de texto simples do usuário e autenticar-se como o usuário.
Como funciona o dobrador de carta de canal Silverfort Ajuda a detectar e proteger contra a torrefação AS-REP em tempo real
Detecção
- Silverfort detecta solicitações AS-REP sem pré-autenticação e sinaliza suspeitas autenticação tentativas.
- Monitore padrões suspeitos de MFA negações e violações de cercas virtuais para detectar tentativas bem-sucedidas de AS-REP Roasting.
Proteção Em Tempo Real
- Defina políticas de MFA para contas humanas e cercas virtuais para contas de serviço para se defender contra a torrada do AS-REP.
- Negar autenticações automaticamente sem pré-autenticação.
Visão geral do AS-REP Roasting (Fonte: Detectando e atenuando o Microsoft Active Directory Compromissos)
Pulverização de senha
O que é a pulverização de senha?
No password spraying, os invasores tentam autenticar vários usuários usando diferentes combinações de senhas até que tenham sucesso. Essas senhas podem vir de listas de senhas públicas, ou identificadas como sendo reutilizadas no ambiente de destino, ou até mesmo a mesma senha tentada em várias contas.
Como funciona o dobrador de carta de canal Silverfort Ajuda a detectar e proteger contra pulverização de senhas em tempo real
Detecção
- Detecte tentativas de força bruta rastreando repetidas autenticação falhas em várias contas.
- Monitore atividades incomuns envolvendo contas de administrador integradas, que são alvos comuns para tentativas de pulverização de senhas.
- Monitore a enumeração de vários recursos SMB, uma técnica frequentemente usada para descobrir credenciais em compartilhamentos de arquivos desprotegidos.
Proteção Em Tempo Real
A orientação descreve o MFA como uma forma eficaz de mitigar a pulverização de senhas quando os invasores tentam obter acesso inicial, mas, uma vez que já obtiveram acesso, não é tão eficaz porque eles podem então autenticar diretamente no Controlador de Domínio (DC) com o NTLM protocolo, que não suporta MFA.
Embora seja verdade que NTLM não suporta MFA, isso não significa que não haja uma maneira de contornar isso. Na verdade, há, e faz parte da nossa integração com Active Directory. Sem exigir nenhuma alteração, o AD encaminha cada solicitação de acesso para nós para uma segunda opinião. Isso nos permite impor a verificação MFA em qualquer recurso que use o AD, incluindo sistemas legados e infraestrutura on-prem que usam NTLM.
- Proteja contas humanas implementando MFA e contas de serviço com esgrima virtual.
- Reduza o uso de NTLM sempre que possível, bem como NTLMV1, LDAP e outros protocolos fracos.
- Aplique políticas de verificação de MFA para protocolos legados, como NTLM.
Delegação irrestrita
O que é o Delegação irrestrita?
Com delegação irrestrita, um objeto de computador pode personificar qualquer usuário autenticado e acessar qualquer serviço. Quando um objeto de usuário autentica para um objeto de computador com delegação irrestrita, uma cópia do TGT do usuário é armazenada localmente.
Se um invasor obtiver acesso de administrador local a um computador configurado para delegação irrestrita, ele poderá extrair os TGTs para qualquer objeto de usuário que tenha sido autenticado anteriormente no objeto de computador. O invasor pode então usar esses TGTs para personificar outros objetos de usuário no domínio, incluindo administradores de domínio.
Como funciona o dobrador de carta de canal Silverfort Ajuda a detectar e proteger contra delegação irrestrita em tempo real
Detecção
- Os TGTs dos usuários podem ser roubados se eles se autenticarem em computadores configurados com delegação irrestrita.
- Use políticas de Negar/Notificar/MFA para monitorar computadores com delegação irrestrita em busca de negações suspeitas de MFA e violações de cercas virtuais.
Proteção Em Tempo Real
- Configure uma política de negação/MFA para autenticações em computadores com delegação irrestrita.
- Aplique políticas de MFA para contas humanas e proteção para contas de serviço para evitar comprometimento de identidade.
Compromisso AD CS
O que é um comprometimento do AD CS?
AD CS (Active Directory Certificate Services) é usado para a emissão e gerenciamento de certificados de Public Key Infrastructure (PKI), que são comumente usados para fins de autenticação (bem como para outros fins, como criptografia e assinatura digital de documentos, mas isso não está relacionado ao nosso tópico). A AD CS Certificate Authority (CA) oferece uma variedade de modelos de certificado para ajudar usuários e computadores a obter certificados para vários usos.
Um dos comprometimentos mais comuns do AD CS é explorar modelos mal configurados como ESC1. O modelo ESC1 permite que qualquer usuário solicite um certificado em nome de qualquer outro usuário. Dessa forma, os invasores conseguem se autenticar como esse usuário e herdar seus privilégios.
Como funciona o dobrador de carta de canal Silverfort Ajuda a detectar e proteger contra comprometimentos do AD CS em tempo real
Detecção
- Silverfort monitora autenticações suspeitas. Especificamente, solicitações TGT nas quais um certificado foi usado.
Proteção Em Tempo Real
- Se a autenticação baseada em certificado não for amplamente usada em sua organização, limite seu uso com uma política de negação.
- Certifique-se de que o MFA esteja habilitado em contas humanas e que o cercamento virtual esteja habilitado em contas de serviço.
O que vem por aí?
A boa notícia é que, apesar de toda a escuridão, há luz, e todos esses compromissos (e mais, que você poderá ler em breve em nosso guia completo sobre alinhamento com Detectando e Mitigando Active Directory Compromissos) são de fato detectáveis e mitigáveis. Para cada ataque, há uma contraestratégia detalhada, incluindo limitar o acesso privilegiado, impor práticas de autenticação fortes e minimizar os riscos de protocolos legados.
Resumindo, lidar com Active Directory ameaças exigem medidas diretas e ativas. É tudo sobre identificar e prevenir os mecanismos que os invasores usam. Alguém disse “detectar e mitigar”?