Метод LotL
Дано: Зловмисник отримав доступ до облікового запису адміністратора в рамках домену і намагається проникнути в головний DC.
Реалізувати подібну атаку й залишитися непоміченим досить складно.
Проте, DCSyns техніка дає можливість заволодіти критичною інформацію про облікові записи без прямого проникнення в DС.
Як це працює?
DCSync є модулем інструменту Mimikatz. Коли зловмисник отримує доступ до робочої станції з обліковим записом адміністратора з правами на реплікацію DC (Облікові записи, які мають привілеї реплікації: адміністратори домену, адміністратори груп та адміністратори контролерів домену) він встановлює Mimikatz на захоплений хост.
Далі відбувається виявлення контролерів домену в мережі та запускається команда DCSync , що дозволяє зловмиснику прикидатися контролером домену та отримувати дані реплікації серед яких є хеші паролів з інших контролерів домену, не виконуючи жодного коду на цільовому DC. Це робиться через протокол MS-DRSR за допомогою методу DSGetNCChanges, який реплікує оновлення з репліки контексту імен (NC) на сервері.
Також, завдяки методу DSGetNCChanges, можна отримати як актуальні так і попередні хеші паролів. Попередні хеші паролів дають більше даних про логіку створення паролів і прискорюють їх відтворення. Зловмисник може брутити пароль поза цільовою системою. Таким чином спроби виявлення присутності зловмисника в системі через невдалі спроби входу в облікові записи є неможливими.
За умови використання правильної парольної політики відтворення паролю за хешем може стати неможливим , проте в AD є застаріла функція зворотного шифрування. Зловмисник видаючи себе за DC змінює конфігурацію для зберігання паролів у не зашифрованому вигляді. Потім створює нову групу в яку додає всі облікові записи домену. Далі створюється політика New-ADFineGrainedPasswordPolicy в якій значення атрибуту ReversibleEncryptionEnabled = TRUE. Після ініціалізації зміни паролю користувачем, пароль буде зберігатися у відкритому вигляді.
Методи виявлення та боротьби:
Дана техніка використовується на останніх стадіях атаки і має на меті отримати абсолютний контроль над системою.
Необхідно завжди враховувати, що зловмисник може отримати доступ до облікового запису адміністратора домену будь-яким способом. Коли справа доходить до використання DCSync, система вже вважається скомпрометованою , проте необхідно докласти всіх зусиль аби не дати зловмиснику просунутися далі та локалізувати скомпрометовану частину системи.
1) Для виявлення використання такої техніки необхідно моніторити мережевий трафік на DRS – протокол служби реплікації каталогів. Завдяки цьому можна виявити реплікацію на DC, який в свою чергу ним не являється.
2) Необхідно створити перелік IP-адрес DC, які мають право на виконання реплікації.
3) Також бажано провести інвентаризацію облікових записів які мають можливість реплікувати DC та урізати цю функцію там де це не потрібно.
4) Необхідно відстежувати журнал AD на предмет запитів на реплікацію та зміни групових політик:
Event ID 4932(S): Synchronization of an active Directory naming context replica has started,
Event ID 4933(S): Synchronization of an active Directory naming context replica completed,
Event ID 4935: Replication failure begins,
Event ID 1109: Application of Group Policy.
5) Також можна звернутися до наступних пунктів MITRE: M1015, M1027, M1026.
6) Необхідно слідкувати за змінами парольних політик та правильно адмініструвати AD, урізаючи застарілі функції та заборонити зберігати паролі у відкритому вигляді.
7) Налаштувати IDS або IPS на реагування у випадку виявлення запиту DsGetNCChange з IP які не мають права на реплікацію.
Таким чином зловмиснику доведеться здійснити ряд додаткових дій завдяки яким вдасться виявити його присутність в системі та не дати просунутися далі.
