התקפות נגד Active Directory? כמו כן, אבל לא רק...

בקריאה תוך כדי קריאה נתקלתי באחד infographics באמת מעניין. אני חייב להודות שהאינפוגרפיקה מושכת אותי בזכות יכולתה לייצג מושגים בצורה ברורה ומיידית באמצעות דיאגרמות או שרטוטים. אופן הייצוג הזה מעורר לא פעם את סקרנותי וכך היה גם הפעם.

זהו פוסט בלינקדאין שפורסם בקבוצה (Ethical Hackers Academy) בו מיוצגות עשר שיטות לתקיפה של Active Directory (AD).

ולכן, חשבתי שנכון להתעמק בזה לרגע שכן לא פעם הבנתי שיש רבים שחושבים שדומיין AD יכול להיות פותר אבטחה.

כמו כל המערכות, AD מביאה יתרונות אבטחה אך היא אינה נטולת גבולות ופגיעויות (ואפילו לעיתים קרובות יותר של תצורה גרועה!) ועל כך נדבר במאמר זה. 

אבל מה זה Active Directory? 

שירות ספריות, כגון Active Directory, מספק שיטות לאחסון נתוני ספרייה והפיכתם לזמינים למנהלי רשת ולמשתמשים. Active Directory מאחסנת פרטי חשבון משתמש, כגון שמות, סיסמאות, מספרי טלפון וכן הלאה, ומאפשרת למשתמשים מורשים אחרים באותה רשת לגשת למידע זה. Active Directory משתמש במאגר נתונים מובנה כבסיס לארגון לוגי והיררכי של מידע ספרייה ומכיל מידע על אובייקטי Active Directory. אובייקטים אלה כוללים בדרך כלל משאבים משותפים כגון שרתים, אמצעי אחסון, מדפסות וחשבונות משתמש ומחשב ברשת. האבטחה משולבת עם Active Directory באמצעות אימות כניסה ובקרת גישה לאובייקטים בספרייה. עם התחברות אחת לרשת, מנהלי מערכת יכולים לנהל את נתוני הארגון והספריות ברחבי הרשת, ומשתמשי רשת מורשים יכולים לגשת למשאבים בכל מקום ברשת. ניהול מבוסס מדיניות מפשט את הניהול אפילו של הרשת המורכבת ביותר.

אז בואו לא נשכח ש-AD מבצעת פונקציות מסוימות ולא כולן פונקציות אבטחה. AD משמשת כמאגר מרכזי עבור נתונים מסוימים, ניתן לשכפל ולהפיץ נתונים כאלה ברחבי ארגון מורכב כדי להבטיח זמינות גבוהה של שירותים מסוימים, מבצעת פונקציות אבטחה על ידי מתן אפשרות לשימוש בסוגים שונים של אימות, GPOs וזרימות עבודה, מבצעת ביקורת על אירועים מסוימים שיכולים להתרחש במערכת ניהול זהויות כגון אימות משתמש ויכולים גם לבצע פונקציות כניסה יחידה.

בהתחשב במספר וחשיבותן של הפונקציות, לכן יש צורך לשים לב במיוחד ולשאול את עצמך שאלה: מה קורה אם AD מותקפת?

ובכן, מבלי לרצות להיות ממצה, הנה כמה סוגים של התקפות שצריך ללמוד כדי להפוך אותן ללא מזיקות או לפחות כדי להבין שאתה מותקף.

קרברואסטינג. לפי ההגדרה של CROWDSTRIKE, זוהי טכניקת התקפה שלאחר ניצול (התקפה שנוטה להרחיב ולהעלות את האישורים של האדם כאשר האדם כבר נמצא בתוך מערכת). התקפה זו מורכבת מהשגת ה-hash של הסיסמה של חשבון AD המשתמש בשירות SPN (שם מנהל השירות: שירות ניהול זהויות). לאחר השגת ה-hash, התוקף מפענח את הסיסמה ובשלב זה יש לו את כל מה שהוא צריך כדי להתחזות למשתמש וכך תהיה לו גישה לכל הרשתות או המערכות אליהן הוא מורשה.

התקפת ריסוס סיסמא. כמו כן לפי CROWDSTRIKE, סוג זה של התקפה מורכב מניסיון אותה סיסמה מול רשימת משתמשים באותה אפליקציה. לכן מדובר במתקפת כוח אכזרי, שקל יותר להסתיר מהמתקפה הנפוצה יותר נגד משתמש בודד עם מספר סיסמאות. במקרה זה Active Directory משמש את התוקף לאיסוף רשימת משתמשים פעילים במערכת, אך איסוף מידע זה יכול להיעשות גם בדרכים אחרות, כך שלדעתי לא נכון להתייחס לסוג תקיפה זה בין אלו כי לוקח את זה מטרות ספריות פעילות. ונעבור לשלישי.

רזולוציית שם של לולאה מרובת שידור מקומית (LLMNR). זהו פרוטוקול המאפשר רזולוציית שמות ברשת מקומית הודות לשימוש ב-multicast packet ביציאת UDP 5355. במקרה זה AD, אם הוא אינו מכיל ב-GPO שלו את האינדיקציה לא להשתמש ב-LLMNR, הוא משחק את המשחק של התוקף. גם במקרה זה לא מדובר בחולשה של AD אלא בהערכה (בתקווה) של מנהל הרשת, למעשה במקרים מסוימים השימוש ב-LLMNR שימושי, גם אם כיום מקרים כאלה הצטמצמו מאוד.

העבר את ה-hash באמצעות Mimikatz. טכניקת התקפה זו מורכבת מגניבת אישורים מ-AD. אישורים שניתן להשתמש בהם כדי לבצע תנועות לרוחב בתוך הסביבה המותקפת. כדי לבצע מתקפה זו, יש צורך לחלץ את ה-hash של הסיסמאות של משתמשי הדומיין, הנמצאים בקובץ Ntds.dit, יחד עם מידע נוסף על אובייקטים וקבוצות. אז הודות לשימוש בכלי בשם Mimikatz ניתן להשתמש ב-hash לביצוע המתקפה, תוך התחזות לכל משתמש בדומיין. 

סיור LDAP. הטכניקה הנקראת LDAP Reconnaissance מורכבת מתקפה הנערכת מתוך המערכת ושמטרתה לאסוף מידע מ-LDAP. לאחר מכן ניתן להשתמש במידע המשתמש הזה כדי לבצע התקפות ממוקדות מתוחכמות יותר.

סיור כלבי דם. BloodHound הוא כלי המאפשר לך לחפש פרצות ב-AD, אבל לא רק. BloodHound מנצל את תורת הגרפים כדי לזהות קשרים נסתרים, הרשאות, הפעלות ונתיבים אפשריים להתקפה בתחום של Windows. בתיאוריה, מטרתו היא לעזור למומחי אבטחת סייבר להגן על התחום שלהם, אבל כמובן שהוא יכול לשמש גם תוקף. 

יש לומר שבאופן עקרוני לא מדובר בהתקפות או כלים ספציפיים עבור AD אלא לרוב תקפים גם כנגד מערכות אחרות.

הרשימה של עשר התקפות כוללת גם טכניקות תקיפה כלליות באמת, שאינן מעורבות ישירות AD, בפרט: אישורי ברירת מחדל, אישורים מקודדים, הסלמה של הרשאות. טכניקות אלו אינן נגד AD אך ניתן להשתמש בהן כנגד כל מערכת מחשב.

אני תמיד תוהה למה של דברים, במיוחד כשאני כותב. 

לכותרת יכולה להיות השפעה רבה למשוך או לא למשוך קוראים והקוראים לא תמיד שמים לב מספיק למה שהם קוראים. התוצאה היא הרגיל: אדם מושפע, בעד או נגד נושא או רעיון ספציפי.

במקרה זה, מתוך עשר שיטות התקיפה נגד Active Directory, ברצון להיות רחב טווח, ניתן לקחת בחשבון מקסימום שש. בכל מקרה, אני מודה לאקדמיה להאקרים אתיים שנתנה לי את ההזדמנות לתובנה קטנה.

נ.ב כמו תמיד, תודה לחברי SICYNT שרצו לתרום בהצעות ותיקונים

_{מידע נוסף:}

_{- https://www.linkedin.com/posts/mohessa511_activedirectory-kerberos-attac...}

_{- https://www.crowdstrike.com/cybersecurity-101/kerberoasting/}

_{- https://thebackroomtech.com/2018/08/21/explanation-of-service-principal-...}

_{- https://www.crowdstrike.com/cybersecurity-101/password-spraying/} 

_{- https://www.blackhillsinfosec.com/how-to-disable-llmnr-why-you-want-to/}

_{- https://www.blackhillsinfosec.com/?s=Active+Directory}

_{- https://www.advantio.com/blog/attacking-active-directory-by-llmnr-nbsn}

_{- https://blog.netwrix.com/2021/11/30/passing-the-hash-with-mimikatz/}

_{- https://blog.netwrix.com/2021/11/30/extracting-password-hashes-from-the-...}

_{- https://www.netwrix.com/ldap_reconnaissance_active_directory.html}

_{- https://blog.netwrix.com/2022/12/09/bloodhound-active-directory/}

_{- https://learn.microsoft.com/pdf?url=https%3A%2F%2Flearn.microsoft.com%2F...}

_{- https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/sec...} 

_{- https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/sec....}