Guido Grillenmeier

Un plan para recuperar Active Directory (AD) debería ser una prioridad para su plan de detección y respuesta a amenazas de identidad (ITDR). Después de todo, vivimos en un mundo federado de identidades híbridas, inicio de sesión sin intervención y trabajo distribuido. En este panorama digital, todo está conectado. Para la mayoría de las organizaciones, AD está en el centro de la autenticación de los trabajadores para que puedan utilizar aplicaciones y servicios conectados globalmente. Si AD no es seguro, nada lo es.

Todas las organizaciones preferirían prevenir un ataque AD antes que recuperarse de uno. Sin embargo, muchos intentos de ataque a AD tienen éxito. Según un informe de Enterprise Management Associates, el 50% de las organizaciones ha sufrido un ataque a AD en los últimos uno o dos años, y más del 40% indica que el ataque a AD tuvo éxito. Otra estadística aleccionadora del informe: Los expertos en pruebas de penetración informaron de que explotaron con éxito las exposiciones de AD en el 82% de las ocasiones.

Descargue hoy mismo el informe gratuito de la encuesta sobre la evaluación de los RIDT.

Proteger AD es importante, pero la capacidad de recuperar AD con éxito de un ciberataque -el componente de "respuesta" de ITDR- es primordial dada la proliferación de ataques sofisticados dirigidos a AD. Analicemos los antecedentes de AD como vector de ataque favorito de los ciberdelincuentes y veamos un caso real que ilustra el complejo proceso de recuperación de Active Directory.

Por qué necesita un plan para recuperar Active Directory

Por desgracia, Active Directory suele ser el eslabón débil de la cadena de seguridad de la identidad. El problema no es AD en sí mismo. Cuando se configura y despliega correctamente, AD puede ser increíblemente versátil. Por desgracia, AD puede estar mal configurado de tantas maneras como se despliega.

Y las amenazas lo saben. Por eso, en el 90% de los ataques investigados por la consultora de ciberseguridad Mandiant se utilizó AD de alguna forma. En esos casos, AD era el vector de ataque inicial, era el objetivo para lograr persistencia o se utilizaba para obtener privilegios y permitir el movimiento lateral a través de la red.

El problema es doble:

  • En primer lugar, las debilidades sistémicas de AD lo convierten en un blanco fácil. Dado que la identidad en la nube se extiende desde AD, es un objetivo principal para el abuso de credenciales, una táctica implicada en el 80% de todas las filtraciones de datos.
  • En segundo lugar, el modelo de confianza cero para el acceso a la red tiene un descuido: supone implícitamente que los sistemas en los que se aplica, incluido AD, mantienen su integridad.

Por estas razones, AD es con frecuencia una parte primaria de la cadena de muerte del ciberataque. Los actores de amenazas utilizan AD para facilitar todo, desde técnicas de persistencia hasta escalada de privilegios y evasión de defensas.

El peor escenario del mundo real

Recientemente hemos sido testigos de primera mano de cuánto daño pueden causar los actores de amenazas a través de una instancia comprometida de Active Directory.

Uno de nuestros socios en EMEA se puso en contacto con nosotros a principios de enero. Un cliente de infraestructuras críticas de Oriente Próximo se había visto comprometido. Nuestro socio estaba en medio de un despliegue de detección y respuesta de puntos finales (EDR) cuando descubrió malware en los controladores de dominio del cliente. No sólo varios clientes y servidores estaban ya bajo el control de los intrusos, sino que el bosque AD estaba completamente comprometido y controlado por los malos.

Así que nos llamaron.

Ayudar a la víctima a sobrevivir requirió una operación de bloqueo y recuperación coordinada y bien orquestada entre el cliente y Semperis. Lo primero que hicimos fue crear una red de seguridad a través de nuestra herramienta Active Directory Forest Recovery ( ADFR). Empezamos creando una copia de seguridad del AD del cliente, desacoplada de su sistema operativo. Esto nos permitió evitar sorpresas desagradables como rootkits y puertas traseras incrustadas en el sistema operativo del cliente.

Para ello, también pusimos en cuarentena todo lo que se encontraba en la directiva de grupo, con lo que pusimos fin a las tácticas maliciosas que aprovechan la inyección de secuencias de comandos, como el ransomware Ryuk. También nos aseguramos de cumplir las directrices de recuperación de bosques de Microsoft. Rotamos el ticket Kerberos dos veces para evitar ataques Golden Ticket.

Una vez establecida nuestra red de seguridad, pasamos a la fase de análisis, en la que buscamos respuestas a varias preguntas básicas:

  • ¿Cómo entraron los actores de amenazas?
  • ¿Cómo comprometieron a AD?
  • ¿Cómo adquirieron las credenciales de dominio?
  • ¿Podrían utilizar exposiciones adicionales para recuperar el acceso?
  • ¿Había que cerrar alguna puerta trasera?
  • ¿Cuál era la situación de seguridad básica del cliente?
  • ¿Qué buenas prácticas aplicaba el cliente?

Mientras todo esto ocurría, el cliente -un operador de infraestructuras críticas- continuaba con su actividad habitual. El tiempo de inactividad prolongado simplemente no era una opción. La organización necesitaba seguir prestando servicio a sus propios clientes, incluso mientras sondeábamos sus sistemas en busca de indicios de agentes de amenazas.

Evaluación de la causa principal

Lo que pronto descubrimos fue que el cliente estaba siendo atacado desde múltiples direcciones y por múltiples atacantes, cada uno independiente de los demás. Había al menos cuatro atacantes, cada uno en una fase diferente de la cadena de ataque. Algunos ya tenían cuentas de dominio, y otros estaban intentando rociar contraseñas.

Teníamos una pesadilla de ciberseguridad entre manos.

Para comprobar la existencia de riesgos en el sistema, como la vinculación de objetos de directiva de grupo (GPO) y las contraseñas reversibles, hemos utilizado Purple Knight. También aplicamos secuencias de comandos adicionales, comprobaciones manuales y soluciones en función de la situación.

Encontramos múltiples cuentas de usuario, incluyendo cuentas de administrador, con SPNs definidos: objetivos principales para Kerberoasting. También descubrimos que los ordenadores del dominio carecían de capacidad para definir cualquier certificado en el sistema. Y encontramos una cuenta de servicio de asistencia que podía restablecer todas y cada una de las contraseñas del sistema, incluidas las de los administradores del sistema.

Recuperación de Active Directory

Nunca nos habíamos enfrentado a una situación como ésta. Arreglar el problema parecía como si nos dispararan desde varias direcciones mientras intentábamos cambiar las ruedas de un coche que circulaba por la autopista a 160 km/h.

Al final, decidimos que lo mejor era dividir y conquistar. El equipo de EDR siguió desplegando sus EDR en los servidores, mientras buscaba y neutralizaba los centros de mando y control. Pasamos un día y medio entero reforzando Active Directory. Nuestras acciones incluyeron:

  • Introducción de un modelo por niveles (los administradores habían estado accediendo a su correo electrónico en estaciones de trabajo ordinarias).
  • Creación de cuentas completamente nuevas aprovechando el grupo de usuarios MS Protected
  • Identificación y eliminación de objetivos potenciales de Kerberoasting
  • Configuración de permisos de unidad organizativa (OU) y adaptaciones de GPO

Nuestro último paso fue el más difícil. Necesitábamos preservar el núcleo del despliegue de esta organización de infraestructuras críticas, algo parecido a un trasplante de corazón digital.

Esperamos al fin de semana, cuando el tráfico sería mínimo, y nos pusimos manos a la obra para desconectarlo todo.

Solo 30 minutos después, habíamos trasplantado un AD limpio y reforzado al sistema. ADFR se ocupó de los detalles, como los grupos de RID y los tickets de Kerberos, mientras que el equipo de EDR se ocupó de 20 sistemas de comando y control y bloqueó cientos de direcciones IP. Tras un rápido reinicio, todo lo que quedaba era una implementación de AD segura y totalmente funcional, habilitada con Azure AD Passthrough para Office 365.

Sacado del fuego

Active Directory es increíblemente versátil, pero también puede ser una gran amenaza para la seguridad si no se configura correctamente. Nuestro cliente lo aprendió por las malas. Afortunadamente, contaba con soluciones que le permitieron corregir el rumbo sin interrupciones significativas del servicio.

Aunque la recuperación de Active Directory en esta situación supuso un gran esfuerzo para todos los implicados, la recompensa de repeler a los atacantes no tuvo precio. Como suele decir Mickey Bresman, Director General de Semperis, nuestra misión es ser una fuerza del bien. Nuestro equipo de Breach Preparedness & Incident Response (BP&IR) se toma muy en serio esta responsabilidad, al igual que todos los que formamos Semperis. De cara al nuevo año, nuestro propósito es seguir ayudando a las organizaciones de todo el mundo a defenderse de los ciberataques reforzando su postura ITDR y utilizar todos los recursos disponibles para ayudarle a recuperar Active Directory en caso de que ocurra lo peor.

Obtenga más información con los siguientes recursos y descargue nuestro informe gratuito sobre la encuesta de evaluación de los RIRT.

Más información