DCShadow es una técnica fácilmente disponible que permite a un atacante establecer acceso privilegiado persistente en Microsoft Active Directory (AD).
En concreto, DCShadow permite a un atacante con acceso privilegiado crear y editar objetos arbitrarios en AD sin que nadie lo sepa. Esto permite al atacante crear puertas traseras en todo AD que no pueden ser detectadas, incluso si el acceso privilegiado original sí lo es.
Se ha escrito mucho sobre DCShadow, pero la mayoría de las organizaciones siguen sin poder defenderse contra él.
Aunque esto es muy preocupante, no debería sorprendernos del todo, ya que DCShadow está diseñado específicamente para eludir las medidas de seguridad existentes. Entonces, ¿qué puedes hacer al respecto?
Qué es DCShadow
DCShadow es una función de la utilidad de código abierto Mimikatz (disponible para su descarga aquí). Mimikatz es la principal herramienta de post-explotación para ataques basados en credenciales de Windows y se ha utilizado en muchos de los ciberataques más destructivos de la actualidad, incluyendo LockerGoga, NotPetya, WannaCry, SamSam, y sin duda más por venir.
Cómo funciona DCShadow
DCShadow elude las medidas de seguridad existentes de varias formas diferentes:
1. Explota el mecanismo normal de replicación en AD
DCShadow no está relacionado con una vulnerabilidad de Windows, por lo que no hay ningún parche de seguridad que pueda aplicar para eliminar su exposición. Tampoco está relacionado con la configuración de AD, por lo que no hay ningún ajuste que pueda cambiar para cerrar la brecha.
2. Evade la detección eludiendo el registro de eventos de seguridad de Windows.
DCShadow permite a cualquier servidor Windows hacerse pasar por un controlador de dominio (DC) e inyectar cambios directamente en el flujo de replicación de AD. Estos cambios no se registran en los registros de eventos de seguridad, y no hay ninguna configuración de auditoría que se pueda ajustar para cambiar esto. Como resultado, los sistemas SIEM y la mayoría de las herramientas de seguimiento de cambios de AD no ven -y no pueden alertarle- de los cambios realizados por el atacante para mantener el acceso privilegiado (como crear un nuevo usuario y convertirlo en miembro del grupo Domain Admins).
3. Permite a un atacante inyectar cualquier cambio en AD
Por ejemplo, un atacante puede añadir el SID de un administrador de empresa o de dominio al historial de SID de una cuenta de usuario normal y obtener acceso privilegiado a través de esa cuenta. Por lo tanto, aunque restrinja los cambios a los grupos de administradores de empresa y administradores de dominio, un atacante puede obtener derechos de administrador de empresa o de dominio. Y, si supervisa los cambios en los grupos de seguridad sensibles, no detectará a un atacante con acceso privilegiado a través del Historial SID.
DCShadow también es increíblemente eficiente: un atacante sólo tiene que utilizar su acceso privilegiado original una vez y puede crear cualquier número de puertas traseras imposibles de rastrear en sólo uno o dos segundos.
En una consola de Mimikatz, el atacante pone en cola todas las puertas traseras que desea crear en AD (nuevas cuentas de usuario, pertenencias a grupos, historial de SID), etc:
En este ejemplo, el atacante sólo ha puesto en cola un cambio (añadir el SID de un administrador de dominio al historial de SID de un usuario normal), pero el atacante podría fácilmente poner en cola 15 o 20 o más cambios.
En una segunda consola de Mimikatz, el atacante "empuja" los cambios al flujo de replicación de AD:
La inyección de cambios se produce en apenas uno o dos segundos, incluido el tiempo que se tarda en registrar y anular el registro del falso DC.
Qué puedes hacer con DCShadow
En la segunda parte de este artículo, hablaré de las medidas que puedes tomar para defenderte de DCShadow.
Como podrás adivinar, una forma es monitorizar los cambios en el flujo de replicación de AD. Si quieres echar un vistazo a ese enfoque - o una demostración de un ataque DCShadow - puedes ver un breve vídeo (8 minutos) que grabé recientemente. El vídeo está disponible aquí.