Come difendersi dagli attacchi dei Golden Ticket: Sicurezza AD 101

Gli attacchi Golden Ticket sono particolarmente astuti. Come il Kerberoasting, gli attacchi Golden Ticket sfruttano il sistema di autenticazione Kerberos e sono una delle minacce più gravi per gli ambienti Active Directory. Ecco ulteriori informazioni su questo tipo di attacco e su come difendere il vostro ambiente Active Directory.

Che cos'è un attacco di Golden Ticket?

Gli attacchi Golden Ticket utilizzano un Ticket Granting Ticket (TGT) Kerberos contraffatto per ottenere un accesso illimitato a servizi o risorse all'interno di un dominio Active Directory. A differenza degli attacchi in cui gli attori delle minacce decifrano i ticket esistenti, gli aggressori di Golden Ticket creano e utilizzano ticket contraffatti per mascherarsi come utenti all'interno della rete.

Questo trucco consente agli aggressori di ottenere i ticket di servizio Kerberos per varie risorse. Gli attori delle minacce possono utilizzare questa autorità non controllata per infiltrarsi nei sistemi di rete, aggirando i controlli di accesso e autenticazione convenzionali.

Prima di entrare nel dettaglio di come funzionano questi attacchi e di come si può difendere Active Directory da essi, potrebbe essere utile ripassare le nozioni di base della cybersecurity.

Lettura correlata: Ridurre la superficie di attacco di Active Directory

Che cos'è Kerberos?

Kerberos è il protocollo di autenticazione predefinito in Active Directory. Questo protocollo di autenticazione di rete utilizza la crittografia a chiave segreta ed è fondamentale per garantire che gli utenti e i servizi possano fidarsi l'uno dell'altro in un ambiente di rete. Kerberos utilizza vari tipi di entità crittografiche, chiamate ticket, per autenticare gli utenti o i servizi senza inviare password attraverso la rete. (Per saperne di più su Kerberos e sui ticket Kerberos, vedere qui).

Quando l'autenticazione ha esito positivo, il Key Distribution Center (KDC) assegna all'utente un Ticket Granting Ticket (TGT). I TGT autorizzano gli utenti a richiedere ticket di servizio che consentono loro di accedere ad applicazioni come file server o database.

Che cos'è il conto KRBTGT?

L'account KRBTGT, un account utente integrato in Active Directory, svolge un ruolo fondamentale nel protocollo di autenticazione Kerberos. La password dell'account è generata dal sistema e non viene modificata automaticamente.

Il KDC utilizza l'account KRBTGT su ogni controller di dominio (DC) per crittografare i TGT con l'hash NTLM di tale account. Quando un utente richiede un ticket di servizio per accedere a una risorsa, il KDC utilizza questo hash per convalidare il TGT presentato. In altre parole, l'hash della password dell'account KRBTGT viene utilizzato per firmare tutti i ticket Kerberos nel dominio.

L'account KRBTGT è disattivato ai fini dell'accesso e deve rimanere tale. Lo scopo dell'account è solo quello di facilitare l'autenticazione Kerberos all'interno del dominio Active Directory. Proteggete l'account KRBTGT. La compromissione dell'account può portare a gravi violazioni della sicurezza, compresi gli attacchi Golden Ticket.

Che cos'è il Mimikatz?

Mimikatz è una potente utility open-source, creata da Benjamin Delpy. Ha sviluppato questo strumento per sperimentare la sicurezza di Windows e per capire meglio come le credenziali di Windows vengono memorizzate e trasmesse attraverso la rete.

Tuttavia, Mimikatz è diventato rapidamente famoso nella comunità della sicurezza informatica per la sua potente capacità di sfruttare varie vulnerabilità di sicurezza di Windows. Molte di queste vulnerabilità riguardano il modo in cui Windows gestisce l'autenticazione e le credenziali in memoria.

Mimikatz è in grado di estrarre dalla memoria password, hash e ticket Kerberos in chiaro. In sostanza, lo strumento è un negozio unico per chiunque voglia compromettere le misure di sicurezza di Active Directory. Mimikatz è in grado di estrarre credenziali e ticket di autenticazione direttamente dalla RAM, dove a volte si trovano in chiaro. Mimikatz può sfruttare questi elementi per aggirare le tipiche procedure di autenticazione, garantendo agli aggressori un accesso ad ampio raggio all'interno di Active Directory.

Mimikatz viene spesso utilizzato in scenari di post-exploitation. Una volta che gli aggressori si sono insediati nella rete, in genere cercano di aumentare i loro privilegi o di spostarsi lateralmente per trovare obiettivi di alto valore.

Come funzionano gli attacchi del Golden Ticket?

In un attacco Golden Ticket, l'attaccante utilizza uno strumento come Mimikatz per estrarre l'hash della password del KRBTGT. L'attaccante può utilizzare questo hash per crittografare un TGT Kerberos contraffatto, dandogli qualsiasi accesso o durata di vita. L'attaccante utilizza l'hash per "provare" al KDC che il biglietto è valido. Questo TGT falsificato consente all'aggressore di accedere senza limiti a qualsiasi servizio o risorsa all'interno di un dominio Active Directory.

Gli attacchi Golden Ticket comportano diverse fasi complesse. Questi attacchi richiedono una certa sofisticazione e la conoscenza del funzionamento interno di Active Directory e dell'autenticazione Kerberos. Vediamo le fasi principali di un attacco Golden Ticket.

1. Infiltrazione del dominio. In questa fase iniziale, l'attaccante trova un modo per entrare nella rete dell'organizzazione. L'obiettivo principale è stabilire un punto d'appoggio all'interno della rete. A questo punto è possibile effettuare una ricognizione dettagliata per comprendere la topologia della rete e identificare gli obiettivi più redditizi. L'infiltrazione può essere orchestrata attraverso una serie di strategie, tra cui:
   • Sfruttare le vulnerabilità note del sistema
   • Campagne di Spear Phishing che prendono di mira dipendenti ignari.
2. Escalation dei privilegi. Dopo l'infiltrazione, l'attaccante si concentra sull'escalation dei privilegi all'interno della rete. Questa fase di solito prevede una serie di tattiche per acquisire gradualmente diritti elevati. L'obiettivo finale è quello di assicurarsi i privilegi di amministratore del dominio. Questi diritti aprono la porta al cuore dell'ambiente Active Directory. Con i privilegi di amministratore di dominio, l'aggressore ha le autorizzazioni necessarie per accedere a un DC, puntare al database di Active Directory (file NTDS.dit) e utilizzare strumenti potenti come Mimikatz per perseguire i propri obiettivi.
3. Compromissione dell'hash KRBTGT. In questo momento cruciale, l'aggressore compromette l'account KRBTGT del dominio. Utilizzando uno strumento come Mimikatz per estrarre l'hash KRBTGT, un utente malintenzionato che abbia ottenuto i diritti di amministratore del dominio può utilizzare Mimikatz per raccogliere i dati dell'hash dalla memoria di sistema o dal database AD NTDS.DIT. Dopo aver compromesso l'hash KRBTGT, l'aggressore può manipolare il meccanismo di autenticazione a proprio vantaggio.
4. Creazione di TGT. Con l'hash KRBTGT in suo possesso, l'aggressore crea TGT, "biglietti d'oro" per qualsiasi account utente all'interno del dominio, compresi quelli con privilegi amministrativi. Questi TGT hanno credenziali falsificate ma sono firmati con l'hash KRBTGT legittimo, facendoli apparire autentici al servizio Kerberos. L'aggressore ha ora un accesso praticamente illimitato al dominio. Può impersonare qualsiasi utente e impostare proprietà favorevoli per i ticket, tra cui durate di vita molto lunghe, garantendo la persistenza nell'ambiente.
5. Generazione di ticket di servizio. La fase finale dell'attacco Golden Ticket prevede la generazione di ticket di servizio a partire dai TGT fraudolenti. Utilizzando i TGT contraffatti, l'aggressore può richiedere ticket di servizio per qualsiasi servizio disponibile all'interno del dominio, evitando la necessità di ulteriori autenticazioni. L'aggressore ottiene così un lasciapassare per l'accesso a qualsiasi risorsa della rete, senza essere individuato. Può generare continuamente ticket di servizio validi che consentono un ampio movimento laterale, l'esfiltrazione di dati e un ulteriore radicamento nei sistemi di rete.

Come ci si può difendere dagli attacchi del Golden Ticket?

Si può notare che gli attacchi Golden Ticket rappresentano una minaccia persistente e furtiva per l'organizzazione. Alcuni strumenti e strategie possono aiutarvi a mitigare e a difendervi da questi attacchi perniciosi:

• Monitorare l'attività dei ticket Kerberos
• Verifica di Active Directory e dei registri di sistema
• Implementare gli strumenti di sicurezza per gli endpoint
• Utilizzare Credential Guard
• Gestire con cura la password dell'account KRBTGT
• Applicare il principio del minor privilegio
• Adottare strumenti e strategie efficaci di rilevamento e risposta alle minacce all'identità (ITDR).

Esploriamo questi metodi.

Monitorare l'attività anomala dei ticket Kerberos

Tenete d'occhio l'attività dei ticket Kerberos all'interno della vostra rete. Esaminate regolarmente le proprietà e i modelli di utilizzo di questi ticket. Ciò può aiutare a individuare le irregolarità che potrebbero segnalare un attacco Golden Ticket. Ad esempio, fate attenzione ai ticket che hanno una durata di vita insolitamente lunga o che concedono privilegi inaspettati.

Verifica di Active Directory e dei registri di sistema

Controllare attivamente e regolarmente l'Active Directory e i log di sistema per rilevare attività sospette come:

• Escalation di privilegi inaspettata
• Manipolazioni dei gettoni
• Lettura della memoria del Servizio sottosistema autorità di sicurezza locale (LSASS)

Individuare accessi insoliti o manipolazioni delle credenziali memorizzate può aiutare a contrastare gli aggressori nelle prime fasi del ciclo di vita dell'attacco.

Implementare gli strumenti di sicurezza per gli endpoint

Le piattaforme di protezione degli endpoint (EPP) e gli strumenti di rilevamento e risposta degli endpoint (EDR) identificano e bloccano le firme degli strumenti dannosi. Queste piattaforme sono anche in grado di rilevare comportamenti insoliti che potrebbero indicare il dumping delle credenziali, un'azione spesso riscontrata nelle prime fasi di un attacco Golden Ticket.

Implementare Credential Guard

Credential Guard, una funzione dei moderni sistemi Windows, utilizza la sicurezza basata sulla virtualizzazione per isolare i dati sensibili. La funzione limita l'accesso a questi dati solo al software di sistema privilegiato. Questo passo può scoraggiare notevolmente gli aggressori, impedendo loro di accedere alla memoria LSASS per recuperare le credenziali.

Gestire la password dell'account KRBTGT

Cambiare la password dell'account KRBTGT due volte di seguito per risolvere il problema della capacità di Kerberos di ricordare le ultime due password. Questo passaggio può contribuire a invalidare gli hash rubati, rendendoli inutili per la creazione di Golden Ticket.

Applicare il privilegio minimo

Il modello del minimo privilegio assegna agli utenti e ai sistemi un accesso o un permesso minimo. In breve: limitare i diritti solo a ciò che è essenziale per gli utenti o i sistemi per svolgere il loro ruolo o funzione. Monitorare attentamente le attività degli account privilegiati e affrontare tempestivamente qualsiasi deviazione dagli schemi regolari.

Adottare soluzioni ITDR avanzate

Le soluzioni in grado di individuare i modelli di utilizzo dei Golden Ticket possono accelerare il rilevamento degli attacchi. Prima si rilevano i potenziali attacchi, prima si può rispondere e ridurre i danni.

Tali soluzioni utilizzano algoritmi e riconoscimento dei modelli per identificare quando i Golden Ticket vengono utilizzati nella rete. Ad esempio, Purple Knight e Semperis Directory Services Protector ( DSP) cercano indicatori di esposizione (IOE) e indicatori di compromissione (IOC) relativi allo sfruttamento di Kerberos. Inoltre, DSP può automatizzare il rollback di attività sospette in Active Directory fino a quando non possono essere esaminate e verificate come legittime.

Proteggere Active Directory per prevenire gli attacchi Golden Ticket

L'audacia e l'efficacia dell'attacco Golden Ticket sono preoccupanti. Gli aggressori possono utilizzare questo attacco non solo per entrare nel vostro ambiente, ma anche per trasformarsi in super-utenti in grado di effettuare manipolazioni di rete estese e sottotraccia. Possono accedere a dati riservati, modificare le autorizzazioni degli utenti o eseguire attività malevole, il tutto apparendo come un'entità di rete legittima.

Comprendendo le fasi di un attacco Golden Ticket, è possibile prepararsi meglio ad affrontare tali minacce. L'infiltrazione iniziale e l'escalation dei privilegi sono precursori delle ultime devastanti fasi dell'attacco. Un'altra precauzione: Assicurarsi di mantenere un backup dedicato di Active Directory, disaccoppiato dal sistema operativo, per difendersi dalla perseveranza del malware nel caso in cui sia necessario ripristinare l'AD nel peggiore dei casi.

Le aziende devono essere vigili. Protocolli di sicurezza rigorosi, monitoraggio continuo della superficie di attacco di Active Directory e formazione possono aiutare i team IT e di sicurezza a riconoscere i primi segnali di un attacco Golden Ticket e di altri exploit Kerberos-centrici.