Nella prima parte di questo post ho parlato della minaccia che DCShadow rappresenta per le organizzazioni che utilizzano Microsoft Active Directory (AD). Nella seconda parte, vi illustrerò le misure che potete adottare per proteggere la vostra organizzazione.
(Riassunto rapido: DCShadow è una funzione dello strumento di post-exploitation Mimikatz che gli aggressori utilizzano per creare silenziosamente backdoor in AD iniettando le modifiche direttamente nel flusso di replica di AD).
Limitare i test agli ambienti di laboratorio
L'iniezione di modifiche nell'AD può danneggiare o addirittura bloccare l'AD. Pertanto, se volete simulare un attacco DCShadow o sperimentare in altro modo con DCShadow, fatelo solo in un ambiente di laboratorio isolato.
Rafforzare le difese
Ecco alcune misure che potete adottare per difendere il vostro ambiente di produzione da DCShadow:
Monitorare l'accesso privilegiato
Un utente malintenzionato deve disporre di un accesso privilegiato per utilizzare DCShadow. E una volta che un aggressore ha un accesso privilegiato, non c'è nulla che si possa fare per impedirgli di usare DCShadow.
Poiché Mimikatz è un software open-source, un utente malintenzionato può apportare una modifica banale al codice per cambiare la firma ed evitare il rilevamento da parte di software antivirus e di protezione degli endpoint. Inoltre, strumenti come Windows Defender Credential Guard possono impedire a Mimikatz di estrarre le password dalla memoria, ma non difendono dalla funzione DCShadow (che non si basa sulle password).
Pertanto, limitare, monitorare e gestire l'accesso privilegiato (ad esempio, con un sistema PAM) è fondamentale per prevenire un attacco DCShadow.
Monitorare le modifiche ai siti e ai servizi AD
La comparsa di nuovi oggetti server transitori in un sito AD può indicare un attacco DCShadow. Si consiglia pertanto di monitorare la partizione di configurazione AD in cui sono memorizzati questi oggetti per i DC aggiunti temporaneamente.
Mentre le modifiche iniettate da DCShadow nel flusso di replica AD non vengono catturate nei registri degli eventi di sicurezza di Windows, la registrazione (e la rimozione) dei server nella partizione di configurazione da parte di DCShadow sì. Quindi, ad esempio, è possibile impostare notifiche nel sistema SIEM per avvisare della creazione di oggetti server sotto il contenitore CN=Sites, CN=Configurazione. Oppure, se si utilizza uno strumento di monitoraggio delle modifiche AD come Semperis Directory Services (DS) Protector, è possibile impostare le notifiche:
(In questo esempio, è stato selezionato server come classe di oggetto e viene inviata una notifica quando un oggetto server viene aggiunto a AD Sites and Services).
Disattivare immediatamente gli account compromessi
Se viene rilevato un DC falso, disabilitare immediatamente l'account che lo ha aggiunto. Poiché DCShadow tenta di coprire le proprie tracce (non lasciandone alcuna), non è il tipo di attacco che si dovrebbe lasciare che si svolga, osservare e poi agire. Con ogni probabilità è troppo tardi e l'aggressore ha già creato delle backdoor, ma è comunque necessario disabilitare l'account per evitare ulteriori danni.
Fai luce su DCShadow
Anche con le azioni difensive di cui sopra, si deve presumere che, a un certo punto, un intruso esterno - o un insider che ha fatto il furbo - otterrà un accesso privilegiato. E si deve presumere che l'attaccante abbia Mimikatz e sappia come usarlo.
Per evitare che il vostro AD venga compromesso in modi sconosciuti e quindi irreparabili, dovete essere in grado di vedere le modifiche apportate da DCShadow. In caso contrario, potreste trovarvi a dover ricostruire l'AD da zero, come descritto da Microsoft in Planning for Compromise.
Il modo migliore e più diretto per vedere le modifiche apportate da DCShadow è monitorare il flusso di replica AD.
In teoria, si potrebbero esporre le modifiche apportate da DCShadow scaricando il contenuto di AD e confrontandolo con un backup. Tuttavia, è complicato (se non impossibile) farlo nella pratica. Ad esempio, ho parlato con un'organizzazione che ha tentato un "dump and diff" quando l'AD è stato compromesso e, dopo tre settimane di tentativi, non era ancora sicura di aver trovato tutte le modifiche non autorizzate.
Il monitoraggio del flusso di replica AD garantisce anche la visibilità se un aggressore aggira la registrazione degli eventi di sicurezza in un altro modo, ad esempio disattivando la registrazione, disabilitando gli agenti di raccolta, eliminando i registri, ecc.
Naturalmente, il monitoraggio non è sufficiente: occorre anche un modo per annullare immediatamente le modifiche indesiderate.
Entrambe le funzionalità - il monitoraggio del flusso di replica AD e il rollback immediato delle modifiche - sono disponibili in Semperis DS Protector. A titolo di esempio, ho registrato una breve demo (8 minuti) di un attacco DCShadow e del suo rilevamento/rimedio con Semperis.
La demo è disponibile qui.
Si noti che se si utilizza uno strumento di monitoraggio delle modifiche AD che monitora le modifiche AD iniettando LSASS, non si vedranno le modifiche apportate da DCShadow a meno che l'agente LSASS non agganci anche gli eventi di replica. (In genere, questi agenti agganciano solo gli eventi di modifica).
Mantenere un'ultima linea di difesa affidabile
Sarei negligente se non includessi un promemoria sulla necessità di buoni backup e di un processo di ripristino comprovato. Se un aggressore entra, ottiene i permessi e cripta i vostri sistemi, non vorrete ricompensarlo (o i terroristi per cui lavora) pagando il riscatto. E se i vostri sistemi sono stati completamente cancellati, anche questa cattiva opzione non è disponibile. Quindi, tenete i backup al riparo (cioè offline) e testate il processo di ripristino per Active Directory almeno una volta al trimestre. (Se i test trimestrali di DR sembrano irragionevoli, è il momento di cercare un nuovo sistema di backup/ripristino).
Ripristinare la visibilità del sistema SIEM
Quando DCShadow è stato rilasciato, i suoi creatori hanno avvertito che avrebbe potuto "rendere cieco il vostro SIEM da un milione di dollari". Monitorando il flusso di replica AD e inoltrando gli eventi di modifica al sistema SIEM, è possibile restituire la vista al sistema SIEM, proteggere gli investimenti nel sistema e salvaguardare l'integrità di Active Directory.
