L'attacco DCShadow sfrutta un interruttore nell'utilità Mimikatz che consente agli utenti privilegiati di iniettare modifiche dannose in Active Directory (AD) senza essere rilevati. DCShadow sfrutta la replica nativa di AD per evitare di inviare eventi ai registri di sicurezza di AD.
Metodologia DCShadow:
- DCShadow consente agli aggressori (con diritti di amministrazione) di creare un controller di dominio (DC) falso che può distribuire rapidamente le modifiche ai DC legittimi utilizzando i normali meccanismi di replica.
- Gli utenti privilegiati creano un oggetto DC temporaneo nel contesto di denominazione della configurazione e lo mantengono lì per il tempo necessario (meno di 30 secondi) per inserire le modifiche AD in un DC esistente in lettura e scrittura. Da qui, la replica viene attivata dal DC legittimo "fidato".
- Ora, poiché queste modifiche hanno avuto origine nel falso DC, i registri degli eventi di sicurezza non hanno alcuna traccia di ciò che è avvenuto e i SIEM sono ciechi di fronte all'imminente assalto. In definitiva, i movimenti dell'aggressore non vengono controllati, lasciando dietro di sé una minaccia persistente.
Guardate questo video di presentazione per scoprire come difendersi da questa minaccia emergente. Presentato da un MVP Microsoft per il Cloud e i Datacenter da 14 anni, Darren Mar-Elia ha una vasta esperienza nella gestione dell'identità e degli accessi ed è stato CTO e fondatore di SDM software, un fornitore di soluzioni di gestione dei sistemi Microsoft.
